miércoles, 9 de marzo de 2016

Las normas ISO y los riesgos - Parte III

Por último, para cerrar la serie de artículos sobre las normas ISO y los riesgos, consideremos algunas definiciones para introducirnos en el tema de la evolución del término “riesgo” que se produjo en las últimas versiones de las ISO.

  • Activo: cualquier recurso de la empresa necesario para desempeñar las actividades diarias y cuya no disponibilidad o deterioro supone un agravio o coste. La naturaleza de los activos dependerá de la empresa, pero su protección es el fin último de la gestión de riesgos. La valoración de los activos es importante para la evaluación de la magnitud del riesgo. Dicha valoración será realizada por los responsables.
- Este término en las nuevas normas se generaliza para denominarse «fuente de riesgo» siendo el elemento que sólo o con otros puede originar un riesgo.

  • Amenaza: circunstancia desfavorable que puede ocurrir y que cuando sucede tiene consecuencias negativas sobre los activos, provocando su indisponibilidad, funcionamiento incorrecto o pérdida de valor.
- En la evolución de las normas este concepto se amplia para denominarse «suceso»

  • Vulnerabilidad: debilidad que presentan los activos y que facilita la materialización de las amenazas.

  • Impacto o consecuencia de la materialización de una amenaza sobre un activo aprovechando una vulnerabilidad. El impacto se suele estimar en porcentaje de degradación que afecta al valor del activo, el 100% sería la pérdida total del activo. No necesariamente, pero es una forma.
- La consecuencia en las nuevas normas, es el resultado de un suceso que afecta los objetivos.

  • Probabilidad: es la posibilidad de ocurrencia de un hecho, suceso o acontecimiento. La frecuencia de ocurrencia implícita se corresponde con la amenaza. Para estimar la frecuencia podemos basarnos en datos empíricos (datos objetivos) del histórico de la empresa, o en opiniones de expertos o del empresario (datos subjetivos).Ejemplos: caídas o fallas de servicio, cortes de luz, inundaciones, errores de programación, etc.
- Este término permanece en la evolución de las normas ISO refiriéndose a un suceso en lugar de a una amenaza.


El siguiente gráfico nos ayudará a terminar de entender dichos términos:
  


Como corolario, indicaremos que las amenazas están allí y que somos los integrantes de las empresas quienes debemos evaluar cuánto y de qué forma nos impactan y tomar los recaudos necesarios para accionar calculando, en lo posible cuantitativamente, el nivel de nuestro riesgo.


 El impacto en las empresas puede ser de varios tipos:

  • Daños personales
  • Pérdidas financieras
  • Interrupción del servicio
  • Pérdida de imagen y reputación
  • Disminución del rendimiento

Los riesgos deberán gestionarse con planes ajustados a las necesidades evaluadas. Entre ellos, cada día son más comunes amenazas como: ataques informáticos, fugas de información, falta de desarrollo seguro en las aplicaciones,   y muchos más casos de los que nos gustaría reconocer a los especialistas en seguridad.

Sin decir nombres, recordemos casos públicos como los de empleados enojados o no leales, fallas de seguridad físicas y lógicas que permiten ataques simples de hacktivistas o ciberterrorismo. Todos temas que desarrollaremos en próximos artículos.


Autora:
Ing. Lic. Marcela Meyorin Lorenzo
IT Infraestructure & Security
CISA, Lead Auditor 25999/22301, ITIL v.3 Foundation/ISO-IEC 20000/AI9001         
Docente a cargo de la Diplomatura e-learning en UTN: