¿Estamos seguros?
 |
|
No es una pregunta que se pueda responder fácilmente o de forma directa, especialmente si es formulada por el director general de una empresa al encargado de la seguridad informática. Usualmente la respuesta será un “depende” o mejor aun, otra pregunta: “¿relativo a qué?”. Y no es que los encargados de la seguridad sean esquivos o que no conozcan el estado de los sistemas; al contrario, conocen lo suficiente como para saber que la respuesta no puede ser un simple “sí” o “no” como esperaría el director. Lograr la perfección o la seguridad total es ilusorio, pero ¿hasta dónde es humanamente posible llegar? Los riesgos tecnológicos, como todos los riesgos, se administran por medio de acciones dirigidas a mitigarles, como los controles -administrativos, técnicos u operacionales-. La palabra clave aquí es mitigar, ya que su significado indica moderar, aplacar, disminuir o suavizar algo, no eliminarlo por completo. Al mitigar un riesgo, por fuerza nos quedará al último un porcentaje del mismo que formará el riesgo residual, el cual debemos atender, ya sea mitigándolo, transfiriéndolo o aceptándolo.
Riesgo residual Mitigar el riesgo residual implica la implantación de controles compensatorios; por ejemplo, si un sistema de ERP no puede mantener un registro del número y fecha/hora de las impresiones de un determinado documento financiero de alta sensibilidad, será preciso implantar -a manera de control compensatorio- un proceso externo al sistema, ya sea mediante un software ex-profeso/comercial o incluso mediante un proceso manual que tenga a cuenta las impresiones realizadas, así como su fecha/hora. Transferir el riesgo supone compartir con un tercero (ejemplo una aseguradora) este riesgo residual. Se comparte, ya que en el caso de una póliza de seguros, existe un deducible que será nuestro riesgo residual marginal.
Asimismo, la organización puede optar por aceptar el riesgo residual y vivir con sus potenciales consecuencias negativas. Esta decisión debe ser tomada por la más alta autoridad del negocio, ya que será la última responsable en el caso de que estas consecuencias negativas se llegasen a materializar. Indudablemente e incluso después de una correcta administración de los riesgos, nos enfrentaremos al riesgo residual. Es por esto que la respuesta a la pregunta ¿estamos seguros? no puede ser binaria, ya que se incurriría en discusiones bizantinas al estilo del vaso medio lleno o medio vacío. El nivel de certeza, en cuanto a la seguridad, aumenta en la medida que nos movemos de lo general (¿estamos seguros?) a lo particular (qué tan seguros estamos) y hasta a lo más particular (qué tan segura es nuestra red). Para estos casos, por medio de un análisis de riesgo es posible establecer métricas lo suficientemente precisas para determinar el nivel de efectividad de los controles y, por ende, el nivel de seguridad.
Cobit Una valiosa herramienta para lograr este objetivo es la guía Cobit Control OBjectives for Information and related Technology; es decir, objetivos de control para tecnología de la información y relacionada), que mediante su modelo de madurez nos sugiere seis niveles que nos asisten para determinar el alcance de los controles: 0– No existente: No existe control en lo absoluto 1– Inicial: Los controles son ad hoc y carecen de organización 2– Repetible: Los controles siguen un patrón regular 3– Definido: Los controles están documentados y son comunicados 4– Administrado: Los controles son monitoreados y medidos 5– Optimizado: Los controles siguen las mejores prácticas y son automatizados Es preciso aclarar que para determinar el nivel que reporta un control o conjunto de éstos es necesario realizar un análisis detallado que tome en cuenta la función especifica de cada uno, el activo que está protegiendo, así como las amenazas y vulnerabilidades a las que se enfrenta.
*Dante Ferrini es director de la Unidad de Negocio de Seguridad de la Información de Mattica, primer laboratorio de cómputo forense en México y Centroamérica. Tiene certificaciones CISSP, CISA y CSM.
|
