martes, 29 de octubre de 2013

Clasificación de Activos de Información en la Práctica de Gestión de Riesgos Tecnológicos


Una práctica que es posible esté siendo constantemente subestimada, es la clasificación de los activos de información. La razón para que argumentemos esto, es debido a que en el momento de revisar los planes de las áreas de riesgo tecnológico, seguridad de información e inclusive aquellas a cargo de la tecnología en la organización, nos encontramos con poca evidencia que determine o identifique que se haya realizado una adecuada clasificación de la información. En la mayoría de las ocasiones, se evidencian inventarios que son utilizados para llevar un registro de los equipos o aplicaciones que hacen cuenta de lo que se tiene y para que se tiene, sin mayor apoyo a otras actividades.
La clasificación de los activos de información tiene una gran importancia, en vista que puede retroalimentar otros elementos de gestión de la tecnología, seguridad y riesgos. Por lo general, y en modo general tiene dos objetivos fundamentales: el primero es brindar la adecuada administración a los recursos que la organización dispone; y el segundo objetivo es protegerlos apropiadamente de las amenazas a las cuales se exponen. Con lo cual, permite desarrollar un apropiada administración de riesgos sobre los mismos, obteniendo como resultado de todos estos esfuerzos un aprovechamiento de los activos, mitigando riesgos y generando valor a la organización.
La práctica en sí, permite clasificar los activos de información basado en su nivel de exposición, así como la importancia relativa que éste representa en los procesos del negocio. En consecuencia, si estos procesos son críticos, es muy posible que los activos que subyacen en dicho proceso serán críticos y requerirán de una adecuada protección de acuerdo al nivel de sensibilidad observado.
Como puede observarse, la gestión de activos de información, es un marco de gestión que pudiera ser independiente, pero que bajo esa perspectiva sería perfectamente inútil. Lo apropiado es derivar (retroalimentar) a otras prácticas en la organización que conllevan a fortalecer el ambiente de control, tales como los planes específicos para mitigar eventos o incidentes que atenten contra la condición ideal del negocio, que es estar operativo constantemente.
Pocas veces se encuentran planes de tecnología u organizacionales donde un insumo para el desarrollo de dichos planes sea el producto de la clasificación de los activos de información. Por lo general, un plan de seguridad o de continuidad del negocio se inicia con un análisis de riesgos sin retroalimentarse de la clasificación de los activos de información, esto porque no se ha hecho o simplemente porque se subestima el valor que esta gestión representa para el resto de las prácticas de control.
Llevar a cabo una gestión de clasificación de los activos de información en una organización es simple. Su método poco varía y se soporta en modelos tradicionales de evaluación de riesgos; el cual permite identificar los activos, describirlos y catalogarlos. Si tuviésemos que enumerar los pasos, los mismos serían los siguientes:
a) Identificar activos que posean atributos comunes, tales como almacenamiento, procesadores, aplicaciones, documentos digitales, bases de datos, documentos en físico e inclusive áreas. El objetivo es identificar el grado de confidencialidad, integridad y disponibilidad. Nosotros le agregamos un elemento diferenciador ajeno a la tríada de seguridad de información que está referida al "uso". El uso intensivo del activo puede influir en los aspectos de control.
b) Se realiza la evaluación para identificar los riesgos inherentes a los que está expuesto el activo, visualizando el contexto donde el mismo opera. Es decir, dentro del proceso del negocio. Todo ello bajo las prácticas conocidas para la determinación de su impacto y probabilidad de ocurrencia. 
c) Se identifican los controles, su eficiencia y operación a efectos de determinar el riesgo residual
d) Por último, se da la clasificación del activo y se deriva a la práctica que aconseje su grado de clasificación.
Este último paso es el fundamental, pues por lo general, esta recomendación puede ir dirigida a distintas áreas especializadas en la organización. Por ejemplo si el activo requiere de mayor protección, pues su integridad así lo requiere, es posible que pase al área de seguridad de información y los responsables de administrar la arquitectura de tecnología, para que apliquen las políticas establecidas para la protección de la data a través de criptografía por hardware. También puede suceder que existen áreas que manejan información en físico que no les están dando la debida protección y custodia, y el área de infraestructura física de la organización deberá adecuar el ambiente físico para proteger dicho activo de humedad, polvo, monitoreo y acceso.
En conclusión, la práctica de clasificación de activos de información es primordial para llevar adelante muchas de las actividades que conforman el ambiente de control de tecnología en la organización. Muchos procesos pueden alimentarse de los productos que son derivados de dicha práctica; y el beneficio obtenido es representativo cuando se identifica que con un control pueden estar mitigando muchas de las brechas que pueden presentarse en los activos en su uso a través de los procesos críticos del negocio; así como el beneficio del reproceso y la maximización de los recursos en la ejecución de proyectos tan importantes como la gestión de riesgo operativo o la creación y administración de los planes de continuidad del negocio, los cuales son proyectos que dan un excelente uso a la información que le provee la “clasificación de los activos de información”.
NOTA: El marco para la evaluación de riesgos que se utiliza habitualmente es adoptado de la ISO 31000:2009, Risk management – Principles and guidelines, de la International Organization for Standardization (ISO) tiene como objetivo ayudar a las organizaciones de todo tipo y tamaño a gestionar el riesgo con efectividad.


La nueva normalidad era un juego de niños

Foto: StellaDi Pixabay Creo que "la nueva normalidad" era cosa de 90 días. Eso ya no existe. Pienso que lo cierto es una nueva rea...