Gestión de Riesgos

Gestión de Riesgos

¿Qué es Gestión de Riesgos?

Es la acción integral para el abordaje de una situación de desastre. Permite determinar los riesgos, intervenir para modificarlos, disminuirlos, eliminarlos o lograr la preparación pertinente para responder ante los daños que, sin duda, causará un determinado desastre.

Para poder llevar a cabo una correcta gestión de riesgos es necesario tener en consideraciones dos factores que intervienen en la posible ocurrencia de un riesgo dentro del entorno los cuales son:

  • Amenaza: Cualquier factor externo de riesgo con potencial para provocar daños sociales, ambientales y económicos en una comunidad durante determinado periodo de tiempo.
  • Vulnerabilidad: Es un factor interno de riesgo de una comunidad expuesta a una amenaza, en función de su predisposición a resultar dañada. Existe en la medida en que se haga o deje de hacer algo: la ubicación geográfica de las ciudades, la calidad de la construcción de las viviendas, el nivel de mantenimiento en todo tipo de servicios públicos, el tipo de producción económica, el grado de organización social, la capacidad de gestión, etcétera.

Manual de Prevención de Riesgos

El manual de prevención de riesgos que se desarrollará está enfocado en la operación de una empresa que se dedica a brindar servicios de TI, a diferentes tipos de organizaciones que cuentan con necesidades las cuales mediante las líneas de negocio podemos cubrir.

Con base en esto la organización ha determinado la necesidad de estableces un Manual de Prevención de Riesgos Operativos, el cual se rige por la siguiente política:

Política de prevención de riesgosla organización debe realizar al menos una vez al año o cada que ocurra un evento de magnitud considerable una evaluación de los riesgos aplicables dentro de las operaciones, esto para salvaguardad la integridad del recurso humano, así como de los activos materiales, que son considerados como activos sensibles para la ejecución de las operaciones.

Organización

Planificación

  • La organización establece mediante la Metodología de Análisis de Riesgos, la periodicidad, así como los participantes que apoyaran en la identificación y evaluación de riesgos, para entrar en cumplimiento de la política establecida por la Alta Dirección.

Preparación

Para llevar a cabo la identificación y evaluación de riesgos la organización debe tomar en cuenta las siguientes áreas:

  • Recursos Humanos
  • Administración y Finanzas
  • Sistemas
  • Áreas Operativas

Esto con la finalidad de obtener la radiografía completa de la situación actual de la organización respecto a los riesgos actuales y los que fueron detectados dentro del análisis previo.

Ejecución

La organización con base en los lineamientos establecidos en la Metodología de análisis de riesgos deberá llevar a cabo sesiones de trabajo, previamente establecidas con los responsables de las diferentes áreas, con la finalidad de identificar los riesgos que ellos dentro de su ámbito de acción identifican y consideran con un alto riesgo de ocurrencia.

Informe

Los responsables de la ejecución del análisis y evaluación de riesgos deberán crear el Informe de Evaluación de Riesgos de la Organización, en el cual mostraran todos y cada uno de los riesgos identificados por los responsables, para determinar los controles que apoyaran a mitigar los riesgos, así como la asignación de los responsables de la ejecución y monitoreo de los mismos, para medir la efectividad.

 

Planificación

La Gestión de Riesgos de la organización se llevará a cabo de acuerdo al siguiente plan de acción en el cual se contempla la evaluación de riesgos, monitoreo y evaluación de controles, así como la capacitación del personal, esta planificación puede verse afectada si dentro de la organización existen cambios en:

  • Estructura de la organización.
  • Incorporación de un nuevo servicio.
  • Adquisición o cambio de infraestructura.
  • Cambios en los procesos operativos.

 

Revisión de Actuaciones

La organización para poder asegurarse que sus controles implementados son efectivos y apoyan en la reducción o mitigación de los riesgos detectados, aunado a la revisión y monitoreo de los controles, se apoyará de un organismo externo, especialista en gestión de riesgos operativos el cual emitirá comentarios a su sistema de gestión de riesgos.

