Análisis de riesgos en los Sistemas Informáticos

Lunes, 24 de Abril de 2017 - Actualizado a las 12:31h.

Ineluctablemente, en algún momento de nuestras vidas, nos habremos visto obligados a adoptar una decisión, personal o profesional, no exenta del componente riesgo en cualquiera de sus vertientes.

 

Existen muchas formas de definir el riesgo o contingencia, pero nos podemos quedar con la definición que emplea la norma ISO-31000 en la que afirma que “es el efecto de la incertidumbre sobre la consecución de los objetivos”, y esta otra descripción, no tan ortodoxa, en la que encorsetamos al riesgo como el compendio de una serie de factores: la variable estadística posibilidad de que algo ocurra, el ingrediente vulnerabilidad que todas las personas y dispositivos adolecemos, y el resultado impacto, probablemente negativo en muchos casos, con su conjunto de consecuencias personales, reputacionales y/o económicas.

 

En lo que concierne a los sistemas informáticos, las posibilidades de que algún fallo acontezca tienden a infinito, dado el gran número de variables que los componen. De hecho, a las ya copiosas variables tecnológicas podemos añadir otro tipo de causas comunes que hacen referencia a las catástrofes naturales, cambios de legislación, impredecibilidad del ser humano bienintencionada, o no, y un largo etcétera.

 

Por otra parte, las vulnerabilidades son una de las mayores oportunidades que ofrecen dichos sistemas, sus administradores y los usuarios finales, a los cibercriminales para aprovecharse y tomar ventaja. Algún ejemplo son las vulnerabilidades de tipo Zero Day que presenta cierto software comercial o la perversa utilización de la ingeniería social, con la única finalidad de obtener las claves de acceso de los usuarios. Ante esta situación, la innovación tecnológica nos lleva a la implantación de soluciones preventivas, en lugar de las tradicionales con carácter correctivo.

 

Una de las buenas noticias es que el riesgo puede ser identificado en su estadio inicial y posteriormente analizado, lo que nos posibilita evaluar el alcance de su impacto.

 

Y se puede gestionar, mediante las fases lógicas: evitarlo, reducirlo, asumirlo, transferirlo y/o compartirlo. Pero también se puede gestionar a nivel de proceso, de forma que logremos minimizar y controlar un impacto y sus consecuencias, en caso de que llegase a ocurrir cualquier tipo de percance.

 

Estas tareas y sus buenas prácticas quedarían recogidas formalmente en lo que denominamos Análisis de Riesgos y Plan de Contingencias. Con todo ello, conseguiremos un mayor rendimiento de nuestros sistemas informáticos y una optimización del retorno de las inversiones relacionadas. De igual forma, estamos dando un primer paso para la definición del Plan de Continuidad de nuestro Negocio.  

 

  

 

Juantxu Mateos

Director de Desarrollo de Negocio de Nextel SA