La administración de riesgos es compleja, pero por fortuna las organizaciones no deben diseñar uno desde cero, ni reinventar la rueda. Existen frameworks establecidos y el más usado fue desarrollado por el Instituto Nacional de Tecnología y Estándares, el cual es una agencia federal gubernamental de Estados Unidos. Este proceso es obligatorio para muchos sistemas computacionales del gobierno, pero actualmente muchas instituciones privadas lo han adoptado porque lo han encontrado útil.
El proceso del framwork NIST cuenta con 6 pasos principales, sin embargo, antes de empezar el proceso es necesario tener información de dos categorías:
1.- Descripción de la arquitectura: modelos, limitantes del sistema
información del proceso de negocio, etc.
2.- Información específica de la organización como leyes, políticas,
objetivos, cadenas de suministros, etc.
Ya que se tiene esta información ahora si se puede comenzar a realizar los otros pasos.
1.- Categorizar la información que se almacena, procesa y transmite en el sistema.
2.- Selecciona los controles de seguridad para la información previamente categorizada.
3.- Implementar los controles de seguridad que se seleccionaron.
4.- Revisar si los controles se implementaron correctamente, estánfuncionando y si cumplen los requerimientos de seguridad.
5.- Autorizar la información del sistema.
6.- Monitorear los controles de seguridad para cambiarlos de ser
necesario.
Personalmente este tema me llamó la atención porque jamás me había detenido a pensar en el proceso necesario para administrar, preveer y mitigar riesgos, entonces conocer que existen frameworks en donde basarme cuando sea necesario es de gran ayuda.
Security 