Entre las primeras preguntas que se hace seriamente una empresa cuando quiere obtener un mayor nivel de seguridad, una de las más implacables es ¿qué grado de seguridad se puede obtener? Está claro que la seguridad absoluta no existe, pero ¿cuánto es suficiente? Sobre eso mismo quisiera tratar estas líneas.
Daremos por sobreentendido que existe una organización, distintos niveles de jerarquía, infraestructuras, equipamiento y toda clase de activos. Si consideramos que hablamos de seguridad de la información, lo primero que se debería hacer es determinar cuáles son los activos de información que posee la empresa. Luego de esto, ya podemos comenzar con una serie de preguntas a veces difíciles de contestar. La primera podría ser: ¿qué eventos podrían afectar a mis activos? Supongamos que tenemos un datacenter con varios servidores, claramente nos enfrentaríamos al problema de quedarnos sin energía eléctrica, o sin conexión a Internet. Dependiendo del grado de impacto que tengan estos sucesos en la operatoria del negocio, se deberán tomar ciertas medidas.
En pocas palabras, lo que estaremos haciendo es un análisis de riesgos. Si ahondamos más en la cuestión, veremos que muchos de los problemas típicos a los que se enfrenta una empresa, suelen ser los mismos que los que tienen las demás, por lo que en general no será necesario reinventar la rueda, ya que incluso existen manuales y diferentes metodologías para abordar el análisis y gestión del riesgo.
De cualquier manera la discusión no pasa por saber qué nos afecta, sino mas bien cuánto nos afecta y qué podemos hacer al respecto. Por ejemplo, si para defendernos de un posible ataque alienígena al datacenter necesitamos una serie de ametralladoras antiaéreas, probablemente nuestro negocio no consiga sustentarlo, debido a la baja probabilidad de ocurrencia del incidente, a pesar de su potencial efecto destructivo. Es decir, podemos disminuir el daño causado por el impacto de la amenaza, pero ¿hasta qué punto? Este es el problema.
En general se habla de administración de riesgo, no de eliminación, ya que en general no es posible eliminarlo (a menos que se elimine el activo afectado). Tal como el error, el riesgo se puede minimizar, pero no eliminar. Además, se puede transferir (por ejemplo contratando una póliza de seguro) o admitir (aceptar). La decisión será tomada en función de cuánto se esté dispuesto a gastar. Para minimizarlo se tomarán contramedidas, que están orientadas a reducir el daño o el impacto, o también a impedir su ocurrencia.
En pocas palabras, el riesgo deberá disminuirse hasta un umbral tolerable por el negocio. Si se admite la posibilidad de pérdida de una suma de dinero y la empresa lo puede sustentar, el riesgo estará correctamente gestionado. Como ya es sabido, las decisiones en seguridad no se toman en función de la tecnología, sino de la continuidad y mejora del negocio.
-
-
23 de febrero de 2011
Paradoja en el mundo informático: los riesgos de estar seguros