Diseño del Sistema de Gestión de Riesgos de Seguridad de la Información para una Institución Militar en Colombia

Speaker 1

BENEFICIARIO

Institución Militar en Colombia

INTEGRANTES

  • Fabio E. Sandoval
  • Jaiber E. Gómez
  • Nicolas Bello Lugo

AÑO

2022

PALABRAS CLAVE

Magerit, Riesgos, Gestión de Riesgos, SGR, Ministerio, Defensa.


CONTEXTO

Los ataques cibernéticos crecen en número y sofisticación, poniendo en riesgo la información. Es por ello que las amenazas se perciben cada vez más como un problema de seguridad Nacional e Internacional, haciendo que las organizaciones sean vulnerables a innumerables amenazas que afectan la confidencialidad, integridad y disponibilidad de la información, razón por la cual se requiere de herramientas para anticipar, disminuir y contrarrestar el impacto de eventos inesperados que pueden afectar el cumplimiento de la misión y visión de las instituciones Militares.


De acuerdo con lo anterior, es imperativo establecer un análisis de riesgos que permita identificar, clasificar y valorar los eventos que pueden afectar la infraestructura tecnológica de una institución, y de esta forma poder establecer las salvaguardas necesarias para reducir el impacto hasta un nivel tolerable. Las Instituciones que no tienen un Sistema de gestión de riesgo quedan expuestas tanto a ataques que lleven a fugas de datos por parte de atacantes, como a fugas de información por parte de funcionarios de la institución, e incluso ataques que pueden llevar al control de la infraestructura misma.


Las Instituciones Militares no son ajenas a este problema, también deben contar con una gestión integral de riesgos de Seguridad de la Información basada en una estrategia de carácter preventivo y reactivo, de manera que, al comprender el concepto de riesgo, se desarrollen acciones que mitiguen la afectación al cumplimiento de la misión y visión Institucional. Esta gestión debe establecerse de forma que se pueda administrar los riesgos y amenazas identificados por la institución, así como nuevos riesgos emergentes. Además, es necesario crear indicadores que evalúan el sistema de gestión revisando que sea aplicable a largo plazo y que siempre esté actualizado sobre el estado de los sistemas de información y amenazas.

PROPUESTA

Realizar el diseño del Sistema de Gestión de Riesgos de Seguridad de la Información para una institución militar, basado en un esquema de gestión integral, y de esta forma apoyar el cumplimento de los objetivos, la misión y la visión Institucional, protegiendo y preservando la confidencialidad, integridad y disponibilidad de la información.



Objetivos Específicos



  • Implementar la Gestión de Riesgos de Seguridad de la Información en la unidad de Tecnologías de la Información y Comunicaciones. 
  • Determinar los activos relevantes de acuerdo con el alcance establecido, así mismo su interrelación y valor, en el sentido de qué perjuicio (costo) supondría su degradación. 
  • Determinar a qué amenazas están expuestos aquellos activos identificados. 
  • Determinar las salvaguardas existentes y la eficacia frente al riesgo. 
  • Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia de la amenaza



Definir indicadores para la evaluación del sistema de gestión: 



  • Monitoreo en intervalos establecidos por la Institución que permitan evaluar la efectividad de los protocolos de seguimiento.
  • Establecer evaluaciones periódicas para los protocolos en caso de que sea necesario una evaluación detallada y revisar cuántos necesitan esta evaluación.
  • Registrar todos los incidentes para no repetir errores pasados.

 

RESULTADOS

  • Se diseñan e implementan dos planes de acción, a corto y largo plazo, para mejorar el estado de la seguridad de la información de la Institución. Esta los implementó y se pudo notar una mejora en los niveles de seguridad en ámbitos específicos. Por ahora, estos procesos se están realizando manualmente y generan mucha carga operacional en sus inicios, sin embargo, mejoran la gestión de los riesgos de la organización.

    Se definieron identificadores: 

    • En el primero de los indicadores se planteó un monitoreo constante de los riesgo y vulnerabilidades asociados con los activos de la Institución y con el sector de las fuerzas militares en Colombia. Esta acción se implementó en el corto plazo de forma que la institución se encuentre preparada. Esto le permitirá a la institución reaccionar de manera eficaz y adecuada frente a los riesgos que ocurran. Este indicador se debe medir constantemente y debe evaluar qué tan eficientemente la Institución identifica los riesgos internos y externos, y cómo gestionarlos.
    • En relación con el segundo indicador, se establecieron protocolos de monitoreo de los activos de la organización. Es importante tener en cuenta que los activos tecnológicos requieren estar actualizados para que no sean vulnerables a los ataques y riesgos emergentes. Para esto se planteó, en el plan a corto plazo, un monitoreo de los equipos y realización de actualizaciones. Este indicador se debe medir en intervalos de máximo 1 mes, revisando cuántos equipos se encuentran actualizados sobre la cantidad total de equipos de la organización.
    • Para el tercer indicador, se plantea el registro de todos los incidentes, esta medida se debe evaluar trimestralmente, validando cuántos incidentes nuevos ocurrieron y cuántos no ocurrieron al estar registrados.

     

MÁS DETALLES