Articles > Introducción al concepto de Riesgo

El Riesgo

Antes de comprender cualquier tema de seguridad de la información, es fundamental tener claro el concepto de riesgo y como aterrizarlo en nuestras compañías, es muy común perder la frontera de riesgo por desconocimiento y escuchar respuestas acerca del tema por parte de la gerencia como “nunca he tenido problemas al respecto, yo confío en mis empleados, porque debo hacerlo ahora”, bueno la respuesta que he acuñado con el tiempo es “la seguridad de la información busca crear conciencia, no desconfianza”, sin embargo, el escepticismo por parte de esta aseveración no cambia en el incrédulo manager. Tiempo después al volver se desatan las historias sobre medidas tomadas y cómo se lograron detectar eventos que atentaban contra el negocio y la atención se presta sobre lo que indica el asesor.

Pero qué es el riesgo, la definición más sencilla es “la posibilidad de perder algo importante y que debe protegerse”, como es evidente un activo sin importancia no requiere protección y aquí es donde se aplica el criterio de cuál activo es importante y cuál no, al respecto no existen formulas mágicas que se puedan aplicar como regla universal ya que las casos y valoración son dependientes del tipo de negocio de su empresa. El riesgo como entidad única no existe, es necesario para completar la ecuación contar con dos variables fundamentales; la amenaza y la vulnerabilidad.

Veamos antes de continuar estos dos conceptos. Una vulnerabilidad es una vía potencial de ataque o una debilidad en un proceso, estructura física, software, etc., en otras palabras es una fisura que expone el activo y que dependiendo de la dificultad o interés para el sujeto ejecutante puede ser aprovechada para su beneficio, esto es lo que se conoce como la amenaza, la amenaza es dada por la oportunidad de llevarla a cabo. Así tenemos armada nuestra ecuación:

Riesgo = una fisura en su proceso * la oportunidad o posibilidad de aprovecharla ó
Riesgo = Vulnerabilidad * Amenaza.

Tal vez usted ahora tenga mas dudas que antes, porque ha sumado dos conceptos que enredaron más su vida, bueno, es parte del truco o parte de la solución dependiendo de cómo lo asume. Las vulnerabilidades como tal significan una debilidad, pero el valor asociado es qué tan importante como la vulnerabilidad misma, por lo general se asignan tres valores; Alta, Media y Baja. La medición de una vulnerabilidad se da por la facilidad o complejidad y los bajos o altos recursos que se deben requerir para explotarla. No es lo mismo intentar robar un banco que tiene como barrera de ingreso a un guardia armado con un bastón a una sucursal con detector de metales, man trap, y adicionalmente monitoreo en línea por un centro de seguridad que activa puertas ante una alarma de asalto.

Las amenazas tienen tantos componentes de análisis como las vulnerabilidades y una gran dependencia de esta, es decir, no existe amenaza sin vulnerabilidad. Entre los componentes a evaluar tenemos:

Sujeto: Este es el actor principal de la amenaza que como elemento básico debe tener acceso al activo y el conocimiento o motivante que lo lleva a comprometer un activo.

Motivante: Es el incentivo que empuja a un sujeto a comprometer un activo, entre otros pueden ser; espionaje industrial, hacer daño, oportunidad, inconformidad, reconocimiento o lucro.

Conocimiento del objetivo: Si no sé lo que quiero y para qué quiero algo no tiene razón para mí luchar por ello. Por ejemplo, el objetivo es obtener la lista de clientes de una compañía, la base de datos de las tarjetas de crédito de un vendedor por Internet o un secreto industrial.

¿Pero el riesgo se puede eliminar?, la respuesta absurda seria si, deshágase del activo que esta comprometido y el problema se solucionara de inmediato, si usted tiene miedo de perder su nuevo automóvil y lo inmoviliza esto siente que no hay nada que hacer la mejor recomendación es véndalo y de inmediato desaparecerá el problema. Sin embargo, en el mundo real de las empresas, este tipo de recomendación seria ridícula y posiblemente desaparezca con él ese buen contrato de asesoría que tiene.

Todo activo tiene un riesgo inherente  dependiendo de la importancia, costo y exposición del mismo y como es natural, lo que se pretende es minimizar el riesgo aplicando controles que me lleven a un nivel tolerable llamado riesgo residual (este será tema de otro articulo y es tratar la administración y análisis de riesgos) los riesgos tienen varias formas de emprenderlos, ellos son:

Eliminarlo: ya vimos este tema.
Mitigarlo: Reducir el riesgo aplicando controles efectivos a un nivel tolerable para la compañía.
Trasladarlo: Transferir el riesgo a un tercero. Por ejemplo, las aseguradoras o expertos en almacenamiento y procesamiento de información.
Asumirlo: En este caso la compañía asume el riesgo  después de evaluar las implicaciones de funcionar con un riesgo identificado, pero que a su vez la eliminación hace no viable un negocio o la compañía en su totalidad.

Una vez conocido el concepto básico de riesgo podemos pasar a la segunda fase, análisis y aplicación de contramedidas, al respecto la administración de riesgos se ocupa de este ítem, cuyo objetivo es llevar el riesgo a un nivel sostenible por la compañía, sin embargo no todas las compañías tienen la cultura, infraestructura y apropiación económica que sostenga un programa de análisis de riesgo, más porque el riesgo es una percepción que solo materializa cuando se presenta un desastre.

En un próximo articulo veremos la administración de riesgos, por ahora lo que puede usted hacer es identificar los procesos críticos de cada una de las áreas (aquellos fundamentales, en otras palabras la razón de ser de la compañía) y los activos claves que los soportan incluya en ellos la información, recuerde que los activos no son solamente físicos, los hay también cualitativos (aquellos intangibles como el nombre, reputación, etc.).

Bien, es todo por ahora. Lo que se pretendía era acercarlo al concepto básico de riesgo, espero haberlo logrado.

Francisco Campos G.

Return to top