Gestión de riesgos.
Imagen creada con una herramienta de Inteligencia artificial
En lo referido a la seguridad de la información, todos los caminos convergen en la prevención, como única garantía para evitar pérdidas que afecten el curso de los procesos esenciales de una organización.
Lo expuesto antes tiene su justificación en el hecho de que la información es una creación irrepetible. Se puede crear y se puede rehacer, pero nunca quedará igual, sin contar el hecho de la pérdida de tiempo y esfuerzo en la repetición de la tarea.
Un simple ejercicio puede demostrar la veracidad de lo expuesto: Escriba un párrafo dos veces, para la segunda versión no consulte la inicial y serán notorias las diferencias en las dos versiones.
Entonces para lograr una actuación preventiva en la protección de la información, requiere de un enfrentamiento a las amenazas que se ciernen sobre ella y la probabilidad de que estas se materialicen.
Esto lleva a la necesidad de presentar los dos conceptos que serán el hilo conductor del tema: amenaza y riesgo.
El decreto 360/2019 que norma las cuestiones de la seguridad de las TIC y la defensa del ciberespacio nacional define ambos conceptos en su articulado.
El artículo 6 define amenaza como la situación o acontecimiento que pueda causar daño los bienes informáticos, sea una persona, un programa maligno o un suceso natural o de otra índole y representan los posibles atacantes o factores que inciden negativamente sobre las debilidades del sistema.
Por su parte el artículo 8 define riesgo como la posibilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema informático y cause un impacto negativo en la organización.
De esto se deduce que en el proceso de protección de la información, debe partirse, para prevenir, del conocimiento de todo aquello que pueda incidir negativamente sobre ella, tomando en consideración las vulnerabilidades y la probabilidad de que estas amenazas puedan materializarse.
Esto lleva directamente a un ejercicio esencial para proteger cualquier sistema informático y por ende, constituye la base del sistema de gestión de seguridad de este: el análisis y la gestión de riesgos.
Este razonamiento es aplicable a la práctica cotidiana en las diversas actividades de la vida.
El proceso debe ser visto en sus dos aristas: la primera, el análisis de riesgos y la segunda, su gestión.
El análisis de riesgos no es más que un estudio que se realiza en todos los activos de un sistema informático de la posibles amenazas que se pudieran materializar, aplicando una puntuación cuantitativa que permitirá determinar si la incidencia es baja, media, alta o crítica, a partir de la estimación realizada.
A este fin son utilizadas diversas metodologías, que han sido creadas a nivel internacional. Entre ellas destacan la MAGERIT (España), la NIST SP 800-30 y la OCTAVE en sus tres variantes, producidas en EEUU y una de origen francés nombrada MEHARI.
De manera habitual este proceso se desarrolla a partir de plasmar en una hoja de cálculo, un estimado cuantitativo de cada riesgo para cada activo, con lo que se logra obtener el promedio de la suma de estos valores y así tener el comportamiento de cada área, conociendo cuáles son los medios sobre los que deben establecer los controles más férreos, por su incidencia en los procesos sustantivos de la organización.
Este ejercicio es vital para poder acometer la determinación de las áreas claves y las maneras de actuar en el Plan de Seguridad de las TIC, pero sobre todo para garantizar la prevención al conocer:
1. Qué se trata de proteger.
2. De qué es necesario protegerse.
3. Cuan probables son las amenazas.
Lo que permitirá:
4. Implementar los controles que protegen los bienes informáticos.
5. Revisar y perfeccionar continuamente el proceso para actuar nuevas debilidades.
El aspecto marcado con el número 4, se corresponde con la segunda arista referida antes: la gestión de riesgos, que va a expresar las formas en que cada organización va a enfrentarlos.
El enfrentamiento puede verse desde diversos ángulos: se puede asumir porque el costo para enfrentarlos es superior a lo invertido en una relación costo – beneficio.
Los riesgos también pueden ser transferidos a terceros, por ejemplo a empresas aseguradoras.
Pero también el enfrentamiento puede llevar a la eliminación o a la mitigación de los riesgos. En este sentido la organización desarrollo un sistema de acciones que estarán plasmadas en el Plan de seguridad de las TIC a través de las políticas, las medidas y los procedimientos, que expresan el mandato y las maneras para cumplir lo dentro de la entidad.
Las políticas son la manera en que la dirección de una organización define que se puede hacer y que no en el entorno de las TIC y para hacer que se cumplan se establecen medidas, que van a ordenar el proceso, para lo que existen los procedimientos, donde se dice quién, cómo y cuándo se realiza cada acción para cumplir las políticas que expresan el “qué”.
Estas cuestiones, que se han expuesto en el entorno de las TIC, contienen ideas que pueden ser aplicadas en otras esferas de la vida y por ende, a los planes de prevención que de manera habitual se desarrollan en las instituciones para su protección general.
En Cuba el proceso para las TIC está normado por la resolución 129/2019 del MINCOM, pero si se analiza la resolución 60/2011 de la Contraloría General de la República de Cuba, se podrán apreciar las coincidencias en la lógica del proceso.