Gobernabilidad y Cumplimiento Gestion de Riesgos e ISO 27001
Introduccion a los marcos de trabajo internacionales para la gestion estructurada de la seguridad de la informacion
La ciberseguridad corporativa no se limita a instalar firewalls o antivirus. La gobernabilidad de la seguridad implica establecer un marco de gestión que alinee la protección de los datos con los objetivos del negocio, utilizando estándares internacionales como la ISO/IEC 27001.
¿Qué es la gestión de riesgos?
Es el proceso de identificar, analizar y evaluar las amenazas que pueden afectar los activos de información de una organización. En lugar de proteger todo por igual, la gestión de riesgos permite priorizar los recursos hacia lo que es más crítico para la operación.
1. Identificación de activos
Consiste en listar todos los datos, hardware y software que tienen valor para la empresa. No puedes proteger lo que no sabes que tienes.
2. Evaluación del impacto
¿Qué pasaría si la base de datos de clientes de SISA estuviera fuera de línea por 24 horas? Esta pregunta ayuda a definir la tolerancia al riesgo.
El estándar ISO 27001
Este marco de trabajo proporciona un modelo para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Se basa en el ciclo de mejora continua PDCA (Planificar, Hacer, Verificar, Actuar).
- Controles Administrativos: Políticas, normativas y capacitación del personal.
- Controles Técnicos: Implementación de cifrado, controles de acceso y monitoreo de red.
- Controles Físicos: Seguridad de las instalaciones y control de acceso a los centros de datos.
Beneficios del cumplimiento normativo
- Genera confianza ante socios comerciales y clientes internacionales.
- Asegura el cumplimiento de leyes locales como la Ley de Delitos Informáticos en El Salvador.
- Reduce la probabilidad de multas costosas derivadas de filtraciones de datos evitables.