viernes, 7 de octubre de 2011

El error más común a la hora de Analizar y Gestionar los Riesgos Tecnológicos

El análisis de riesgos tecnológicos es la piedra angular utilizada por el CISO para gestionar la seguridad de los sistemas de información. Consiste en un estudio pormenorizado de las amenazas y eventos a los que están expuestos los activos de información que conforman los servicios tecnológicos, y los impactos que se provocarían en el negocio en caso de que estas se materialicen.

Existen multitud de metodologías y de enfoques, pero a menudo, y sobre todo, cuando se decide abordar por primera vez un análisis de este tipo, se cometen errores de base que pueden comprometer el éxito del proyecto.

El análisis debe surgir con un doble objetivo, por un lado estudiar los riesgos asociados a los sistemas de información y su entorno, y por otro, aplicar las medidas necesarias para conocer, prevenir, impedir, reducir o controlar los riesgos estudiados hasta niveles aceptables por la organización.

Sin embargo, a pesar de que los objetivos suelen estar claros, no siempre se consiguen, ya que las organizaciones han elevado el grado de exigencia, como consecuencia tanto del aumento acelerado del volumen y dependencia de las tecnologías de la información, como de los nuevos escenarios (nuevas amenazas, tecnologías novedosas, vulnerabilidades escondidas, nuevas salvaguardas…) a los que nos enfrentamos.

Por tanto para conseguir gestionar los riesgos con éxito en este nuevo entorno más complejo, es necesario tener un equipo experto que plantee el análisis y gestión de riesgos como un conjunto de iteraciones, en las cuales, en cada una de ellas, se analice el escenario actual y se amplíe el nivel de detalle en función de las necesidades del negocio.

En ocasiones las organizaciones incurren en el error de plantear un análisis estático con un principio y un fin, al que no se le da continuidad en el futuro y donde se intenta analizar de golpe el todo. La clave, desde nuestro punto de vista, a la hora de abordar un proyecto de este tipo, es plantear el análisis en fases, en modo dinámico de gestión continua de tratamiento de riesgos, en la cual en las diferentes iteraciones del estudio se vayan incorporando nuevos servicios, aumentando el catálogo de amenazas, contando con nuevas salvaguardas. La gestión de riesgos consistirá en ir viendo cómo evoluciona el riesgo en cada iteración, implantando controles, actualizando el escenario tecnológico, garantizando que se toman decisiones para mitigar, transferir o asumir el riesgo hasta los niveles que la Alta Dirección considera como “aceptables”, creando a su vez valor al negocio mediante:

  • Integración con los procesos organizacionales
  • Forma parte de la toma de decisiones
  • Atiende explícitamente los aspectos de incertidumbre
  • Es sistemática, estructurada y oportuna
  • Está alineada con el contexto externo e interno de la organización
  • Es dinámica, iterativa y responde a los cambios
  • Facilita la mejora continua en las organizaciones