La vez pasada enumerábamos algunos detalles con los que tenemos que batallar día a día en cuestiones de seguridad, en el mundo ideal nos gustaría bajar los riesgos a CERO, y decir “pase lo que pase mi red y mis sitemas NUNCA van a fallar”, pero como siempre, llegar a ese nivel de perfección es imposible, SIEMPRE van a existir cosas que nos pueden pegar y lo interesante es estar PERFECTAMENTE conscientes de eso.

Pongamos un ejemplo: suponga que su organización tiene una sucursal en Monterrey y que se conecta a ella con un enlace X ¿Qué pasaría si fallara el enlace? ¿Cuánto cuesta contratar un enlace redundante? De acuerdo a la relación costo-beneficio ¿Conviene contratarlo?

Hay que conocer a detalle la organización, conocer cuáles son los riesgos a los que está expuesta y en base a sus activos claves (incluida la información), decidir cuáles riesgos no podemos aceptar y cuáles si, todo en base a un análisis de riesgos y un presupuesto determinado.

Es VITAL que la decisión de un nivel de riesgo aceptable NO dependa EXCLUSIVAMENTE del departamento de seguridad, TIENE que involucrarse la dirección general, el objetivo de todo esto es que la empresa este segura Y QUE FUNCIONE, es decir, que siga generando INGRESOS, los directivos deben tener perfectamente claros los riesgos, sus posibles consecuencias, los costos de los controles y hasta entonces se podrá decidir un nivel de risgo aceptable.

Bueno, pero el presupuesto es limitado y hay veces que aunque no querramos no podemos tapar todos los hoyos ¿Qué podemos hacer? ¿En qué invertir mi presupuesto? Una recomendación es que de acuerdo a los resultados del análisis de riesgo se contruya una matriz poniendo de un lado los riesgos y del otro su gravedad (puede ser una escala del 1 al 5) y luego empezamos a buscar controles y vamos a ver que un control puede mitigar varios riesgos al mismo tiempo, hacemos la suma y los de mayores resultados pueden darnos una idea de por dónde empezar (claro, sin dejar de tener presente que hay cosas más urgentes que otras)