Las Organizaciones cada día dependen más de la información, y ésta a su vez, se encuentra en mayor medida ubicada, tratada y gestionada en los Sistemas de Información, pero no de forma exclusiva. Por ello, muchas veces se deja de lado en la identificación de problemas asociados a la Seguridad de la Información aspectos fundamentales como la protección física de Activos de Información, que son, en ciertos casos, tratados de forma manual fuera de esos Sistemas “custodios” de dicha información.

Siguiendo con los antecedentes, el conjunto de normas/buenas practicas de la familia 7799 (BS7799, ISO 17799), junto con los propios de nuestro país LOPD RD/994, UNE 71502, nos ofrecen un marco de referencia sobre el cual focalizar los esfuerzos de identificación de riesgos asociados al tratamiento seguro de la Información. Estos estándares, y en la línea de lo comentado anteriormente, tienen en cuenta aspectos relacionados con la protección de la Información en los términos descritos.

Asimismo, en España, disponemos de una metodología de Análisis de Riesgos (MAGERIT), recientemente actualizada en su versión 2, que hace posible, junto con los estándares descritos, el implementar de forma práctica modelos de identificación del riesgo.

Estos modelos, en la mayoría de los casos, son analizados por las empresas consultoras y paquetizados en herramientas y procedimientos para su implementación, fruto de una maduración y contraste con la experiencia práctica en clientes. Paralelamente, estos modelos ayudan a generar y mejorar métricas de referencia para ser capaces de ofrecer resultados consistentes, basados en su mayoría en modelos de cálculos matemáticos y maestros refinados, fruto de la experiencia práctica.

Esto de la identificación del Nivel de Riesgo, que por otro lado es un enfoque ampliamente utilizado por otras áreas de negocio de una Organización (por ej: en Entidades Financieras se disponen de áreas especificas de gestión de riesgos), no es más que la realización de un conjunto de tareas que, ahora pasaré a resumir, mediante las cuales, las Organizaciones son capaces de identificar, su estado de partida frente al riesgo y les permite tomar decisiones enfocadas a transferir, acometer acciones ó incluso asumir la no realización de alguna de las mismas de cara controlar el nivel de seguridad al que se encuentra expuesta la Información de la Organización.

Las tareas principales serían las siguientes:

A partir de este momento y de cara a iniciar el camino de la Gestión del Riesgo existen algunos aspectos que deben de acolarse adecuadamente a la Organización, con objeto de llevar a buen puerto el trabajo iniciado. Algunos de estos aspectos clave serían la identificación de un modelo de Análisis de Riesgos que pueda ser realmente implantado en la Organización; asumir y adaptar el modelo dentro de la Organización; dar a conocer el modelo; comenzar a utilizar y si es necesario afinarlo durante el primer ciclo de análisis y garantizar la permanencia en el tiempo (con objeto de que las métricas de riesgo obtenidas puedan ser manejadas de forma homogénea y puedan compararse con independencia del momento temporal en el que se realice el ciclo de Análisis de Riesgos). Si hay cambios en los estándares utilizados, deberá iniciarse un proceso de cambio que permita transformar datos para poder confirmar el grado de evolución (positivo o negativo) que siga la métrica de Nivel de Riesgo.

En paralelo, hay una serie de pautas que pueden llegar a permitir a una Organización establecer un proceso continuo de Gestión del Riesgo de la Información. La dirección de la Organización ha de ser consciente de la importancia de invertir en procesos de este tipo; tanto si tratamos de Organización pequeñas, medianas o grandes, la identificación de un modelo de Análisis de Riesgos soportado en herramientas más o complejas se hace necesaria, sobre todo, para poder tratar de una forma más adecuada los resultados. En este sentido, un aspecto importante, es que las herramientas de Análisis y Gestión pueden desarrollarse pensando en la incorporación adecuada de información procedente de otros Sistemas de la Organización relacionados con la Seguridad, tecnológica o no, que pueden ayudar en algunos casos a enriquecer el modelo.

Por su parte, el asumir, transferir o eliminar el Nivel de Riesgo, es una decisión de la Organización por lo que entre otras funciones el Comité de Seguridad de la Información debe abordar estos aspectos como parte de su toma de decisiones. Además, el proceso de Gestión del Riesgo, aunque parezca que es un trabajo a largo plazo, ayuda a obtener beneficios para la Organizaciones y que en algunos casos, no solo son relacionados con la Seguridad de la Información, sino que pueden por ejemplo mejorar los procesos internos de la Organizaciones.

Una vez llegado a este punto, no podemos finalizar sin describir las tareas que deben de ejecutar las Organizaciones tanto a corto, medio y largo plazo.

Otro aspecto a destacar, sobre todo para aquellos lectores que se encuentren menos acostumbrados a todos los conceptos expuestos hasta el momento, es que este tipo de proyectos/procesos, no son complejos. Es extremadamente intuitivo si se consolidan los conceptos mencionados y tiene a su vez mucho de sentido común, ya que en la mayoría de los casos todos aplicamos éstos conceptos en la toma de decisiones diaria. Además, existen como se ha relatado anteriormente, estándares, herramientas, experiencia en el mercado que pueden ayudar a seleccionar y acomodar el modelo que mejor se adapte a las necesidades de cada Organización.