 

La correcta gestión de los riesgos será el pilar más importante dentro de una organización, ya que al contar con una metodología que genere resultados comparables y reproducibles, fortalecido por personal capacitado y competente en identificación y evaluación de riesgos, podrá contar con controles que apoyen en la gestión adecuada de los mismos, optando por alguna de las acciones para el tratamiento:

  • Reducir
  • Aceptar
  • Transferir
  • Evitar

Políticas de Seguridad Informática Para Las Necesidades del Usuario Actual

Políticas de Seguridad Informática Para Las Necesidades del Usuario Actual

Los equipos que alguna vez fueron máquinas súper potentes con millones de ciclos por minuto, ahora son sustituidos por pequeñas máquinas con 1/16 de su tamaño original, con la capacidad de ser portátiles e incluso cuidar la salud del ser humano. Así también, Internet está marcando una tendencia hacia el cambio ubicuo que en la actualidad llamamos el Internet de las Cosas.

Por ello nos vemos en la necesidad de incrementar el nivel en la seguridad e implementar más opciones de cualquier política segura que conozcamos, ya que ahora no solamente se trata de salvaguardar la seguridad de la información, sino también la integridad del propio ser humano.

Es por eso que a las personas que se dedican a la seguridad informática de cualquier empresa se les ha dado una nueva encomienda, una misión realzada en el ámbito de la seguridad informática que demanda un manejo de políticas más complejas, con mayor magnitud y con el fin de alcanzar el marco que nos garantice la seguridad de la información, siempre con un lenguaje asimilable para el usuario promedio y un entendimiento mínimo en la tendencia de la seguridad.

En este artículo se destacará la necesidad de tener buenas prácticas en las empresas sobre el manejo de la información y sus políticas de seguridad. En la mayoría de éstas el usuario promedio tiende a descuidar sus activos, ya sea personal o empresarial, con el fin de cumplir con su trabajo, lo cual provoca un incremento en los reportes de incidentes que se emiten en las organizaciones.

Se han encontrado empresas que carecen de políticas de seguridad informática o tienen algunas mal elaboradas o sin sentido, y otras que preservan políticas extremadamente ambiciosas y difíciles de cumplir. Un claro ejemplo es una entidad que basa la creación de sus políticas sin dimensionar el alcance de un modelo como ISO 27001 y sólo redacta el documento con el propósito de cumplir el estándar, sin antes saber los retos tecnológicos que conlleva.

Podemos encontrar una empresa que, con el fin de tener un modelo de políticas, únicamente las elabora basándose en reglamentos, sin dar prioridad a la función principal: la protección de la información. Esto no sólo lleva a tener un régimen de políticas pobre, sino que carecen de continua revisión y cambio con el fin de cumplir los requisitos de auditorías o procesos de evaluación empresarial.

También existen empresas que se proponen elaborar políticas extremadamente ambiciosas que no podrán cumplir ya que, por lo regular, no tienen los recursos necesarios en cuestiones económicas, tecnológicas o humanas. Normalmente el ciclo de vida de este documento provocará la desaparición y extinción de este de forma total o, en el mejor de los casos, su adecuación favorable.

¿Cómo elaborar un documento de políticas de seguridad informática y de seguridad de la información?

Dada la importancia de un documento de esta magnitud en cualquier empresa y en especial en las empresas TI, al escribirlo deben contemplarse previamente los siguientes puntos:

  1. Elaborar políticas claras. Cualquier usuario promedio podrá entenderlas, llevarlas a la práctica y cumplirlas en su totalidad.
  2. Desarrollar políticas que la organización pueda realizar en función del usuario, ya que éste es quien logra que se lleven a cabo.
  3. Establecer políticas que la alta dirección de la organización desee y pueda cumplir, no sólo elaborarlas para aprobar una auditoría o un proceso de evaluación.
  4. Fijar políticas concretas. Deben mostrar tanto lo que se debe realizar como las limitantes de lo que se pretende proteger o no comprometer.
  5. Toda política que se pretenda incluir en el documento se debe difundir; ningún usuario debe desconocerla.
  6. El documento debe estar en un lugar de fácil acceso y consulta para que los usuarios de la compañía puedan leerla no a modo de complemento a sus labores, sino como una obligación expresa en su contrato.
  7. Se debe dar una clasificación de protección de la información al documento, de eso dependerá su capacidad de difusión hacia los usuarios.
  8. Es indispensable que los proveedores de servicios ajenos a la organización conozcan el documento para que se apeguen a ellas y apoyen en su cumplimiento.
  9. Las políticas deben tener una campaña de difusión. Debe ser distinta pero no ajena a la campaña de concientización en materia de seguridad de la información, ya que de ésta dependerá que el documento sea analizado por todos los usuarios de la empresa y no sea olvidado.
  10. Se debe tener como mínimo una revisión del documento con una periodicidad menor a los 180 días. Lo más importante que debemos analizar y tener claro es que ninguna política es perfecta. Los usuarios tratarán de encontrar fallos en las mismas para burlarlas o no ser sancionados. Por eso, ninguna política es perpetua ni ha sido “escrita en piedra”.

