Documente Academic
Documente Profesional
Documente Cultură
en texto claro
by Patricia Prandini (CISA y CRISC) y Marcela
Pallero 25/05/2013 0 Comments
Por consiguiente, y para una efectiva gestin del riesgo, necesariamente debern
conocerse las situaciones que pueden afectar a la organizacin, es decir de qu
debe protegerse, cul es su informacin y sus recursos crticos, y si las medidas
que ha implementado para preservarlos evitarn o minimizarn cualquier impacto
negativo. Al desarrollar su actividad en un escenario cambiante, el profesional se
ver obligado a evaluar de modo permanente la situacin en la que se encuentra y
a asegurarse de que las medidas de proteccin establecidas siguen siendo
efectivas.
Vulnerabilidades
En cuanto a las causas, las vulnerabilidades pueden darse por fallas de diseo, por
una codificacin deficiente o insegura, por errores en la implementacin o por falta
de mantenimiento, entre otros motivos. Cada etapa del desarrollo, implementacin
y mantenimiento de una pieza de software es susceptible de poseer una debilidad
que es factible usar para alterar su funcionamiento. Un ejemplo significativo es el
protocolo utilizado para el envo de correos electrnicos, que no fue diseado
pensando en la seguridad[1] y que provoca que hoy suframos la consecuencia de
este problema de diseo, por citar un caso, cuando se usa para distribuir phishing,
suplantando identidades.
Amenazas
Los distintos escenarios que plantean las amenazas deben contemplarse dentro de
planes de continuidad del negocio y siempre deben identificarse y estimarse
debidamente al gestionar los riesgos.
Riesgo
Frente a estos, deben aplicarse controles, entendidos como cualquier medida, que
permita prevenir, detectar o minimizar el riesgo asociado con la ocurrencia de una
amenaza especfica. Se trata de medidas dirigidas a producir un efecto sobre la
probabilidad de ocurrencia de una amenaza determinada o sobre su impacto.
Los controles pueden ser de naturaleza tcnica, de gestin o legal, de acuerdo con
la definicin dada en la Norma ISO/IEC antes citada.
Para los aspectos funcionales, la industria brinda hoy normas que ayudan a
identificar y mitigar muchos de los riesgos, as como certificaciones para
profesionales interesados en aspectos particulares. Sin embargo, el punto a resaltar
es que ms all de los mltiples enfoques es importante no perder una visin global.
.
Interaccin entre vulnerabilidades, amenazas y riesgos
Conclusin
El escenario en el que hoy desarrollan su actividad las organizaciones presenta
mltiples amenazas de caractersticas cambiantes. Algunas son preexistentes y
otras surgen a partir de nuevos avances. Por otra parte, muchos productos en el
mercado tecnolgico se liberan para su venta sin una adecuada verificacin de su
seguridad. Esta peligrosa combinacin requiere una permanente consideracin de
las vulnerabilidades que puedan afectar la informacin y los recursos que la
gestionan. Lo cierto es que el riesgo en las organizaciones aparece desde el
momento en que inician sus actividades. A lo largo de su existencia podrn
identificarse y reducirse pero nunca se eliminarn en su totalidad. Es por ello que
puede afirmarse que las organizaciones se encuentran siempre en riesgo, en mayor
o menor medida, cuando aprovechan los beneficios de las tecnologas de la
informacin.
patriciaprandini@yahoo.com