Diseño del Sistema de Gestión de Riesgos de Seguridad de la Información para una Institución Militar en Colombia
BENEFICIARIO
Institución Militar en Colombia
INTEGRANTES
- Fabio E. Sandoval
- Jaiber E. Gómez
- Nicolas Bello Lugo
AÑO
2022
PALABRAS CLAVE
Magerit, Riesgos, Gestión de Riesgos, SGR, Ministerio, Defensa.
CONTEXTO
Los ataques cibernéticos crecen en número y sofisticación, poniendo en riesgo la información. Es por ello que las amenazas se perciben cada vez más como un problema de seguridad Nacional e Internacional, haciendo que las organizaciones sean vulnerables a innumerables amenazas que afectan la confidencialidad, integridad y disponibilidad de la información, razón por la cual se requiere de herramientas para anticipar, disminuir y contrarrestar el impacto de eventos inesperados que pueden afectar el cumplimiento de la misión y visión de las instituciones Militares.
De acuerdo con lo anterior, es imperativo establecer un análisis de riesgos que permita identificar, clasificar y valorar los eventos que pueden afectar la infraestructura tecnológica de una institución, y de esta forma poder establecer las salvaguardas necesarias para reducir el impacto hasta un nivel tolerable. Las Instituciones que no tienen un Sistema de gestión de riesgo quedan expuestas tanto a ataques que lleven a fugas de datos por parte de atacantes, como a fugas de información por parte de funcionarios de la institución, e incluso ataques que pueden llevar al control de la infraestructura misma.
Las Instituciones Militares no son ajenas a este problema, también deben contar con una gestión integral de riesgos de Seguridad de la Información basada en una estrategia de carácter preventivo y reactivo, de manera que, al comprender el concepto de riesgo, se desarrollen acciones que mitiguen la afectación al cumplimiento de la misión y visión Institucional. Esta gestión debe establecerse de forma que se pueda administrar los riesgos y amenazas identificados por la institución, así como nuevos riesgos emergentes. Además, es necesario crear indicadores que evalúan el sistema de gestión revisando que sea aplicable a largo plazo y que siempre esté actualizado sobre el estado de los sistemas de información y amenazas.
PROPUESTA
Realizar el
diseño del Sistema de Gestión de Riesgos de Seguridad de la
Información para una institución militar, basado en un esquema de gestión
integral, y de esta forma apoyar el cumplimento de los objetivos, la misión y la visión
Institucional, protegiendo y preservando la confidencialidad, integridad y disponibilidad de
la información.
Objetivos
Específicos
- Implementar la Gestión
de Riesgos de Seguridad de la Información en la unidad de Tecnologías de la Información y Comunicaciones.
- Determinar los activos
relevantes de acuerdo con el alcance establecido, así mismo su
interrelación y valor, en el sentido de qué perjuicio (costo) supondría su
degradación.
- Determinar a qué amenazas están
expuestos aquellos activos identificados.
- Determinar las
salvaguardas existentes y la eficacia frente al riesgo.
- Estimar el riesgo, definido
como el impacto ponderado con la tasa de ocurrencia de la amenaza
Definir indicadores
para la evaluación del sistema de gestión:
- Monitoreo en intervalos
establecidos por la Institución que permitan evaluar la efectividad de los
protocolos de seguimiento.
- Establecer evaluaciones
periódicas para los protocolos en caso de que sea necesario una evaluación
detallada y revisar cuántos necesitan esta evaluación.
- Registrar todos los incidentes
para no repetir errores pasados.
RESULTADOS
Se diseñan e implementan dos planes de acción, a corto y largo plazo, para mejorar el estado de la seguridad de la información de la Institución. Esta los implementó y se pudo notar una mejora en los niveles de seguridad en ámbitos específicos. Por ahora, estos procesos se están realizando manualmente y generan mucha carga operacional en sus inicios, sin embargo, mejoran la gestión de los riesgos de la organización.
Se definieron identificadores:
- En el primero de los indicadores se planteó un monitoreo constante de los riesgo y vulnerabilidades asociados con los activos de la Institución y con el sector de las fuerzas militares en Colombia. Esta acción se implementó en el corto plazo de forma que la institución se encuentre preparada. Esto le permitirá a la institución reaccionar de manera eficaz y adecuada frente a los riesgos que ocurran. Este indicador se debe medir constantemente y debe evaluar qué tan eficientemente la Institución identifica los riesgos internos y externos, y cómo gestionarlos.
- En relación con el segundo indicador, se establecieron protocolos de monitoreo de los activos de la organización. Es importante tener en cuenta que los activos tecnológicos requieren estar actualizados para que no sean vulnerables a los ataques y riesgos emergentes. Para esto se planteó, en el plan a corto plazo, un monitoreo de los equipos y realización de actualizaciones. Este indicador se debe medir en intervalos de máximo 1 mes, revisando cuántos equipos se encuentran actualizados sobre la cantidad total de equipos de la organización.
- Para el
tercer indicador, se plantea el registro de todos los incidentes, esta medida
se debe evaluar trimestralmente, validando cuántos incidentes nuevos ocurrieron
y cuántos no ocurrieron al estar registrados.