{"id":279,"date":"2007-11-12T22:57:31","date_gmt":"2007-11-13T01:57:31","guid":{"rendered":"https:\/\/www.talsoft-security.com\/site\/?p=279"},"modified":"2007-11-12T22:57:31","modified_gmt":"2007-11-13T01:57:31","slug":"gestionar-la-seguridad-con-un-enfoque-basado-en-el-riesgo","status":"publish","type":"post","link":"https:\/\/www.talsoft-security.com\/site\/gestionar-la-seguridad-con-un-enfoque-basado-en-el-riesgo\/","title":{"rendered":"Gestionar la seguridad con un enfoque basado en el riesgo."},"content":{"rendered":"<div class=\"post-body entry-content\">Gran parte de los profesionales que nos dedicamos a la Seguridad coincidimos en que la funci\u00c3\u00b3n y el objetivo principal de la Seguridad de la Informaci\u00c3\u00b3n es la de garantizar los intereses y los objetivos del negocio. La seguridad de la informaci\u00c3\u00b3n, por tanto, debe estar alineada en todo momento con la estrategia de negocio.<\/p>\n<p>Para la consecuci\u00c3\u00b3n de este objetivo es primordial un enfoque basado en la gesti\u00c3\u00b3n del riesgo. Todas las organizaciones operan con riesgos independientemente de su tama\u00c3\u00b1o o actividad. Dicha gesti\u00c3\u00b3n del riesgo debe permitir a la Alta Direcci\u00c3\u00b3n de la Organizaci\u00c3\u00b3n conocer en todo momento cu\u00c3\u00a1l es su estado de seguridad, teniendo conocimiento, entre otros, de los siguientes factores:<\/p>\n<ul>\n<li>Cu\u00c3\u00a1les son los riesgos en los que se est\u00c3\u00a1 incurriendo.<\/li>\n<li>Qu\u00c3\u00a9 impacto puede suponer para el negocio cada situaci\u00c3\u00b3n.<\/li>\n<li>Cu\u00c3\u00a1l es el nivel de impacto aceptable (umbral de riesgo).<\/li>\n<li>Cu\u00c3\u00a1les son las distintas alternativas para gestionar el riesgo.<\/li>\n<\/ul>\n<p>Los riesgos pueden clasificarse b\u00c3\u00a1sicamente en tres tipos:<br \/>\n1.- Externos: derivados de varias situaciones tales como el contexto econ\u00c3\u00b3mico, las estrategias de la competencia, cambios en las preferencias de los clientes, regulaciones legales, etc.<br \/>\n2.-Internos: debilidades en los procesos de las organizaciones que se acostumbran a manifestar en forma de errores<br \/>\n3.- Tecnol\u00c3\u00b3gicos: errores de las propias tecnolog\u00c3\u00adas, de su uso y del alto grado de dependencia que las organizaciones tiene en relaci\u00c3\u00b3n a \u00c3\u00a9stas.<\/p>\n<p>El enfoque de la gesti\u00c3\u00b3n de la seguridad de la informaci\u00c3\u00b3n orientada a los riesgos se caracteriza por intentar alcanzar un equilibrio entre la exposici\u00c3\u00b3n al riesgo y los costes de mitigaci\u00c3\u00b3n de los riesgos mediante la implantaci\u00c3\u00b3n de los controles y salvaguardas apropiadas.<\/p>\n<p>En base a los factores enunciados anteriormente (riesgos en los que se est\u00c3\u00a1 incurriendo, impacto, etc.), la Alta Direcci\u00c3\u00b3n, conjuntamente con el asesoramiento del Responsable de Seguridad de la Informaci\u00c3\u00b3n, deber\u00c3\u00a1 tomar las decisiones que se consideren m\u00c3\u00a1s oportunas en cada momento, asumiendo o no los riesgos de seguridad de la informaci\u00c3\u00b3n. Esta decisi\u00c3\u00b3n no es t\u00c3\u00a9cnica. Puede ser una decisi\u00c3\u00b3n pol\u00c3\u00adtica o puede venir determinada por los requerimientos legales o por compromisos contractuales con proveedores u otros terceros. Los niveles de aceptaci\u00c3\u00b3n del riesgo se pueden establecer por activo o por agregaci\u00c3\u00b3n de activos (en un determinado departamento, en un determinado servicio, en una determinada dimensi\u00c3\u00b3n, \u00e2\u20ac\u00a6).<\/p>\n<p>Para la toma de decisiones oportunas en materia de seguridad de la informaci\u00c3\u00b3n la Alta Direcci\u00c3\u00b3n debe ser puntualmente informada por la Direcci\u00c3\u00b3n de Seguridad de la informaci\u00c3\u00b3n. Para ello, deben darse simult\u00c3\u00a1neamente los factores que se enuncian a continuaci\u00c3\u00b3n:<\/p>\n<ul>\n<li><strong>Pertenencia de la figura del Responsable de Seguridad al staff de Direcci\u00c3\u00b3n<\/strong>: El Responsable de Seguridad de la Informaci\u00c3\u00b3n debe ubicarse (en el organigrama de la organizaci\u00c3\u00b3n) en el staff de Direcci\u00c3\u00b3n, sin dependencias de estructuras intermedias, de forma que la comunicaci\u00c3\u00b3n sea fluida, directa y que desde la Alta Direcci\u00c3\u00b3n se ofrezca el apoyo y compromiso con la seguridad de la informaci\u00c3\u00b3n.