Paso 1
Podemos
decir de una manera genérica que el objetivo es definir, implementar y
gestionar una serie de medidas o controles de seguridad que garanticen la
confidencialidad, integridad, disponibilidad… de la información.
Paso 2
La pregunta
a continuación sería ¿qué medidas o controles?. Estas medidas o controles han
de ser de carácter técnico, organizativo, procedimental e incluso legal. La fuente
de estas medidas son los requerimientos de negocio:
- Las obligaciones legales, normas o políticas internas a las que ha de hacer frente (LOPD, SOX, PCI, ISO 27000, etc. propiedad intelectual, aspectos contractuales con proveedores…)
- El resultado de un análisis de riesgos en el que se defina qué riesgos existen, qué criterios de aceptación del riesgo establecemos y cómo los tratamos (aplicando controles o, por ejemplo, asumiendo, evitando o transfiriendo dichos riesgos).
Paso 3
El resultado
consistirá en un conjunto de controles con sus medidas detalladas que se
deberán aplicar en la organización. Controles que aplicarán a diferentes
dominios de la seguridad: gestión de activos, proveedores, seguridad ligada a
RR.HH, seguridad física y ambiental, gestión de comunicaciones y operaciones de
TI, control de acceso…
Paso 4
Todos esos
controles a mejorar o implementar se deben agrupar en función, por ejemplo, de:
- Similitud de las medidas en cuanto a tipo de soluciones técnicas
- Activos o dependencias a las cuales aplican las medidas
- Por departamentos
- Por estado de madurez, etc.
Paso 5
Estas
agrupaciones resultarán en un conjunto de proyectos (ej: creación y gestión de
políticas, arquitectura de red segura, aspectos jurídicos, tratamiento del
malware…) que se han de evaluar, presupuestar, priorizar y planificar en un
Plan Director de Seguridad.
5,1 Este
enfoque garantiza un aproximación de arriba-abajo que tome como punto de
partida los requerimientos del negocio.
5,2 La cuota
de mercado de las herramientas y soluciones de seguridad está muy segmentada.
No hay dominadores claros y sí que existen muchas soluciones de nicho de alto
nivel. Por otro lado muchas soluciones parece que hacen lo mismo. Es por eso
que, a la hora de escoger una solución o herramienta es imprescindible:
- Recurrir a tests independientes y referencias de mercado que ayuden a hacer un filtrado.
- Realizar una prueba de concepto que ayude a validar la idoneidad de la solución.
5,3 Idea final. Respecto al análisis y gestión de riesgos es importante dar un salto conceptual y empezar a pensar en ellos como una herramienta de creación de valor que debe ser un componente esencial del análisis estratégico de la empresa. Si más allá de analizar únicamente los riesgos tecnológicos nos planteamos un análisis de los riesgos operacionales, el debate
No hay comentarios:
Publicar un comentario