En nuestro artículo anterior, mencionamos lo importante de entender el escenario de computación en la nube que presenta la empresa, sus participantes y cómo deben manifestarse en documentos que apoyen a la gestión de riesgos. Ahora, utilizaremos ISO 27005 para aterrizar la gestión de riesgos en el rubro de banca.

Establecimiento de contexto de seguridad de la información

Lo importante en este paso es establecer el alcance y sus limitaciones, para ello la ISO recomienda considerar la siguiente información: 1. Los objetivos estratégicos de negocio de la organización, estrategias y políticas. 2. Requerimientos legales, regulatorios y contractuales aplicables para la organización. 3. Información de activos. 4. Locaciones de la organización y sus características geográficas. 5. Expectativas de las partes interesadas. 5. Interfaces donde se intercambie la información con la organización.

Apoyo desde las plantillas

Entonces, por cada parte interesada se capturó su motivo, y esto mismo puede ser útil para entender los objetivos de negocio. Por ejemplo, tras leer las motivaciones se podría determinar como objetivo empresarial “Mi Bankito ofrece una plataforma segura de transacción bancaria en línea optimizando sus costos a través de tecnologías en tendencia”, se entiende como tecnologías en tendencia a Cloud, pero puede que con el paso del tiempo cambie, es por ello que se coloca de manera general. Otros datos son las locaciones relevantes para la gestión de riesgos, como por ejemplo, si se cuenta con servidores de apoyo por parte de Amazon en caso de desastres en cierta zona.

Criterios

Otro paso importante en el establecimiento de contexto de seguridad de la información en el enfoque Cloud, es la necesidad de qué criterios se considerarán ante la valorización de un riesgo. Un método de uso común son las de escalas y umbrales de niveles de aceptación de riesgos, apoyados en mapas de calor, a parte se definen los roles y responsabilidades participantes en la gestión de riesgos.

Consejo audit

La valoración de riesgos es una fase crítica para la organización, ya que determina el apetito de riesgo que una empresa presenta, para ello es importante conocer mucho a la industria y a la organización. En audit contamos con aValue para una gestión adecuada de información relacionada a su industria.