<br \/>\nTanto el compromiso de la Alta Direcci\u00c3\u00b3n con la seguridad de la informaci\u00c3\u00b3n, como la ubicaci\u00c3\u00b3n del Responsable de seguridad de la informaci\u00c3\u00b3n en el staff de Direcci\u00c3\u00b3n, son dos de los pilares fundamentales recogidos en todos los est\u00c3\u00a1ndares y \u00e2\u20ac\u0153mejores pr\u00c3\u00a1cticas\u00e2\u20ac\u009d internacionalmente reconocidas.<\/li>\n<li><strong>Organizaci\u00c3\u00b3n de la seguridad de la informaci\u00c3\u00b3n<\/strong>: El Responsable de Seguridad de la Informaci\u00c3\u00b3n debe definir los principios b\u00c3\u00a1sicos y los requerimientos de seguridad en relaci\u00c3\u00b3n con los procesos y elementos que determinan la seguridad de los Sistemas de Informaci\u00c3\u00b3n, acordes a los objetivos estrat\u00c3\u00a9gicos y de negocio.<br \/>\nEstos principios y requerimientos de seguridad quedan formalizados a trav\u00c3\u00a9s de la Pol\u00c3\u00adtica de Seguridad que la Alta Direcci\u00c3\u00b3n aprobar\u00c3\u00a1, mostrando as\u00c3\u00ad su compromiso con la seguridad.<\/li>\n<li><strong>Controlar la seguridad bajo un enfoque orientado a los riesgos<\/strong>: El Responsable de Seguridad de la Informaci\u00c3\u00b3n debe de poder realizar todo el conjunto de actividades relacionadas con la verificaci\u00c3\u00b3n y monitorizaci\u00c3\u00b3n del correcto funcionamiento interno de los controles implantados y su alineaci\u00c3\u00b3n con los objetivos de negocio de la Organizaci\u00c3\u00b3n, a trav\u00c3\u00a9s de un enfoque de control interno orientado a los riesgos. Los resultados de las verificaciones de seguridad realizadas deben ser puntualmente comunicadas a la Alta Direcci\u00c3\u00b3n (tal como se ha comentado anteriormente).<br \/>\nLa importancia de la labor de control de la seguridad debe entenderse como el medio para verificar, entre otros, el cumplimiento de los objetivos de seguridad, incluyendo la responsabilidad individual, la detecci\u00c3\u00b3n de intrusiones, la detecci\u00c3\u00b3n de vulnerabilidades, an\u00c3\u00a1lisis de incidencias, reconstrucci\u00c3\u00b3n de eventos, etc.<\/li>\n<li><strong>M\u00c3\u00a9tricas de Seguridad<\/strong>: El Responsable de Seguridad de la Informaci\u00c3\u00b3n debe de tener la capacidad de medir y supervisar la eficiencia y efectividad de los controles, as\u00c3\u00ad como el cumplimiento con la pol\u00c3\u00adtica de seguridad de la informaci\u00c3\u00b3n. Un elemento cr\u00c3\u00adtico para poder realizar un proceso de mejora continua es la medici\u00c3\u00b3n del comportamiento de los controles y su progresi\u00c3\u00b3n en el tiempo. Las m\u00c3\u00a9tricas de seguridad son una herramienta importante para monitorizar y poder reportar el progreso, la eficacia y la efectividad de los controles de seguridad de la informaci\u00c3\u00b3n y el cumplimiento con la pol\u00c3\u00adtica de seguridad, facilitando as\u00c3\u00ad la gesti\u00c3\u00b3n de riesgos.<br \/>\nLas m\u00c3\u00a9tricas que se definan deben cubrir los intereses de todos los grupos de inter\u00c3\u00a9s relevantes, lo que implica que deben estar \u00c3\u00adntimamente relacionadas con los objetivos de seguridad de la informaci\u00c3\u00b3n.<\/li>\n<\/ul>\n<p>\u00c2\u00a0<\/p>\n<div style=\"clear: both\">Fuente: <a href=\"http:\/\/blog.s21sec.com\/\">http:\/\/blog.s21sec.com\/<\/a><\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Gran parte de los profesionales que nos dedicamos a la Seguridad coincidimos en que la funci\u00c3\u00b3n y el objetivo principal de la Seguridad de la Informaci\u00c3\u00b3n es la de garantizar los intereses y los objetivos del negocio. La seguridad de la informaci\u00c3\u00b3n, por tanto, debe estar alineada en todo momento con la estrategia de negocio. [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-279","post","type-post","status-publish","format-standard","hentry","category-profesional"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v26.6 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>TalSoft - Seguridad Inform\u00e1tica Empresarial - Gestionar la seguridad con un enfoque basado en el riesgo.<\/title>\n<meta name=\"description\" content=\"Talsoft transforma la visi\u00f3n de las empresas para que puedan proteger su informaci\u00f3n cr\u00edtica y confidencial frente ataques inform\u00e1ticos. Cons\u00faltenos sin cargo.