Una funci? primordial y, en
cierta medida, b?ica en la que el
auditor en
Seguridad Inform?ica (aSI) debe fundamentar su
rol es el an?isis de Riesgos (aR).
an?isis de Riesgos
Procesos
Legislaci? aplicable, leyes y jurisprudencia
(debido a posibles contingencias)
Reglamentaci? sectorial interna
acuerdos y contratos (con personal
subcontratados o proveedores)
an?isis de informes medioambientales
an?isis de
estudios de mercado
El aSI debe elaborar peri?icamente un informe
de calificaci? de impactos y riesgos,incluyendo
directivas acerca del plazo de tiempo en que
?tos deben resolverse.
a la vista de los impactos y riesgos a que est?
expuesto el sistema, hay que tomar una serie de
decisiones de tipo gerencial, no t?nico,
condicionadas por diversos factores:
?la gravedad del impacto y/o del riesgo
?las obligaciones a las que por ley est?
sometida la
Organizaci?
?las obligaciones a las que por reglamentos
sectoriales est?sometida la Organizaci?.
? las obligaciones a las que por contrato est?
sometida la Organizaci? Dentro del margen de
maniobra que permita este marco, pueden aparecer
consideraciones
adicionales sobre la capacidad de la
Organizaci? para aceptar ciertos impactos de
naturaleza intangible tales como:
?imagen p?lica de cara a la Sociedad
?pol?ica interna: relaciones con los propios
empleados, tales como capacidad de contratar al
personal id?eo, capacidad de retener a los
mejores, capacidad de soportar rotaciones de
personas, capacidad de ofrecer una carrera
profesional atractiva, etc.
?relaciones con los proveedores, tales como
capacidad de llegar a acuerdos ventajosos a
corto,medio o largo plazo, capacidad de obtener
trato prioritario, etc.
?relaciones con los clientes o usuarios, tales
como capacidad de retenci?, capacidad de
incrementar la oferta, capacidad de
diferenciarse frente a la competencia, ...
?relaciones con otras organizaciones, tales como
capacidad de alcanzar acuerdos
estrat?icos,alianzas, etc.
?nuevas oportunidades de negocio, tales como
formas de recuperar la inversi? en seguridad
?acceso a sellos o calificaciones reconocidas de
seguridad
Todas las consideraciones anteriores desembocan
en una calificaci? de cada riesgo
significativo, determin?dose si:
1. es cr?ico en el sentido de que requiere
atenci? urgente
2. es grave en el sentido de que requiere
atenci?
3. es apreciable en el sentido de que pueda ser
objeto de estudio para su tratamiento
4. es asumible en el sentido de que no se van a
tomar acciones para atajarlo
GESTION DE RIESGOS
ELabORaCI? DE UN PLaN DE SEGURIDaD DE La
INFORMaCI?
b?icamente, se llevan a cabo dos pasos:
1. Se crean todos los escenarios de impacto y
riesgo que se consideren cr?icos o graves.
2. Se elabora un conjunto de programas
(procesos) de seguridad que den respuesta a
todos y cada uno de los escenarios anteriores,
sabiendo que un programa puede afrontar
diferentes escenarios y que un mismo escenario
puede ser analizado y resuelto por diferentes
programas.
El objetivo se intentar implementar o mejorar
una serie de salvaguardas que disminuyan el
impacto y riesgo a niveles asumibles por la
Direcci? de la Empresa.
cada programa de seguridad debe detallar:
? Su objetivo gen?ico.
? Las salvaguardas concretas a implementar o
mejorar, detallando objetivos de
calidad,eficiencia y eficacia.
? La relaci? de escenarios de impacto y/o riego
que afronta.
? Estimaci? de costos, tanto econ?icos como de
esfuerzo de realizaci?, teniendo en cuenta:
costos de adquisici? de productos y/o de
contrataci? de servicios o de desarrollo,
pudiendo ser necesaria la evaluaci? de
diferentes alternativas.
Costos de implementaci? inicial y mantenimiento
en el tiempo.
Costos de formaci? de operadores o de usuarios,
seg? el caso.
Costos de explotaci?.
Impacto en la
productividad de la Empresa.
? SUbTaREaS
cambios en la normativa y desarrollo de
procedimientos.
Soluciones t?nicas
Plan de despliegue
Plan de formaci?
Es importante considerar que el establecimiento
de estos procesos o planes de seguridad deben
ser monitorizados constantemente por un ?comit?
de seguimiento?. formado por autoridades de la
empresa comprometidos en la elaboraci?,
implementaci? y seguimiento de los mismos.
Estas autoridades deben ser personas id?eas en
la materia o, al menos, contar con
la predisposici? de acompa?r y respaldar al
auditor en Seguridad en cada
elaboraci?,implementaci? de pol?icas y toma
de decisiones ejecutivas.
art?ulo basado en MaGERIT Versi? 2.
Un agradecimiento especial al
Se?r:LUCIaNO SaLELLaS
aUDITOR EN SEGURIDaD INFORMaTIca
SR HaDDEN SECURITY CONSULTING
Tel: (0054-0343) 155-121-554
E mail: [email protected]
www.sr-hadden.com.ar
Por su excelente ?ticulo y colaboraci? con
este portal.
|