Una funci�n primordial y, en
cierta medida, b�sica en la que el
auditor en
Seguridad Inform�tica (aSI) debe fundamentar su
rol es el an�lisis de Riesgos (aR).
an�lisis de Riesgos
Procesos
Legislaci�n aplicable, leyes y jurisprudencia
(debido a posibles contingencias)
Reglamentaci�n sectorial interna
acuerdos y contratos (con personal
subcontratados o proveedores)
an�lisis de informes medioambientales
an�lisis de
estudios de mercado
El aSI debe elaborar peri�dicamente un informe
de calificaci�n de impactos y riesgos,incluyendo
directivas acerca del plazo de tiempo en que
�stos deben resolverse.
a la vista de los impactos y riesgos a que est�
expuesto el sistema, hay que tomar una serie de
decisiones de tipo gerencial, no t�cnico,
condicionadas por diversos factores:
�la gravedad del impacto y/o del riesgo
�las obligaciones a las que por ley est�
sometida la
Organizaci�n
�las obligaciones a las que por reglamentos
sectoriales est� sometida la Organizaci�n.
� las obligaciones a las que por contrato est�
sometida la Organizaci�n Dentro del margen de
maniobra que permita este marco, pueden aparecer
consideraciones
adicionales sobre la capacidad de la
Organizaci�n para aceptar ciertos impactos de
naturaleza intangible tales como:
�imagen p�blica de cara a la Sociedad
�pol�tica interna: relaciones con los propios
empleados, tales como capacidad de contratar al
personal id�neo, capacidad de retener a los
mejores, capacidad de soportar rotaciones de
personas, capacidad de ofrecer una carrera
profesional atractiva, etc.
�relaciones con los proveedores, tales como
capacidad de llegar a acuerdos ventajosos a
corto,medio o largo plazo, capacidad de obtener
trato prioritario, etc.
�relaciones con los clientes o usuarios, tales
como capacidad de retenci�n, capacidad de
incrementar la oferta, capacidad de
diferenciarse frente a la competencia, ...
�relaciones con otras organizaciones, tales como
capacidad de alcanzar acuerdos
estrat�gicos,alianzas, etc.
�nuevas oportunidades de negocio, tales como
formas de recuperar la inversi�n en seguridad
�acceso a sellos o calificaciones reconocidas de
seguridad
Todas las consideraciones anteriores desembocan
en una calificaci�n de cada riesgo
significativo, determin�ndose si:
1. es cr�tico en el sentido de que requiere
atenci�n urgente
2. es grave en el sentido de que requiere
atenci�n
3. es apreciable en el sentido de que pueda ser
objeto de estudio para su tratamiento
4. es asumible en el sentido de que no se van a
tomar acciones para atajarlo
GESTION DE RIESGOS
ELabORaCI�N DE UN PLaN DE SEGURIDaD DE La
INFORMaCI�N
b�sicamente, se llevan a cabo dos pasos:
1. Se crean todos los escenarios de impacto y
riesgo que se consideren cr�ticos o graves.
2. Se elabora un conjunto de programas
(procesos) de seguridad que den respuesta a
todos y cada uno de los escenarios anteriores,
sabiendo que un programa puede afrontar
diferentes escenarios y que un mismo escenario
puede ser analizado y resuelto por diferentes
programas.
El objetivo se intentar implementar o mejorar
una serie de salvaguardas que disminuyan el
impacto y riesgo a niveles asumibles por la
Direcci�n de la Empresa.
cada programa de seguridad debe detallar:
� Su objetivo gen�rico.
� Las salvaguardas concretas a implementar o
mejorar, detallando objetivos de
calidad,eficiencia y eficacia.
� La relaci�n de escenarios de impacto y/o riego
que afronta.
� Estimaci�n de costos, tanto econ�micos como de
esfuerzo de realizaci�n, teniendo en cuenta:
costos de adquisici�n de productos y/o de
contrataci�n de servicios o de desarrollo,
pudiendo ser necesaria la evaluaci�n de
diferentes alternativas.
Costos de implementaci�n inicial y mantenimiento
en el tiempo.
Costos de formaci�n de operadores o de usuarios,
seg�n el caso.
Costos de explotaci�n.
Impacto en la
productividad de la Empresa.
� SUbTaREaS
cambios en la normativa y desarrollo de
procedimientos.
Soluciones t�cnicas
Plan de despliegue
Plan de formaci�n
Es importante considerar que el establecimiento
de estos procesos o planes de seguridad deben
ser monitorizados constantemente por un �comit�
de seguimiento� formado por autoridades de la
empresa comprometidos en la elaboraci�n,
implementaci�n y seguimiento de los mismos.
Estas autoridades deben ser personas id�neas en
la materia o, al menos, contar con
la predisposici�n de acompa�ar y respaldar al
auditor en Seguridad en cada
elaboraci�n,implementaci�n de pol�ticas y toma
de decisiones ejecutivas.
art�culo basado en MaGERIT Versi�n 2.
Un agradecimiento especial al
Se�or:LUCIaNO SaLELLaS
aUDITOR EN SEGURIDaD INFORMaTIca
SR HaDDEN SECURITY CONSULTING
Tel: (0054-0343) 155-121-554
E mail: [email protected]
www.sr-hadden.com.ar
Por su excelente �rticulo y colaboraci�n con
este portal.
|