Evaluación de Riegos en TI

En la actualidad tenemos que es mal fácil que en el conceso de la Gestión de IT, se hable más de inversiones, ahorros o gastos para proporcionar los servicios de IT que apuntalen la operación del negocio, sin embargo, un tema de suma importancia y que hay veces que se trata hasta de evitar, es la evaluación de riesgos para IT.

Un análisis de riesgos TIC, es recomendable en cualquier empresa que dependa de los sistemas de información para el cumplimiento de su misión, en particular en cualquier entorno de negocios, ya sea en contexto público o privado, el análisis de riesgos permite tomar decisiones de gestión y asignar recursos con perspectiva a la empresa, que pueden ser tecnológicos, humanos o financieros.

Estoy convencido que el reto actual del profesional de gestión de TI, se basa en definir un programa continuo, objetivo, repetible y medible, en el que la evaluación de costos, la valoración de activos y las métricas de rendimiento convivan de manera integrada con el resto de requerimientos corporativos.

Gestión de Riesgos de IT

Sin duda como parte de la Seguridad de la Información, es necesario para el negocio hacer una adecuada gestión de riesgos, que le permita saber cuáles son las principales vulnerabilidades de sus activos de información y muy importante, saber cuáles son las amenazas que podrían explotar dichas vulnerabilidades, en la medida que la empresa tenga clara esta identificación de riesgos podrá establecer las medidas preventivas y correctivas viables que garanticen mayores niveles de seguridad en su información.

No debe de tomarse a la ligera, este proceso puede ser la diferencia entre parar operaciones y  pagar penalizaciones, por ejemplo en las empresas que trabajan con inventario justo a tiempo, si bien, podríamos pensar que el realizar un análisis de riesgos es laborioso y costoso, porque se requiere levantar un mapa de activos y valorarlos requiere la colaboración de muchos perfiles dentro de la organización, desde los niveles de gerencia hasta los técnicos, considerando que no solo se trata de que haya que involucrar a muchas personas, sin embargo, el costo de detener la producción es mucho mayor y se tiene que absorber por la propia empresa, también hay que lograr una uniformidad de criterio entre todos, ya que es importante cuantificar los riesgos y más importante aún es hacerlos relativos, esto es porque típicamente en un análisis de riesgos aparecen multitud de datos y la única forma de afrontar la complejidad es centrarse en lo más importante con el máximo impacto y el máximo riesgo, obviar lo que es secundario o incluso despreciable, pero si los riesgos no están bien ordenados en términos relativos, su interpretación se dificulta bastante.

Evaluación de Riesgos

En resumen, un análisis de riesgos no es una tarea menor que realiza cualquiera en sus ratos libres, es una tarea mayor que requiere esfuerzo y coordinación, por tanto, debe ser planificada y justificada.

Para ello debemos de identificar los activos de información, es decir todos aquellos recursos involucrados en la gestión de la información, que va desde datos y hardware, hasta documentos escritos y por supuesto al recurso humano, ya que sobre estos activos de información podemos tener una idea más clara de cuáles podrían ser las amenazas y las vulnerabilidades para analizar los riesgos.

Una amenaza se puede definir entonces como un evento que puede afectar los activos de información y están relacionadas estrechamente con el recurso humano, eventos naturales o fallas técnicas, consideremos también que pueden ser ataques informáticos internos y/o externos, errores u omisiones del personal de la empresa, infecciones con malware, terremotos, tormentas eléctricas o sobrecargas en el fluido eléctrico.

Por otra parte, una vulnerabilidad es una característica de un activo de información que representa un riesgo para la seguridad de la información, cuando se materializa una amenaza y hay una vulnerabilidad que pueda ser aprovechada, quedamos expuestos y se puede presentar algún tipo de pérdida para la empresa, por ejemplo el hecho de tener contraseñas débiles en los sistemas y que la red de datos no esté correctamente protegida puede ser aprovechado para los ataques informáticos internos y/o externos.

