Seguridad: Un tema de riesgo ¿fórmulas?
Para la seguridad es muy relevante el riesgo. Su análisis y evaluación puede ayudar a la toma de decisiones enfocado a nuestras necesidades (o del negocio por ejemplo) y a la estrategia que queramos seguir (que tan arriesgados seamos).
Consciente o inconscientemente vivimos analizando riesgos para la toma de decisiones. Estos análisis los podemos hacer cuando queremos adquirir un prestamos, comprar un automóvil (que nos brinde seguridad), mudarnos (evaluando la mejor zona para vivir), un nuevo de empleo (cuidado con la zona de confort) o simplemente en la invertir de nuestro dinero (los riesgos financieros).
Partiendo con los conceptos básicos que vimos en el post anterior, donde describí con apoyo del glosario de la ISO 27000 los pilares de la seguridad de la información (confidencialidad, integridad y disponibilidad, así como el concepto de amenaza, vulnerabilidad, riesgo y control), explicaré cómo solemos analizar el riesgo enfocado con la seguridad, mediante un ejemplo común, o es que a alguien no le preocupa su teléfono y el acceso a la información que contiene?
Ejemplo de situación de riesgo:
Nuestro celular probablemente es un activo significativo para nosotros. Nuestro dispositivo posee una valor económico por lo que cuesta en el mercado, además del valor de la información que contiene (cuidado con la información personar y las fotitos).
Si caminamos en la calle y la zona no es muy segura (según nuestra sensación de seguridad), tendremos miedo de que nos roben el celular o que nos pase cualquier otra cosa, pero para este ejemplo solo pensaremos en el celular, no en nuestra integridad física. La amenaza que podemos identificar es el robo del equipo e incluso el acceso indebido a nuestra información (nuevamente cuidado con las fotos).
Consciente o inconscientemente hacemos un análisis, evaluamos el riesgo al pensar en qué tan probable es que nos roben. Entre mayor sea nuestra sensación de seguridad pensaremos en una menor probabilidad de ocurrencia. El impacto, por otro lado, es relativamente bien conocido, el valor del equipo y todo lo que representa la pérdida o exposición de información que almacenamos en el.
De este análisis podríamos desarrollar una formula (básica) muy utilizada al momento de ponderar un riesgo. Nuestra lógica nos dice (espero que la de todos) que entre más probable y mayor sea el impacto que tenga en nosotros esa amenaza, mayor será el riesgo, por lo que matemáticamente esto se resuelve con una multiplicación:
Obviamente durante nuestro rápido análisis, casi inconsciente, no vamos a darle una ponderación a cada factor de la formula, será algo muy cualitativo. Si estamos realizando un análisis mayor y más consciente, a cada factor de nuestra formula le podríamos dar un valor (bajo, medio y alto) que dependerá de los criterios que hayamos definidos, como por ejemplo que tantos robos han ocurrido en la zona o el costo de nuestro celular.
Otro factor que se puede incluir en la fórmula (entre muchos otros) es la vulnerabilidad, ya que si no existiera la amenaza no se podría materializar. Entre mayor sea el número de vulnerabilidades, mayor será el riesgo (directamente proporcional).
Por el momento enfoquémonos solo en la fórmula de riesgo inicial con dos factores (Fórmula 1). La fórmula de riesgo puede ser tan compleja como nuestro razonamiento nos lo permita crear.
Apartando el impacto que suele ser fácilmente identificable a nivel cuantitativo, la probabilidad es otro cuento ya que si no disponemos de una fuente fiable (por ejemplo base de datos de ocurrencia de eventos), está quedará sesgado a nuestra experiencia (la sensación que tenemos de que algo ocurra). Esa impresión es la que diariamente utilizamos para tomar nuestra decisiones, o es que no se han preguntado ¿por qué un turista deambula en una zona peligrosa y anda feliz sin preocupación alguna? por una sencilla razón, desconocimiento.
Hasta aquí todo bien, pero ¿dónde queda la vulnerabilidad? Como indique anteriormente, esto es algo innato de las cosas, un celular por ejemplo tiene vulnerabilidades como:
Uno de los controles que podemos usar es credenciales de acceso como huella dactilar, clave (robusta por favor, no 1234) en conjunto con cifrado (tema para otro post), que evitarían un acceso indebido a nuestra información. Adicionalmente, dependiendo del equipo, existen herramienta que podemos instalar con la cual podríamos localizar el móvil, borrar su contenido remotamente, entre otros (falta hacerlo explotar, espero que pronto lo incorporen).
Para que el celular no se vea afectado por el polvo y la humedad (El fuego ya es algo más difícil), tuvimos la precaución de comprarlo con certificación IP6X e IPX8 (Algo exagerado yo, pero hay quienes necesitan integridad), pero ¿con el robo cómo hacemos?
