En la actualidad todo mundo habla de análisis y evaluación de riesgos, en parte por la necesidad de cumplir con marcos regulatorios como Sarbanes Oxley, los lineamientos de la Comisión Nacional Bancaria y de Valores (CNBV), Basilea II, y con estándares de la industria como ISO 27001 o las normativas internas de los grandes corporativos y empresas trasnacionales.

Sin embargo, el enfoque con el cual se realizan estos proyectos no cumplen el objetivo principal de este análisis que es: conocer realmente el nivel de riesgo aceptable con el cual puede vivir una organización, y de esa manera conocer los riesgos y las alternativas para poder manejarlos ( Risk Management ).

Pero para eso, primero hay que entender qué es este análisis. Mi primera participación en un proceso de Análisis y Evaluación de Riesgos (AER) en la vida real fue en 1996, cuando trabajaba para una firma internacional. Aunque ya contaba con cierto conocimiento teórico en la materia, en ese momento entendí dos cosas: la primera es que el AER es el factor crítico de éxito para cualquier proyecto relacionado con seguridad en tecnologías de información (IT) y la segunda es que este tipo de proyectos son muy difíciles de entender, vender y justificar a la alta dirección.

Y es que hablar de riesgos en tecnología es complejo. Los resultados son de alguna manera intangibles y es complicado demostrar el retorno de la inversión, pero una vez que estos dos aspectos se dimensionan, los resultados son de mucha valía para cualquier organización. Claro, si es que el análisis se ejecutó de forma correcta.

El AER inicialmente tuvo un enfoque cuantitativo ya que en ese tiempo los ambientes de procesamiento eran totalmente centralizados y resultaba mucho más sencillo cuantificar el valor de los activos y la probabilidad de ocurrencia de las amenazas, para así poder calcular la pérdida económica del impacto de la materialización de un riesgo, todo basado en fórmulas y ecuaciones matemáticas.

Pero hoy en día este tipo de enfoque es obsoleto e impractico, ya que la dificultad de poder obtener datos precisos de probabilidades de ocurrencia de las amenazas es muy difícil o ¿alguien podría calcular la probabilidad de cuántas veces cometerán errores o acciones indebidas los usuarios? O ¿cúal es el valor de un CD con información? Y en el supuesto caso de que estos datos se pudieran obtener, ¿cuánto tiempo estaría dispuesta la organización a fondear un proyecto que tardaría meses?

Afortunadamente, con el paso del tiempo el AER cambió a un enfoque cualitativo, más usado hoy día, que presenta los riesgos de una organización clasificados en altos, medios y bajos. Aunque las compañías no requieren saber el 3.1416, es decir la precisión de los valores del riesgo, sino cuáles son aquellos que pueden poner en peligro la capacidad de operación, servicio y, en algunos casos, la supervivencia de la organización. Además, habrá que contestar la pregunta más importante ¿qué nivel de seguridad requiere mi organización?

Los factores del éxito

La alta dirección de cualquier empresa tiene la responsabilidad de atender y facilitar lo necesario para llevar a cabo un AER (conocido en inglés como “Due Diligence”). Este concepto está ya legislado en otros países y en México empieza a ser una cuestión de cumplimiento con regulaciones y estándares en sectores como financiero y empresas trasnacionales. Pero, con todo y eso, si este tipo de proyectos no tienen el apoyo de la alta dirección, será prácticamente imposible realizarlos.

La causa principal por la que fallan los AER es porque su alcance está limitado a las áreas de sistemas y no se extiende a las áreas de negocio o funcionales; cuando la función de IT es totalmente de servicio a las otras unidades de una empresa y el esfuerzo por mitigar riesgos debe basarse en los que afecten a las áreas funcionales o de negocio de la organización.

Un AER debe completarse en semanas no en meses o años y debe ser eficaz, eficiente y asertivo para que tenga el impacto esperado.

Para ser efectivo, el proceso de análisis y evaluación de riesgos debe estar incluido en el proceso de negocio de la empresa. El profesional de seguridad en IT necesita asegurar que el proceso de análisis y evaluación apoye los objetivos del negocio o la misión de la organización.

Sin embargo, durante años se ha hecho un esfuerzo infructuoso por concientizar a los profesionales de seguridad y de auditoría respecto a que no se están atendiendo adecuadamente los requerimientos del negocio.

Ante esto, conviene recordar que parte del éxito de un proceso de análisis y evaluación de riesgos es, precisamente, su aceptación por parte de todo el personal de la organización. Tratar de imponer la seguridad a la alta dirección sin fundamentos puede resultar contraproducente.

Por lo tanto, un proceso de análisis y evaluación de riesgos efectivo buscará atender las necesidades reales de la organización e involucrará a los dueños de la información (por lo regular los dueños de los procesos de negocio), con el fin de identificar los controles que cumplan sus necesidades.

La mayoría de los enfoques del proceso de análisis de riesgo se basan en el triangulo CID que contiene los tres principios de seguridad de la información: integridad, confidencialidad y disponibilidad.

El proceso de análisis y evaluación de riesgos debe ser alineado para apoyar al negocio o a la misión de la organización. Muchas veces se les informa a los dueños de la información que ciertos controles están siendo implementados, porque son “requisitos de seguridad” o “requisitos de auditoría”.

Pero, tal como lo hemos discutido, sólo existen requisitos del negocio y/o requisitos de la misión y los controles deben beneficiar realmente a la organización, mitigando los riesgos que podrían poner en peligro la capacidad de operación, servicio y supervivencia de la misma.

De manera que cada organización debe establecer su propio conjunto de requisitos para la protección de sus activos de información (datos, hardware, software, redes, sistemas operativos, bases de datos, aplicaciones, instalaciones, personal, dinero procesos de negocio etc., etc.). Esto es comúnmente documentado a través de una política de clasificación de la información. Los controles diferirán dependiendo de la sensitividad y criticidad del activo. Por lo tanto, la meta de un programa de seguridad de IT a lo largo de una empresa y de un proceso de análisis y evaluación de riesgos es determinar el impacto de la materialización de las amenazas en toda esta infraestructura, basándose en:

• Integridad: Se requiere que la información no sea modificada inapropiadamente.
• Confidencialidad: La información debe protegerse de los accesos no autorizados o la divulgación accidental.
• Disponibilidad: los usuarios autorizados pueden accesar a la información  cuando lo requieran, para así poder realizar su trabajo.

Aunque el proceso de clasificar la información necesita estar perfectamente definido. Además, se necesita implementar una metodología para ayudar a los usuarios a determinar el nivel de clasificación como parte del proceso de análisis y evaluación de riesgos.

Para esto será necesario hacer que los usuarios visualicen, en dicha evaluación, todos elementos que dan valor al activo.
Estos pueden incluir algunos, todos o más de los siguientes:

• El costo de producir la información
• El valor de la información en el mercado
• El costo de reproducir la información si fuera destruida
• El beneficio que trae la información a la empresa al cumplir los objetivos del negocio o de la misión.
• Las repercusiones para la empresa si la información no está disponible.
• La ventaja que se le daría a la competencia si pudiera usar, cambiar o destruir la información.
• El costo para la empresa si la información fuera divulgada, alterada o destruida.
• La pérdida de confianza del cliente o la pérdida del cliente si la información no está segura.
• La pérdida de imagen y pérdida de negocio, además de sanciones, por no tener información segura.

Conviene aquí precisar que el valor del activo de información debe determinarlo el dueño de ésta, es decir, quien la crea o es el usuario principal de ese recurso. Y no se debe olvidar que ésta es una actividad que no puede ser responsabilidad de la función de seguridad de la información, informática, auditoria, o de cualquier otra área.

Continuará

Adrián Palma es licenciado en Informática, cuenta con más de 22 años de experiencia en IT y seguridad de la información, tiene las certificaciones CISSP, CISA, CISM y BSA, es conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM, ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma.educacion@alapsi.org

Hablar de riesgos en tecnología es complejo. Los resultados son intangibles y es complicado demostrar el retorno de la inversión, pero una vez que estos dos aspectos se dimensionan, los resultados son de mucha valía para cualquier organización.

Las compañías no requieren saber la precisión de los valores del riesgo, sino cuáles son aquellos que ponen en peligro la capacidad de operación, servicio y, en algunos casos, la supervivencia de la organización.