En la actualidad, el uso de las Tecnologías de la Información (TI) son un elemento clave para lograr el éxito de la gestión en las empresas, y es por ello que cada vez son más las compañías y PyMEs que se vuelcan a utilizar sistemas que les permiten gestionar y administrar ese gran recurso, que no es otro que la información. Pero lo cierto es que existen ciertos riesgos asociados al uso de las TI dentro del entorno empresarial, ya sea daños causados accidentalmente por los empleados, o bien debido a intentos deliberados de intrusos, que desean acceder a los datos de la empresa de forma ilegal para sacar provecho de esta información. Es allí donde nuestra empresa puede llegar a quedar seriamente comprometida, porque en definitiva en la actualidad el valor de la información es enorme. Por eso se vuelve imprescindible poder contar con una estrategia y herramientas que nos permitan evaluar y reconocer todos los riesgos asociados con el uso de las TI, con el objetivo de poder minimizar esos riesgos. En este sentido, lo primero que debemos tener en cuenta para realizar un análisis serio de la situación es conocer los riesgos típicos que suelen presentar las TI, es decir
cuáles son las amenazas más frecuentes. En general, una de las amenazas habituales en este ámbito se centran en daños relacionados al aspecto físico de los equipos informáticos, principalmente de los servidores, que se generan debido al mal trato que muchos empleados suelen dispensarle a sus ordenadores. Claro que además siempre podemos correr riegos tales como robo, incendio o inundación. Otra de las amenazas frecuentes son aquellas relacionadas al software, que puede haberse dañado y producir errores, lo que genera incompatibilidad en los datos. Pero también nuestro sistema de TI puede convertirse en víctima de ciberdelincuentes y hackers, que a través de
diferentes técnicas y virus pueden llegar a infectar por completo el sistema, poniendo en peligro la información de nuestro negocio. Asimismo existe la posibilidad de que se produzcan errores en el software debido a fallas técnicas. En este punto, es importante tener en cuenta que en general, después de algunos años de uso, suelen comenzar a fallar los discos duros, lo que inevitablemente genera un desplome catastrófico de nuestro sistema de TI, sobre todo cuando el daño en el disco duro es tan grave que la información no puede ser recuperada. Por otra parte, no podemos llegar a enfrentar con ciertas fallas de infraestructura, como por ejemplo la pérdida frecuente de la conexión a Internet, lo cual inevitablemente nos hace interrumpir el negocio, lo que significa pérdida de ventas y por ende dinero. Dentro de los principales riesgos de las TI, también se incluyen el error humano, que en general es sindicada como la principal amenaza de este tipo de sistemas, por lo que es sumamente importante contar con parámetros bien definidos en los procedimientos de seguridad, los cuales deben ser seguidos de manera correcta por los empleados. De lo contrario puede llegar a perderse información realmente valiosa.
¿Cómo evaluar los riesgos de las TI? Hasta aquí hemos podido conocer algunos de los riesgos más frecuentes que suelen presentar los sistemas de TI de la empresa. Ahora bien, el siguiente paso será poder evaluar la presencia de esos peligros en nuestro negocio, para lo cual deberemos ser sumamente cuidadosos, con el fin de evitar gastar demasiado tiempo y dinero. Es por ello que lo más importante se centra en poder identificar claramente las amenazas concretas y serias de aquellas que no representan demasiado riesgo para el sistema TI de nuestra empresa. Es decir que los riesgos que puedan presentar poca o ninguna amenaza para nuestro negocio deben quedar inmediatamente excluidos en la búsqueda de soluciones. Para realizar el análisis podemos recurrir a dos tipos de evaluaciones diferentes: la evaluación cuantitativa y la evaluación cualitativa. En el caso de llevar a cabo una evaluación cuantitativa, lo que debemos hacer es centrarnos en los peligros más graves, teniendo en cuenta dos factores fundamentales:
- La verdadera probabilidad de que ese riesgo esté presente.
- El costo y el impacto que el mismo produce.
Precisamente de la combinación de ambos factores podremos realizar una evaluación cuantitativa de los riesgos. Por ejemplo, si un riesgo tiene una alta probabilidad y un alto impacto, entonces deberemos realizar una evaluación cuidadosa de dicha amenaza, con el fin de hallar la solución al problema. No obstante, lo cierto es que las evaluaciones cuantitativas de riesgos sólo tienen sentido cuando se dispone de buena información para ello, y muchas veces las empresas no poseen los datos históricos necesarios para llevar a cabo este tipo de estimaciones. En esos casos podemos optar por realizar un análisis con un enfoque más práctico, denominado evaluación cualitativa, para lo cual debemos utilizar un parámetro definido que nos permita decidir si la probabilidad de ocurrencia de ese riesgo es alta, media o baja. Para ello debemos planificarse una clasificación de los tipos de riesgo, utilizando medidas tales como las siguientes:
- Bajo: Provocaría la perdida de hasta una hora de producción.
- Medio: Causaría el cierre de la empresa durante al menos tres días.
- Alto: Generaría la pérdida irrevocable de la empresa.
Los mismos parámetros pueden tenerse en cuenta para realizar una clasificación de riesgos relacionados a los impactos y costos que podrían llegar a producir la presencia de amenazas en el sistema TI. Un buen ejemplo de este tipo de evaluación, sería clasificar un riesgo como “Alto” cuando estimamos que el mismo puede llegar a producirse varias veces durante un mismo año. Con estos elementos ya estamos en condiciones de poder analizar nosotros mismo si existen amenazas que pueden poner en riesgo la información de nuestra empresa, que en definitiva es uno de los principales recursos de los que disponemos para hacer negocios.