Como el robo representa una vulnerabilidad física, podemos dejarlo en la casa encerrado en una bóveda o comprar una cadena de seguridad, algo nada practico y que nos resta utilidad (la seguridad no debería comprometer la utilidad de algo). También podemos buscar un método de transporte más seguro para llegar a nuestro destino, como usar un taxi o simplemente evadimos la amenaza de que nos roben mientras caminamos quedándonos en nuestra casa (Ojo, el riesgo sigue existiendo, porque hasta en nuestra casa nos pueden robar).
Ahora si tenemos que salir porque si, necesitamos nuestro celular y además solo podemos caminar para alcanzar nuestro objetivo, podemos contratar un seguro, que con los controles de acceso y cifrado nos brindaría un nivel de seguridad aceptable.
Estos análisis se hacen con mayor profundidad y detenimiento en una organización, se evalúan muchos factores a fin de tener un mejor acercamiento del nivel de riesgo al que se está expuesto, cuales son las amenazas asociadas, las vulnerabilidades y lo controles que se podrían aplicar.
¿Si aplicamos todo los controles que podamos imaginar (en la realidad no se puede hacer porque los recursos no son limitados), creen que el riesgo permanece igual?
El riesgo no deja de existir por más controles que apliquemos, pero si podemos disminuir su nivel en la medida que estos sean eficientes, es decir, en la medida que cumplan con el objetivo de disminuir la probabilidad o el impacto de la ocurrencia de una amenaza ¿esto no les suena a otra fórmula?
Si el riesgo es directamente proporcional a la probabilidad y el impacto, e inversamente proporcional a la eficiencia del control ¿el control no debiera ser un factor que lo divida? (Salió el ingeniero electrónico que llevo dentro):
Esta segunda fórmula es un mejor acercamiento de nuestro verdadero riesgo ¿Les parece que el riesgo de la fórmula 1 y formula 2 se llamen igual? A mí no. Y aunque lo podemos llamar riesgo inicial y riesgo final, las metodologías nos hablan de riesgo inherente y riesgo residual respectivamente, concepto que tocaremos en el siguiente post de tratamiento de riesgos.
No los quiero abrumar más con todo este tema de riesgo (de los que más me apasiona), por lo que lo que me despido con la siguiente cita para su reflexión:
Saludos.
Consciente o inconscientemente vivimos analizando riesgos para la toma de decisiones. Estos análisis los podemos hacer cuando queremos adquirir un prestamos, comprar un automóvil (que nos brinde seguridad), mudarnos (evaluando la mejor zona para vivir), un nuevo de empleo (cuidado con la zona de confort) o simplemente en la invertir de nuestro dinero (los riesgos financieros).
Partiendo con los conceptos básicos que vimos en el post anterior, donde describí con apoyo del glosario de la ISO 27000 los pilares de la seguridad de la información (confidencialidad, integridad y disponibilidad, así como el concepto de amenaza, vulnerabilidad, riesgo y control), explicaré cómo solemos analizar el riesgo enfocado con la seguridad, mediante un ejemplo común, o es que a alguien no le preocupa su teléfono y el acceso a la información que contiene?
Ejemplo de situación de riesgo:
Nuestro celular probablemente es un activo significativo para nosotros. Nuestro dispositivo posee una valor económico por lo que cuesta en el mercado, además del valor de la información que contiene (cuidado con la información personar y las fotitos).
Si caminamos en la calle y la zona no es muy segura (según nuestra sensación de seguridad), tendremos miedo de que nos roben el celular o que nos pase cualquier otra cosa, pero para este ejemplo solo pensaremos en el celular, no en nuestra integridad física. La amenaza que podemos identificar es el robo del equipo e incluso el acceso indebido a nuestra información (nuevamente cuidado con las fotos).
Consciente o inconscientemente hacemos un análisis, evaluamos el riesgo al pensar en qué tan probable es que nos roben. Entre mayor sea nuestra sensación de seguridad pensaremos en una menor probabilidad de ocurrencia. El impacto, por otro lado, es relativamente bien conocido, el valor del equipo y todo lo que representa la pérdida o exposición de información que almacenamos en el.
De este análisis podríamos desarrollar una formula (básica) muy utilizada al momento de ponderar un riesgo. Nuestra lógica nos dice (espero que la de todos) que entre más probable y mayor sea el impacto que tenga en nosotros esa amenaza, mayor será el riesgo, por lo que matemáticamente esto se resuelve con una multiplicación:
Riesgo = [Probabilidad] x [Impacto] (Fórmula 1)
Obviamente durante nuestro rápido análisis, casi inconsciente, no vamos a darle una ponderación a cada factor de la formula, será algo muy cualitativo. Si estamos realizando un análisis mayor y más consciente, a cada factor de nuestra formula le podríamos dar un valor (bajo, medio y alto) que dependerá de los criterios que hayamos definidos, como por ejemplo que tantos robos han ocurrido en la zona o el costo de nuestro celular.
