Administración de riesgos Parte 4. –Levantando la fortaleza

Muy bien, llegó el momento de dar otro paso más:

Implementación

Esa aquí cuando debemos decidir qué Categorías de control vamos a utilizar. Existen dos tipos, los cuales son Preventivas las cuales Inhiben los intentos para violar la seguridad  y Detectivas que se encargan de avisar sobre violaciones a la seguridad o intentos de hacerlo.

Luego, sigue definir los Métodos de control que pueden ser:

Técnicos. Que consisten en mecanismos incorporados al hardware o software, puertas de acceso controlado, cámaras de video, alarmas auditivas y/o silenciosas, etc.

No técnicos. Que son las Políticas de seguridad (por escrito), procedimientos operativos, seguridad física, personal y ambiental.

¿Cómo vamos a hacer definir lo anterior? En nuestra etapa de evaluación tomamos nuestra lista de amenazas y punto a punto vamos analizando el impacto de cada uno de ellos imaginando cual sería el nivel de afectación adversa que tendría que alguien pudiera aprovechar nuestras vulnerabilidades, luego lo enfrento con los sistemas de seguridad que tengo actualmente y de esa forma nos daremos cuenta de lo que debemos hacer e invertir.  Recordemos que nuestro objetivo es la mitigación de los riesgos pero también seamos realistas sabiendo que la eliminación de todo riesgo es casi imposible.

Evaluación

Una vez que nuestro proyecto esté implementado, será importante pasar a una etapa de calibración, en la cual evaluaremos los resultados de distintas pruebas que podemos diseñar para verificar la eficiencia de los Métodos utilizados. Estas pruebas van desde ataques realizados por nosotros mismos a la seguridad hasta simulacros en donde involucraremos a todo nuestro personal.

El resultado de esto nos servirá de retroalimentación para hacer cualquier ajuste y también para consolidar nuestra experiencia en la creación e implementación de un sistema de administración de riesgos.

Administración de riesgos Parte 3. – Preparando los cimientos de la fortaleza

Muy bien, ya hemos tomado conciencia de lo que tenemos por delante, ya cada quien sabe la camiseta que se debe poner (los roles) es hora de comenzar a trabajar para levantar nuestra fortaleza.

Análisis

Lo primero que haremos será generar una lista que contenga los riesgos que estamos enfrentando en nuestra operación. Estoy hablando desde los riesgos físicos como por ejemplo: puertas sin control de acceso, falta de cámaras de video, falta del uso de gafetes o medios de identificar al personal. O también existen los riesgos de logística, como huecos de seguridad en la manera en que realizamos nuestros procesos, inseguridad informática la cual involucra el ataque de Hackers, Virus, robo de datos, extracción de información de información por parte de empleados en CD’s, DVS’s, unidades USB, etcétera. Los resultados de esta lista, nos ayudará a identificar los controles apropiados para reducir o eliminar el riesgo.

Evaluación

Una vez que hemos hecho el análisis para identificar las amenazas necesitamos crear ahora una lista de fuentes de esas amenazas. Permítame darle algunos ejemplos:

Fuentes de amenazas

Naturales. Aquí necesitamos identificar en qué zona geográfica nos encontramos para ponderar los riesgos de Inundaciones, Huracanes, Temblores, etc. ¿suena demasiado trivial? ¿Qué tal esa empresa que está ubicada en una zona de constantes inundaciones y se le ocurre instalar su centro de cómputo con la base de datos de la empresa en el sótano. ¿Sabe qué es lo primero que se inundará y se echará a perder en la siguiente tormenta?

Humanas. Se necesita estar preparados para evitar robos hormiga, fuga de información y sabotajes por citar algunos ejemplos.

No intencionales. Hay otros desastres que en ocasiones no ocurren a propósito, también hay que prevenir que accidentes humanos lleguen a causar problemas. Algunas soluciones para esto son las políticas internas y el acondicionamiento de las áreas. Por ejemplo, prohibirle a “Doña chonita” (la secretaria) que siga usando la bahía del CD como porta vasos y así evitar un derrame que dañe el equipo.

Fallas de energía eléctrica. ¿Estamos preparados para imprevistos, o fallas de los servicios? Aquí varía mucho según el giro de su empresa, pero un corte eléctrico, de agua, de gas, Internet… ¿le afectaría gravemente a sus operaciones?

Todos los elementos mencionados anteriormente son puntos de Vulnerabilidad. Esto se entiende como “Una falla o debilidad en el diseño de nuestros procesos o infraestructura que puede resultar en una brecha de seguridad”

Administración de riesgos Parte 2. – Armando la estrategia (Nuestra alineación).

¡Muy bien equipo! ¡Éste es el plan!… Nuestro Proceso será divido en las siguientes etapas:

  • Análisis. Vamos a recopilar toda la información necesaria para tomar una fotografía de la situación en la que nos encontramos actualmente.
  • Evaluación. Una vez que tenemos toda la información necesaria y analizada sabremos a lo que nos estamos enfrentando y podremos desarrollar las medidas a ser implementadas.
  • Implementación. Será el momento de poner en marcha todos los planes hechos.
  • Evaluación. Verificaremos que las cosas están funcionando correctamente y de ser preciso, se harán los ajustes necesarios.

Ahora determinemos los Roles clave para crear nuestra “Administración de riesgos”.

  • Alta administración. Este es un actor con el que indiscutiblemente debemos contar ya que cualquier esfuerzo que realicemos sin el respaldo de la alta administración tarde o temprano podrá ser derribado. Es por esto que esta persona debe estar contagiada del entusiasmo para trabajar duro a fin de lograr la seguridad y tomar las decisiones necesarias para mover gente o elementos de ser necesario.
  • Líder de proyecto. Recordemos que estamos partiendo de la idea de que éste proyecto está naciendo desde la iniciativa del Director de Tecnologías de la Información, pero puede surgir desde cualquier gerente donde habite la visión de ser proactivo. Sea de donde sea que se lance la iniciativa es desde este punto gerencial que los esfuerzos serán coordinados, en otras palabras, necesitamos a un líder.
  • Administradores de áreas funcionales. Una de nuestros primeros objetivos será hacer partícipes y cómplices a todos los administradores o gerentes que dirijan personas para que se encarguen de permear las estrategias y reglas que se vayan generando.
  • Usuarios de seguridad. Éste es el nivel más básico, o sea, el nivel operativo. Estamos hablando de las personas que aplicarán los lineamientos en su diario operar y que debemos capacitarlos para que no se abra ninguna brecha de inseguridad.
  • Entrenadores de seguridad. De ser necesario, podemos crear nuestro grupo “élite” que serán los más capacitados e involucrados a fin de entrenar a los nuevos elementos que lleguen a la empresa y de mantener actualizados a los ya existentes.