Ensayo “La importancia de la gestión de riesgos de seguridad de la información en la gestión integral de riesgos de las organizaciones”
Enviado por claudes_5555 • 7 de Junio de 2021 • Apuntes • 1.642 Palabras (7 Páginas) • 585 Visitas
[pic 1]
MAESTRIA EN SEGURIDAD INFORMÁTICA[pic 2]
ASIGNATURA: Análisis de Riesgos Informáticos
PROFESOR: Federico Eduardo Vidal Martínez
SEMESTRE: I
DATOS DEL ALUMNO: Víctor Claudio Condor Ontaneda
ACTIVIDAD: Ensayo “La importancia de la gestión de riesgos de seguridad de la información en la gestión integral de riesgos de las organizaciones”
Lima, 17 de mayo 2021
INDICE
INTRODUCCIÓN 3
DESARROLLO 3
CONCLUSIONES 6
BIBLIOGRAFIA 7
INTRODUCCIÓN
El incremento a nivel mundial de los ataques a los sistemas y plataformas tecnológicas que dan soporte a los procesos misionales, han ocasionado el incumplimiento de los objetivos estratégicos de una organización, los cuales se traducen en pérdidas económicas, y pérdidas de posicionamiento en el mercado.
La denegación de servicios, el robo de información, el acceso no autorizado a las redes de comunicación, sismos de gran magnitud, entre otros, contribuyen con la violación de la disponibilidad, integridad y confidencialidad de la información y la continuidad operativa de los procesos de una organización. Dicha información la utiliza la organización para la toma de decisiones, a fin de generar estrategias que generen ventajas competitivas frente a sus competidores.
En ese sentido, surge la importancia de implementar la gestión de riesgos de seguridad de la información en la gestión integral de riesgos de las organizaciones, a fin de dar tratamiento a la incertidumbre en la toma de decisiones estratégicas de la organización, así como, preparar a las organizaciones a enfrentar y reaccionar de manera proactiva frente a los eventos o incidentes inesperados, que contribuyen con la imagen corporativa de la organización, creando confianza y seguridad en sus clientes y en sus partes interesadas.
Por consiguiente, la implementación de la gestión de riesgos de seguridad de la información en la gestión integral de riesgos de la organización trae consigo los siguientes beneficios:
DESARROLLO
Tratamiento de la incertidumbre en la toma de decisiones estratégicas de la organización, permitiendo elegir la mejor estrategia en un contexto de incertidumbre, que permita cumplir con la misión y visión de la organización.
Toda organización para posicionarse y lograr un crecimiento sostenible en el mercado, elabora su planeación estratégica, en donde determina, los objetivos estratégicos, procesos, plataforma tecnológica y sistemas que den soporte a la información, necesarias y pertinentes, que le permitan alcanzar su misión y visión.
Dentro de este contexto, surgen los potenciales riesgos organizacionales que podrían impedir el logro de estos objetivos estratégicos, el desconocimiento o poca información sobre la probabilidad y materialización de estos potenciales riesgos, es lo que conocemos como incertidumbre. Al respecto, se define al riesgo como el “Efecto de la incertidumbre sobre los objetivos” (UNE-ISO 31000, 2018, p. 07).
En este sentido, la organización debe considerar los riesgos de seguridad de la información que puedan vulnerar la confidencialidad, disponibilidad e integridad de los activos de información que dan soporte a los procesos críticos que realizan la razón de ser de la organización, teniendo en cuenta lo que nos dice la ISO/IEC 27001 (2013) “La organización debe determinar los aspectos externos e internos que son relevantes para este propósito y que afectan su capacidad de lograr el(los) resultado(s) deseados de este sistema de gestión de seguridad de la información” (p. 02).
Por consiguiente, se debe establecer un proceso de gestión de riesgos de seguridad de la información que forme parte de la gestión de riesgos de la organización, que contemple los aspectos internos (cultura, valores, procesos, sistemas, tecnología, infraestructura, entre otros) y externos (aspectos políticos, sociales, legales, económicos, financieros, ambientales, entre otros), en la cual se desenvuelva el negocio de la organización, a fin de determinar y establecer la mejor estrategia, que permita alcanzar los objetivos estratégicos de la organización y consecuentemente su misión y visión.
Estar preparados para enfrentar y reaccionar de manera proactiva frente a los eventos e incidentes inesperados, que pueden interrumpir o paralizar el normal funcionamiento de los procesos críticos de la organización, impidiendo la provisión de sus bienes y servicios, los cuales se reflejan en pérdidas económicas y pérdida de posicionamiento del mercado.
El exponencial crecimiento de la tecnología en el manejo de la información ha permitido que las organizaciones optimicen sus procesos, generen nuevos mercados a sus productos y/o servicios, creando valor para éstas, lo que se traduce en ventajas competitivas que les permiten posicionarse sostenidamente en el mercado.
Sin embargo, conjuntamente con este crecimiento exponencial tecnológico también ha surgido nuevos y constantes ataques contra la seguridad de los accesos a la información, a los sistemas y aplicaciones que soportan a los procesos críticos, así como, a la plataforma tecnológica de las organizaciones, con el fin de interrumpir o paralizar el negocio, lo cual ha traído pérdidas cuantiosas de índoles económicas y de reputación.
En este contexto, surge la importancia de que la organización determine “acciones para tratar los riesgos y oportunidades” (ISO/IEC 27001, 2013, p. 05), así como, “la organización debe definir y aplicar un proceso de valoración del riesgo de seguridad de la información …” (ISO/IEC 27001, 2013, p. 06) con el fin, de que, “la organización debe definir y aplicar un proceso de tratamiento de riesgos de seguridad de la información para:
...