La gestión de riesgos es uno de los temas más difíciles de manejar al momento de organizar una infraestructura de Seguridad Informática de acuerdo a algún estándar. El modelo que presentó RSA es muy completo, cumple con sus objetivos y puede ser utilizado como una buena herramienta para evangelizar al Canal
La propuesta de RSA consiste en un nuevo marco de trabajo diseñado para que las compañías puedan catalogar y establecer prioridades en materia de riesgos informáticos. Proporciona a las organizaciones una nueva forma de integrarlos al mapa de riesgos generales de la compañía y permite definir en qué grado están preparados para asumirlos en el contexto de la estrategia general de la empresa.
El primer paso es redefinir el término “riesgo informático”. Debe abarcar mucha más que ataques planificados contra sistemas de información. Si bien los ataques son una parte importante de la ecuación, el riesgo informático debe cubrir una gama más amplia de las situaciones que conducen a potenciales pérdidas o daños relacionados con la infraestructura técnica del uso de la tecnología dentro de una organización.
El modelo de RSA ofrece un marco práctico para inventariar y clasificar los riesgos informáticos desde diferentes perspectivas. Podrían ser el resultado de ataques maliciosos deliberados o acciones no malintencionadas realizadas por los usuarios. Los eventos de riesgo también pueden provenir de fuentes externas a la organización, tales como delincuentes informáticos o proveedores, o de personas de dentro de la organización como empleados o consultores.
Para evaluar de forma eficaz el nivel de riesgo que se está dispuesto a asumir, el modelo recomienda que las organizaciones den los siguientes pasos:
- Hacer un inventario exhaustivo de los riesgos
- Cuantificar su impacto potencial
- Establecer prioridades.
Para cumplir con esta primera etapa las empresas se deben hacer las preguntas correctas, como por ejemplo qué pérdidas serían catastróficas y qué información no puede ser accedida por personas no autorizadas o hacerse pública. Deben establecer prioridades de los riesgos en función del impacto, situando los sistemas de funcionamiento críticos para el negocio por delante de elementos como la infraestructura básica y aplicaciones de gestión y páginas Web. Este establecimiento de un orden de prioridades debe ser un proceso continuo, que implique una constante evaluación y revaluación.
Una vez que se tiene el modelo inicial, algunos costos pueden ser fácilmente cuantificados, como por ejemplo:
- Multas
- Honorarios legales
- Pérdida de productividad
- Recursos dedicados a la respuesta a incidentes.
Otros costos pueden ser más difíciles de determinar, como el impacto reputacional negativo o la pérdida de propiedad intelectual.
David Walter, RSA GM, GRC Global, explicó: “El riesgo informático es un problema muy importante en las organizaciones en cuanto a riesgo de negocio, regulación y tecnología. Para hacer frente con eficacia a este escenario, los responsables de la toma de decisiones deben entender los niveles de riesgo que pueden asumir de sus organizaciones; lograr un equilibrio entre el origen y la magnitud de los riesgos frente a los beneficios significaría un cambio estratégico. Entonces podrán tomar decisiones más informadas”.
CLAVES PARA EL CANAL
- Las regulaciones solicitan cada vez más contar con un mapa de riesgos que abarque los riesgos informáticos.
- En la mayoría de los casos, las empresas que cuentan con un área de Gestión de Riesgos tienen registrados sólo los riesgos de IT de manera general.
- El modelo de RSA es una buena base para ofrecerles a los clientes un modelo básico de inventario y acciones de gestión de riesgos específicos de Seguridad Informática, que seguramente no tengan.
