Los pasos de gestión de riesgos de seguridad involucrados en la realización de actividades de gestión de riesgos de seguridad de la información son importantes. La gestión de riesgos es un proceso continuo que debe realizarse de manera adecuada y lógica. El proceso de gestión de riesgos de seguridad de la información requiere identificar las fuentes de riesgo para evaluar y evaluar los riesgos relevantes de seguridad de la información o los datos.
Pasos para la gestión de riesgos de seguridad
Los siguientes pasos están involucrados en la realización de la administración de riesgos de seguridad de la información. Estos pasos son seguidos en secuencia por el equipo de gestión de riesgos de seguridad de la información de la organización:
- Definición de fuentes de riesgo para la seguridad de la información
- Proceso de identificación de riesgos de seguridad de la información
- Proceso de evaluación de riesgos de seguridad de la información
- Mapeo de riesgos y controles de seguridad de la información
- Evaluación de la eficacia operativa de los controles de seguridad de la información
Definición de fuentes de riesgo de seguridad de la información
Las leyes y regulaciones aplicables relacionadas con la ciberseguridad o la protección de datos contienen disposiciones o pautas que una organización debe cumplir mediante la implementación de procesos y controles de seguridad de la información adecuados. Esas disposiciones o directrices corren el riesgo de incumplimiento normativo si la organización no las aborda. Por lo tanto, los riesgos de seguridad de la información también se pueden identificar a partir de las leyes y regulaciones aplicables para fines de evaluación y gestión de riesgos.
Proceso de identificación de riesgos de seguridad de la información
Los propietarios y custodios de la información y los datos son las personas que poseen la base de conocimientos real de los clientes, las operaciones y otras actividades comerciales.
El conocimiento también se obtiene mediante el análisis de incidentes reales de seguridad de la información que ocurrieron y se informaron dentro de la organización. La base de datos de pérdidas operativas de la organización incluye incidentes de seguridad de la información e incidentes de violación de datos que ocurrieron en diferentes ubicaciones y departamentos, con impactos de riesgo financiero y de reputación.
Proceso de evaluación de riesgos de seguridad de la información
Una vez que se identifican los riesgos de seguridad de la información a partir de diferentes fuentes de riesgo, se evalúa la probabilidad de que ocurra la seguridad de la información. La evaluación de la probabilidad es subjetiva porque la organización no dispone de datos o información relevantes que predigan con precisión la probabilidad de un riesgo de seguridad de la información en particular.
Mapeo de riesgos y controles de seguridad de la información
Los controles preventivos se construyen e implementan para prevenir incidentes de riesgo de seguridad de la información. Por el contrario, los controles de detección detectan la ocurrencia de incidentes de seguridad de la información o violaciones de datos.
La administración también identifica los controles generales y diferencia estos controles de los controles específicos del proceso, que están integrados en los procesos para evitar la ocurrencia de fraude. Los controles generales están diseñados e implementados para apoyar a la organización, como el establecimiento de procesos de TI para garantizar que todos los departamentos utilicen la tecnología para realizar sus tareas.
Evaluación de la eficacia operativa de los controles de seguridad de la información
La eficacia operativa y la eficiencia de los controles internos de seguridad de la información son parámetros importantes para evaluar el riesgo de pérdida de datos en cualquier organización. Uno puede tener una visión de la organización mediante la comprensión de sus controles internos y su eficacia operativa.
No sólo es necesario diseñar e implantar los controles internos, sino que lo principal es garantizar la eficiencia y eficacia del funcionamiento de los controles. La efectividad de los controles significa reducir las posibilidades de fraude o identificar muchos riesgos de fraude relacionados con la información y los datos con la ayuda de los controles implementados.
Reflexiones finales
Los pasos involucrados en la realización de la gestión de riesgos de seguridad de la información son la definición de las fuentes de riesgo de seguridad de la información, el proceso de identificación de riesgos de seguridad de la información, el proceso de evaluación de riesgos de seguridad de la información, el mapeo de los riesgos y controles de seguridad de la información y la evaluación de la eficacia operativa de los controles de seguridad de la información.
