La seguridad de la información es la percepción del riesgo

Cuando se asume la responsabilidad de gobernar las tecnologías de la información a nivel corporativo, inmediatamente se aceptan altos retos particularmente interesantes.

Entre estos desafíos sobresale el estar al tanto de la amenazas que propone el mundo informático (intercepción de información, interrupción de procesos críticos, modificación de transacciones y generación de códigos arbitrarios, entre otras), como también conocer las vulnerabilidades sin importar su naturaleza (lógicas, físicas, naturales o humanas), que pudieran materializar las amenazas anteriormente manifestadas, dado que estas son actividades informáticas que golpean una y otra vez los sistemas de información.

En circunstancias normales, los responsables de seguridad actúan proactivamente para prevenir los efectos perniciosos de los ataques. Y cuando no hay más remedio, porque la prevención ha fallado, se actúa a posteriori. Pero, antes de cualquier otra ¿se plantea medir el impacto que conllevan estas amenazas y vulnerabilidades?

Dada la dificultad que presenta la administración de los riesgos, es difícil equilibrar la la cantidad de riesgo que estamos dispuestos a asumir versus la cantidad de recursos financieros de los que disponemos para mitigar los riesgos en materia de seguridad de la información.

La gestión del riesgo se ha convertido en un escollo para la dirección estratégica de las organizaciones que confían en metodologías reconocidas para alimentar sus sistemas de gestión. Sobre todo se hace especialmente difícil gestionar el riesgo en aquellas empresas cuyos procesos críticos dependen de la disponibilidad de las tecnologías de la información, aún más, cuando la seguridad de esos procesos es igualmente crítica para la funcionalidad del negocio, como ocurre en bancos, telcos, proveedores de internet, entidades gubernamentales y otras organizaciones donde un fallo crítico puede suponer, en el mejor de los casos, una perdida de la continuidad del negocio.

En estos casos la gestión del riesgo deja de ser algo opcional para convertirse en algo obligatorio. Y en éstos últimos tiempos han surgido cambios constantes en las tendencias de gestión y se han ampliado las metodologías para la gestión de riesgos que ayudan a controlar y administrar los mismos, proporcionando al mínimo coste, la máxima integridad, disponibilidad y confidencialidad de la información corporativa. Tarea compleja, sin duda, teniendo en cuenta las muchísimas variables de las que depende el riesgo.

La gestión de la seguridad de la información es muy extensa, pero sin duda alguna, uno de sus puntos claves es la adecuada gestión del riesgo. Equilibrar las decisiones a tomar en función del riesgo informático, en la gran mayoría de las veces es difícil de abordar, y la incertidumbre de los resultados es muy elevada, especialmente cuando no hay datos anteriores que permitan proyectar una posible tendencia. Sin animo de hacer imposible la gestión del riesgo, se debe tener en cuenta también que hay riesgos incontrolables y que por tanto escapan a toda planificación. Pero esto no puede debe ser obstáculo para que apartemos a un lado los riesgos, y sigamos mirando al frente como si nada hubiera pasado.

Es preciso tener claro que establecer contramedidas para mitigar absolutamente todos los riesgos es algo, por decirlo de alguna manera, inaplicable; por cuestiones económicas y de índole operativa por los cambios constantes de tecnologías e investigaciones de avanzada sobre problemas de seguridad.

Asimismo, tampoco sería correcto asumir la totalidad de los riesgos, sin invertir en ninguna medida de control de los mismos. Es necesario llegar a un equilibrio entre inversión y riesgo asumido voluntariamente. Y éste ultimo concepto es el objetivo principal de la gestión de los riesgos.

Existen distintas maneras y metodologías de gestionar adecuadamente el riesgo. Desde luego, siempre se aconseja emplear metodologías reconocidas ya que éstas emanan de una experiencia y un contraste que las hace válidas a priori. Entre estas, podemos mencionar:

A nivel internacional, la norma ISO/IEC 17799:2000 "Information technology - Code of practice for information security management", que el 17 de mayo de 2005, se ha presentado una ampliación de la misma, denominada ISO/IEC 27001:2005 "Information technology - Security techniques - Code of practice for information security management".

En resumen, es fácil comprobar cómo la seguridad de la información es mucho más que la seguridad informática más tradicional. Y es fácilmente observable como, a la hora de hablar de seguridad de la información, todo gira en torno a un eje temático: La gestión del riesgo.



Autor: Ing. Maximiliano M. Canosa (Director Ejecutivo i-Prot)

http://cxo-community.com/articulos/blogs/blogs-seguridad-informatica/1617-la-seguridad-de-la-informacis-la-percepciel-riesgo.html