El impacto que genera en las organizaciones el riesgo tecnológico
Riesgo tecnológico
El riesgo tecnológico tiene su origen en el continuo incremento de herramientas y aplicaciones tecnológicas que no cuentan con una gestión adecuada de seguridad. Su incursión en las empresas se debe a que la tecnología está siendo el medio con el que llevar a cabo ataques debido a las vulnerabilidades existentes por medidas de protección inapropiadas y por su constante cambio, factores que hacen cada vez más difícil mantener actualizadas según las medidas de seguridad.
De forma que además de los ataques intencionados, también encontramos el uso incorrecto de la tecnología, que en muchas ocasiones es la mayor causa de las vulnerabilidades y los riesgos a los que se encuentran expuestas las organizaciones.
El riesgo tecnológico puede verse desde tres aspectos:
- A nivel de infraestructura tecnológica
- A nivel lógico
- Riesgos derivados del mal uso
Si se revisan todas las definiciones de las metas, los objetivos, la visión o misión de las empresas, estás no se fundamentan en términos técnicos o con relación a la tecnología. Sin embargo, al analizar de forma profunda y minuciosa este tipo de planteamientos gerenciales, se encuentra que su aplicación trae como base el desempeño de una infraestructura tecnológica que permita darle consecución a dichas cualidades. Por esto, el cumplimiento corresponde a la prestación de los servicios y desarrollo de los productos ofrecidos por la organización, el mantenimiento de la actividad operativa e incluso la continuidad del negocio, depende del cuidado y conservación que tenga como base la tecnología y por supuesto, del personal que la lleva a cabo.
Medidas de aseguramiento ante el riesgo tecnológico
Hablar de controles y medidas que permitan a las empresas contrarrestar este tipo de riesgo en el que se puede complicar, pero es posible que se tomen acciones que lleven a su mitigación. El aseguramiento puede realizarse desde los tres niveles mencionados anteriormente.
Las medidas que se deben tomar son de carácter técnico o de seguridad informática, referidas a la aplicación de procedimientos de control y barreras físicas ante amenazas para prevenir daño o acceso no autorizado a recursos e información confidencial que sea guardad en la infraestructura física. Dentro de éstas encontramos:
- Controles de acceso físico, que pueden incluir el uso de sistemas biométricos y vigilantes para acceso en áreas específicas.
- Manejo de tokens o tarjetas de identificación.
- Controles a nivel de equipos, tales como ubicación y protección, seguridad en cableado o mantenimiento periódico de equipos.
- Servicios básicos de soporte para continuidad.
- Gestión de medios de almacenamiento removible.
- Controles de vulnerabilidades técnicas, entre otros.
En el nivel lógico, las medidas a tomar se dan con respecto a la utilización del software y sistemas, enfocadas a proteger los datos y garantizar el acceso autorizado a la información que ofrecen los usuarios mediante diferentes procedimientos. Como parte de estas medidas se pueden tomar:
- Controles de acceso lógico con la gestión de usuarios, perfiles y privilegios para acceso a aplicaciones y gestión de contraseñas.
- Controles de acceso a la red interna y externa, segregación en redes y controles para asegurar servicios de la red.
- Controles a nivel de teletrabajo y equipos móviles.
- Soluciones de protección contra malware.
- Respaldos de bases de datos e información crítica.
- Protocolos para intercambio de información y cifrado de información.
- Monitoreo de los sistemas, sincronización de relojes y protección sobre registros.
- Limitación en tiempos de conexión a aplicativos y cierres de sesión por inactividad.
- Gestión de control de cambios.
El tercer nivel, el más crítico para las organizaciones, ya que su naturaleza es impredecible, ya que hablamos de personal o recurso humano. Las medidas a este nivel deben ser mucho más procedimentales, regulación y concienciación. Dentro de éstas se pueden incluir:
- Definición de políticas de seguridad que presenten las correspondientes violaciones con el fin de dar cumplimiento.
- Controles relacionados a acuerdos con terceros, prestación de servicios que se puedan dar con éstos y segregación de funciones.
- Controles a nivel contratación de personal.
- Gestión antes, durante y después de la terminación de los contratos.
- Educación y capacitación continua en aspectos de seguridad.
- Procedimientos e instructivos para manejo de información.
- Políticas de escritorio y pantalla limpia.
- Cumplimiento de legislación aplicable.
Riesgo tecnológico como raíz de otros riesgos
El riesgo tecnológico puede ser causa y consecuencia de otro tipo de riesgos, una falla sobre la infraestructura que se puede implicar todos los riesgos en otros ámbitos, como pérdidas financieras, multas, acciones legales, afectación sobre la imagen de la empresa, generar problemas operativos o afectar las estrategias de las organizaciones. Si pensamos en el caso de un empleado descontento que puede representar un riesgo operativo, puede suponer un riesgo tecnológico por manipulación inapropiada de los sistemas de información.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un SGSI de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un SGSI en una empresa.