Luis Fuertes
Marketing Manager de Symantec.

A medida que las corporaciones, los particulares y nuestra economía dependen cada vez más de Internet y de los sistemas informáticos, los riesgos de dichos sistemas se hacen mucho más evidentes e incrementan su importancia.

Los problemas o los fallos de los sistemas informáticos ocasionan graves crisis empresariales - daños en la reputación causados por suplantaciones de identidad, pérdidas de negocios por fallos en sistemas, así como restricciones normativas que surgen por temas derivados del cumplimiento de las políticas establecidas.

Recientemente, hemos podido ver algunas noticias sobre historias relacionadas con los riesgos en las tecnologías de la información, incluyendo ataques de phishing, robo de datos confidenciales, suplantaciones de identidad, robo de cintas con copias de seguridad, pleitos derivados de un deficiente mantenimiento y backup de registros electrónicos, problemas derivados de la propiedad intelectual, entre otros.

Debido a esto, parece evidente ver por qué los ejecutivos de las corporaciones desean obtener respuestas a la siguiente pregunta sobre riesgos TI: ¿cómo podemos reducir de manera significativa el riesgo y mejorar los rendimientos de las inversiones realizadas en sistemas informáticos?

La respuesta a esta pregunta podemos encontrarla si nos ocupamos de los riesgos informáticos dentro de un marco integrado para la gestión de riesgos empresariales. Los riesgos TI necesitan ser identificados, medidos y gestionados como parte de un único entorno que incorpora todos los riesgos corporativos. Asimismo, dichos riesgos informáticos deben estar supervisados por el equipo de gestión de mayor nivel para conocer y ofrecer pautas que permitan establecer las combinaciones apropiadas de riesgos/recompensas, y con ello conseguir un mayor rendimiento de las inversiones en TI. El nombre con el que se conocen estas acciones para gestionar y equilibrar los riesgos y recompensas en bienes informáticos es Gestión de Riesgos TI.

La realidad de la Gestión de Riesgos TI
La mayoría de las compañías, administraciones autonómicas o locales y ciudadanos apenas conocen los peligros que corren sus sistemas informáticos, no explotan en su totalidad la amplia gama de herramientas que existen para gestionar dichas situaciones, y tampoco han comenzado a implementar los conocimientos y los procesos necesarios para gestionar este tipo de riesgos.

Las corporaciones han sufrido en parte, porque la gestión de riesgos TI es un campo nuevo, emergente, en donde los modelos de riesgos tradicionales no se aplican siempre con total limpieza. Normalmente, las corporaciones suelen tener un conocimiento muy limitado del impacto que puede tener la pérdida de los bienes informáticos o la imposibilidad para acceder a sus aplicaciones o información. Por ejemplo, la capacidad para transferir riesgos es un concepto fundamental en materia de riesgos financieros; sin embargo, como en los mercados líquidos no es posible todavía comprar y vender riesgos informáticos, las corporaciones deben crear sus propias competencias internas para gestionar este tipo de situaciones por sí mismas.

Asimismo, los riesgos informáticos son más difíciles de cuantificar. En TI, aún no existe el tipo de modelo actuarial o estadístico avanzado que valora los riesgos financieros para darles un nivel de precisión razonable. Sin embargo, los puntos de vista "más o menos apropiados" basados en la heurística y en la experiencia ofrecen unas medidas precisas, valiosas y utilizables de los riesgos informáticos.

Para alcanzar este modelo de evaluación de riesgos TI basado en buenas prácticas, las corporaciones deberían:
1. Incrementar sus conocimientos sobre la naturaleza de los diferentes riesgos
2. Determinar el impacto cuantificado de la pérdida de información o de los problemas para acceder a sus aplicaciones
3. Conocer las herramientas disponibles para gestionar los riesgos informáticos
4. Ajustar la gestión de riesgos TI al valor de la corporación.
5. Crear una capacidad sistemática y corporativa para gestionar los riesgos a la seguridad.

Incremento de los conocimientos sobre los riesgos informáticos
Los riesgos informáticos pueden estar relacionados con la pérdida potencial de información y la recuperación de dichos datos, o bien, con el uso permanente de la información. Estas acciones abarcan las siguientes seis categorías.

