21 - Políticas de Seguridad de la Información (II) - 28/12/2005

Autor: Lic. Cristian F. Borghello

En el Artículo Anterior acordamos en la importancia de la Información para la organización, así como también que el primer paso para abordar el tema de la Seguridad de la Información (SI) es reconocer los riesgos y su impacto en dicha organización y sus negocios.

Abordar el problema de minimizar (o eliminar) estos riegos es un gran desafío pero lograremos un gran avance con tan solo organizar la gestión, aprovechar las opciones de seguridad de los sistemas utilizados, aprender a eliminar las configuraciones por defecto, utilizar herramientas licenciadas (o libres) y aprovechar la experiencia y base de conocimientos de aquellos que ya han superado exitosamente este desafío.

La evaluación de riesgos y, en general, las mejoras en la gestión de la SI puede aplicarse a toda la organización o solo a partes de la misma.

Para evaluar los riesgos se deben tener en cuenta las consecuencias (impacto potencial de una falla) y la probabilidad de que dicha falla ocurra. Estas fallas generalmente serán el producto de las amenazas y vulnerabilidades existentes y, los controles implementados para minimizarlas.

Una vez identificados los riesgos que enfrenta la organización y que atentan contra las tres propiedades deseables de la Información, deberemos establecer los requerimientos mínimos de seguridad deseados.

Para ellos deberemos analizar los riesgos identificados, los requisitos externos (leyes, contratos, reglamentaciones, etc.) y los requisitos internos que ha desarrollado la organización para respaldar sus operaciones (métodos de procesamiento de la información, normas, procesos, etc.).

La selección de los controles a implementar puede hacerse sobre normativas y estándares existentes o diseñarse nuevos en base a la experiencia y necesidades a satisfacer. Luego de evaluar los controles se tendrá un costo estimado de implementación que deberá contrastarse con los costos de asumir los riesgos.

Una vez seleccionados los controles a realizar para minimizar los riesgos identificados se deberá contar con un método de medición adecuado que nos permita establecer fehacientemente que dichos controles son efectivos habiendo logrado los resultados esperados.

Por último esta metodología deberá ser revisada periódicamente para identificar nuevos riesgos y controles a implementar. Así, habremos logrado un metodología de MEJORA CONTINUA en materia de SI que puede resumirse como: