jueves, 21 de febrero de 2013

Seguridad Basada en Riesgos


En la actualidad, y cada vez en mayor medida, las organizaciones invierten gran cantidad de dinero y recursos en seguridad. Sin embargo, en muchos casos, los propios promotores de dicha inversión no se muestran muy seguros de que las medidas implantadas vayan a evitar realmente la ocurrencia de incidentes de seguridad. No en vano, uno de los principales problemas con los que se puede encontrar una organización a la hora de invertir en seguridad de la información, es encontrar el punto de equilibrio en el que dicha inversión maximice su beneficio. Y es que son muchos los aspectos a tener en cuenta: cual es la información a proteger, de qué tipo de ataques la tenemos que proteger, cual es la mejor manera de hacerlo o cuanto nos debemos gastar para lograrlo.

Es bien sabido que calcular el ROI, o lo que es lo mismo, conocer qué beneficio nos reporta un proyecto de seguridad, es una tarea compleja. La inversión realizada en seguridad no suele devolver beneficios tangibles, ni tan siquiera ahorrar en costes existentes, si no que nos permite ahorrar los costes potenciales que supondría la ocurrencia de un incidente de seguridad en caso de no contar con las medidas de seguridad a implementar en el proyecto.

Una posible alternativa para calcular dicho ROI es ponderar el coste que supondría el incidente que estamos securizando con la propabilidad de ocurrencia del mismo. Sin embargo, esta aproximación presenta dificultades significativas ya que suele ser complicado establecer con precisión la probabilidad de que se materialice un riesgo concreto y, por otro lado, hay que tener en cuenta que conocer el coste que podría suponer un incidente de seguridad sobre un determinado activo no es una tarea trivial.

Si pensamos, por ejemplo, en un incidente que afecte a la disponibilidad de un activo de información, puede ser hasta cierto punto sencillo calcular su coste, ya que podemos calcular cuanto nos cuesta cada segundo que el proceso que utiliza dicha información está parado. Un ejemplo claro sería el coste que supone cada minuto de parada de nuestra web de venta electrónica.

Este cálculo, sin embargo, se complica si el incidente afecta a la integridad o a la confidencialidad de la información. ¿Qué coste tiene para nuestra organización el robo de nuestra base de datos comercial? ¿Qué pérdidas nos supondría que nuestra competencia conozca nuestro plan estratégico a corto y largo plazo? Realmente es complicado cuantificar estos costes, aunque estarán de acuerdo conmigo en que sin duda son elevados.

Pese a estas dificultades, la principal herramienta con la que contamos para ayudarnos a decidir cómo y por dónde empezar (o continuar) a implementar la seguridad de nuestra organización es el análisis de riesgos. Es por ello que éste es el pilar en el que se basan los principales sistemas de gestión de la seguridad, de manera que permiten adoptar estrategias de seguridad orientadas a gestionar adecuadamente los riesgos a los que está sujeta nuestra organización, abordando en primera instancia aquellos riesgos más críticos que puedan ser mitigados con un menor esfuerzo o desembolso.

Existen múltiples metodologías y estándares para llevar a cabo el análisis de riesgo de una organización. Unos son más complejos y otros más simples. Los hay que realizan un análisis a alto nivel o a “vista de pájaro”, mientras que otros entran a un nivel de detalle realmente profundo. Podemos realizar análisis cuantitativos, esto es, estimando costes monetarios pese a las dificultades antes expuestas para realizar este tipo de valoraciones, o podemos realizar análisis cualitativos en los que obtendremos una visión relativa de los riesgos.

Por lo tanto, el optar por una u otra metodología de análisis de riesgos deberá hacerse en base al tipo de resultados que deseemos obtener del mismo, así como del presupuesto, tiempo o recursos disponibles para realizar el propio análisis de riesgo. Es importante utilizar una metodología con la que nos sintamos cómodos y obtengamos un resultado confiable, determinista y repetible que pueda ser la base para la definición de la estrategia de gestión de riesgos de nuestra organización y la planificación de la seguridad a corto, medio y largo plazo.

Así pues, el principal motivo para llevar a cabo un análisis de riesgos de seguridad en nuestras organizaciones es la posibilidad que ofrece de identificar los principales riesgos a los que se encuentra expuesta nuestra organización, permitiéndonos seleccionar las medidas a implantar para reducir dichos riesgos atendiendo a criterios de coste – beneficio. Esto posibilitará que nuestra inversión en seguridad maximice sus beneficios, abordando la seguridad desde una óptica estratégica, preventiva y coherente con los objetivos de negocio de nuestra organización.

No hay comentarios: