Administración de riesgos Parte 4. –Levantando la fortaleza

Muy bien, llegó el momento de dar otro paso más:

Implementación

Esa aquí cuando debemos decidir qué Categorías de control vamos a utilizar. Existen dos tipos, los cuales son Preventivas las cuales Inhiben los intentos para violar la seguridad  y Detectivas que se encargan de avisar sobre violaciones a la seguridad o intentos de hacerlo.

Luego, sigue definir los Métodos de control que pueden ser:

Técnicos. Que consisten en mecanismos incorporados al hardware o software, puertas de acceso controlado, cámaras de video, alarmas auditivas y/o silenciosas, etc.

No técnicos. Que son las Políticas de seguridad (por escrito), procedimientos operativos, seguridad física, personal y ambiental.

¿Cómo vamos a hacer definir lo anterior? En nuestra etapa de evaluación tomamos nuestra lista de amenazas y punto a punto vamos analizando el impacto de cada uno de ellos imaginando cual sería el nivel de afectación adversa que tendría que alguien pudiera aprovechar nuestras vulnerabilidades, luego lo enfrento con los sistemas de seguridad que tengo actualmente y de esa forma nos daremos cuenta de lo que debemos hacer e invertir.  Recordemos que nuestro objetivo es la mitigación de los riesgos pero también seamos realistas sabiendo que la eliminación de todo riesgo es casi imposible.

Evaluación

Una vez que nuestro proyecto esté implementado, será importante pasar a una etapa de calibración, en la cual evaluaremos los resultados de distintas pruebas que podemos diseñar para verificar la eficiencia de los Métodos utilizados. Estas pruebas van desde ataques realizados por nosotros mismos a la seguridad hasta simulacros en donde involucraremos a todo nuestro personal.

El resultado de esto nos servirá de retroalimentación para hacer cualquier ajuste y también para consolidar nuestra experiencia en la creación e implementación de un sistema de administración de riesgos.

Administración de riesgos Parte 3. – Preparando los cimientos de la fortaleza

Muy bien, ya hemos tomado conciencia de lo que tenemos por delante, ya cada quien sabe la camiseta que se debe poner (los roles) es hora de comenzar a trabajar para levantar nuestra fortaleza.

Análisis

Lo primero que haremos será generar una lista que contenga los riesgos que estamos enfrentando en nuestra operación. Estoy hablando desde los riesgos físicos como por ejemplo: puertas sin control de acceso, falta de cámaras de video, falta del uso de gafetes o medios de identificar al personal. O también existen los riesgos de logística, como huecos de seguridad en la manera en que realizamos nuestros procesos, inseguridad informática la cual involucra el ataque de Hackers, Virus, robo de datos, extracción de información de información por parte de empleados en CD’s, DVS’s, unidades USB, etcétera. Los resultados de esta lista, nos ayudará a identificar los controles apropiados para reducir o eliminar el riesgo.

Evaluación

Una vez que hemos hecho el análisis para identificar las amenazas necesitamos crear ahora una lista de fuentes de esas amenazas. Permítame darle algunos ejemplos:

Fuentes de amenazas

Naturales. Aquí necesitamos identificar en qué zona geográfica nos encontramos para ponderar los riesgos de Inundaciones, Huracanes, Temblores, etc. ¿suena demasiado trivial? ¿Qué tal esa empresa que está ubicada en una zona de constantes inundaciones y se le ocurre instalar su centro de cómputo con la base de datos de la empresa en el sótano. ¿Sabe qué es lo primero que se inundará y se echará a perder en la siguiente tormenta?

Humanas. Se necesita estar preparados para evitar robos hormiga, fuga de información y sabotajes por citar algunos ejemplos.

No intencionales. Hay otros desastres que en ocasiones no ocurren a propósito, también hay que prevenir que accidentes humanos lleguen a causar problemas. Algunas soluciones para esto son las políticas internas y el acondicionamiento de las áreas. Por ejemplo, prohibirle a “Doña chonita” (la secretaria) que siga usando la bahía del CD como porta vasos y así evitar un derrame que dañe el equipo.

Fallas de energía eléctrica. ¿Estamos preparados para imprevistos, o fallas de los servicios? Aquí varía mucho según el giro de su empresa, pero un corte eléctrico, de agua, de gas, Internet… ¿le afectaría gravemente a sus operaciones?

Todos los elementos mencionados anteriormente son puntos de Vulnerabilidad. Esto se entiende como “Una falla o debilidad en el diseño de nuestros procesos o infraestructura que puede resultar en una brecha de seguridad”

Administración de riesgos Parte 2. – Armando la estrategia (Nuestra alineación).

