Aunque muchas personas no dicen este título de forma literal, si lo dicen de manera intrinseca o indirecta, porque al no hacer una evaluación de riesgos de seguridad de la información, pareciera que están dejando a su organización a merced del viento (por decirlo de alguna forma) y que este sea quien fije la dirección hacia donde debe apuntar la empresa o ¿no crees que sea así?
¿A qué riesgo nos referimos cuando hablamos de este tipo de evaluación?
Esta respuesta será siempre dependiendo el contexto, el riesgo puede ser algo bueno, sino pregúntale a los corredores de bolsas… recuerden el dicho que reza «El que no arriesga no gana». Pues en nuestro caso no es así, el riesgo no es algo bueno… es algo con lo que debemos lidiar y gestionar a toda costa.
El punto más importante que debes tener en cuenta es la misión de la organización, ya que que nos enfocaremos en analizar, tratar, evaluar y gestionar los riesgos de seguridad de la información de los procesos que estén orientados a velar por el cumplimiento de la misión de la organización.
Elementos de una evaluación de riesgos de seguridad de la información
Dependiendo de la metodología empleada en la evaluación de riesgos de seguridad de la información se pueden considerar varios elementos, pero la que personalmente uso y me gusta es la que contempla los siguientes:
- Activos de información: son todos aquellos elementos que almacenen, procesen o transmitan información, tales como, bases de datos, servidores, equipos de red, estaciones de trabajo, y por último y más importante es el talento humano; sí, también deberías considerar como un activo de información a las personas, porque ellos también almacenan, procesan y transmiten información.
- Amenazas: Son todos aquellos aspectos que pueden afectar a un activo de información. Hay dos grandes grupos: las amenazas naturales (terremotos, inundaciones, huracanes y más), las amenazas originadas por el hombre (huelgas, disturbios, ataques, y más muchas más )
- Vulnerabilidades: es ese grado de exposición que tenemos a las amenazas. Es decir, que si no hay una vulnerabilidad no somos suceptibles a esa amenazas, por ejemplo, si donde está tu empresa no están expuestos a tsunamis, pues la amenaza de tsunami no te afectará.
- Probabilidad: este es la posibilidad de que algo suceda, en nuestro caso que se materialice una amenaza. Por ejemplo, es problable que tengamos cortes electricos 3 veces al mes, de una duración de 3 horas cada uno. Para determinar esto, es mejor revisar el historial que se tenga en relación a la frecuencia de aparición de nuestras amenazas.
- Impacto: es decir, ¿que tanto afecta a la organización la materialización de la amenaza sobre el activo de información?. ¿Nos dejará completamente fuera de línea? ¿afectaría sólo a una porción de la organización? obviamente el impacto no será igual.
Y de nuevo, dependiendo de la metodológia empleada se usaran algunas formulas o ecuaciones para poder determinar el riesgo (prometo abordarlo en un futuro artículo), por lo pronto, quiero que comprendas que estos elementos te sirven para determinar
La probablidad de que una amenaza genere un impacto sobre un activo de información a través de la explotación de una vulnerabilidad.
Podemos considerar lo anterior como una definición de lo que son riesgos de seguridad de la información.
Entonces, ya tenemos lo siguiente:
- Procesos orientados al cumplimiento de la misión de la organización.
- Identificados nuestros riesgos.
Las evaluaciones de riesgos de seguridad de la información, pienso que estan bastante subestimadas, principalmente, porque los profesionales en esta área no nos hemos dedicado a ofrecerla de la forma indicada, es nuestra responsabilidad mostrar sus beneficios para el funcionamiento y mejora de los procesos de toda la empresa.
En la siguiente entrega hablaremos del tratamiento de cada uno de los riesgos identificados.
Y tú ¿dejas a tu organización a merced del viento? ¿qué otras razones se te ocurren de por qué no se usan las evaluaciones de riesgos?
Puedes seguirme en Twitter o en LinkedIn, donde comparto mis proyectos, experiencias y próximos eventos en los que estaré participando.
Gracias por leerme y hasta la próxima.
