fbpx

Rol del Equipo de Seguridad de la Información en una Organización

Posted in Gestión de riesgos on abril 12, 2024
The Information Security Team

El papel del equipo de seguridad de la información es proteger la información y los datos contra el uso indebido o las pérdidas. 

El equipo de seguridad de la información identifica los activos y fuentes de información de la organización y realiza actividades de evaluación y gestión de riesgos. El equipo identifica los riesgos actuales de ciberseguridad, las amenazas y las vulnerabilidades de los recursos de información y los activos de la organización. 

Algunos ejemplos de activos y recursos críticos incluyen, entre otros, el sistema de aplicación central, software, sistemas informáticos, servidores, redes, salas de datos, software adquirido de terceros, acuerdos en la nube, canales de entrega alternativos, información interna, contratos, acuerdos, etc.

El Equipo De Seguridad De La Información

El papel del equipo de seguridad de la información en una organización

Los activos y recursos se identifican a través de una comunicación y coordinación efectivas con las diferentes partes interesadas en el banco, incluida la gestión de riesgos, las líneas de negocio, el cumplimiento, la auditoría interna, el personal de operaciones y el equipo de tecnología. Después de identificar los activos de información y su categorización, el equipo de seguridad de la información debe evaluar la evaluación de vulnerabilidades para identificar las debilidades y lagunas en los activos de información. 

La evaluación de amenazas y vulnerabilidades desempeña un papel importante en la identificación de las vías en las que debe centrarse y las esferas que deben controlarse mediante un enfoque integrado de evaluación de riesgos. Estas evaluaciones iniciales de vulnerabilidades y amenazas basadas en el riesgo ayudarán al equipo de seguridad de la información a priorizar los activos de información, productos, canales de entrega y otras actividades operativas más cruciales que exigen prácticas de seguridad de datos e información mejoradas y centralizadas.

La identificación de riesgos de ciberseguridad es vital para desarrollar un sistema robusto de monitoreo y control. La identificación eficaz de riesgos tiene en cuenta las fuentes y los factores internos y externos que podrían afectar negativamente a los objetivos de la organización. 

Los riesgos de pérdida de información y datos se identificarán a partir de diferentes fuentes, incluidos los requisitos reglamentarios, las tendencias de las amenazas cibernéticas en la industria bancaria, los incidentes de riesgo anteriores, los comentarios de los propietarios de riesgos, etc. Los riesgos de ciberseguridad y seguridad de la información identificados se evaluarán desde el punto de vista de la importancia, la probabilidad de ocurrencia y el punto de vista. 

La evaluación de riesgos inherentes basada en criterios de riesgo definidos ayudará al equipo de seguridad de la información a priorizar las categorías alta, media y baja de riesgos de ciberseguridad y seguridad de la información. 

Los riesgos de seguridad de la información y los datos son inherentes a todas las actividades y procesos empresariales, y todos los riesgos inherentes deben identificarse y evaluarse. Las unidades de negocio y tecnología tienen el mejor conocimiento de riesgos de ciberseguridad y seguridad de la información. Por lo tanto, deben desempeñar un papel importante en la identificación de riesgos. La organización debe documentar las razones si algún activo o recurso de información queda fuera del proceso de identificación de riesgos.

El Equipo De Seguridad De La Información

El equipo de seguridad de la información evalúa los riesgos basándose en la puntuación de riesgo basada en el juicio y / o en función de los umbrales financieros. La evaluación del riesgo debe realizarse a niveles inherentes y residuales, teniendo en cuenta tanto la probabilidad como la gravedad del riesgo. La adopción de la evaluación de riesgos a niveles inherentes y residuales proporciona más información sobre la naturaleza de los riesgos y controles de seguridad de la información.

Para fines de calificación de riesgos, la organización puede desarrollar escalas de nivel de riesgo que van desde bajo, medio y alto. El proceso de evaluación de riesgos también incluye la evaluación de los controles para evaluar la eficacia de los controles implementados teniendo en cuenta las medidas de control existentes y los posibles eventos. 

El equipo de seguridad de la información identificará y evaluará el riesgo de ciberseguridad inherente a todos los activos, procesos y sistemas de información materiales para garantizar que los riesgos e incentivos inherentes se comprendan bien. Los riesgos altos son críticos y requieren atención inmediata de la gerencia para garantizar que se desarrollen e implementen los controles de mitigación adecuados. 

Los controles internos están integrados en las operaciones diarias y están diseñados para garantizar, en la medida de lo posible, que las actividades comerciales y operativas sean eficientes y efectivas y que la información sea confiable y esté protegida. Los controles internos garantizan que el banco cumpla con las leyes y regulaciones aplicables relacionadas con la ciberseguridad, la protección de datos y la confidencialidad. 

El equipo de seguridad de la información registrará los riesgos de ciberseguridad, los incidentes y el plan de acción de gestión tomado o planificado, para tratar los riesgos. Las nuevas leyes y regulaciones aplicables se asignarán a la solución de Gobernanza, Riesgo y Cumplimiento o GRC para diseñar e implementar los controles de ciberseguridad para dichos nuevos requisitos de cumplimiento normativo. 

Para controlar las pérdidas de datos y el acceso no autorizado a la información, el equipo de seguridad de la información debe asegurarse de que las políticas de seguridad de la información y los datos se revisen e implementen adecuadamente en función de los riesgos de escuchas, interceptación y modificación. Dichos riesgos y amenazas a la información se mitigarán mediante el uso de autenticación sólida de usuarios y dispositivos, tecnologías de cifrado y antimalware, control de acceso basado en niveles y segmentación de red para proteger la confidencialidad e integridad de los datos de los activos de información.

El Equipo De Seguridad De La Información

Para implementar eficazmente el programa GRC de ciberseguridad, el banco XYZ establecerá equipos dedicados de Inteligencia de Amenazas Cibernéticas y Casos de Emergencia para minimizar y controlar las pérdidas de información o datos resultantes de posibles incidentes de ciberseguridad y ofrecer orientación para la recuperación rápida de sistemas y datos. Los equipos de tecnología de la información y seguridad cibernética o de la información de XYZ Bank mejorarán las capacidades de monitoreo con un enfoque especial en las conexiones VPN, las autenticaciones de usuarios remotos y los registros de sistemas expuestos externamente. Supervisarán la red del banco las 24 horas del día, los 7 días de la semana, registrando las solicitudes de acceso e identificando, detectando y respondiendo a los ataques maliciosos con prontitud. 

Reflexiones finales

El equipo de seguridad de la información actualiza las VPN, la infraestructura de red y los dispositivos utilizados para los entornos de trabajo con los últimos parches de software y configuraciones de seguridad. La conectividad a los datos internos y a los recursos del sistema deberá estar debidamente protegida a través de un canal de comunicación cifrado, como una VPN debidamente protegida por autenticación multifactor.