![\"\"](\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2024\/02\/ciberviernes-300x165.jpg\")
![\"An\u00e1lisis](\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2024\/05\/riesgos_b.png\")
Gesti\u00f3n de riesgos.
Imagen creada con una herramienta de Inteligencia artificial<\/p><\/div><\/p>\n
En lo referido a la seguridad de la informaci\u00f3n, todos los caminos convergen en la prevenci\u00f3n, como \u00fanica garant\u00eda para evitar p\u00e9rdidas que afecten el curso de los procesos esenciales de una organizaci\u00f3n.<\/p>\n
Lo expuesto antes tiene su justificaci\u00f3n en el hecho de que la informaci\u00f3n es una creaci\u00f3n irrepetible. Se puede crear y se puede rehacer, pero nunca quedar\u00e1 igual, sin contar el hecho de la p\u00e9rdida de tiempo y esfuerzo en la repetici\u00f3n de la tarea.<\/p>\n
Un simple ejercicio puede demostrar la veracidad de lo expuesto: Escriba un p\u00e1rrafo dos veces, para la segunda versi\u00f3n no consulte la inicial y ser\u00e1n notorias las diferencias en las dos versiones.<\/p>\n
<\/p>\n
Entonces para lograr una actuaci\u00f3n preventiva en la protecci\u00f3n de la informaci\u00f3n, requiere de un enfrentamiento a las amenazas que se ciernen sobre ella y la probabilidad de que estas se materialicen.<\/p>\n
Esto lleva a la necesidad de presentar los dos conceptos que ser\u00e1n el hilo conductor del tema: amenaza y riesgo.<\/p>\n
El decreto 360\/2019 que norma las cuestiones de la seguridad de las TIC y la defensa del ciberespacio nacional define ambos conceptos en su articulado.<\/p>\n
El art\u00edculo 6 define amenaza como la situaci\u00f3n o acontecimiento que pueda causar da\u00f1o los bienes inform\u00e1ticos, sea una persona, un programa maligno o un suceso natural o de otra \u00edndole y representan los posibles atacantes o factores que inciden negativamente sobre las debilidades del sistema.<\/p>\n
Por su parte el art\u00edculo 8 define riesgo como la posibilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema inform\u00e1tico y cause un impacto negativo en la organizaci\u00f3n.<\/p>\n
De esto se deduce que en el proceso de protecci\u00f3n de la informaci\u00f3n, debe partirse, para prevenir, del conocimiento de todo aquello que pueda incidir negativamente sobre ella, tomando en consideraci\u00f3n las vulnerabilidades y la probabilidad de que estas amenazas puedan materializarse.<\/p>\n
Esto lleva directamente a un ejercicio esencial para proteger cualquier sistema inform\u00e1tico y por ende, constituye la base del sistema de gesti\u00f3n de seguridad de este: el an\u00e1lisis y la gesti\u00f3n de riesgos.<\/p>\n
Este razonamiento es aplicable a la pr\u00e1ctica cotidiana en las diversas actividades de la vida.<\/p>\n
El proceso debe ser visto en sus dos aristas: la primera, el an\u00e1lisis de riesgos y la segunda, su gesti\u00f3n.<\/p>\n
El an\u00e1lisis de riesgos no es m\u00e1s que un estudio que se realiza en todos los activos de un sistema inform\u00e1tico de la posibles amenazas que se pudieran materializar, aplicando una puntuaci\u00f3n cuantitativa que permitir\u00e1 determinar si la incidencia es baja, media, alta o cr\u00edtica, a partir de la estimaci\u00f3n realizada.<\/p>\n
A este fin son utilizadas diversas metodolog\u00edas, que han sido creadas a nivel internacional. Entre ellas destacan la MAGERIT (Espa\u00f1a), la NIST SP 800-30 y la OCTAVE en sus tres variantes, producidas en EEUU y una de origen franc\u00e9s nombrada MEHARI.<\/p>\n
De manera habitual este proceso se desarrolla a partir de plasmar en una hoja de c\u00e1lculo, un estimado cuantitativo de cada riesgo para cada activo, con lo que se logra obtener el promedio de la suma de estos valores y as\u00ed tener el comportamiento de cada \u00e1rea, conociendo cu\u00e1les son los medios sobre los que deben establecer los controles m\u00e1s f\u00e9rreos, por su incidencia en los procesos sustantivos de la organizaci\u00f3n.<\/p>\n
Este ejercicio es vital para poder acometer la determinaci\u00f3n de las \u00e1reas claves y las maneras de actuar en el Plan de Seguridad de las TIC, pero sobre todo para garantizar la prevenci\u00f3n al conocer:<\/p>\n
1. Qu\u00e9 se trata de proteger.<\/p>\n
2. De qu\u00e9 es necesario protegerse.<\/p>\n
3. Cuan probables son las amenazas.<\/p>\n
Lo que permitir\u00e1:<\/p>\n
4. Implementar los controles que protegen los bienes inform\u00e1ticos.<\/p>\n
5. Revisar y perfeccionar continuamente el proceso para actuar nuevas debilidades.<\/p>\n
El aspecto marcado con el n\u00famero 4, se corresponde con la segunda arista referida antes: la gesti\u00f3n de riesgos, que va a expresar las formas en que cada organizaci\u00f3n va a enfrentarlos.<\/p>\n
El enfrentamiento puede verse desde diversos \u00e1ngulos: se puede asumir porque el costo para enfrentarlos es superior a lo invertido en una relaci\u00f3n costo \u2013 beneficio.<\/p>\n
Los riesgos tambi\u00e9n pueden ser transferidos a terceros, por ejemplo a empresas aseguradoras.<\/p>\n
Pero tambi\u00e9n el enfrentamiento puede llevar a la eliminaci\u00f3n o a la mitigaci\u00f3n de los riesgos. En este sentido la organizaci\u00f3n desarrollo un sistema de acciones que estar\u00e1n plasmadas en el Plan de seguridad de las TIC a trav\u00e9s de las pol\u00edticas, las medidas y los procedimientos, que expresan el mandato y las maneras para cumplir lo dentro de la entidad. <\/p>\n
Las pol\u00edticas son la manera en que la direcci\u00f3n de una organizaci\u00f3n define que se puede hacer y que no en el entorno de las TIC y para hacer que se cumplan se establecen medidas, que van a ordenar el proceso, para lo que existen los procedimientos, donde se dice qui\u00e9n, c\u00f3mo y cu\u00e1ndo se realiza cada acci\u00f3n para cumplir las pol\u00edticas que expresan el \u201cqu\u00e9\u201d.<\/p>\n
Estas cuestiones, que se han expuesto en el entorno de las TIC, contienen ideas que pueden ser aplicadas en otras esferas de la vida y por ende, a los planes de prevenci\u00f3n que de manera habitual se desarrollan en las instituciones para su protecci\u00f3n general.<\/p>\n
En Cuba el proceso para las TIC est\u00e1 normado por la resoluci\u00f3n 129\/2019 del MINCOM, pero si se analiza la resoluci\u00f3n 60\/2011 de la Contralor\u00eda General de la Rep\u00fablica de Cuba, se podr\u00e1n apreciar las coincidencias en la l\u00f3gica del proceso.<\/p>\n
En lo referido a la seguridad de la informaci\u00f3n, todos los caminos convergen en la prevenci\u00f3n, como \u00fanica garant\u00eda para evitar p\u00e9rdidas que afecten el curso de los procesos esenciales de una organizaci\u00f3n. Lo expuesto antes tiene su justificaci\u00f3n en … Sigue leyendo