Es un hecho que no hay incidentes que se repitan de la misma forma ni afectan por igual a las empresas. Entonces, ¿cómo efectuar un análisis de riesgos en su organización?
De no ser por una práctica amigable de su competidor, los secretos de Coca-Cola habrían sido expuestos hace poco. De acuerdo con varios medios, tres personas (una de ellas, empleada de Coca-Cola Company), intentaron vender a Pepsi secretos industriales de la primera, incluyendo una muestra de una bebida nueva.
Pero no contaban con la honestidad de los ejecutivos de Pepsi, quienes mostraron a los directivos de la gaseosa de etiqueta roja, una carta, supuestamente escrita por un importante empleado de Coca, que prometía información detallada y confidencial a cambio de un millón y medio de dólares. "Nosotros hicimos lo que cualquier compañía responsable haría. La competencia puede ser feroz, pero también necesita ser limpia", dijo el vocero de Pepsi, Dave DeCecco.
Pero no contaban con la honestidad de los ejecutivos de Pepsi, quienes mostraron a los directivos de la gaseosa de etiqueta roja, una carta, supuestamente escrita por un importante empleado de Coca, que prometía información detallada y confidencial a cambio de un millón y medio de dólares. "Nosotros hicimos lo que cualquier compañía responsable haría. La competencia puede ser feroz, pero también necesita ser limpia", dijo el vocero de Pepsi, Dave DeCecco.
Por su parte, Neville Isdell, jefe ejecutivo de Coca-Cola, agradeció a su competidora y se dirigió a sus empleados a través de un comunicado interno en el que establecía que todos tienen la responsabilidad de vigilar la protección de sus secretos comerciales. Seguramente se alegró de que solo hubiera sido un susto, una llamada de atención, y que los ingredientes de su fórmula se encuentren a salvo.
Sólo un susto, esta vez, pero ¿qué si no la cuenta? ¿Cuántas empresas hay que no corren con la misma suerte? Y es que a pesar de tener tecnología de punta, las compañías seguirán siendo vulnerables. Cuando no se filtra información vía telefónica, o en una conversación en un ascensor, se extraen archivos mediante dispositivos usb o simplemente se transfieren a un contacto del mensajero electrónico.
Nunca faltan, tampoco, los espías de la competencia, o empleados insatisfechos dispuestos a vender hasta su alma con tal de conseguir algún beneficio económico. Y qué decir de otros factores que afectan también la continuidad del negocio, como los que se explican en el artículo dedicado a la continuidad en esta misma edición.
El hecho es que no parece haber un flanco libre de huecos, y de hecho, así es. Como se puede apreciar en el recuadro Elementos que disparan los riesgos, el negocio de una empresa, así como sus sistemas de información, pueden ser vulnerables ante amenazas del mercado, financieras, operativas y de recursos humanos, entre otras.
Los objetos están más cerca de lo que parecen
El primer paso para efectuar un análisis de riesgos es entender la naturaleza misma de este proceso. De acuerdo con Gonzalo Espinosa, jefe de seguridad de la información en Cadbury Schweppes e instructor del módulo de análisis de riesgos en el diplomado de seguridad informática del Tec de Monterrey y la Asociación Latinoamericana de Profesionales en Seguridad Informática (ALAPSI), el riesgo se puede definir como la probabilidad de que una amenaza aproveche una vulnerabilidad, o la ausencia de controles, para impactar al objeto de la información en cualquiera de sus tres características: integridad, confiabilidad o disponibilidad.
Ahora bien, no es posible eliminar por completo los riesgos en seguridad, pero “si los controles funcionan correctamente, la amenaza será contenida o mitigada”, dijo Espinosa. En este sentido, un control se refiere a la solución específica para cada vulnerabilidad, ya sea que se trate de un marco de trabajo (como COSO, ITIL o Cobit), proceso, aplicación o tecnología, que ayude a las organizaciones a alcanzar sus objetivos y estrategias de negocio, evitando o minimizando los impactos. Los controles pueden ser preventivos, correctivos o de protección.
Sólo un susto, esta vez, pero ¿qué si no la cuenta? ¿Cuántas empresas hay que no corren con la misma suerte? Y es que a pesar de tener tecnología de punta, las compañías seguirán siendo vulnerables. Cuando no se filtra información vía telefónica, o en una conversación en un ascensor, se extraen archivos mediante dispositivos usb o simplemente se transfieren a un contacto del mensajero electrónico.
Nunca faltan, tampoco, los espías de la competencia, o empleados insatisfechos dispuestos a vender hasta su alma con tal de conseguir algún beneficio económico. Y qué decir de otros factores que afectan también la continuidad del negocio, como los que se explican en el artículo dedicado a la continuidad en esta misma edición.
El hecho es que no parece haber un flanco libre de huecos, y de hecho, así es. Como se puede apreciar en el recuadro Elementos que disparan los riesgos, el negocio de una empresa, así como sus sistemas de información, pueden ser vulnerables ante amenazas del mercado, financieras, operativas y de recursos humanos, entre otras.
Los objetos están más cerca de lo que parecen
El primer paso para efectuar un análisis de riesgos es entender la naturaleza misma de este proceso. De acuerdo con Gonzalo Espinosa, jefe de seguridad de la información en Cadbury Schweppes e instructor del módulo de análisis de riesgos en el diplomado de seguridad informática del Tec de Monterrey y la Asociación Latinoamericana de Profesionales en Seguridad Informática (ALAPSI), el riesgo se puede definir como la probabilidad de que una amenaza aproveche una vulnerabilidad, o la ausencia de controles, para impactar al objeto de la información en cualquiera de sus tres características: integridad, confiabilidad o disponibilidad.
Ahora bien, no es posible eliminar por completo los riesgos en seguridad, pero “si los controles funcionan correctamente, la amenaza será contenida o mitigada”, dijo Espinosa. En este sentido, un control se refiere a la solución específica para cada vulnerabilidad, ya sea que se trate de un marco de trabajo (como COSO, ITIL o Cobit), proceso, aplicación o tecnología, que ayude a las organizaciones a alcanzar sus objetivos y estrategias de negocio, evitando o minimizando los impactos. Los controles pueden ser preventivos, correctivos o de protección.
Así, el análisis de riesgos es el punto de inicio que debe cumplir cualquier procedimiento de administración de la seguridad de IT basado en estándares internacionales de seguridad, ya que deberán identificarse cuáles son las vulnerabilidades potenciales de seguridad de los procesos de la organización, para poder definir los planes de mitigación.
Via bsecure.com.mx
No hay comentarios:
Publicar un comentario