Saltar al contenido
Seguridad Informática

Creación de una estrategia para controlar los riesgos de TI

Uno de los elementos claves en las empresas, más allá de si se trata de una gran compañía o una PyME en desarrollo, es el control y administración de la información. No en vano el refrán popular asegura que quien tiene la información tiene el poder. Eso es precisamente lo que sucede también a nivel empresarial. Por ello, es fundamental que podamos predecir y enfrentar las posibles eventualidades que surjan dentro del sistema de Tecnologías de la Información (TI), ya que este tipo de plataformas no sólo nos brindan grandes beneficios en lo que respecta al manejo de datos sensibles, sino que también implican algunos riesgos. Es por ello que ante la inminente aparición de estos riesgos nos debemos preparar para enfrentar el desafío, a través de la creación de una estrategia que nos permita gestionar dichos peligros de la TI, y de esta forma salvaguardar uno de los recursos más preciados de nuestra empresa: la información. Básicamente, la gestión de los riesgos TI es una manera estructurada de poder controlar esos peligros, por lo que para lograrlo debemos llevar adelante una serie de etapas correspondientes al método típico que se utiliza para la administración de dicha problemática:

  1. Identificación de los riesgos.
  2. Evaluación de los riesgos, es decir que se debe evaluar la gravedad de cada riesgo y priorizar las más importantes.
  3. Debilitación de los riesgos, es decir aplicar medidas preventivas para reducir la probabilidad de que ocurra el riesgo y así limitar su impacto. Para esto es necesario crear un plan de contingencia acorde a cada tipo de riesgo.
  4. Análisis permanente de los riesgos. Tengamos en cuenta que la gestión de los riesgos TI debe ser vista como un proceso continuo, ya que las amenazas deben ser reevaluadas de forma constante, con el fin de evitar que vuelvan a aparecer.

¿Cómo lograr la reducción de los riesgos y su impacto? Como hemos visto, a través de la gestión de riesgos TI podemos descubrir cuáles son las amenazas que atentan contra nuestro sistema de información, y que pueden llegar a perjudicar en mayor o menor medida a nuestra empresa. Ahora bien, muchos se preguntan cómo se logra la reducción de dichos riesgos. La respuesta es sencilla. Lo ideal es en primer lugar intentar por todos los medios de reducir la probabilidad de aparición de los riesgos que afectan a nuestro negocio. Para ello podemos comenzar a poner en marcha una estrategia que incluya la implementación de políticas y procedimientos de seguridad, tales como la capacitación del personal, la privacidad en el uso de Internet y del correo electrónico, instalación de software de seguridad como firewalls, antivirus, antispyware, etc., lo que ayudan a prevenir que usuarios no autorizados accedan a al sistema informático de nuestra empresa. También es importante que en el caso de que hayamos contratado a un proveedor de TI, se trate de un servicio confiable y que además aporte sus propias herramientas y experiencia en el ámbito de la seguridad. Claro está que siempre puede suceder que a pesar de los esfuerzos volcados existan riesgos que no pueden ser reducidos o eliminados. Es entonces donde debemos hacer hincapié en la reducción del impacto que esos riesgos tendrán para con nuestro negocio. Básicamente, se trata de poder definir un plan de continuidad, es decir una estrategia eficaz que nos permita que nuestra empresa continúe funcionando, y al mismo tiempo que posibilite la recuperación rápida de la compañía, luego de que algún evento inesperado afecte a los sistemas de TI. Una de las medidas que se recomiendan al respecto es contratar una póliza de seguro que nos permita cubrir los costos que puedan llegar a provocar este tipo de riesgos TI. Claro que también debemos ser precavidos y tratar de adelantarnos a estos infortunios, utilizando medidas tales como almacenamiento de copias de seguridad de los datos fuera del sistema TI, utilización de servidores duplicados ubicados en lugares diferentes y utilización de servicios en la Nube, entre otros. También contribuye a reducir el impacto la eliminación de puntos de fallo, como pueden serlo el uso de una sola fuente de suministro eléctrico, o el mantenimiento de sistemas de trabajo manuales alternativos, que en definitiva nos permiten seguir funcionando hasta que los servicios se restauren. No obstante, lo más importante es no entrar en pánico y tener siempre presente un plan claro y conciso, que también conozcan los empleados, con el fin de enfrentar la crisis de la mejor manera posible. Dentro de esta planificación no debemos olvidarnos que las pruebas de seguridad se vuelven esenciales, ya que de ello depende que la estrategia de continuidad ante la crisis sea confiable. Por ello, el análisis de prueba del plan de continuidad debe comprobar lo siguiente:

  1. Si el personal puede trabajar sin acceso a los datos.
  2. La facilidad con que se puedan restaurar los datos a través de copias de seguridad, por ejemplo recuperar la información almacenada en la Nube.
  3. Si los datos de la copia de seguridad se mantienen al día.

Cabe destacar que una completa evaluación de nuestro plan de continuidad implica por lo general la actuación de nuestros empleados, por lo que se debe interrumpir la jornada laboral y por ende la producción de nuestra empresa para llevar a cabo la prueba. Es por ello que antes de realizar este tipo de simulacros, es fundamental su planificación cuidadosa, incluyendo los costos que esta evaluación tendrá para nuestro negocio. Lo ideal, según los expertos, es realizar este tipo de pruebas cada doce meses, claro que también debe realizarse una evaluación completa en el caso que hayan sido modificado el sistemas de TI que utilizamos en la empresa.