Identificados estos factores la empresa puede tomar decisiones sobre cómo actuar ante los diferentes riesgos, es necesario hacer una valoración para determinar cuáles son los más críticos, esta valoración suele hacerse en términos de la posibilidad de ocurrencia del riesgo y el impacto que tenga la materialización del riesgo, entonces la valoración del impacto puede medirse en función de varios factores:

  1. La pérdida económica si es posible cuantificar la cantidad de dinero que se pierde.
  2. La reputación de la empresa dependiendo si el riesgo pueda afectar la imagen de la empresa en el mercado.
  3. De acuerdo al nivel de afectación por la pérdida o daño de la información.

En este punto deberíamos tener identificados y valorados los principales riesgos que pueden afectar los activos de información de la empresa, sin embargo, detengámonos un poco para reflexionar:

¿Es suficiente con saber qué puede pasar?

La respuesta es NO..!!!!!!!

Una vez establecidas las posibles amenazas, lo más importante del análisis de riesgos es la determinación de controles, ya sea para mitigar la posibilidad de ocurrencia de la amenaza o para mitigar su impacto, las medidas de control que puede asumir una empresa van a estar relacionadas con el tipo de amenaza y el nivel de exposición que represente para la información corporativa.

Comentarios:

Típicamente cuando un profesional de seguridad de la información piensa en riesgo lo hace en términos del impacto que podría suponer en el negocio una pérdida de confidencialidad, integridad o disponibilidad de la información, sin embargo, y cada día más debido a la madurez de las organizaciones y a los requisitos de cumplimiento, la definición e incluso el catalogo de riesgos, es mucho más amplia dentro de lo que la organización considera; como riesgos corporativos dentro del marco del gobierno de la empresa.

Entonces la gestión de los riesgos de TI, conjuntamente con la gestión de la continuidad de los procesos del negocio, se constituye en herramientas estratégicas para asegurar la efectividad y la eficacia de los sistemas de gestión de la seguridad de la información en una organización; así como en mecanismo esencial para obtener la información necesaria en la toma de decisiones relacionada con la inversión oportuna y adecuada en la implementación de los controles de TI.

Cuidado:

La falta de una metodología y de un software adecuado que, de soporte a la gestión de TI y la evaluación de riesgos, constituye en sí, un riesgo inherente a la continuidad del negocio y no debemos pensar que solo con las buenas prácticas es suficiente y que, ya no tendremos eventos de riesgo, esto es, un error muy grave.

Conclusiones

La gestión del riesgo de IT, es un esfuerzo anticipado para reducir las pérdidas en el futuro, se define como el proceso de identificación, análisis y cuantificación de las vías adecuadas para emprender acciones preventivas, correctivas y reductivas.

Para obtener el mayor valor de las prácticas de gestión de riesgos, recomiendo que el monitoreo debe alcanzar los siguientes aspectos:

  • Nivel de actualización de las matrices.
  • Seguimiento de los indicadores definidos (KRIs).
  • Efectividad de los controles críticos.
  • Nivel de implementación de las acciones correctivas.
  • Grado de utilización del modelo definido.

Recordemos y siempre debemos tener en cuenta que tenemos tres aspectos que regularmente generan problemas en la gestión de riesgos de IT, para hacer una apropiada planificación de la continuidad operativa de IT:

  • Definición del BIA (Business Impact Analysis).
  • Utilización de prácticas de análisis de riesgos.
  • Mantenimiento de los planes.

El mantenimiento de los planes, es un punto extremadamente difícil de lograr y en general no hay más alternativa que buscarlo a través de la capacitación y concientización, lo fundamental es transmitir que los planes de continuidad desactualizados son en general peores que no tener ningún plan y que el esfuerzo de prevención del riesgo es mínimo, es infructuoso y puede volverse un ciclo, que no nos permita visualizar los riesgos y amenazas, por lo que debe realizarse en forma periódica.

Es una pequeña semblanza de la gestión de riesgos de IT, espero les sea de utilidad para prevenir desastres o entrar en conciencia de ello.

Logo MX Rberny

Deja un comentario