Gestión de Riesgos.

Caso Práctico

Ya han pasado unos cuantos días desde que Juan comenzó a trabajar en la empresa y cada vez se desenvuelve mejor. También, a medida que va pasando el tiempo y Juan se va haciendo al puesto, sus jefes y jefas le dan más responsabilidades.

El día que Juan tuvo la primera entrevista con Ignacio, éste le explicó entre otras cosas, las directrices de la política de seguridad de la empresa. En dicha política se documenta todo lo relativo a seguridad en la empresa.

Hoy Ignacio, le ha dicho a Juan que va a tener que dar formación a los empleados y empleadas del departamento de recursos humanos en materia de seguridad informática.

-Juan tengo un nuevo trabajo para ti.

-¿Ah sí? ¿En qué consiste? –preguntó Juan con impaciencia e ilusión a partes iguales-

-La semana que viene tendrás que dar una pequeña charla de formación a los empleados y empleadas de recursos humanos. Es muy importante que tengan unas nociones básicas de seguridad y que les transmitas lo establecido en la política de seguridad de la empresa.

-Muy bien, prepararé unas diapositivas y si me surge alguna duda ya te avisaré.

-Dedícale especial atención a los temas de auditoría, porque esta es la principal razón del curso.

Hasta ahora hemos visto el concepto de vulnerabilidad, de amenaza y de ataque. A continuación veremos lo que son los riesgos, los métodos y las herramientas que se utilizan para gestionarlos. Los objetivos de la gestión de riesgos son identificar, controlar y eliminar las fuentes de riesgo antes de que acaben materializándose en daños.

Entendemos el riesgo como la posibilidad de que una amenaza se materialice aprovechando una vulnerabilidad y viene dado por la siguiente ecuación:

Riesgo = Amenaza x Vulnerabilidad x Valor del bien

Analizando esta ecuación, vemos que el riesgo aumenta cuando aumentan tanto las amenazas como las vulnerabilidades como el valor de los bienes (o varios de ellos, lógicamente).

Por otra parte, definiremos el impacto como los daños o consecuencias que ocasiona la materialización de una amenaza. Los impactos se pueden clasificar en:

Impactos cuantitativos: englobaríamos en este tipo de impactos a aquellos que se pueden cuantificar económicamente. Por ejemplo, se inunda una pequeña sala donde había 3 equipos que no contenían datos importantes y el impacto queda reducido al valor económico de los equipos.
Impactos cualitativos: suponen daños no cuantificables económicamente, como por ejemplo, un ataque que no suponga pérdidas económicas pero que deja notablemente dañada la reputación de la empresa. Un daño cualitativo, por lo tanto, puede ocasionar impactos cuantitativos indirectamente.