Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
40<br />
Cuando se aborda <strong>la</strong> <strong>de</strong>terminación <strong>de</strong>l impacto re<strong>la</strong>cionado con <strong>la</strong> confi<strong>de</strong>ncialidad<br />
y/o integridad, <strong>la</strong> valoración se complica más aún. Cuánto vale <strong>la</strong> información<br />
que ti<strong>en</strong>e una <strong>en</strong>tidad o qué impacto supone su reve<strong>la</strong>ción pública.<br />
Esta pregunta me <strong>la</strong> formuló <strong>en</strong> su mom<strong>en</strong>to un cli<strong>en</strong>te, lo cierto es que es una<br />
pregunta bastante complicada. Sin embargo, <strong>la</strong> respuesta formu<strong>la</strong>da a <strong>la</strong> gallega<br />
fue prácticam<strong>en</strong>te inmediata. En el supuesto caso <strong>de</strong> que pudieseis, y que esto<br />
no fuese ilícito, cuánto estaría dispuesto a pagar vuestro <strong>de</strong>partam<strong>en</strong>to comercial<br />
por disponer <strong>de</strong> esa misma información <strong>de</strong> vuestra feroz compet<strong>en</strong>cia.<br />
P<strong>en</strong>semos <strong>en</strong> un gran banco y <strong>en</strong> lo que le suce<strong>de</strong>ría si sus sistemas no estuvies<strong>en</strong><br />
disponibles durante 9 horas <strong>la</strong>borables. Posiblem<strong>en</strong>te <strong>la</strong>s pérdidas serían<br />
consi<strong>de</strong>rables. Ahora, valoremos <strong>la</strong> posibilidad <strong>de</strong> que toda <strong>la</strong> información<br />
re<strong>la</strong>cionada con sus cli<strong>en</strong>tes fuese rep<strong>en</strong>tinam<strong>en</strong>te publicada <strong>en</strong> medios alternativos,<br />
posiblem<strong>en</strong>te el banco <strong>la</strong>s pasaría canutas. Por último, p<strong>en</strong>semos que<br />
todos los datos <strong>de</strong> sus cli<strong>en</strong>tes y que <strong>la</strong>s transacciones realizadas durante el<br />
último mes fues<strong>en</strong> erróneas. Lo cierto es que es difícil escoger joyas <strong>en</strong>tre estas<br />
posibilida<strong>de</strong>s. Sin embargo, si se le pregunta a un banco o se analizan los<br />
esc<strong>en</strong>arios propuestos, posiblem<strong>en</strong>te se concluirá que los impactos son<br />
importantes, pero que <strong>la</strong> probabilidad <strong>de</strong> ocurr<strong>en</strong>cia no es <strong>la</strong> misma.<br />
Como <strong>en</strong>tidad privada, un banco pue<strong>de</strong> t<strong>en</strong>er más o m<strong>en</strong>os c<strong>la</strong>ra <strong>la</strong> valoración<br />
<strong>de</strong> su información. Sin embargo, si<strong>en</strong>do aún más quisquilloso, cómo se valorarían<br />
los riesgos <strong>en</strong>umerados <strong>en</strong> los tres esc<strong>en</strong>arios anteriores <strong>en</strong> una Administración<br />
Pública. Qué ocurriría si esto le sucediese a <strong>la</strong> Ag<strong>en</strong>cia Tributaria.<br />
Básicam<strong>en</strong>te, estos son los ejercicios que hay que realizar a <strong>la</strong> hora <strong>de</strong> abordar<br />
un análisis <strong>de</strong> riesgos <strong>de</strong> los sistemas <strong>de</strong> información. Obviam<strong>en</strong>te, es<br />
complejo <strong>de</strong>terminar el impacto económico <strong>en</strong> cualquiera <strong>de</strong> los casos. Sin<br />
embargo, es re<strong>la</strong>tivam<strong>en</strong>te s<strong>en</strong>cillo llevar a cabo estudios cualitativos basados<br />
<strong>en</strong> <strong>la</strong>s premisas <strong>en</strong>umeradas <strong>en</strong> los capítulos anteriores.<br />
En cualquier caso, a <strong>la</strong> hora <strong>de</strong> abordar un análisis <strong>de</strong> riesgos hay que t<strong>en</strong>er<br />
tres consi<strong>de</strong>raciones adicionales. La primera consi<strong>de</strong>ración es ser metódico<br />
para po<strong>de</strong>r realizar el análisis tantas veces como sea necesario a lo <strong>la</strong>rgo <strong>de</strong>l<br />
tiempo. La segunda consi<strong>de</strong>ración es ser realista, el análisis <strong>de</strong> riesgos será<br />
tan bu<strong>en</strong>o como <strong>la</strong> información disponible. Adicionalm<strong>en</strong>te, hay que ser riguroso,<br />
y justificar los impactos. Para los responsables <strong>de</strong> servicios, los suyos<br />
son siempre los más críticos.