Otro factor que se puede incluir en la fórmula (entre muchos otros) es la vulnerabilidad, ya que si no existiera la amenaza no se podría materializar. Entre mayor sea el número de vulnerabilidades, mayor será el riesgo (directamente proporcional).
Por el momento enfoquémonos solo en la fórmula de riesgo inicial con dos factores (Fórmula 1). La fórmula de riesgo puede ser tan compleja como nuestro razonamiento nos lo permita crear.
Apartando el impacto que suele ser fácilmente identificable a nivel cuantitativo, la probabilidad es otro cuento ya que si no disponemos de una fuente fiable (por ejemplo base de datos de ocurrencia de eventos), está quedará sesgado a nuestra experiencia (la sensación que tenemos de que algo ocurra). Esa impresión es la que diariamente utilizamos para tomar nuestra decisiones, o es que no se han preguntado ¿por qué un turista deambula en una zona peligrosa y anda feliz sin preocupación alguna? por una sencilla razón, desconocimiento.
Hasta aquí todo bien, pero ¿dónde queda la vulnerabilidad? Como indique anteriormente, esto es algo innato de las cosas, un celular por ejemplo tiene vulnerabilidades como:
- Susceptibilidad a la humedad, el polvo y a los cambios de temperatura (físico).
- Fallas en su programación (software).
- Almacenamiento desprotegido (falta de control).
Uno de los controles que podemos usar es credenciales de acceso como huella dactilar, clave (robusta por favor, no 1234) en conjunto con cifrado (tema para otro post), que evitarían un acceso indebido a nuestra información. Adicionalmente, dependiendo del equipo, existen herramienta que podemos instalar con la cual podríamos localizar el móvil, borrar su contenido remotamente, entre otros (falta hacerlo explotar, espero que pronto lo incorporen).
Para que el celular no se vea afectado por el polvo y la humedad (El fuego ya es algo más difícil), tuvimos la precaución de comprarlo con certificación IP6X e IPX8 (Algo exagerado yo, pero hay quienes necesitan integridad), pero ¿con el robo cómo hacemos?
Como el robo representa una vulnerabilidad física, podemos dejarlo en la casa encerrado en una bóveda o comprar una cadena de seguridad, algo nada practico y que nos resta utilidad (la seguridad no debería comprometer la utilidad de algo). También podemos buscar un método de transporte más seguro para llegar a nuestro destino, como usar un taxi o simplemente evadimos la amenaza de que nos roben mientras caminamos quedándonos en nuestra casa (Ojo, el riesgo sigue existiendo, porque hasta en nuestra casa nos pueden robar).
Ahora si tenemos que salir porque si, necesitamos nuestro celular y además solo podemos caminar para alcanzar nuestro objetivo, podemos contratar un seguro, que con los controles de acceso y cifrado nos brindaría un nivel de seguridad aceptable.
Estos análisis se hacen con mayor profundidad y detenimiento en una organización, se evalúan muchos factores a fin de tener un mejor acercamiento del nivel de riesgo al que se está expuesto, cuales son las amenazas asociadas, las vulnerabilidades y lo controles que se podrían aplicar.
¿Si aplicamos todo los controles que podamos imaginar (en la realidad no se puede hacer porque los recursos no son limitados), creen que el riesgo permanece igual?
El riesgo no deja de existir por más controles que apliquemos, pero si podemos disminuir su nivel en la medida que estos sean eficientes, es decir, en la medida que cumplan con el objetivo de disminuir la probabilidad o el impacto de la ocurrencia de una amenaza ¿esto no les suena a otra fórmula?
Si el riesgo es directamente proporcional a la probabilidad y el impacto, e inversamente proporcional a la eficiencia del control ¿el control no debiera ser un factor que lo divida? (Salió el ingeniero electrónico que llevo dentro):
Riesgo = ( [Probabilidad] x [Impacto] ) / [Controles] (Fórmula 2)
Esta segunda fórmula es un mejor acercamiento de nuestro verdadero riesgo ¿Les parece que el riesgo de la fórmula 1 y formula 2 se llamen igual? A mí no. Y aunque lo podemos llamar riesgo inicial y riesgo final, las metodologías nos hablan de riesgo inherente y riesgo residual respectivamente, concepto que tocaremos en el siguiente post de tratamiento de riesgos.
No los quiero abrumar más con todo este tema de riesgo (de los que más me apasiona), por lo que lo que me despido con la siguiente cita para su reflexión:
“La seguridad es una superstición, no existe en la naturaleza y tampoco es experimentada por los seres humanos. A largo plazo, evitar el riesgo no es más seguro que exponerte a ello. La vida es una gran experiencia o nada”
Helen Keller
¿Y tú cómo analizas el riesgo, lo evalúas o simplemente lo vives?
Saludos.
Me gustó este nuevo post, aunque en la parte de implementar la explosión a distancia también representaría un gran riesgo jajajajaja, muy bueno
ResponderEliminarSaludos Joel Mujica :)