ASIBA - Asociación de Seguridad Informática de la Provincia de Buenos Aires |

La seguridad de la información es la percepción del riesgo

Cuando se asume la responsabilidad de gobernar las tecnologías de la información a nivel corporativo, inmediatamente se aceptan altos retos particularmente interesantes; estar al tanto de la amenazas que propone el mundo informático, encontrándose entre otras la intercepción de información, la interrupción de procesos críticos, la modificación de transacciones y la generación de códigos arbitrarios, como también conocer las vulnerabilidades sin importar su naturaleza, (ya sean lógicas, físicas, naturales o humanas), que pudieran materializar las amenazas anteriormente manifestadas, dado que estas son actividades informáticas que golpean una y otra vez los sistemas de información.

En circunstancias normales, los responsables de seguridad actúan proactivamente para prevenir los efectos perniciosos de los ataques, y cuando no hay más remedio, porque la prevención ha fallado, se actúa a posteriori. Pero, ¿se plantean los responsables antes de cualquier otra cosa, medir el impacto que conllevan estas amenazas y vulnerabilidades?

Dada la dificultad que presenta la administración de los riesgos, es difícil equilibrar la la cantidad de riesgo que estamos dispuestos a asumir versus la cantidad de recursos financieros de los que disponemos para mitigar los riesgos en materia de seguridad de la información.

La gestión del riesgo se ha convertido en un escollo para la dirección estratégica de las organizaciones que confían en metodologías reconocidas para alimentar sus sistemas de gestión. Sobre todo se hace especialmente difícil gestionar el riesgo en aquellas empresas cuyos procesos críticos dependen de la disponibilidad de las tecnologías de la información, sobre todo, cuando la seguridad de esos procesos es igualmente crítica para la funcionalidad del negocio, como ocurre en los bancos, las telcos, los proveedores de internet, entidades gubernamentales y muchas otras organizaciones donde un fallo crítico puede suponer, en el mejor de los casos, una perdida de la continuidad del negocio.

En estos casos la gestión del riesgo deja de ser algo opcional para convertirse en algo obligatorio. En éstos últimos tiempos han surgido cambios constantes en las tendencias de gestión y se han ampliado las metodologías para la gestión de riesgos que ayudan a controlar y administrar los mismos, proporcionando al mínimo coste, la máxima integridad, disponibilidad y confidencialidad de la información corporativa. Tarea compleja, sin duda, teniendo en cuenta las muchísimas variables de las que depende el riesgo.

La gestión de la seguridad de la información es muy extensa, pero sin duda alguna, uno de sus puntos claves es la adecuada gestión del riesgo. Equilibrar las decisiones a tomar en función del riesgo informático, en la gran mayoría de las veces es difícil de abordar, y la incertidumbre de los resultados es muy elevada, especialmente cuando no hay datos anteriores que permitan proyectar una posible tendencia. Sin animo de hacer imposible la gestión del riesgo, se debe tener en cuenta también que hay riesgos incontrolables y que por tanto escapan a toda planificación. Pero esto no puede debe ser obstáculo para que apartemos a un lado los riesgos, y sigamos mirando al frente como si nada hubiera pasado.

Es preciso tener claro que establecer contramedidas para mitigar absolutamente todos los riesgos es algo, por decirlo de alguna manera, inaplicable; por cuestiones económicas y de índole operativa por los cambios constantes de tecnologías e investigaciones de avanzada sobre problemas de seguridad.
Asimismo, tampoco sería correcto asumir la totalidad de los riesgos, sin invertir en ninguna medida de control de los mismos. Es necesario llegar a un equilibrio entre inversión y riesgo asumido voluntariamente. Y éste ultimo concepto es el objetivo principal de la gestión de los riesgos.

Existen distintas maneras y metodologías de gestionar adecuadamente el riesgo. Desde luego, siempre se aconseja emplear metodologías reconocidas ya que éstas emanan de una experiencia y un contraste que las hace válidas a priori. Entre estas, podemos mencionar:

A nivel internacional, la norma ISO/IEC 17799:2000 "Information technology - Code of practice for information security management", que recientemente, el 17 de mayo de 2005, se ha presentado una ampliación de la misma, denominada ISO/IEC 17799:2005 "Information technology - Security techniques - Code of practice for information security management".

Esta norma internacional deriva del marco reglamentario BS 7799, elaborado y definido por el British Standards Institution, en el que se definieron diez dominios de control para gestionar adecuadamente los sistemas de la información. Estos puntos de control han sido contemplados igualmente en el marco ISO 17799 y sus trasposiciones a normas nacionales. Asimismo, cabe destacar que en la versión nueva del ISO/IEC 17799:2005 se observan ampliaciones en los dominios y cambios significantes en los contenidos y controles afectados a estos.

En resumen, es fácil comprobar cómo la seguridad de la información es mucho más que la seguridad informática más tradicional, y es fácilmente observable como, a la hora de hablar de seguridad de la información, todo gira en torno a un eje temático: La gestión del riesgo.

< VOLVER A NOTAS