Para la consecución de este objetivo es primordial un enfoque basado en la gestión del riesgo. Todas las organizaciones operan con riesgos independientemente de su tamaño o actividad. Dicha gestión del riesgo debe permitir a la Alta Dirección de la Organización conocer en todo momento cuál es su estado de seguridad, teniendo conocimiento, entre otros, de los siguientes factores:
- Cuáles son los riesgos en los que se está incurriendo.
- Qué impacto puede suponer para el negocio cada situación.
- Cuál es el nivel de impacto aceptable (umbral de riesgo).
- Cuáles son las distintas alternativas para gestionar el riesgo.
Los riesgos pueden clasificarse básicamente en tres tipos:
1.- Externos: derivados de varias situaciones tales como el contexto económico, las estrategias de la competencia, cambios en las preferencias de los clientes, regulaciones legales, etc.
2.-Internos: debilidades en los procesos de las organizaciones que se acostumbran a manifestar en forma de errores
3.- Tecnológicos: errores de las propias tecnologÃas, de su uso y del alto grado de dependencia que las organizaciones tiene en relación a éstas.
El enfoque de la gestión de la seguridad de la información orientada a los riesgos se caracteriza por intentar alcanzar un equilibrio entre la exposición al riesgo y los costes de mitigación de los riesgos mediante la implantación de los controles y salvaguardas apropiadas.
En base a los factores enunciados anteriormente (riesgos en los que se está incurriendo, impacto, etc.), la Alta Dirección, conjuntamente con el asesoramiento del Responsable de Seguridad de la Información, deberá tomar las decisiones que se consideren más oportunas en cada momento, asumiendo o no los riesgos de seguridad de la información. Esta decisión no es técnica. Puede ser una decisión polÃtica o puede venir determinada por los requerimientos legales o por compromisos contractuales con proveedores u otros terceros. Los niveles de aceptación del riesgo se pueden establecer por activo o por agregación de activos (en un determinado departamento, en un determinado servicio, en una determinada dimensión, …).
Para la toma de decisiones oportunas en materia de seguridad de la información la Alta Dirección debe ser puntualmente informada por la Dirección de Seguridad de la información. Para ello, deben darse simultáneamente los factores que se enuncian a continuación:
- Pertenencia de la figura del Responsable de Seguridad al staff de Dirección: El Responsable de Seguridad de la Información debe ubicarse (en el organigrama de la organización) en el staff de Dirección, sin dependencias de estructuras intermedias, de forma que la comunicación sea fluida, directa y que desde la Alta Dirección se ofrezca el apoyo y compromiso con la seguridad de la información.
Tanto el compromiso de la Alta Dirección con la seguridad de la información, como la ubicación del Responsable de seguridad de la información en el staff de Dirección, son dos de los pilares fundamentales recogidos en todos los estándares y “mejores prácticas†internacionalmente reconocidas. - Organización de la seguridad de la información: El Responsable de Seguridad de la Información debe definir los principios básicos y los requerimientos de seguridad en relación con los procesos y elementos que determinan la seguridad de los Sistemas de Información, acordes a los objetivos estratégicos y de negocio.
Estos principios y requerimientos de seguridad quedan formalizados a través de la PolÃtica de Seguridad que la Alta Dirección aprobará, mostrando asà su compromiso con la seguridad. - Controlar la seguridad bajo un enfoque orientado a los riesgos: El Responsable de Seguridad de la Información debe de poder realizar todo el conjunto de actividades relacionadas con la verificación y monitorización del correcto funcionamiento interno de los controles implantados y su alineación con los objetivos de negocio de la Organización, a través de un enfoque de control interno orientado a los riesgos. Los resultados de las verificaciones de seguridad realizadas deben ser puntualmente comunicadas a la Alta Dirección (tal como se ha comentado anteriormente).
La importancia de la labor de control de la seguridad debe entenderse como el medio para verificar, entre otros, el cumplimiento de los objetivos de seguridad, incluyendo la responsabilidad individual, la detección de intrusiones, la detección de vulnerabilidades, análisis de incidencias, reconstrucción de eventos, etc. - Métricas de Seguridad: El Responsable de Seguridad de la Información debe de tener la capacidad de medir y supervisar la eficiencia y efectividad de los controles, asà como el cumplimiento con la polÃtica de seguridad de la información. Un elemento crÃtico para poder realizar un proceso de mejora continua es la medición del comportamiento de los controles y su progresión en el tiempo. Las métricas de seguridad son una herramienta importante para monitorizar y poder reportar el progreso, la eficacia y la efectividad de los controles de seguridad de la información y el cumplimiento con la polÃtica de seguridad, facilitando asà la gestión de riesgos.
Las métricas que se definan deben cubrir los intereses de todos los grupos de interés relevantes, lo que implica que deben estar Ãntimamente relacionadas con los objetivos de seguridad de la información.
Â