Si aún no estas suscrito al Newsletter hazlo aquí y obtén contenidos de Seguridad de la Información cómodamente en tu correo electrónico.
En la entrada de ayer estuvimos viendo las opciones para usuarios y las opciones que tenemos para gestionar los riesgos, también dejé claro que la administración de estos es clave para la gestión de la seguridad de la información y la continuidad de negocios.
Hoy hablaremos de la sección de Presentación de Informes, te estarás preguntando ¿por qué es importante la presentación de informes en la gestión de riesgo? Pues, en mi experiencia trabajando en el mundo de seguridad de la información, me he dado cuenta que la alta gerencia de una organización, no tiene tiempo (o no quiere tenerlo) para escuchar análisis detallados de cada uno de los riesgos. A los jefes les gusta recibir informes que contienen resúmenes, gráficos, proyecciones o clasificaciones de los riesgos de la organización.
Josh Sokol, a través de SimpleRisk, logra alcanzar esta meta y a mi parecer lo hacer bastante bien.
Presentación de Informes con SimpleRisk
SimpleRisk, tiene varias formas de presentar los riesgos, a continuación veremos cada una de ellas:
- Cuadro de riesgos.
Esta fue la parte que más me gustó, en esta pestaña encontraremos los gráficos resumen, de todos los riesgos gestionados por la herramienta. Es un aspecto relevante, ya que de un vistazo se puede tener idea de la gestión global de los riesgos.
- Tendencia del riesgo.
Aquí veremos un gráfico bastante interesante, podremos visualizar los riesgos abiertos y cerrados a través del tiempo, lo que nos puede ayudar a tener una proyección del incremento de uno u otro a través del tiempo.
- Riesgos abiertos asignados a mi por nivel de riesgo.
Si deseamos saber cuáles son los riesgos que debo gestionar, esta es la pestaña que debemos visitar (me salió un verso, sin mucho esfuerzo J). En este informe veremos todos los riesgos abiertos que tienen asignado al usuario actual (usuario de la sesión) como el dueño o gerente asociado con el riesgo, ordenado por nivel de riesgo.
- Riesgos abiertos por nivel de riesgo.
Aquí están todos los riesgos abiertos ordenados por nivel de riesgo. Es de gran importancia saber los riesgos que están siendo gestionados y debemos prestar mayor atención a los de mayor impacto.
- Riesgos abiertos asignados a proyectos por nivel de riesgo.
Este informe muestra todos los riesgos abiertos asignados a proyectos, ordenados por nivel de riesgo. Probablemente queremos saber qué riesgo están asignados a los proyectos.
- Riesgos abiertos aceptados hasta la próxima revisión por nivel de riesgo.
Aquí están todos los riesgos abiertos aceptados hasta la próxima revisión, ordenados por nivel de riesgo. Una tarea importante de la gestión de riesgo es realizar, al menos, una revisión anual de los mismo, por aquí podremos saber, cual cumple años (he visto muchos con más de una velita) y aun no se han gestionado.
- Riesgos abiertos listos para pasar a producción por nivel de riesgo.
Muchos planes de mitigación implican realizar un pase a producción de alguna solución, en este apartado podremos visualizar todos lo que están lista para ello.
- Riesgos abiertos calificados con puntuación CVSS (Common Vulnerability Scoring System) por nivel de riesgo.
Aquí se ven todos los riesgos clasificados por CVSS
NOTA: En otro artículo explicaré las puntuaciones, ya sea por CVSS o clásica. - Riesgos abiertos calificados con puntuación clásica por nivel de riesgo.
Aquí veremos todos los riesgos clasificados bajo la forma clásica.
- Riesgos cerrados por fecha.
Aquí, simplemente, veremos todos los riesgos cerrados ordenados por fecha. Los riesgo se puede cerrar por diferentes razones, normalmente es por la desaparición o eliminación del activo.
- Riesgos ingresados por fecha.
De igual forma aquí veremos los riesgos ingresados ordenados por fecha.
- Mitigaciones por fecha.
Aquí veremos todos los planes de mitigación creados, presentados por fecha.
- Revisión de la dirección por fecha.
En esta sección lograremos ver todos los riesgos ordenados por las fechas de revisión de la alta gerencia.
- Proyectos y riesgos asignados.
Y de último, pero no menos importante, se muestran todos los proyectos y los riesgos que se les asignen. Una forma de ver de una manera rápida todos los riesgos clasificados pro proyectos.
En este artículo vimos las herramientas claves para la presentación de los riesgos a la alta gerencia y como a través de SimpleRisk se puede hacer, en una siguiente entrega, veremos aspectos más técnicos, como la configuración de la herramienta.
¿Qué te ha parecido la sección de Reportes de esta herramienta? ¿Qué se le podría agregar? Déjalo en tus comentarios…
Si te gustó el artículo, regístrate aquí y no te pierdas ninguna de mis publicaciones.
Carlos Solís Salazar
Profesional en Seguridad de la Información