Page 66 - 1 REVISTA TÉCNICO/PRACTICO DE LA CARRERA DE TECNOLOGÍAS DE LA INFORMACIÓN
P. 66
en todos los niveles. Por ejemplo, el uso de Debido a la existencia de estos factores de
autenticación multifactor (MFA), la creación de copias incertidumbre, que afecta a la precisión de las
de seguridad periódicas y la encriptación de predicciones asociadas con ellos, la planificación y la
información sensible son medidas que, aunque justificación de la seguridad pueden ser muy
básicas, proporcionan una capa adicional de defensa complejas, incluso aunque se pueda determinar de
frente a ataques sofisticados. forma aproximada el retorno de inversión en seguridad
(ROSI).
Por otro lado, las malas prácticas suelen derivarse de
la falta de conocimiento, la negligencia o la
comodidad del usuario. Acciones como usar
contraseñas débiles (“123456”, “password”), dejar las
sesiones abiertas en computadoras compartidas o no
cerrar correctamente los servicios en línea son errores
comunes que facilitan el acceso no autorizado. Estas
conductas deben ser identificadas y corregidas
mediante campañas de sensibilización, normas
internas claras y auditorías periódicas de seguridad.
Asimismo, la comparación evidencia que la seguridad Figura 3: Componentes del proceso de riesgos
de la información no depende exclusivamente del área La Fig. 3, representa las etapas fundamentales del
tecnológica, sino que involucra una dimensión proceso de gestión de riesgos en la seguridad de la
humana y organizacional. Promover la colaboración información. En ella se observa la secuencia lógica
entre los departamentos técnicos y el personal que inicia con la identificación de amenazas y
operativo, establecer protocolos de respuesta ante vulnerabilidades, seguida por la evaluación y análisis
incidentes y evaluar continuamente los riesgos son del riesgo, la implementación de controles o
pasos fundamentales para mantener una postura de salvaguardas, y finalmente la monitorización y
seguridad sólida. revisión continua del sistema. Este ciclo permite
mantener un nivel de riesgo aceptable, optimizando los
Finalmente, la comprensión y aplicación de buenas recursos disponibles y garantizando la protección de
prácticas debe concebirse como un proceso continuo, los activos críticos frente a posibles incidentes.
no como una acción puntual. El panorama de
amenazas digitales evoluciona constantemente, por lo Los riesgos se atenúan con la implantación de
que las estrategias de protección también deben salvaguardas, también conocidas como medidas,
adaptarse a nuevas formas de ataque, como el uso de controles o contramedidas. Las salvaguardas pueden
inteligencia artificial en cibercrimen o la ingeniería actuar contra la amenaza, la vulnerabilidad, el impacto
social avanzada. Solo a través de la educación digital o contra el propio riesgo [7]. Sin embargo, no es
constante, la responsabilidad individual y la factible atenuar todos los riesgos de forma completa,
implementación de políticas de seguridad integrales, debido, en gran parte, al elevado coste económico y a
las organizaciones podrán garantizar la protección las incertidumbres asociadas. Por tanto, siempre debe
efectiva de su información en el entorno digital actual aceptarse algún riesgo residual.
2.4 Riesgos La gestión efectiva de riesgos requiere un enfoque
sistemático que combine la evaluación continua, la
En el nivel más simple, el proceso de gestión de implementación de controles y la revisión periódica de
riesgos identifica y prioriza los peligros inherentes al las medidas adoptadas.
desarrollo de un producto, sistema u organización. La
gestión del riesgo es una parte importante de la gestión Es fundamental comprender que los riesgos
de seguridad y se define como el procesó que se evolucionan con el tiempo, especialmente ante el
encarga de identificar y cuantificar la probabilidad de surgimiento de nuevas tecnologías, amenazas
que se produzcan amenazas y de establecer un nivel informáticas y cambios en los entornos digitales. Por
aceptable de riesgo para la organización, considerando ello, las organizaciones deben adoptar metodologías
el impacto potencial de incidente no deseado. La dinámicas de gestión que les permitan anticiparse a los
valoración de riesgos es el proceso consistente de incidentes y mantener la resiliencia operativa.
identificar los problemas antes que aparezcan.
A continuación, se destacan algunos principios
En la gestión de riesgos, existe un factor de esenciales para una gestión de riesgos efectiva en el
incertidumbres asociados con la probabilidad de que ámbito de la seguridad de la información:
aparezcan las amenazas, que es diferente, dependiendo
de cada situación. Esto significa que la amenaza solo
se puede predecir dentro de ciertos límites. Además, el • Identificación proactiva: reconocer los
impacto valorado para un riesgo concreto también activos críticos y las posibles amenazas antes
tiene asociada incertidumbre, debido a que el incidente de que se materialicen incidentes.
no deseado puede no resultar tal y como se esperaba.
66
