Asesoramiento y evaluación  de riesgos de seguridad

Referencia: http://www.isaca.org/journal/archives/2010/volume-1/pages/performing-a-security-risk-assessment1.aspx

Enterprise risk management (ERM)

La importancia que tiene las metodologías en asesoramiento para evaluar esos riesgos esta trayendo la aproximación a identificar la gestión de riesgos en los sistemas de la organización.

Normalmente esta responsabilidad estaba desempeñada por el responsable IT o el personal de mantenimiento de Red. Pero ahora la cosa ha cambiado por que se ha adquirido mas especialización en materias de seguridad de la información.

Esto se entiende mejor el en el control de los componente de la estructura del sistema de información. Las aproximaciones tienen limitaciones como los sistemas que van llegando mas complejos, integrados y conectados en terceras partes. La seguridad  y el control de presupuestos tienen riesgos inmediatos y también sus limitaciones.

El asesoramiento de riesgos empresariales aproximan e incluyen todas las partes interesadas para asegurar los aspectos de la organización del IT: Organización, dirección o emplazamiento incluyendo hardware, software, la concienciación y formación del empleado. Y en el proceso de negocio.

Todas estas características son fundamentales a la hora de dar una solución optima a las necesidades del cliente.

Sin evaluar los diferentes tipos de datos de la organización  de la empresa es probablemente posible que se priorice los recursos tecnológicos.

Algunas aéreas a evaluar en el asesoramiento son:

  • Justificación del coste.

o   Ejemplo si vamos a tener el sistema sin funcionar un tiempo tendremos que justificar el coste y de cómo lo voy a amortizar con las mejoras.

  • Productividad

o   Conociendo todos estos Items que hacen funcionar a la empresa, podremos hacer modificaciones teniendo el menor impacto en la productividad. Así mejorándolo después de la solución mas optima obtenida para el caso en concreto.

  • Autoanálisis

o   Analizarnos a nosotros mismos como compañía asi como todos los procesos y ver en que partes podemos mejorar. Pero sobre todo revisar la cultura en cuanto a seguridad se refiere que tiene la empresa.

  • Comunicación:

o   Todos estos aspectos que estamos hablando de implementación de los sistemas evidente las comunicaciones cobran parte importante antes durante y después del proceso.

Metodología de asesoramiento en los riesgos de seguridad en una compañía:

Dependiendo del tamaño de la compañía y la complexión y la organización, el entorno tecnológico puede ser mas claro que es lo que se necesita puede ser no suficiente o demasiado y precisa ítems de asesoramiento para evaluar los riesgos. Pero sobre todo esto ayuda a  generar priorización.

 

Ejemplo de proceso (ingles):

  • Security requirements and objectives
  • System or network architecture and infrastructure, such as a network diagram showing how assets are configured and interconnected
  • Information available to the public or accessible from the organization’s web site
  • Physical assets, such as hardware, including those in the data center, network, and communication components and peripherals (e.g., desktop, laptop, PDAs)
  • Operating systems, such as PC and server operating systems, and network management systems
  • Data repositories, such as database management systems and files
  • A listing of all applications
  • Network details, such as supported protocols and network services offered
  • Security systems in use, such as access control mechanisms, change control, antivirus, spam control and network monitoring
  • Security components deployed, such as firewalls and intrusion detection systems
  • Processes, such as a business process, computer operation process, network operation process and application operation process
  • Identification and authentication mechanisms
  • Government laws and regulations pertaining to minimum security control requirements
  • Documented or informal policies, procedures and guidelines
  • Identify business needs and changes to requirements that may affect overall IT and security direction.
  • Review adequacy of existing security policies, standards, guidelines and procedures.
  • Analyze assets, threats and vulnerabilities, including their impacts and likelihood.
  • Assess physical protection applied to computing equipment and other network components.
  • Conduct technical and procedural review and analysis of the network architecture, protocols and components to ensure that they are implemented according to the security policies.
  • Review and check the configuration, implementation and usage of remote access systems, servers, firewalls and external network connections, including the client Internet connection.
  • Review logical access and other authentication mechanisms.
  • Review current level of security awareness and commitment of staff within the organization.
  • Review agreements involving services or products from vendors and contractors.
  • Develop practical technical recommendations to address the vulnerabilities identified, and reduce the level of security risk

Asesoramiento del impacto

  • Cuantificar los riesgos del impacto, ingresos costes, beneficios, niveles de servicio,  la regunaciion  y la reputación.
  • Una  lista de chequeo es buena práctica. Pero es solo el punto de partida del proceso. Con la experiencia adquirida el proceso podrá ser tanto como educacional como de concienciación para identificar los riesgos.
  • Un marco de trabajo en seguridad de la información es importante porque provee un mapa de ruta para la implementación y evaluación y mejora de las prácticas de seguridad de la información.

Conclusión:

  • El marco de trabajo de la seguridad de la información es importante porque  a partir de ahí se genera un mapa de implementación. Y con ello seremos capaces de identificar los objetivos y con ello conducir la evaluación y determinar las necesidades.
  • El tipio de camino seguido para asegurar los riesgos es gestionado de manera que tenga un coste efectivo u optimizado.
  • El proceso de cómo enmarcar el trabajo de la implementación y gestionarla los controles para asegurar las especificaciones  de los objetivos a cumplir. Y que la organización necesita.
  • Definición de un nuevo modelo de proceso de manejo de la seguridad  de la información.
  • Determinar el estatus o importancia de la información.
  • Hacer auditoría interna y externa para determinar el grado de cumplimiento de las políticas de las directivas adoptadas para la organización
  • Para la implementación de la viabilidad de la solución a la necesidad que el negocio o empresa ou entidad requiere. Pero también teniendo en cuenta la continuidad de la compañía.

Sinopsis:

Es decir tenemos que tener una solida base de información en el campo de seguridad informática y de la empresa para poder identificar los procesos de empresa. Los riesgos y vulnerabilidades para la organización podrán ser cambiados a lo largo del tiempo, como quiera que sea la organización o empresa tendrá que continuar por ese marco de trabajo. Y será una posición para ir a la dirección para identificar nuevos riesgos y vulnerabilidades en materias de seguridad. Que según vayamos monitoreando en una continua revisión iremos aprendiendo de ello y mejorando.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*