Seguridad y riesgos en las TIC (II)

Seguimos en esta segunda entrada de la serie (ver primera parte) definiendo e introduciendo algunos conceptos básicos relacionados con la gestión del riesgo y la seguridad. Como estrella de la serie, tenemos por supuesto el riesgo, que podemos definirlo como aquella eventualidad que imposibilita el cumplimiento de un objetivo. De manera cuantitativa, el riesgo es una medición de las posibilidades de incumplimiento del objetivo planteado, y en lo relacionado con tecnología, generalmente determina el grado de exposición a la ocurrencia de una pérdida (por ejemplo el riesgo de perder datos debido a avería de disco, virus informáticos, etc.).

La Organización Internacional por la Normalización (ISO) define el riesgo tecnológico (Guías para la gestión de la seguridad de TI /TEC TR 13335-1, 1996) como:

“La probabilidad de que una amenaza se materialice, utilizando vulnerabilidades existentes de un activo o un grupo de activos, generándole perdidas o daños”.

En la definición anterior se pueden identificar varios elementos que se deben comprender adecuadamente para, actuando en consecuencia, comprender de manera íntegra el concepto de riesgo que aquí se utiliza. Estos elementos son, tal y como se indican en el siguiente esquema: probabilidad, amenazas, vulnerabilidades, activos e impactos.

esquemariesgo.jpg

Empecemos por lo básico: los activos. En nuestro caso son aquellos recursos relacionados con el sistema de información o relacionado con éste, necesario para el correcto funcionamiento de la organización. Ejemplos típicos son los datos, el hardware, el software, servicios, documentos, la imagen corporativa, el conocimiento, los edificios y recursos humanos.

A continuación, tenemos las amenazas. Por desgracia, siempre hay amenazas, que son aquellas acciones o situaciones que pueden ocasionar consecuencias negativas en la operativa de la empresa, entidad u organismo. Comúnmente se indican como amenazas los fallos de programación, los virus, uso inadecuado de software, los desastres ambientales como terremotos o inundaciones, accesos no autorizados, facilidad de acceso a las instalaciones, etc. Las amenazas pueden ser de carácter físico (una inundación) o lógico (un acceso no autorizado a un sistema).

En tercer lugar tenemos las vulnerabilidades, en el sentido más técnico del término. Éstas son ciertas condiciones inherentes a los activos que facilitan que las amenazas se materialicen y llevan a esos activos a ser vulnerables. Por supuesto, la existencia de vulnerabilidades es crucial para la materialización de una amenaza; dicho de otra forma, las amenazas siempre están presentes, pero sin la identificación de una vulnerabilidad no podrán ocasionar ningún impacto. Entre otras, podríamos citar la falta de conocimiento del usuario, tecnologías inadecuadamente probadas, transmisión de datos por redes públicas, etc. Una vulnerabilidad común es contar con un antivirus no actualizado, lo cual permitirá al virus actuar y ocasionar daños. Si el antivirus estuviese actualizado, la amenaza (virus), si bien potencialmente seguiría existiendo, no podría materializarse, ni por lo tanto, crear daño alguno.

Entramos en lo que es uno de los factores determinantes del nivel de riesgo: la probabilidad. Como es obvio, el punto anterior (vulnerabilidad) y este vienen a reflejar aspectos prácticamente idénticos: las vulnerabilidades de un activo determinan al fin y al cabo la probabilidad de la materialización de una amenaza. Es por ello que dependiendo de la metodología, podamos encontrar “probabilidad” o “vulnerabilidad”. La probabilidad de una ocurrencia puede determinarse de manera cuantitativa o cualitativa, pero siempre considerando que la valoración que realicemos no debe contemplar la existencia de ninguna acción paliativa (o salvaguarda, o control). Dicho de otra forma, debe considerarse en cada caso qué posibilidades existen que la amenaza se materialice, independientemente de las salvaguardas que existan para contrarrestarla. Por ejemplo, el riesgo de incendio en un CPD debe considerarse independientemente de los posibles sensores de temperatura (ya veremos porqué en la siguiente entrada). Para la cuantificación, existen amenazas, como por ejemplo incendios, de las que se dispone de información suficiente (series históricas, compañías de seguros y otros datos) para establecer con razonable objetividad su probabilidad de ocurrencia. Otras amenazas presentan mayor dificultad en establecer cuantitativamente la probabilidad, como por ejemplo el acceso no autorizado a datos, dónde se hacen estimaciones sobre la base de conocimiento o experiencia previa. En este caso, para el personal interno del Centro de Proceso de Datos (CPD), la probabilidad puede ser del 70%, mientras que para el personal de la organización externo al CPD del 45%, y para personas externa el 20%.

Finalmente, y como el segundo factor para el cálculo del riesgo, tenemos el impacto, que son las consecuencias de la ocurrencia de una amenaza. Simplificando, algunas de ellas son las pérdidas económicas, la pérdida de confianza (imagen de marca), la reducción de la eficiencia (productividad), el daño a las personas o el perjuicio para el medio ambiente.

Una vez vistos estos puntos, siempre desde un punto de vista superficial e introductorio (hay mucho que rascar, aquí), en la próxima entrada pasaremos a ver qué es el Análisis de Riesgos y para qué sirve. Como siempre, pasen un buen fin de semana.