Cada vez más las organizaciones dependen de la tecnología y la automatización e integración de los sistemas de información. Varios estudios coinciden en que el año 2020 trajo consigo el incremento de tecnología para sostener las nuevas comunicaciones, formas de colaborar, mayor uso en la nube, ventas disparadas en la compra de dispositivos y con esto más ciberataques sofisticados. El panorama de amenazas está evolucionando muy rápido.
Es en este punto donde nos detenemos a observar que el cambio se dio vertiginosamente y no podemos pararlo, pero sí podemos examinar el entorno, los cambios adoptados y reconocer las tecnologías implementadas, de este modo el estudio, análisis y control se facilita.
Un proceso de evaluación es fundamental. Los riesgos tecnológicos tienen su origen en el incremento de herramientas y aplicaciones que no cuentan con una gestión adecuada o que por la necesidad de satisfacer las necesidades de los usuarios crecen desmedidamente.
No se debe tomar a la ligera el estudio de los riesgos. Con una metodología bien trazada y que se adapte a las medidas que se desean satisfacer la probabilidad de reducir el nivel de riesgo es posible. Los planes de evaluación de riesgos de seguridad permiten a las organizaciones conocer las debilidades de las aplicaciones desde el punto de vista de un ataque potencial.
Y… ¿por qué hablamos de riesgos hoy?
- ¿Cuál es el origen del riesgo?
- ¿Quién (o qué) puede ser afectado si llegara a ocurrir?
- ¿En caso de que se materialice el riesgo como podría afectar?
- ¿Puedo anticiparme al riesgo?
- ¿Cómo sé qué impacto puede tener?
Estas preguntas se plantean desde las grandes organizaciones hasta los pequeños negocios. Una vez que se tenga respuesta a estas preguntas la mitad del camino hacia niveles de riesgo aceptables estará construido.
Si consideramos que el riesgo es complicado de contener aún conociendo el origen, el panorama no mejora si este se desconoce. Una evaluación de riesgos de seguridad es una de las iniciativas que juegan un papel integral.
El riesgo afecta la información y los sistemas de información. Todo activo que sea parte de este entorno de sistemas de información debe ser considerado.
Una buena práctica es mantener listas de activos, es decir inventarios, tanto de dispositivos como de los datos que generamos, almacenamos y procesamos, ya que cada rincón representa una puerta a un escenario de vulnerabilidad.
El análisis de riesgo comprende la forma en cómo se relacionan las amenazas y las vulnerabilidades para formar un riesgo.
Una vez cumplida la primera la labor del análisis que es, en resumidas cuentas; identificar, analizar y evaluar el riesgo; el tratamiento y la mitigación se vuelven una tarea más redituable pues podremos ponerle nombre a los riesgos que incluso desconocemos. El proceso de tratamiento consiste en seleccionar y aplicar las medidas más adecuadas para lograr el objetivo de minimizar el riesgo.
Riesgo existente como origen de otros riesgos.
Los cambios y actualizaciones de la tecnología son constantes y debemos mantenernos actualizados, pues de esta manera estamos atentos a las amenazas que van surgiendo. Los responsables de la seguridad deben estar informados de las tendencias e investigaciones tecnológicas.
Las nuevas plataformas de comunicación, las migraciones aceleradas y a marchas forzadas a la nube, el incremento de adquisición de seguros de ciberseguridad, la modalidad híbrida de trabajo y la tecnología que lo soporte hacen del riesgo una variable siempre cambiante, por lo que la tecnología que ayer mantenía seguro a los ambientes tecnológicos, hoy no es 100% confiable.
