--Originally published at Héctor H.F. Blog
¡Hola de nuevo a todos! Ya hace un mes de mi último post, una disculpa. En este seré breve, hablaré un poco sobre la gestión de riesgos (risk management) en las tecnologías de información y algunos frameworks relacionados a ello. Empecemos.
Antes que nada, así como yo antes de esta publicación, muchos de ustedes no tendrán idea de lo que es la gestión de riesgos. Así que vamos definiendo eso primero. La gestión de riesgos sirve para “identificar, analizar y cuantificar las probabilidades de pérdidas y efectos secundarios que se desprenden de los desastres, así como de las acciones preventivas, correctivas y reductivas correspondientes que deben emprenderse”. Más información sobre esto puede ser encontrada en este enlace http://www.eird.org/cd/toolkit08/material/proteccion-infraestructura/gestion_de_riesgo_de_amenaza/8_gestion_de_riesgo.pdf. Creo que no es necesario decir cómo esto se puede aplicar a la tecnología de una empresa.
Como se ha dicho en varias publicaciones, la tecnología en la actualidad es indispensable para casi cualquier empresa. Una buena empresa debe contar con las mejores herramientas tecnológicas y estarlas actualizando constantemente, esto con el fin de tener mejor productividad. Claro que estas innovaciones tecnológicas siempre tendrán posibilidades de fallar o de no ser tan buenas como se pensaba en un principio. Son estos riesgos a los que nos referimos en el párrafo anterior.
Hay varios posibles riesgos tecnológicos, estos son los más comunes: filtración de información confidencial a personas no autorizadas (riesgo de seguridad y acceso); información no verídica, confiable, exacta o segura del todo (riesgo de integridad), no obtener información adecuada en tiempo preciso para su aplicación correcta (riesgo pertinente), perder el servicio por fallo tecnológico (riesgo de disponibilidad), entre otros.
Hay muchas soluciones para lo anterior. Unas de ellas son los frameworks. Estos frameworks proveen un proceso estructurado y disciplinado que integran la seguridad de la información y
Esto es más o menos un plan de gestión de riesgos.
Algunos frameworks son los siguientes:
ISO 27005 framework
La evaluación del riesgo recibe como entrada la salida del establecimiento de contexto (primer paso en este framework) y como salida, la lista de riesgos evaluados, ordenados de acuerdo al criterio de evaluación del riesgo. El proceso puede ser dividido en estos pasos: Análisis del riesgo (dividido en identificación del riesgo y estimación del mismo) y la evaluación del riesgo. Lo que se evalúa en este análisis, como mencioné, lo veremos en otro post.
NIST SP 800 30 framework
Durante la evaluación del riesgo, para determinar la probabilidad de un evento adverso en el futuro, las amenazas a un sistema deben estar en conjunto con las posibles vulnerabilidades y los controles establecidos para el sistema. El impacto hace referencia a la magnitud de daño que puede ser causada por un ejercicio de vulnerabilidad de amenaza. El nivel de impacto se rige por los impactos potenciales de la misión y produce un valor relativo para los activos de las tecnologías de información y los recursos afectados.
Algunos frameworks se pueden obtener fácilmente en Internet y de manera gratuita, como es el caso de Isaca http://www.isaca.org/About-ISACA/Press-room/News-Releases/Spanish/Pages/ISACA-Launches-Risk-IT-Framework-to-Help-Organizations-Balance-Risk-with-Profit-Spanish.aspx
Hasta aquí llega el post de hoy. Espero tener una semana productiva y hoy mismo o mañana tendrán otra publicación. Sé que esto de los frameworks para algunos no quedó del todo claro, así que si tienen dudas o aclaraciones las pueden poner en los comentarios.
¡Hasta pronto!
Héctor H.F.
