jueves, 25 de junio de 2009

Las tres preguntas de los riesgos.


Reducir los riesgos al máximo posible de una manera costeable y efectiva es una meta de auditores o del área de seguridad de la información en una empresa. ¿Cuáles serían las tres preguntas básicas cuando hablamos de reducción de riesgos? El Dr Eric Cole (@drericcole) planteó estas preguntas y deseo compartirlas con algunos comentarios propios:

 

A).- ¿Cuál es el riesgo que estamos reduciendo?

La primera pregunta básica gira en torno a saber cuál riesgo es el que estamos reduciendo: riesgo de perder la base de datos con información crítica de clientes, riesgo de que caiga una bomba atómica destruyendo datos e instalaciones o riesgo de tener un sistema operativo comercial manejando una operación crítica (planta nuclear)? Cada riesgo tiene su probabilidad de que una amenaza explote la debilidad adecuada y nos perjudique; y el simple hecho de tener claro qué riesgo estamos reduciendo exactamente suena simple pero puede llegar a ser complicado por ejemplo por la cantidad de amenazas y debilidades que debemos de considerar y las muchas que dejaremos fuera.

 

B).- ¿Es de los más prioritarios?

El o los riesgos que identificamos, son los más prioritarios? El de sistemas dirá que no, el auditor dirá que sí, la alta dirección dirá que puede que sí…al final es posible que llegue a ser subjetivo y finalmente nos quedamos con la misma pregunta: es de los más prioritarios? ¿Quién lo dice? ¿Cómo llegó a esa conclusión? ¿Qué metodología usó? Obviamente deseamos empezar a reducir el riesgo o riesgos más prioritarios para el negocio de manera inmediata dejando a otros riesgos menos importantes en la cola de pendientes a corto plazo.

 

C).- Una vez que encontramos la contramedida o control adecuado, es este control el que mejor relación costo-beneficio ofrece para reducir el o los riesgos?

Sí, deseo reducir el riesgo, pero no quiero que me salga más caro el caldo que las albóndigas; el control (administrativo, tecnológico, etc.) debe de tener un costo adecuado y en proporción al beneficio que dará. ¿Comprar e instalar una costosa red de almacenamiento SAN para dar continuidad al servicio de correo, es la mejor solución? ¿Bajar de Internet un antivirus gratuito para que proteja el servidor con la base de datos SQL corporativa es adecuado? No quiero gastar una fortuna para proteger algo que no vale la pena y viceversa.

 

Son tres preguntas básicas y claro, no se pretende reducir el enorme trabajo que se debe de hacer para reducir riesgos; en la realidad sé de primera mano que decirlo es una cosa…hacerlo es otra muy diferente.