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.talsoft-security.com\/site\/gestionar-la-seguridad-con-un-enfoque-basado-en-el-riesgo\/\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Leandro Ferrari\" \/>\n\t<meta name=\"twitter:label2\" content=\"Estimated reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"5 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/gestionar-la-seguridad-con-un-enfoque-basado-en-el-riesgo\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.talsoft-security.com\/site\/gestionar-la-seguridad-con-un-enfoque-basado-en-el-riesgo\/\"},\"author\":{\"name\":\"Leandro Ferrari\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#\/schema\/person\/83d2ebde035a5a030c14e522351953c8\"},\"headline\":\"Gestionar la seguridad con un enfoque basado en el riesgo.\",\"datePublished\":\"2007-11-13T01:57:31+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.talsoft-security.com\/site\/gestionar-la-seguridad-con-un-enfoque-basado-en-el-riesgo\/\"},\"wordCount\":973,\"publisher\":{\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#organization\"},\"articleSection\":[\"Profesional\"],\"inLanguage\":\"en-GB\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/gestionar-la-seguridad-con-un-enfoque-basado-en-el-riesgo\/\",\"url\":\"https:\/\/www.talsoft-security.com\/site\/gestionar-la-seguridad-con-un-enfoque-basado-en-el-riesgo\/\",\"name\":\"TalSoft - Seguridad Inform\u00e1tica Empresarial - Gestionar la seguridad con un enfoque basado en el riesgo.\",\"isPartOf\":{\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#website\"},\"datePublished\":\"2007-11-13T01:57:31+00:00\",\"description\":\"Talsoft transforma la visi\u00f3n de las empresas para que puedan proteger su informaci\u00f3n cr\u00edtica y confidencial frente ataques inform\u00e1ticos. Cons\u00faltenos sin cargo.\",\"inLanguage\":\"en-GB\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.talsoft-security.com\/site\/gestionar-la-seguridad-con-un-enfoque-basado-en-el-riesgo\/\"]}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#website\",\"url\":\"https:\/\/www.talsoft-security.com\/site\/\",\"name\":\"TalSoft TS - Services IT Security\",\"description\":\"Talsoft is transforming awareness, control and decision-making power so that companies can protect their critical and confidential information from computer attacks.\",\"publisher\":{\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.talsoft-security.com\/site\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-GB\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#organization\",\"name\":\"Talsoft TS\",\"url\":\"https:\/\/www.talsoft-security.com\/site\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-GB\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.talsoft-security.com\/site\/wp-content\/uploads\/2014\/02\/talsoft_logo_270x125.png\",\"contentUrl\":\"https:\/\/www.talsoft-security.com\/site\/wp-content\/uploads\/2014\/02\/talsoft_logo_270x125.png\",\"width\":270,\"height\":125,\"caption\":\"Talsoft TS\"},\"image\":{\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"http:\/\/www.facebook.com\/talsoftsrl\",\"https:\/\/x.com\/talsoft\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#\/schema\/person\/83d2ebde035a5a030c14e522351953c8\",\"name\":\"Leandro Ferrari\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-GB\",\"@id\":\"https:\/\/www.talsoft-security.com\/site\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/cd259c10675b9fd302b2e6264231febeeeb3de578400cf8c91c6577e50a0d34a?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/cd259c10675b9fd302b2e6264231febeeeb3de578400cf8c91c6577e50a0d34a?s=96&d=mm&r=g\",\"caption\":\"Leandro Ferrari\"},\"sameAs\":[\"http:\/\/www.talsoft.com.ar\",\"https:\/\/www.facebook.com\/talsoftsrl\/\",\"https:\/\/x.com\/avatar_leandro\"],\"url\":\"https:\/\/www.talsoft-security.com\/site\/author\/leandro\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"TalSoft - Seguridad Inform\u00e1tica Empresarial - Gestionar la seguridad con un enfoque basado en el riesgo.","description":"Talsoft transforma la visi\u00f3n de las empresas para que puedan proteger su informaci\u00f3n cr\u00edtica y confidencial frente ataques inform\u00e1ticos. Cons\u00faltenos sin cargo.