El marco de normatividad en el que nos basaremos para elaborar el documento deberá ser siempre aquel que nos acomode y sea acorde a nuestra organización (su giro, su capacidad tecnológica y su capacidad humana). No debemos ambicionar un marco normativo muy complejo si no lo vamos a cumplir ya que de esto también depende que sea exitoso al ponerlo en marcha dentro de la empresa.

Respecto al marco de elaboración en que se basa, deberá ser siempre en total y completo apoyo de la dirección general o alta dirección de la organización y contemplar que la persona o área encargada de generar el mutuo acuerdo de documentación de seguridad sea totalmente ajena al área de tecnología. De esta manera evitaremos que exista un error muy común cometido en las organizaciones: hacer juez y parte al área de tecnología.

Es preferible tener una persona o área de seguridad que no dependa de la tecnología y que esté siempre a la salvaguarda de la seguridad, verificando que se cumplan las políticas y que se gestionen correctamente los incidentes generados, con un seguimiento continuo de los mismos hasta su remediación.

No se puede dejar fuera nunca la ayuda de los consultores externos quienes, a través de su perfil, han obtenido la certeza de verificar un documento de políticas en el marco de su normatividad hacia la organización. Siempre es válido utilizar a una de estas personas que no intervenga directamente en la organización, únicamente en su verificación de documentación y procedimientos de seguridad informática.

¿Cómo saber cuándo nuestro documento de políticas está terminado?

Las características de nuestro documento al final de la redacción incluyen:

  • Ser entendible.
  • Ser fácil de asimilar.
  • Que pueda ser cumplido por cualquier usuario de la organización.
  • Ser factible para el área de tecnología.
  • Estar disponible para cualquier miembro de la organización.
  • Ser leído por los proveedores externos para que ayuden en su cumplimiento.
  • Tener por completo el apoyo de la alta dirección de la organización.

Es entonces cuando podremos decir “misión cumplida”, ya que así tendremos Políticas de Seguridad Informática y de Seguridad de la Información, y a partir de este momento comienza el cumplimiento del marco normativo en la organización del que serán partícipes los usuarios finales.

 

Plan de contingencia

En cualquier manual de buenas prácticas de seguridad informática se habla de la creación de un “Plan de contingencias”. Incluso en numerosas normativas se habla de su obligatoriedad.

Estos planes no son más que una serie de pasos a seguir en caso de que ocurra algo, es decir, de una “contingencia”.

El diccionario define contingencia como “Posibilidad de que algo suceda o no suceda; cosa que puede suceder o no suceder”. Es decir, debemos estar preparados para que algo suceda, incluso aunque no vaya a suceder.

Sin embargo, hay muchas contingencias que deben empezar a considerarse ciertamente probables. Dentro del colectivo de los amantes de las motos, hay un aforismo muy repetido: “Hay dos clases de motoqueros, los que ya se han caído y los que están a punto de caerse”. Es decir, si vas en moto te vas a caer, sí o sí. No hay manera de escaparse.

Luego está la suerte de que cuando te caigas lo hagas a 20 por hora o a 100 por hora, a 100 duele más que a 20.

Volviendo a la seguridad informática, la copia de seguridad de los datos es perfectamente adaptable al aforismo motoquero, podríamos decir que “hay dos clases de empresas: las que han perdido sus datos y las que están a punto de perderlos”. Luego ya veremos si la copia de seguridad estaba bien hecha, si se puede recuperar, si la parada es muy larga…. Como la caída de la moto, puede ser a 20 o a 100.

Y más aún: ¿tenemos copia de seguridad? ¿Cuántas? ¿Funcionan? ¿Cuánto tiempo necesitamos para volver a poner en marcha un servidor que “ha muerto? Si no tenemos respuestas a todas estas preguntas, nos estamos cayendo de la moto, y no a 100, sino a velocidades absolutamente ilegales.

