Los factores de éxito son varios, y pueden variar de acuerdo a
la organización que los desarrolla y pone en practica, algunos ejemplos que
proporcionare yo, como básicos o esenciales, serán los siguientes enumerados:
1.- Definición de alcance, fijar todos los objetivos que se
deben de alcanzar.
2.- Apoyo de la dirección.
3.- Elaborar un buen análisis de riesgo.
2.- Apoyo de la dirección.
3.- Elaborar un buen análisis de riesgo.
Tomando
en cuenta los siguientes puntos:
• La concienciación del empleado por la seguridad. Principal objetivo a conseguir.
• Realización de
comités a distintos niveles (operativos, de dirección, etc.) con gestión
continua de no conformidades, incidentes de seguridad, acciones de mejora,
tratamiento de riesgos...
• Creación de un
sistema de gestión de incidencias que recoja notificaciones continuas por parte
de los usuarios (los incidentes de seguridad deben ser reportados y
analizados).
• La seguridad
absoluta no existe, se trata de reducir el riesgo a niveles asumibles.
• La seguridad no es
un producto, es un proceso.
• La seguridad no es
un proyecto, es una actividad continua y el programa de protección requiere el
soporte de la organización para tener éxito.
• La seguridad debe
ser inherente a los procesos de información y del negocio.
Riesgo Inherente: Es propio
del trabajo o proceso, que no puede ser eliminado del sistema. Pueden ser el
uso no apropiado de los activos de información debido a que no se ha asignado
el rol de encargado de seguridad. Acceso no autorizado a los sistemas debido a
la falta de comunicación entre RRHH y el área de SISTEMAS. Acceso no autorizado
al datacenter debido a llaves
físicas de acceso fácilmente duplicables. Perdida de equipo de compañía, como
una laptop puede contener información y puede no contar con un sistema de
seguridad optimo, cifrado y demás que evite el acceso de manera no autorizada.
Riesgo Residual:
Es aquel riesgo que
subsiste, después de haber implementado controles. Es importante advertir que
el nivel de riesgo al que está sometido una compañía nunca puede erradicarse
totalmente. Por ello, se debe buscar un equilibrio entre el nivel de recursos y
mecanismos que es preciso dedicar para minimizar o mitigar estos riesgos y un
cierto nivel de confianza que se puede considerar suficiente (nivel de riesgo
aceptable). El riesgo residual puede verse como aquello que separa a la
compañía de la seguridad absoluta.
El objetivo de desarrollar un SGSI como una vía
de mejorar los niveles de seguridad de la compañía. Se trataba de una necesidad
interna que, por sí misma, justificaba el esfuerzo que suponía desarrollar un
sistema de estas características.
La decisión de certificar el sistema o no hacerlo no resultaba relevante en el momento inicial, aunque, posteriormente, las áreas de desarrollo del negocio encontraron que podía suponer una ventaja competitiva para la empresa. Ese fue el principal motivo para la certificación.
El análisis de riesgos contempla dos actividades principales: unanálisis de riesgos de alto nivel que permite identificar y valorar los principales escenarios de riesgo susceptibles de impactar la buena marcha de la organización y, sobre los puntos anteriores, un análisis detallado cuya finalidad es conformar el mapa de riesgos efectivos y determinar el nivel de riesgo aceptable que la organización es capaz de asumir. El estudio y análisis de riesgos es crítico dado que sus resultados condicionarán el éxito de la implantación del SGSI. El gran reto de esta etapa consiste en aplicar un enfoque metodológico que facilite la identificación de los riesgos relevantes, evitando el fenómeno de dispersión. Además, debe garantizar la homogeneidad de los niveles de riesgos obtenidos en toda la organización, de forma que el análisis final sea coherente. La utilización de criterios simples será indispensable para presentar resultados que sean fácilmente entendibles y gestionables.
Fuentes de informacon: https://prezi.com/nrneak44_ka_/implementacion-sgsi-factores-de-exito/
No hay comentarios:
Publicar un comentario