| 25 años generando CONFIANZA
La verificación del sistema de gestión de riesgos corresponde a la tercera etapa del ciclo PHVA. La idea de verificar la gestión de riesgos implica, primero que nada, constatar que se haya completado el proceso de gestión del riesgo.
Las nuevas tecnologías aumentan cada vez más, y con ello la adaptación de las organizaciones a los nuevos entornos, como una cadena, trae consigo también riesgos como vulneraciones cibernéticas, pérdidas de información y activos, en muchos casos por no tener un robusto sistema de seguridad de la información.
El 26 de mayo del 2021 se publicó la Nueva Ley Orgánica de Protección de Datos Personales del Ecuador, la cual entrará en vigencia en 2 años, lo cual permitirá la adaptación de los procesos de las empresas a lo exigido por la normativa.
La gestión de riesgos se trata de identificar y proteger los activos valiosos de una organización. Los procedimientos de gestión de riesgos son procesos fundamentales para preparar a las organizaciones para un futuro ataque de ciberseguridad, para evaluar la resistencia de los productos y servicios a posibles ataques antes de comercializarlos y para prevenir el fraude en la cadena de suministro.
La norma ISO 27001 es una norma internacional cuyo enfoque se centra en el aseguramiento, integridad y confidencialidad de los datos, información y sistemas. Entre los elementos que ayudan a una adecuada gestión de un sistema de seguridad informática se encuentran la gestión o evaluación de los riesgos y otro elemento fundamental es el inventario de activos de información del cual se hablará en este apartado.
La información, es el activo más valioso para las diferentes organizaciones, fundamentalmente en un campo global en el que no dejan de maximizar los riesgos asociados con la seguridad de la misma. Por esta razón cada día hay demandas cada vez más perfiles encargados de proteger y mantener los sistemas informáticos y la información.
Los ataques continúan siendo una fuente de exposición significativa para organizaciones de todo tipo y constituyen, generalmente, rupturas en la continuidad del negocio y la incapacitación potencial de los activos de TI. Un negocio vulnerable que interrumpe sus operaciones cotidianas es una de las razones por las que existe una intensa búsqueda de la seguridad de la información, tema que hoy en día es un área clave de TI.
Un marco de trabajo para seguridad de la información es, en pocas palabras, un compendio de normas (estándares), directrices, documentos y requisitos que sirven para definir las políticas, procedimientos y procesos en los que se afianzará la organización para prevenir los incidentes de seguridad de la información, detectar y gestionar riesgos, crear controles, monitorearlos para determinar su eficacia, y, en primera instancia, preservar la seguridad de la información de forma efectiva. Esto se conoce como una matriz de riesgos.
El riesgo de tecnología de la información (TI) siempre existe, ya sea que una empresa lo detecte o lo reconozca o no. Esto nos obliga a disponer de controles capaces de mitigar el riesgo de TI y a establecer buenas prácticas para que las organizaciones cuenten con un marco en el que puedan identificar, gobernar y gestionar el riesgo de TI.
Los riesgos de seguridad de la información son numerosos y muy reales, dice Dejan Kosutic, experto en ciberseguridad. Por eso proteger nuestros activos es un deber y un derecho que requiere una dirección y un compromiso claros desde arriba, la asignación de recursos adecuados, arreglos para promover buenas prácticas de seguridad de la información en toda la organización y el establecimiento de un entorno seguro. Pero, ¿cuáles deben ser esas prácticas que garantizaran la preservación de la confidencialidad, integridad y disponibilidad de la información en la organización? Hicimos un compendio y te contamos todo sobre las 11 más importantes.