Una copia de seguridad no es solo copiar unos cuantos archivos a un DVD y listos. Eso es muy facil !!
Supongamos que tenemos un servidor en la empresa que almacena la base de datos de proyectos. Tenemos allí mucha información que es vital, así que hacemos una copia de seguridad.

Pero pasado mañana ocurre una contingencia. No nos pongamos en catástrofes de proporciones bíblicas, como una inundación, un terremoto o la dominación del planeta por seres venidos del espacio exterior. Simplemente, la fuente de alimentación del sistema se estropea por una alza de voltaje (Nota mental: añadir al cuarto de servidores un estabilizador de corriente). O simplemente un fusible cumple su función, y se funde (Nota mental: tener fusibles de repuesto. Y del valor adecuado. Y del tamaño adecuado. Y el destornillador del paso adecuado. Y el manual adecuado para abrir la fuente de alimentación. Y el teléfono de soporte técnico 24 horas del fabricante).

En el mejor de los casos, la reparación puede llevarnos unas cuantas horas, que son horas en las que la información no está disponible. Y eso en dinero, puede ser mucho. Si nos ponemos en casos más graves (exceptuando la invasión alienígena, para la que no se me ocurre otra solución que acudir a XCOM), ya no es solo una parada momentánea, sino que podría llevar varios días. Y todo ello, contando con una adecuada copia de seguridad de la información.

Pero eso no es una buena copia. Los datos son importantes, pero esos datos deben ser accesibles rápidamente en caso de problemas. Si tenemos que, por ejemplo, volver a montar el servidor, con su sistema operativo, con los drivers, reconfigurar permisos, establecer de nuevo árboles y dominios, podremos tirarnos mucho tiempo y el administrador de la red podrá tirarse de los pelos, si no se tira por la ventana.

Hoy en día existen sistemas de copia de seguridad que no se limitan a los datos, sino que llevan a cabo copias de seguridad completas, incluido el sistema operativo, de manera que restaurar un servidor que haya muerto es mucho más sencillo de lo que parece.

La copia de seguridad ya no es un capricho, o algo para tener en el plan de contingencias. Es tan básico como tener dos proveedores de Internet por si uno falla. Estamos hablando de seguridad de la información, de seguridad de nuestro negocio. Porque si no ha perdido ya la información, está a punto de perderla. ¿O no?

Dia Mundial del Backup

Como cada año desde hace tiempo, el próximo 31 de marzo se celebra el día mundial del backup, una iniciativa que recuerda la importancia de contar con una o varias copias de seguridad de nuestros datos importantes. Tanto si solamente queramos tener una copia de nuestra información personal como si se trata de respaldar la información de toda una empresa hay una serie de puntos que debemos tener en cuenta.

LA IMPORTANCIA DE LAS COPIAS DE SEGURIDAD
Con la cantidad de información que almacenamos actualmente resulta sorprendente pensar que muchos usuarios no siguen una política correcta de copias de seguridad o directamente no disponen de ella. Tan solo cuando ocurre un incidente, ya sea en forma de malware, fallo de dispositivo o pérdida de acceso a la información es cuando estos usuarios se lamentan de no haber realizado esta copia antes.

Y es que los datos suelen almacenarse en dispositivos que son más propensos de lo que nos gustaría a estropearse, perderse o ser robados. Pensemos en toda la información importante que se almacena en los discos duros de nuestro ordenador doméstico o en nuestro terminal corporativo. No nos paremos ahí y pensemos también en la información almacenada en nuestro dispositivo móvil que confiamos tener siempre a mano pero que, de repente, puede desaparecer.

Para evitar quedarnos sin nuestros valiosos datos es importante no solo que realicemos copias de seguridad. También hemos de asegurarnos de que estas se están realizando de forma correcta para poder restaurar la información cuando sea necesario. Este detalle es importante puesto que no son pocos los que realizan sus backups sin preocuparse de este punto y cuando necesita recuperar la información se da cuenta de que no puede hacerlo.

Además, hemos de tener muy en cuenta la aplicación del Reglamento Europeo de protección de datos, que desde mayo de 2016 es de obligado cumplimiento y que en mayo de 2018 comenzará a imponer sanciones a aquellas empresas que no gestionen los datos de sus clientes de forma adecuada. Esto incluye tener estos datos disponibles y poder recuperarlos de forma efectiva en el menor tiempo posible por lo que el backup es una pieza fundamental para cumplir con esta normativa.

