Segurilatam 011

42 Segundo cuatrimestre 2019 artículo técnico Ciberseguridad para gestionar los riesgos por en- cima de nuestro riesgo aceptable. En la medida de lo posible, debe- mos estimar el coste de las iniciati- vas propuestas en términos tempo- rales y económicos, contemplando los recursos materiales y huma- nos necesarios tanto a nivel interno como externo. Fase IV Una vez identificadas las acciones, las iniciativas y los proyectos, debe- mos clasificarlas y priorizarlas. El de- talle y granularidad de las acciones a llevar a cabo puede ser muy variado. Ante esta situación, es recomendable agrupar las iniciativas o dividir las pro- puestas para homogeneizar el conjunto de proyectos que hemos definido. Fase V Se entregará una versión preliminar del PDS a la dirección para revisarla y apro- barla. Es posible que al revisarla haya que modificar su alcance, la duración o la prioridad de algunos proyectos. La versión final aprobada por la dirección es conveniente que sea trasladada a to- dos los empleados de la organización. Fase VI Una vez aprobado por la dirección, el PDS marca el camino a seguir para al- canzar el nivel de seguridad que nues- tra organización necesita. Cada organi- zación puede emplear la metodología de gestión de proyectos que considere oportuna. A continuación se indican una serie de aspectos cuya considera- ción favorecerá el éxito del proyecto: Asignar responsables/coordinadores de proyecto a cada uno de los pro- yectos establecidos y dotarles de los recursos necesarios. Establecer la periodicidad con la que se debe llevar a cabo el seguimiento individual de los proyectos, así como el seguimiento conjunto del PDS. A medida que vayamos alcanzado los hitos previstos, debemos confirmar que las deficiencias identificadas en las auditorías o en el análisis de ries- gos han sido subsanadas. y futuros, las previsiones de crecimiento, los cambios en la organización, etc. Tam- bién es importante tener en cuenta si nuestra organización opta por una es- trategia de centralización de servicios, por la externalización de los servicios TIC, si forma parte de un grupo empresarial mayor o si va a iniciar la actividad en al- gún sector distinto del actual que pueda generar requisitos legales adicionales. Para el correcto desarrollo de esta fase, se recomienda analizar la estrate- gia de la organización con los responsa- bles de los departamentos implicados y, por supuesto, con la dirección. Se ob- tienen así dos objetivos: en primer lu- gar, se les hace partícipes del proyecto; y en segundo lugar, conseguiremos te- ner una visión objetiva y global de la es- trategia de negocio. Fase III En esta etapa debemos definir las accio- nes iniciativas y los proyectos para al- canzar el nivel de seguridad que nues- tra organización requiere. Las iniciativas para subsanar las deficiencias detecta- das también serán de distinta índole: 1. Definiremos las iniciativas dirigidas a mejorar los métodos de trabajo ac- tuales para que contemplen los con- troles establecidos por el marco nor- mativo y regulatorio. 2. Pondremos en marcha un conjunto de acciones relacionadas con los con- troles técnicos y físicos cuya ausencia o insuficiencia hemos detectado. 3. Definiremos la estrategia a seguir, así como los proyectos más adecuados 2. Del paso anterior, que nos des- cribe el estado del activo, obte- nemos el riesgo intrínseco. Es de- cir, el riesgo al que está expuesto el activo por defecto antes de la aplicación de los controles espe- cíficos. 3. Determinamos la probabilidad de materialización de un riesgo intrínseco, que dará como re- sultado un impacto, es decir, las consecuencias que tiene para nuestra organización la materiali- zación de la amenaza. 4. A continuación debemos identi- ficar aquellos riesgos que, por su pro- babilidad, impacto o ambos supues- tos, no son aceptables para nuestra organización. Esta decisión debemos tomarla de acuerdo a nuestra estra- tegia corporativa y en función de los riesgos que estemos dispuestos a asumir. Para aquellos riesgos que no sean aceptables, debemos proponer diferentes iniciativas para la imple- mentación de controles o salvaguar- das, que tendrán un coste asociado. 5. Como resultado de la aplicación de los controles, obtendremos el riesgo residual del activo, que nos indicará el grado de exposición del mismo a las amenazas después de haber imple- mentado los controles seleccionados, así como las consecuencias de la ma- terialización de la amenaza. Tras la identificación de los riesgos de- bemos establecer y documentar el nivel de riesgo aceptable: el valor umbral que determina los riesgos que han de ser tra- tados y los riesgos que son asumibles. ¿Cómo podemos tratar un riesgo? A tra- vés de cuatro posibles estrategias: Transferir el riesgo a un tercero. Eliminar el riesgo. Asumir el riesgo, siempre justificada- mente. Implementar medidas para mitigarlo. Fase II La segunda fase de la realización de un PDS consiste en conocer la estrategia cor- porativa de nuestra organización. Esto implica considerar los proyectos en curso