Una potente herramienta que habitualmente es usada por los responsables de las áreas de seguridad informática es el análisis de riesgos, que no es nada más que una evaluación de los peligros que pueden afectar la operación informática de una organización con una consecuente parálisis del negocio. En general el análisis de riesgos buscará prevenir situaciones adversas mediante el juicioso estudio de factores tales como posibilidad de robo, de intrusión o de destrucción intencional o accidental de la información, esto incidirá en el funcionamiento y desarrollo de las actividades de la empresa.
Todo análisis de riesgos consta de cuatro etapas fundamentales:
La primera consiste en realizar el inventario de todos los activos que participan en la gestión de la información. Tales activos pueden ser software, hardware, elementos de comunicación, bases de datos, manuales, además del recurso humano, y deben ser incluidos en un diagrama que indique la forma en que participan dentro del flujo habitual de la información.
Una segunda implica estudiar los riesgos y amenazas inherentes a la actividad informática, entre tales amenazas están: 1) Los ataques externos; es decir, actividades de la ciberdelincuencia que busca acceder en forma no autorizada a los datos de la organización para copiarlos, alterarlos, destruirlos o para tan solo para negar su acceso. 2) Los errores humanos, los cuales pueden conducir a la pérdida o alteración de la información, la divulgación no autorizada de datos confidenciales, así como al mal funcionamiento de los sistemas de información. 3) Los desastres naturales, los cuales ponen en peligro la integridad de los datos y el funcionamiento tanto del hardware y software como de las comunicaciones. 4) Las situaciones atípicas, como por ejemplo el momento justo en que se hace la renovación de equipos, en cuyo caso existirán elementos que en forma transitoria no cuentan con todas las características de seguridad que son exigidas.
Habitualmente el análisis de riesgos acudirá a datos estadísticos de incidentes pasados, ello con la finalidad de partir de cifras reales que describan por ejemplo: tiempos de recuperación, complejidad de las soluciones frente a los incidentes, dimensión de la afectación según el tipo de riesgo, etc.
La tercera etapa se centra en detectar las vulnerabilidades que tienen los activos informáticos por sí mismos; como ejemplos están los siguientes: 1) Cuando se están creando medios de autenticación se podría no considerar impedir a los usuarios asignar contraseñas poco seguras, tal situación es una vulnerabilidad. 2) Si las copias de seguridad se realizan al final de la jornada laboral se puede presentar una posible pérdida de datos, específicamente cuando un fallo ocurre justo antes que se cree tal copia. 3) Cuando un programa de renovación de equipos no se ejecuta regularmente se puede presentar que algunos ordenadores cuenten con un sistema operativo obsoleto o no actualizable, o no dispongan de sistemas de seguridad modernos debido a que éstos solo funcionan en equipos con ciertos requisitos técnicos, por lo que aquí existiría una vulnerabilidad.
En la cuarta etapa se deberán establecer medidas de prevención y control cuya finalidad será evitar que se produzca un riesgo o se minimice su impacto. Medidas como instalar antivirus y sistemas cortafuegos, implementar almacenamiento en la nube, crear procedimientos de seguridad y manejo de contraseñas, realizar una revisión periódica de los roles y privilegios de los usuarios, adquirir seguros contra daños o mal funcionamiento de los equipos e implementar sistemas automatizados para crear copias de seguridad en tiempo real son algunas de las acciones típicas que se toman frente a los riesgos habituales.
Se debe tener en cuenta que un análisis de riesgos adecuado se soporta mediante informes periódicos que comparan los resultados esperados en términos de seguridad frente a las medidas aplicadas. Tales informes permitirán medir su efectividad y facilitarán la mejora continua de la seguridad ya que cuando se identifican puntos débiles generalmente se toman acciones correctivas.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
