Por Agustín Palomo Vera, Consultor del Área Governance, Risks & Compliance de ECIX
Cuando Mark Zuckerberg, CEO y fundador de la red social Facebook aseguró que “El mayor riesgo es no correr ningún riesgo. En un mundo que cambia muy rápidamente, la única estrategia que garantiza fallar es no correr riesgos”, seguramente no se paró a pensar en todas los riesgos que está dispuesto a correr en su vida. Cuando ponemos sobre la mesa los riesgos que afectan a sistemas de información, no cabe duda que la estrategia para garantizar que no vamos a fallar, debe ser una adecuada estrategia de gestión de riesgos.
Cualquier compañía, independientemente de su actividad, hace un uso intensivo de los sistemas de información, de tal forma que, la indisponibilidad, pérdida o alteración no controlada de la información puede poner en serio peligro la continuidad de los negocios. La disparidad de hechos que pueden desencadenar la pérdida de la información y, por extensión, un perjuicio para el negocio, hacen que, sin una metodología para evaluar y cuantificar dichos riesgos, su control sea extremadamente complejo.
Con un panorama tan cambiante, basar la estrategia de seguridad de la información en un análisis y gestión de riesgos continuo y dinámico, es el medio ideal para la vigilancia de todo lo que ocurre en nuestro entorno tecnológico.
El panorama actual
Como aparece referenciado en multitud de estudios, las principales amenazas y retos para la protección de la seguridad de la información son los siguientes:
– Redes sociales: La proliferación en el uso de redes sociales para comunicarse no sólo en el ámbito personal, sino también con partners o clientes, hace necesaria la definición de políticas o procedimientos enfocados al uso responsable de estos medios.
– “Consumerización” de IT: La utilización de dispositivos personales, conocida esta tendencia como Bring Your Own Device (BYOD), representan una seria amenaza para la seguridad de la información de las organizaciones. La convivencia de información personal y profesional en un mismo dispositivo, dificulta su gestión, y por tanto, la gestión de dichos activos, la protección ante malware, etc.
– La “nube”: De igual modo, el almacenamiento de información en la nube es cada vez más frecuente. Las facilidades que aportan servicios como Dropbox, Google Drive o Skydrive hacen que cualquier solución organizativa para compartir controladamente la información del negocio no sea bien valorada por los trabajadores. Además, cada vez es más habitual la utilización de servicios, ya sea en cualquiera de sus modalidades, SaaS, PaaS o IaaS, o en cuanto a su aislamiento (cloud pública, privada o híbrida). Convivir en estos servicios en la nube con otras organizaciones, denominado riesgo del multitenancy, puede hacer que suframos las consecuencias de ataques, o malos usos realizados por terceros.
– Ciberamenazas: Como recoge la nueva estrategia de seguridad Nacional, donde se describen los 12 principales riesgos para la seguridad nacional, las ciberamenazas se sitúan como una de las situaciones que pueden llegar a afectar afectan a la seguridad del Estado. Debemos considerar los riesgos que para las organizaciones implican los ciberataques (hacktivismo, ciberespionaje, APTs…) ya que estas amenazas se han convertido en importantes riesgos para la seguridad de la información. Diferentes estudios apuntan la previsión del aumento de los ataques dirigidos en 2013 por lo tanto estas situaciones deben ser consideradas.
– Concienciación y formación: El riesgo de trabajadores o colaboradores no formados y concienciados es evidente. Si cada vez es más complejo el control de los perímetros de seguridad ante la potencial “desperimetración” de las compañías, debemos evaluar la gestión de nuevos controles, entre los que, sin lugar a dudas, tiene cabida la concienciación y formación en materia de seguridad de la información.
¿Cómo enfrentarse a un análisis de riesgos?
Existe un nutrido número de metodologías y marcos de referencia para desarrollar análisis de riesgos tecnológicos y de seguridad: CRAMM, NIST 800-30, Magerit V3, ISO 27005… el número es amplio. Incluso puede optarse por el desarrollo de una metodología propia que permita identificar los riesgos, compararlos a lo largo de tiempo y simplificar el estudio y gestión de los mismos. La metodología, eso sí deberá cubrir los objetivos y necesidades específicas de cada empresa.
De forma general, podemos identificar como fases para el análisis y gestión de riesgos de los sistemas de información las siguientes:
¿Seguridad basada en riesgos?
La respuesta es sí. Basar la gestión de la seguridad en un enfoque basado en los resultados de análisis de riesgos ofrece a las organizaciones:
a.Conocimiento de los riesgos a los que se encuentra sometida.
b.Entendimiento y justificación de los costes en base a los impactos potenciales en la organización, lo que permite un equilibrio entre el coste de los controles y el coste de los potenciales daños.
c.Equilibrio en los procesos y en la priorización de las acciones.
Una última reflexión
Como dice el refrán, “sin riesgo, no hay gloria”, en sistemas de información, sin riesgos controlados, no hay gloria, entendiendo la gloria en este caso como la garantía de tener adecuadamente gestionadas las situaciones de riesgo que pudieran llegar a afectar a los sistemas de información de las organizaciones.