• Seguridad: es el riesgo de ver la información alterada o utilizada por personas no autorizadas mediante, por ejemplo, delitos informáticos, infracciones internas y terrorismo electrónico.
• Disponibilidad: riesgo que se produce por la imposibilidad de acceder a la información cuando, por ejemplo, se produce un fallo en el sistema debido a, entre otras cosas, cambios en la configuración, falta de redundancia en las arquitecturas informáticas, o errores humanos.
• Recuperabilidad: riesgo que se genera cuando la información necesaria no puede recuperarse en un tiempo suficiente después de un incidente relacionado con la seguridad o la disponibilidad debido a , por ejemplo, fallos en hardware y/o en software, amenazas externas, o desastres naturales.
• Rendimiento: riesgo que se crea cuando la información necesaria no puede suministrarse debido a, entre otros factores, arquitecturas distribuidas, picos en la demanda, o heterogeneidad en el entorno de las TI.
• Escalabilidad: riesgo que se produce cuando las principales nuevas fuentes de demanda de información (nuevas aplicaciones, nuevas líneas de negocio) no pueden manejarse de forma rentable debido, principalmente, a crecimiento del volumen de negocio, cuellos de botella en el suministro, o a arquitecturas aisladas.
• Cumplimiento: riesgo que se genera cuando la gestión o el uso de la información infringe los requisitos normativos.Por ejemplo, normativas gubernamentales, pautas de la dirección corporativa o políticas internas.
  

Conocimiento del impacto cuantificado en la corporación
Es esencial entender los riesgos en términos de probabilidad de un evento capaz de generar alguna situación de este tipo, y en términos del valor temporal de la exposición a un peligro en caso de producirse dicho riesgo. Asimismo, los riesgos necesitan ser cuantificados para cada aplicación empresarial esencial. Conociendo estos dos parámetros, las personas encargadas de tomar decisiones pueden plasmar estos valores en un sencillo gráfico bidimiensional, asignando las prioridades de reducción/solución de riesgos a diferentes aplicaciones. Además de esto, se puede definir y aplicar una política de forma efectiva y sistemática a toda la empresa, para ocuparse de diferentes riesgos o de múltiples categorías de riesgos.

Un examen más general de los riesgos de múltiples categorías y el establecimiento de correlaciones de los riesgos en dichas categorías, puede servirnos de ayuda para cuantificar de mejor manera el impacto de estas situaciones. De esta manera, una vulnerabilidad ya explotada puede generar un riesgo de recuperabilidad. Un problema relacionado con el rendimiento de una aplicación que impide el acceso a datos puede suponer el inicio de un riesgo a la seguridad o crear un riesgo de cumplimiento. El impacto de todo esto puede ser directo o indirecto- incluyendo un efecto financiero, legal, pérdida de clientes o la creación de dependencias operativas. A su vez, cada uno de estos efectos puede tener una serie de implicaciones directas.

Conocimiento de los enfoques para la Gestión de Riesgos TI
Los riesgos informáticos tienen diferentes orígenes y, por lo tanto, se precisan diferentes enfoques para gestionarlos y mitigarlos. Hablando de forma generalizada, estos enfoques requieren una combinación de procesos, personal, tecnología e información.

1. En primer lugar, los procesos para hacer funcionar un centro de datos y las operaciones de las TI están atravesando un período parecido de rápida evolución, a medida que las mejores organizaciones de TI están cambiando sus modelos arbitrarios por un enfoque más rigurosamente diseñado, ejecutado y sistemáticamente medido. Los estándares IT Infrastructure Library (ITIL) e International Organization for Standardization (ISO), entre otros, están cobrando cada vez más relevancia para describir los mejores procesos operativos informáticos de su clase.
2. En segundo lugar, las compañías están poniendo más atención en los papeles que deben tener sus trabajadores en la batalla que mantienen para reducir los riesgos. Las empresas están experimentando con una amplia variedad de técnicas, incluyendo el incremento de la concienciación, la determinación del papel que debe tener cada persona, nuevas divisiones del trabajo, nuevos puestos y especialidades, así como las mejoras de las capacidades para reducir riesgos a todos los niveles.
3. En tercer lugar, los proveedores están lanzando al mercado nuevas soluciones de software, respondiendo así a la demanda para mejorar la gestión de riesgos informáticos. Los rápidos avances han creado un arsenal de software para replicación a larga distancia, clustering, contenidos, detección de intrusiones y phishing, protección de datos y copias de seguridad, valoración de las vulnerabilidades y gestión de políticas. Pero lo más importante es que estas herramientas se están integrando para ofrecer soluciones impulsadas por el flujo de trabajo y diseñadas para seguir los procesos personalizados y los requisitos normativos. La automatización impulsada por eventos se está llevando a cabo cada vez más en forma de los siempre caros procesos manuales para análisis y soluciones.
4. En cuarto lugar, las fuentes de información disponibles ofrecen un conocimiento sobre las amenazas y las vulnerabilidades emergentes y/o conocidas, pudiéndose comparar frente a los entornos internos de seguridad de la compañía (riesgos a la seguridad, firmas y bases de datos de virus, parches y configuraciones del sistema operativo), para identificar peligros y desarrollar planes de mitigación. Teniendo en cuenta la velocidad con la que se propagan los ataques en la red, un tipo de inteligencia para alertas tempranas resulta esencial para garantizar el éxito de una defensa proactiva.