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.talsoft-security.com\/site\/gestionar-la-seguridad-con-un-enfoque-basado-en-el-riesgo\/","twitter_misc":{"Written by":"Leandro Ferrari","Estimated reading time":"5 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.talsoft-security.com\/site\/gestionar-la-seguridad-con-un-enfoque-basado-en-el-riesgo\/#article","isPartOf":{"@id":"https:\/\/www.talsoft-security.com\/site\/gestionar-la-seguridad-con-un-enfoque-basado-en-el-riesgo\/"},"author":{"name":"Leandro Ferrari","@id":"https:\/\/www.talsoft-security.com\/site\/#\/schema\/person\/83d2ebde035a5a030c14e522351953c8"},"headline":"Gestionar la seguridad con un enfoque basado en el riesgo.","datePublished":"2007-11-13T01:57:31+00:00","mainEntityOfPage":{"@id":"https:\/\/www.talsoft-security.com\/site\/gestionar-la-seguridad-con-un-enfoque-basado-en-el-riesgo\/"},"wordCount":973,"publisher":{"@id":"https:\/\/www.talsoft-security.com\/site\/#organization"},"articleSection":["Profesional"],"inLanguage":"en-GB"},{"@type":"WebPage","@id":"https:\/\/www.talsoft-security.com\/site\/gestionar-la-seguridad-con-un-enfoque-basado-en-el-riesgo\/","url":"https:\/\/www.talsoft-security.com\/site\/gestionar-la-seguridad-con-un-enfoque-basado-en-el-riesgo\/","name":"TalSoft - Seguridad Inform\u00e1tica Empresarial - Gestionar la seguridad con un enfoque basado en el riesgo.","isPartOf":{"@id":"https:\/\/www.talsoft-security.com\/site\/#website"},"datePublished":"2007-11-13T01:57:31+00:00","description":"Talsoft transforma la visi\u00f3n de las empresas para que puedan proteger su informaci\u00f3n cr\u00edtica y confidencial frente ataques inform\u00e1ticos. Cons\u00faltenos sin cargo.","inLanguage":"en-GB","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.talsoft-security.com\/site\/gestionar-la-seguridad-con-un-enfoque-basado-en-el-riesgo\/"]}]},{"@type":"WebSite","@id":"https:\/\/www.talsoft-security.com\/site\/#website","url":"https:\/\/www.talsoft-security.com\/site\/","name":"TalSoft TS - Services IT Security","description":"Talsoft is transforming awareness, control and decision-making power so that companies can protect their critical and confidential information from computer attacks.","publisher":{"@id":"https:\/\/www.talsoft-security.com\/site\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.talsoft-security.com\/site\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-GB"},{"@type":"Organization","@id":"https:\/\/www.talsoft-security.com\/site\/#organization","name":"Talsoft TS","url":"https:\/\/www.talsoft-security.com\/site\/","logo":{"@type":"ImageObject","inLanguage":"en-GB","@id":"https:\/\/www.talsoft-security.com\/site\/#\/schema\/logo\/image\/","url":"https:\/\/www.talsoft-security.com\/site\/wp-content\/uploads\/2014\/02\/talsoft_logo_270x125.png","contentUrl":"https:\/\/www.talsoft-security.com\/site\/wp-content\/uploads\/2014\/02\/talsoft_logo_270x125.png","width":270,"height":125,"caption":"Talsoft TS"},"image":{"@id":"https:\/\/www.talsoft-security.com\/site\/#\/schema\/logo\/image\/"},"sameAs":["http:\/\/www.facebook.com\/talsoftsrl","https:\/\/x.com\/talsoft"]},{"@type":"Person","@id":"https:\/\/www.talsoft-security.com\/site\/#\/schema\/person\/83d2ebde035a5a030c14e522351953c8","name":"Leandro Ferrari","image":{"@type":"ImageObject","inLanguage":"en-GB","@id":"https:\/\/www.talsoft-security.com\/site\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/cd259c10675b9fd302b2e6264231febeeeb3de578400cf8c91c6577e50a0d34a?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/cd259c10675b9fd302b2e6264231febeeeb3de578400cf8c91c6577e50a0d34a?s=96&d=mm&r=g","caption":"Leandro Ferrari"},"sameAs":["http:\/\/www.talsoft.com.ar","https:\/\/www.facebook.com\/talsoftsrl\/","https:\/\/x.com\/avatar_leandro"],"url":"https:\/\/www.talsoft-security.com\/site\/author\/leandro\/"}]}},"_links":{"self":[{"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/posts\/279","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/comments?post=279"}],"version-history":[{"count":0,"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/posts\/279\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/media?parent=279"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/categories?post=279"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.talsoft-security.com\/site\/wp-json\/wp\/v2\/tags?post=279"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}