Cuando analizamos amenazas para una organización necesitamos calcular el riesgo que cada amenaza posee. El riesgo abarca dos elementos - probabilidad e impacto.
Los impactos negativos que resultarían de una amenaza que materializa su riego, se pueden determinar mediante con precisión a través de un proceso tal como el de análisis del impacto del negocio, o BIA por su siglas en íngles, empleado como parte de un programa de la gerencia de la continuidad del negocio. Los impactos negativos tales como pérdida de ingresos, perdida de oportunidades del negocio, brechas en la legislación y/o la regulación, de inconformidades del cliente, de impacto negativo, de pérdida de la acción en el mercado etc. Estos riesgos pueden ser analizar con los representantes relevantes del negocio para llegar un estimado de costos probable a la organización si la amenaza se llega a materializar.
De acuerdo con los cálculos del riesgo en la organización se acuerda generalmente la línea de especificaciones que se deben seguir para manejar la amenaza es decir para aceptar, para transferir, para tratar o para evitar el riesgo. El problema es que al optar por un cálculo de la probabilidad es muy inexacto.
¿Cómo definirías la probabilidad de que tú casa sea robada- Puedes decir que la probabilidad es “muy baja” dado el bajo índice de robos que hay gracias a la seguridad, alarmas anti asaltos y un histórico de que en tu calle no se ha realizado ningún robo con allanamiento de morada en los últimos 10 años.
Ahora, ¿qué pensarías si te digo que un ladrón profesional acaba de mudarse a una casa contigua a la tuya y le agregamos que ha llegado a tener acceso a las cuentas de tu sistema de seguridad captándolas desde tú ventana- Claramente se aumenta la probabilidad de que el evento ocurra en una muestra o dos.
Si hubiéramos puesto a los 100 mejores valuadores de riesgos del mundo en un cuarto el 10 de septiembre de 2001 y hubiéramos pedido que calcularan la probabilidad de que las torres gemelas fueran destruidas con alrededor 3.000 vidas perdidas en el plazo de las próximas 24 horas, ¿cuántas de ellas habrían dicho “el grado de la probabilidad está en el tope de la escala - de hecho es una cosa segura”-
¿Cuántas veces los investigadores de fraudes escucharon una observación a lo largo de la línea de investigación “yo nunca creería que Fred podría haber robado el dinero de la firma. Él siempre aparento ser un tipo simpático- (la respuesta es muchas veces).
Básicamente el problema con la probabilidad es que está basado en el juicio subjetivo y en un análisis de los hechos como los sabemos en aquel momento. Si no estamos enterados de todos los hechos entonces puede ocurrir que nuestro análisis de de riesgos no sea el correcto. También la mayoría de gente es optimista y por lo tanto piensa que las malas cosas no le sucederán. Este tipo de análisis se ajusta la visión de la organización. En mi experiencia como jefe directivo de los equipos parece tener optimismo ilimitado mientras que necesitan algo más para rendirse en este aspecto, se guarda en la compañía y comienza la competición.
Hazte la siguiente pregunta y contesta honestamente “El hecho de que una amenaza seria de la seguridad para la organización no se ha materializado hasta ahora se debe a) los controles, b) la suerte o c) no lo hemos visto aún.”
¿Cómo se consigue controlar los riesgos- La manera más confiable que veo es que necesitamos siempre asumir el peor escenario, por ejemplo, que la amenaza deba o no materializarse con una probabilidad muy baja.
En otras palabras necesitamos controles de seguridad en la información para tratar de prevenir las brechas de seguridad serias, pero también debemos dar continuidad al plan, incluyendo las tecnologías y los sistemas de recuperación, los cuales deberán proporcionarnos una estrategia de soporte, para responder y regresar a la organización al estado usual si una brecha de seguridad sería ocurre.
¿Si tu organización tiene un plan de continuidad del negocio, incluyendo los equipos de respuesta y el proceso indispensables de la actualización que lo sostiene, para una flexible materialización de la amenaza de la seguridad de la información- Una forma para comprobar esto es probarla con un ejercicio directo.
Recibir a un equipo primario de respuesta en un cuarto de reunión y darles un escenario para manejar, por ejemplo “Informarles que nuestros principales competidores tienen una copia de nuestro plan de negocio confidencial” o “un virus nuevo ha conseguido penetrar nuestras defensas y está afectando la funcionalidad en nuestra red” o “un empleado acaba de confesar que ha desfalcado a la organización con una fuerte suma de dinero en los 5 años anteriores.”
Un plan bien preparado de la continuidad del negocio debería cubrir ya la implicación de los gerentes y del experto para estos panoramas. Tal ejercicio ayudará a entender si o no el plan de contingencia del negocio es apropiado para manejar las amenazas relacionadas con la seguridad de la información que se materializan. El plan debe también probar un escalamiento de procesos existente y es apropiado a las aberturas serias de la seguridad de la información. Después de todo, nunca se sabe realmente cuál es la probabilidad verdadera de que una vulnerabilidad seria ocurrirá, muy, muy pronto.
Fuente: Securitypark EGM/JLO
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT