Nivel y Análisis de Riesgo –Director y Jefe de Seguridad Privada

martes, 18 mayo , 2021


Tras la identificación de los riesgos debemos establecer y documentar el nivel de riesgo aceptable: el valor umbral que determina los riesgos que deben ser tratados y los riesgos que son asumibles. ¿Cómo podemos tratar un riesgo? A través de cuatro posibles estrategias: 

► Transferir el riesgo a un tercero.  

Por ejemplo, contratando un seguro.  

► Eliminar el riesgo.  

Eliminando un proceso que ya no es necesario.  

► Asumir el riesgo, siempre justificadamente. 

El coste de instalar un grupo electrógeno o disponer de un centro de respaldo en caso de interrupción del suministro eléctrico puede ser demasiado alto y por tanto, puede ser necesario asumir el riesgo durante varias horas, a pesar de su impacto.  

► Implantar medidas para mitigarlo. 

Instalando un sistema de alimentación ininterrumpida o SAI para hacer frente a los cortes de electricidad más breves, o tener algún tipo de acuerdo recíproco con otra compañía para en caso de que se produzca un incidente grave poder usar sus servidores o instalaciones. 

En resumen, el análisis de riesgos desarrollado en el contexto del Plan Director de Seguridad está enfocado principalmente a identificar aquellos riesgos que exceden unos límites aceptables para la organización.  

Todos los trabajos desarrollados hasta el momento están fuertemente relacionados y en todos los casos requieren de la intervención de múltiples personas que conozcan la organización. En este sentido, nuevamente destacamos la importancia de contar con el apoyo de la Dirección para garantizar el éxito del proyecto. 

CONOCER LA SITUACIÓN ACTUAL DE LA ORGANIZACIÓN (FASE 2) 

La segunda fase de la realización de un Plan Director de Seguridad consiste en conocer la estrategia corporativa de nuestra organización.  

Esto implica considerar los proyectos en curso y futuros, previsiones de crecimiento, cambios en la organización debido a reorganizaciones, etc. También es importante tener en cuenta si nuestra organización opta por una estrategia de centralización de servicios, por la externalización de los servicios TIC, si forma parte de un grupo empresarial mayor o si va a iniciar la actividad en algún sector distinto del actual que pueda generar requisitos legales adicionales.  

Todos estos factores pueden afectar a la orientación de las medidas y al peso de cada una de ellas. 

Aunque en términos de esfuerzo y coste temporal, esta fase tiene menos peso que las restantes, su importancia es fundamental ya que nos permitirá implantar medidas de seguridad acordes a la naturaleza de nuestra organización.  

Esta fase permite alinear la estrategia de seguridad no sólo con la estrategia TIC, sino también con la estrategia general de negocio de la organización.  

Para el correcto desarrollo de esta fase, se recomienda analizar la estrategia de la organización con los responsables de los departamentos implicados y por supuesto, con la Dirección. Se obtienen así dos objetivos. En primer lugar, se les hace partícipes en el proyecto y, en segundo lugar, conseguiremos tener una visión objetiva y global de la estrategia de negocio. 

El proceso para realizar un análisis de riesgos consta de los siguientes pasos:  

Identificar los activos de información de nuestra organización, cada uno de los cuales estará expuesto a unas amenazas determinadas y tendrá unas vulnerabilidades asociadas.  

Un servidor web puede estar expuesto a una denegación de servicio y tener como vulnerabilidad poca tolerancia a una carga de tráfico excesiva. 

Del paso anterior, que nos describe el estado del activo, obtenemos el riesgo intrínseco. Es decir, el riesgo al que está expuesto el activo «por defecto» antes de la aplicación de los controles específicos. 

En el paso siguiente, determinamos la probabilidad de materialización de un riesgo intrínseco, que dará como resultado un impacto, es decir, las consecuencias que tiene para nuestra organización la materialización de la amenaza. 

A continuación, debemos identificar aquellos riesgos que, por su probabilidad, impacto o ambos, no son aceptables para nuestra organización. Esta decisión debemos tomarla de acuerdo a nuestra estrategia corporativa y en función de los riesgos que estemos dispuestos a asumir. 

 Para aquellos riesgos que no sean aceptables, debemos proponer diferentes iniciativas para la implantación de controles o salvaguardas, que tendrán un coste asociado.  

En algunos casos, este coste es determinante para escoger controles menos eficaces pero con un menor coste o para asumir el riesgo debido al alto coste del control mitigante. 

Como resultado de la aplicación de los controles, obtendremos el riesgo residual del activo, que nos indicará el grado de exposición del activo a las amenazas después de haber implantado los controles seleccionados así como las consecuencias de la materialización de la amenaza. 

Tendremos en cuenta que los elementos y valores anteriores son dinámicos y podrán cambiar a medida que nuestra infraestructura evolucione, se añadan nuevos activos, ofrezcamos nuevos servicios, surjan nuevas amenazas o apliquemos unos controles determinados.  

La sustitución de un sistema de copias tradicional por un sistema de replicación de datos en diferido puede eliminar riesgos de disponibilidad pero incrementar los riesgos de disponibilidad e integridad de los datos, al propagarse éstos en la réplica de manera automática. 

También podemos crear nuestra propia metodología específica a partir de las existentes. En este sentido, puede resultar interesante adaptar diversas metodologías para obtener una que se adapte a la naturaleza de nuestra organización. 


Novedades