Palabras de CISO

“Según hagamos el engaño, así recibiremos el daño” terminaba la fábula 270 de Esopo que contaba cómo un lobo, (al mejor estilo de malware troyano), se disfrazaba de oveja, era llevado al encierro con el rebaño y luego sacrificado por el pastor creyendo que era una oveja más. Entonces yo me pregunté: ¿Será que el lobo se arriesgó demasiado?

Todos conocemos la lógica del riesgo: a mayor riesgo, mayor beneficio. Esto funciona en muchos aspectos de nuestra vida diaria, como nuestras inversiones personales: ¿dejo mi dinero en un DPF o me arriesgo un poco más en un negocio propio esperando mayor rentabilidad? ¿Obtengo una oveja o me disfrazo para tener muchas por comer?

Efectivamente existe una correlación positiva entre el riesgo y el beneficio que todos aprendimos teóricamente, sin embargo en la práctica muchos movimientos que generan un mayor nivel de riesgo no necesariamente están generando su correspondiente beneficio. A esto se denomina “posición subóptima” pues a un mismo nivel de riesgo usted podría estar recibiendo un menor beneficio o lo que sería peor, a un mismo nivel de beneficio podría estar asumiendo niveles de riesgo más elevados que el necesario.

En los procesos de gobierno de IT el paisaje es similar ya que medimos el riesgo de nuestras inversiones, nuestros proyectos o la operativa diaria ya sea con herramientas o de manera informal (“intuitiva”) donde será más difícil darse cuenta de una “posición subóptima” si el análisis de riesgo no está documentado.

Es entonces que se comienzan a generar niveles de riesgo más elevados considerando el mismo nivel de beneficios. Recuerdo algunos sucesos de caídas de servidores por no tener actualizaciones realizadas o por no tener revisiones periódicas de registro de eventos. Si estas debilidades de procedimiento en la revisión, seguimiento y adecuada administración de la tecnología están generando mayor riesgo, ¿qué beneficio estamos obteniendo a cambio? Ninguno. ¿Se justifica asumir niveles de riesgo más elevados en la operativa o en los proyectos tecnológicos si no recibimos compensación por ello? Definitivamente no.

Recordemos algunos ejemplos que nos llevan a una “posición subóptima” como la definimos utilizando un in-depth model:

Físico: falta de gestión del CPD, malos controles de acceso, instalaciones eléctricas no adecuadas, piso técnico sin tierra eléctrica, servidores sin protección o aires acondicionados mal dimensionados, luchando por demanda.
Red: Falta de respaldos de la configuración, cambios no controlados en equipos de comunicación, bajo rendimiento de la red, falta de revisión de servicios de red como DNS, DHCP.
Host: Falta de actualización de servidores, pobre administración de eventos, usuarios con claves genéricas, sistemas operativos desactualizados, falta de soporte técnico.
Aplicación: pobres procesos de pase a producción, falta de revisión de eventos, falta de monitoreo de rendimiento, errores o incidentes, lo que genera una nube gris para identificar problemas.
Data: Falta de clasificación y asignación de dueños de información, elementos no adecuados de seguridad de acceso, respaldos incompletos, no administrados o procesos débiles de recuperación.

Si ha identificado alguno de estos elementos en su organización, es muy probable que su gestión de área o proyecto tecnológico esté asumiendo una peligrosa “posición subóptima” donde no está alcanzando la mayor eficiencia. Posiblemente esté asumiendo riesgos innecesarios a cambio del mismo beneficio o esté operando a un nivel de riesgo específico cuando el beneficio podría ser mayor.

Medir el riesgo es más que una actividad de cumplimiento. Es un estilo de gerencia, una forma de operar considerando presupuesto (que sube el beneficio por medio de acertadas inversiones) y riesgo (que se debería bajar para que ese beneficio sea posible de alcanzar).

Al no controlar formalmente el riesgo se conoce la mitad de la historia, la mitad de la fábula. Y una fábula es una buena fábula cuando habla tanto del lobo como de las ovejas.