¡Muy bien equipo! ¡Éste es el plan!… Nuestro Proceso será divido en las siguientes etapas:

  • Análisis. Vamos a recopilar toda la información necesaria para tomar una fotografía de la situación en la que nos encontramos actualmente.
  • Evaluación. Una vez que tenemos toda la información necesaria y analizada sabremos a lo que nos estamos enfrentando y podremos desarrollar las medidas a ser implementadas.
  • Implementación. Será el momento de poner en marcha todos los planes hechos.
  • Evaluación. Verificaremos que las cosas están funcionando correctamente y de ser preciso, se harán los ajustes necesarios.

Ahora determinemos los Roles clave para crear nuestra “Administración de riesgos”.

  • Alta administración. Este es un actor con el que indiscutiblemente debemos contar ya que cualquier esfuerzo que realicemos sin el respaldo de la alta administración tarde o temprano podrá ser derribado. Es por esto que esta persona debe estar contagiada del entusiasmo para trabajar duro a fin de lograr la seguridad y tomar las decisiones necesarias para mover gente o elementos de ser necesario.
  • Líder de proyecto. Recordemos que estamos partiendo de la idea de que éste proyecto está naciendo desde la iniciativa del Director de Tecnologías de la Información, pero puede surgir desde cualquier gerente donde habite la visión de ser proactivo. Sea de donde sea que se lance la iniciativa es desde este punto gerencial que los esfuerzos serán coordinados, en otras palabras, necesitamos a un líder.
  • Administradores de áreas funcionales. Una de nuestros primeros objetivos será hacer partícipes y cómplices a todos los administradores o gerentes que dirijan personas para que se encarguen de permear las estrategias y reglas que se vayan generando.
  • Usuarios de seguridad. Éste es el nivel más básico, o sea, el nivel operativo. Estamos hablando de las personas que aplicarán los lineamientos en su diario operar y que debemos capacitarlos para que no se abra ninguna brecha de inseguridad.
  • Entrenadores de seguridad. De ser necesario, podemos crear nuestro grupo “élite” que serán los más capacitados e involucrados a fin de entrenar a los nuevos elementos que lleguen a la empresa y de mantener actualizados a los ya existentes.

Administración de riesgos Parte 1. – Todos unidos contra el problema.

En días recientes he estado en contacto con diferentes gerentes de servicios y proyectos con los cuales he podido conversar y me resulta lastimoso ver cómo la inseguridad que tanto ha crecido en nuestro país está golpeando fuertemente en varios sectores de nuestras empresas, industrias y por su puesto, sociedad.

Pareciera que cada vez más personas están optando por arrebatar los ingresos monetarios en vez de trabajar duro y honestamente por ellos, peor aún hay otros que por simple diversión echan abajo el patrimonio de otros. Lamentablemente esta terrible práctica destruye lo que con tanto esfuerzo logran unos cuantos por medio de esfuerzo y dedicación. Para hacer más complejo el escenario, la caprichosa naturaleza a veces hace su aparición y por medio de diferentes catástrofes llamados terremotos o inundaciones minan nuestros recursos.

Es por esto que en esta ocasión he querido hablar sobre “la administración de los riesgos” a fin de ofrecerles algunas ideas para prevenir ser atacados de esta manera y en caso de serlo también poder minorizar los daños y evitar la afectación de la operación en tanto sea posible.

Bueno, debo acotar que como el giro de mi profesión son las Tecnologías de la Información voy a hablar desde “mi trinchera”, o sea, como un CIO (Chief Information Officer), claro que esta visión puede ser ampliada a cualquiera que sea su posición en la empresa.

Como líder de las Tecnologías de la Información debemos contar con un esquema de trabajo para tener un plan de administración de riesgos. Para esto debemos tener presente que somos responsables de los bienes tecnológicos de la empresa y que si contamos con redes de cómputo, hay muchas personas “allá afuera” deseando meterse a robar información vital de la empresa o simplemente destruirla, sin dejar a un lado los riesgos mencionados que la misma naturaleza llega a ofrecer.

Eso sí, antes de comenzar a tallar lápiz hay que plantear las reglas del juego con las que trabajaremos con todos los involucrados, y repito que “con todos” los involucrados porque ésta delicada misión de combatir la inseguridad no es función exclusiva del área de Tecnologías de la Información sino que debe incluir a toda la empresa. Esto se debe a que no es una función puramente tecnológica sino que incluye aspectos operativos y administrativos

También debemos tener presente que esta labor no se trata de un proyecto que en un par de meses tendremos andando solo, sino que se debe convertir en un proceso continuo. Obviamente para lograr esto también debe ser un proceso que produzca resultados tangibles, ya que de otra manera no habrá empresario que quiera invertir en tal objetivo. Este último paso es importante ya que es imprescindible que contemos con el apoyo de la alta dirección durante el Inicio, la Implementación y el Refuerzo del proceso.