Ajuste de los costes para gestión de riesgos informáticos con el valor empresarial
Se precisan inversiones en procesos, tecnología de personal e informática, para mitigar los riesgos. Sin embargo, como los presupuestos para las TI son limitados (y se están viendo sometidos a una presión constante para reducirlos), las principales compañías necesitan asegurarse de no sobreinvertir o infrainvertir en gestión de riesgos. ¿Cómo pueden las compañías administrar sus inversiones en gestión de riesgos TI de manera efectiva y eficiente?

El concepto de "Utility Computing" ha emergido a lo largo de los últimos años como el enfoque más prometedor para ajustar los costes de las TI con el valor empresarial. En la "Utility Computing", el papel de la TI respecto a la empresa ha evolucionado para pasar de ser un "centro de coste" a convertirse en un "centro de servicio." De esta manera, la organización de TI logra cuatro actividades principales:

1. Ofrecer las TI como un conjunto de servicios bien definidos, desarrollados y gestionados por un grupo de "gestión de servicios" que se interrelaciona con la empresa
2. Presentar estos servicios a la empresa, mediante "acuerdos de nivel de servicio" y reembolsos a la empresa
3. . Crear y mantener una infraestructura compartida y heterogénea para mejorar la utilización de capital y reducir costes, en vez de crear sistemas personalizados para cada aplicación empresarial
4. Realizar operaciones de TI de manera automática, para aumentar la eficiencia del trabajo y reducir costes
   

El dominio de las actividades de la "utility computing" representa toda una expedición para las organizaciones de TI. El primer paso que deben dar es descubrir los bienes informáticos, por ejemplo los servidores y los equipos para almacenamiento, intentando vincular dichos bienes a procesos empresariales esenciales. En segundo lugar, hay que rediseñar y consolidar el entorno, mejorando las eficiencias en productividad del administrador y en la utilización de recursos. En tercer lugar, hay que comenzar un proceso de estandarización - clasificando las aplicaciones y acordando el empleo de proveedores determinados para hardware de almacenamiento y de servidores, gestionando al mismo tiempo el entorno mediante un conjunto estándar de herramientas de software. En cuarto lugar, hay que automatizar, con la finalidad de reducir el tiempo y el trabajo necesarios para solicitar, aprovisionar y gestionar el entorno. Y, en quinto lugar, hay que pasar a un modelo auténtico de proveedor de servicios, igualando el suministro de nivel de servicio con los costes, distribuyéndolos o reembolsándolos a las unidades empresariales.

Creación de una capacidad institucional para controlar los riesgos TI
Las principales corporaciones están creando una capacidad institucional para entender, controlar y actuar sobre los riesgos informáticos, con el mismo nivel de análisis minucioso y urgencia que el de los riesgos financieros. Utilizando los conocimientos provenientes de una variedad de fuentes, las empresas han establecido un mapa de "puntos calientes" relacionados con los riesgos, mostrando el impacto potencial y la probabilidad de seis riesgos de las TI en sus líneas de negocios, los principales procesos empresariales o las aplicaciones más importantes. A continuación, se ha creado un programa prioritario para encontrar soluciones a estos riesgos, instalando herramientas de software, incorporando personal, aplicando mejoras a los procesos y utilizando información. De esta forma, las organizaciones han controlado los riesgos, evaluando y aplicando mejoras permanentemente. En estas corporaciones, la gestión de riesgos informáticos está afectando fundamentalmente a la dirección de las TI y a los enfoques para la gestión de riesgos.

Cuando las compañías deciden incorporar la gestión de riesgos informáticos dentro de una capacidad institucional, las preguntas que la mayoría de las organizaciones desean contestar son:

• ¿En qué momento y cómo necesita avanzar nuestra estrategia informática, teniendo en cuenta que deseamos seguir manteniendo un nivel de riesgo aceptable? "
• ¿Deberíamos tener nuevos cargos o ampliar los ya existentes para ocuparnos de riesgos informáticos creando, por ejemplo, la figura del Gestor de Riesgos TI? "
• ¿Cómo podemos crear unos sistemas de gestión y elaboración de informes para monitorizar el rendimiento? "
• ¿Debemos crear una junta directiva para supervisar y aprobar las decisiones relacionadas con los riesgos informáticos
• ¿Cómo podemos formar a nuestro personal informático, además de ampliar los conocimientos de los trabajadores de la empresa para que sean conscientes y conozcan los riesgos TI?
• "¿Qué pasos deberíamos dar para hacer los procesos de planificación y prueba más rigurosos y nuestros sistemas más impenetrables?

La mejora de la Gestión de Riesgos TI debería estar incluida en los planes de casi todos los ejecutivos de alto nivel que trabajan para grandes corporaciones. Estos ejecutivos, conscientes de los riesgos informáticos, deben conocer las herramientas disponibles para gestionar estas situaciones, y establecer una capacidad institucional para controlarlos. Asimismo, deberían estar en una mejor posición para mejorar los riesgos y los rendimientos de las inversiones realizadas en informática.