CINCO PUNTOS CLAVE DE UNA COPIA DE SEGURIDAD…

Para tener una buena política de copias de seguridad recomendamos tener en cuenta los siguientes consejos:

1.- Realiza backup de forma periódica: De poco sirve tener una copia de seguridad si esta se encuentra desactualizada ya que los datos más recientes no se podrán recuperar. Este punto es especialmente crítico en aquellas empresas que actualicen la información constantemente y que necesitan tener de la versión más actualizada posible.

2.- No retrases la realización del backup. El 31 de marzo sirve como recordatorio y llamada a la acción para todos aquellos usuarios y empresas que aun no se hayan decidido a hacer una copia de seguridad de sus datos. Es importante que se empiece a realizar este backup lo antes posible y actualizarlo periódicamente según nuestro ritmo de generación y actualización de datos.

3.- Almacena tus copias de seguridad en sitios diferentes. De poco sirve una copia de seguridad si sufrimos un desastre natural o un incendio y tanto la información importante como el backup se encuentran en el mismo sitio y se ven afectadas. Muchas empresas y usuarios optan por tener copias en diferentes lugares e incluso una técnica muy recomendada es utilizar tanto medios físicos como el almacenamiento en la nube para guardar toda aquella información que consideremos importante.

4.- Cifra toda la información confidencial. Tanto si almacenamos nuestra copia de seguridad en un medio físico como en la nube es importante cifrar aquellos datos que sean confidenciales. De esta forma evitaremos que un acceso no autorizad obtenga información que pueda ser usada en nuestra contra o por nuestra competencia. Este punto es clave para cumplir con el GDPR y existen soluciones que pueden ayudarnos a gestionar de forma efectiva el cifrado de nuestra información.

5.- Aprovecha las facilidades de la automatización. Aunque es perfectamente factible que utilices medios tradicionales como el copiar/pegar para realizar copias de seguridad en entornos domésticos o incluso en pequeñas empresas, lo más aconsejable es aprovechar las posibilidades que ofrece el software de backup actual. Incluso los propios sistemas operativos incluyen esta funcionalidad pero, si estás interesado en este tipo de aplicaciones te recomendamos que leas nuestro siguiente apartado.

…Y OTROS CINCO DE UN BUEN SOFTWARE DE BACKUP

1.- Elección de la frecuencia con la que se realizará la copia de seguridad. Dependiendo de la frecuencia con la que se modifiquen o añadan datos que consideremos importantes se deberá configurar la frecuencia de realización de las copias de seguridad. Es muy probable que un usuario doméstico no necesite hacer más de un backup cada uno o varios meses pero en un entorno corporativo es frecuente ver como se realizan a diario e incluso cada pocas horas.

2.- Posibilidad de seleccionar los datos a guardar. Cuando se maneja una gran cantidad de información es probable que no se necesite realizar una copia de todos y cada uno de los ficheros. Por ese motivo es importante que el software de copia de seguridad permita seleccionar los ficheros de los que guardaremos una copia y, de esta forma, ahorrar espacio.

3.- Creación de una imagen del sistema. Si nuestros equipos se han visto afectados por un desastre natural o incendio o un malware que no permita trabajar normalmente con ellos, una de las soluciones más efectivas es restaurar a partir de una imagen del sistema que permita empezar a trabajar lo antes posible con las aplicaciones utilizadas en nuestra empresa. Una vez conseguido esto podemos restaurar los datos importantes a partir del backup, habiendo perdido una cantidad de tiempo mucho menor que si hubiéramos tenido que recuperar todos los sistemas desde cero.

4.- Control de acceso y cifrado de la información. Tan importante como realizar copias de seguridad de la información es controlar quien puede tener acceso a la misma. Por eso se debe utilizar siempre que sea posible un programa de backup que permita tanto cifrar las copias de seguridad como establecer un control de acceso a las mismas. De esta forma evitaremos que la información confidencial se vea comprometida en caso de perdida o robo.

5.- Utilización de algoritmos de compresión efectivos. La cantidad de datos que se pueden llegar a almacenar en una copia de seguridad puede ser muy elevada por lo que debemos utilizar una solución de backup que permita comprimirlos y restaurarlos de forma rápida y eficaz. El espacio de almacenamiento es un bien preciado tanto para usuarios domésticos como para empresas y debemos evitar malgastarlo.

Pronto

Pronto comenzaremos a compartir informacion en nuestro blog.

 

Gracias !!