La gestión de riesgos de seguridad de la información implica evaluar posibles riesgos y tomar medidas para mitigarlos, así como monitorear el resultado. Cada evaluación incluye definir la naturaleza del riesgo y determinar cómo amenaza la seguridad del sistema de información. Esto conduce directamente a la mitigación del riesgo, como la mejora de los sistemas para minimizar la probabilidad del riesgo evaluado. Finalmente, la gestión de riesgos incluye el monitoreo del sistema de forma continua para ver si las intervenciones de mitigación de riesgos produjeron los resultados deseados.
Fundamentos de Autodefensa de TI
Una organización debe asegurarse de que tiene las capacidades para cumplir su misión. Debe identificar los riesgos que amenazan esas capacidades y evaluar las medidas de protección, teniendo en cuenta los costos económicos y de otro tipo de esas medidas. Un riesgo que enfrentan las organizaciones más modernas es la seguridad de la información comprometida. Una organización debe identificar dónde la seguridad de la información comprometida afectaría sus capacidades para cumplir su misión y tomar las medidas correctivas adecuadas dentro de su marco presupuestario establecido.
Evaluación de riesgos
Cuando una organización determina que las debilidades en la seguridad de la información representan un riesgo para sus capacidades, debe examinar a fondo sus sistemas de TI, operaciones, procedimientos e interacciones externas para descubrir dónde se encuentran los riesgos. Esto significa identificar posibles amenazas, vulnerabilidades a esas amenazas, posibles contramedidas, impacto y probabilidad. Los riesgos pueden clasificarse en función de la gravedad en función del impacto y la probabilidad. La importancia de la evaluación es que permite la identificación de riesgos altos que deben mitigarse.
Mitigación de riesgos
Mitigación significa reducir o eliminar los riesgos identificados por la evaluación. Las estrategias para enfrentar el riesgo incluyen aceptar el riesgo, adoptar medidas que disminuyan el riesgo, evitar el riesgo al eliminar la causa, limitar el riesgo al establecer controles o transferir el riesgo a un proveedor, cliente o compañía de seguros. La estrategia adecuada se determina según el grado en que el riesgo afecte la capacidad de la organización para cumplir su misión y el costo de implementación de la estrategia. La mitigación estructurada es importante como marco para la gestión de riesgos.
Evaluación y seguimiento
Una vez que se ha completado la evaluación y la mitigación, la unidad organizativa debe evaluar el resultado inmediato y monitorear el sistema de manera continua. Este proceso comienza con una evaluación de los efectos de la evaluación y la mitigación, incluyendo el establecimiento de puntos de referencia para el progreso. Continúa con la evaluación del efecto de los cambios y adiciones a los sistemas de información. Finalmente, realiza un monitoreo continuo del desempeño de la seguridad de la información, con el objetivo de identificar áreas que pueden ser evaluadas para riesgos adicionales. La evaluación y el monitoreo son importantes para determinar qué tan exitosamente la unidad organizacional ha manejado su riesgo de seguridad de la información.
