Seguridad de la información 2020

Era el mes de enero del 2020 y en el mundo ya se comentaba en las noticias que una nueva enfermedad, detectada en China inicialmente, se comenzaba a esparcir por distintas partes del mundo, siendo los países asiáticos los primeros en tener los infectados internacionalmente. Entre la quincena de febrero y durante el mes de marzo distintos países comenzaron a cerrar fronteras y a confinar a sus respectivas poblaciones en casa.

En nuestro país, solo las entidades bancarias, de salud y de abastecimiento siguieron funcionando (aunque en menor capacidad) y ya luego se fueron reestableciendo el comercio, pero muchas empresas que brindaban el servicio presencial tuvieron 2 opciones: o realizar gran parte de sus actividades de forma digital/virtual o dejar de ofrecer dichos servicios.

En el contexto antes descrito, realizar una cuantificación de posibles daños y/o pérdidas en base a los elementos que se tenga en la institución resulta muy importante, más aún que si van se piensa seguir con el objetivo de negocio, pero realizándolo de manera diferente con elementos diferentes y en un contexto totalmente nuevo. Es así que, un análisis de riesgos nunca tuvo mayor importancia como ahora, más aún que los recursos son limitados, las amenazas son muchas y el contexto es variante e incierto.

Un análisis de riesgos tiene muchos usos, ya que los riesgos se pueden concretar en el aspecto financiero, operacional, normativo, en seguridad y salud en el trabajo, continuidad de negocio, seguridad de la información, entre otros.

En estas líneas nos vamos a centrar en los riesgos de Seguridad de la Información para detallar los mismos.

Como punto de partida, debemos de recordar que el cálculo de riesgo, de forma indistinta, se calcula mediante el producto de los valores de probabilidad de ocurrencia y el de impacto, de los cuales el primero normalmente es usado en base a una escala de tiempo (aunque no siempre) y el valor del impacto, dependiendo del tipo de riesgo se puede calcular de diferentes formas. Y es justamente, dependiendo si los valores a usar en el análisis de riesgos se utilizan en base a escalas nominales (números con una tabla de definiciones) se le denomina cualitativo, y por el contrario si es que se utiliza valores monetarios (cantidades de dinero) se le denomina cuantitativo.

Los análisis de riesgos de forma cuantitativamente son prácticos para expresar el riesgo en cantidades de dinero, pero para realizar el cálculo se requiere información lo más exacta posible, un proceso más minucioso del análisis y personal con conocimiento y experiencia en el ámbito de análisis. Entre algunas de las metodologías de gestión de riesgos cuantitativos podemos encontrar a: Análisis de sensibilidad, Valor esperado monetario, Árboles de decisión, Simulación de Monte Carlo, Regresión lineal, Regresión no lineal, entre otros.

Por otra parte, los análisis de riesgos de forma cualitativa son prácticos en la forma de ejecutarlos, ya que se pueden explicar fácilmente a cualquier perfil dentro de la organización, se puede trabajar con información que se tenga en la institución y hasta en algunos casos se puede extrapolar datos. Los resultados dependen del especialista, de su criterio y conocimiento. Entre algunas de las metodologías de gestión de riesgos cualitativos podemos encontrar a: Listas de chequeo o listas de comprobación (check list), Análisis del árbol de fallos (fault tree analysis), Análisis de seguridad de tareas, Análisis de peligros y operatividad (hazard operability analysis, HAZOP), Diagrama de Ishikawa.

2 views

PERU

Calle las Gaviotas Nro. 109 

Surquillo, Lima, Perú

Ref: Edificio Santorini

USA

1431 Washington

Unit #906

Detroit, MI 48226

T: +1 (323) 744-0674

T: +51 661 6803

Sin título-1.png