Procesos

Incluso la mejor infraestructura para la gestión del riesgo se vuelve inútil si no hay procesos detrás de las políticas.

Pocos usuarios siguen los procesos al pie de la letra, algunos no los conocen por completo y no saben cómo llevarlos a cabo, así mismo muchas áreas no le dan la seriedad que requiere el tema. Usualmente, esto se debe a que piensan que para el negocio no es importante tener sinergia entre procesos, gente y tecnología.

A pesar de que existen muchos puntos importantes para que los procesos se llevan a cabo de forma exitosa, es primordial que tengas en mente estos puntos básicos:

Gestión de riesgos.

Reducir, transferir o aceptar los riesgos.

Hay que empezar por identificar, evaluar y mitigar los riesgos relacionados con la seguridad de la información, y luego crear procesos para priorizar, controlar y vigilar los riesgos.

Tener una gestión de riesgos formal asegura que la gerencia de la empresa es consciente de cuáles son los riesgos críticos y con esto  puede tomar las medidas adecuadas para manejarlos.

Estructura y política de cumplimiento.

Proporcionar a los usuarios normas y directrices concretas sobre el tema.

La creación de las políticas de seguridad es solo el primer paso, pues  estás deben convertirse  en normas, procedimientos y directrices técnicas para una  implementación eficaz.

Gestión de activos de información.

Muchas compañías tienen dificultades para mantener sus activos de información.

Para hacer frente a este problema hay que especificar quién es el dueño de la información, clasificar los activos, gestionarlos a través de su ciclo de vida y garantizar la adecuada retención y destrucción, tanto de los activos que manejan la información como de la información misma.

Continuidad del negocio y recuperación de desastres.

La idea es reducir sustancialmente el impacto de los desastres y las interrupciones de negocio o evitarlos en casos necesarios.

El CISO necesita desarrollar un conjunto de procesos para mantener, entrenar al personal y administrar los riesgos del negocio, asegurando que los sistemas son redundantes o de alta disponibilidad y creando el personal necesario para ello cuando sea necesario.

Gestión de amenazas e incidentes.

Los procesos bien establecidos son esenciales para asegurar que todas las amenazas se investigan, planifican y responden en el tiempo apropiado.

Muchos CISO permanecen enfocados en amenazas a la infraestructura, a pesar de que la mayoría de las amenazas provienen de las vulnerabilidades que existen en las aplicaciones e incluso en la gente.

Seguridad física y ambiental.

No importa que tan sofisticados son los sistemas tecnológicos de seguridad, si no se controla el acceso a la empresa, tu negocio nunca estará a salvo.

Pensando en el futuro, algunas organizaciones están analizando la convergencia de la seguridad física y la lógica, creando procesos conjuntos integrales para compartir información y mejorar la eficiencia global de la seguridad. Los equipos y las instalaciones físicas requieren mantenimiento regular y los controles ambientales apropiados, tales como calefacción, aire acondicionado, etc; para mantener la continuidad de las operaciones.

Gestión de operaciones y desarrollo de sistemas.

No dejes que la seguridad llegue a un punto en el que los problemas se tienen que explicar más que prevenir.

Si el compromiso con la seguridad está presente desde el primer día en el desarrollo de sistemas, seguramente habrá ahorros de tiempo, recursos y dinero. Un ciclo de desarrollo seguro de software incluye la revisión periódica de la arquitectura, garantía de calidad, control de acceso para el desarrollo y ciclos bien documentados de aprobación y puesta en producción.

Destaca lo más importante de tus procesos para el negocio y asegura todos tus activos al mismo tiempo.

Crea una estrategia de seguridad en donde contemples las ventajas de cada uno de los procesos en tu organización.

¡Ve por ello!