El riesgo de la Ciber-austeridad

Erick Hernndez

Universidad Tecnolgica Centroamericana, Honduras.

(Enviado: Diciembre, 2016)

_____________________________________________________________________________________

Resumen

La ciber austeridad es una realidad global que cada una de las empresas tiene
que tomar en cuenta a la hora de realizar sus estrategias de las tecnologas de
la informacin y la comunicacin, dado que la realidad es que no todas la
empresas disponen de la misma cantidad de recursos para poder realizar el sin
nmero de inversiones recomendadas para poder tener bajo control todos los
riesgos informticos que tiene presente cada uno de los procesos o equipos de
la empresa. Tambin debemos tomar en cuenta la situacin financiera que
presenta la empresa, dado que mantener ciertos riesgos controlados resulta
ser muy costoso.

Este proceso se lleva acabo cumpliendo los siguientes pasos: Realizar una lista
de todas las opciones que disponemos para controlar cada uno de los riesgos
de la empresa. Luego analizar los beneficios econmicos de la lista de
opciones y por consiguiente evaluar el riesgo mismo asociado a estos servicios
en su estado actual, priorizar segn el estado actual de la empresa y sus
capacidades para poder cumplir con los objetivos presupuestarios. Para
finalizar, realizar una evaluacin del riesgo residual para tener un anlisis de
cuanto ha incrementado el riesgo en la empresa y cuanto puede la
organizacin soportar.

ISSN: 2310-290X http://www.unitec.edu/innovare/ 1

 E. S. Hernandez Cruz / 1nnovare 4 (2016) 1 10

Abstract

Cyber austerity is a global reality that every company has to take into account
when it comes to implementing its strategies of information and communication
technologies, given that the reality is that not all companies have the same
amount Of resources to be able to realize the number of investments
recommended to be able to have under control all the computer risks that each
of the processes or equipment of the company has in mind. We also have to
take into account the situation presented by the company, since maintaining
Certain controlled risks turn out to be very expensive and given these cases
one has to take into account much the austerity of things.

This process is carried out following the following steps which is to make a list
of all the options we can take to control each of the risks of the company, then
analyze the economic benefits of the list of options and then evaluate the risk
itself To these services in their current state, you have to prioritize according to
the current state of the company and its capabilities to be able to meet the
budgetary objectives, to complete a redisual risk assessment to have an
analysis of how much increased the risk in the company And how much the
organization can bear.

Keywords: cyber-austerity, austerity, technology, information, ICT, risk.

2
 E. S. Hernandez Cruz / 1nnovare 4 (2016) 1 10

1. Introduccin

La mayora de las organizaciones hoy en da utilizan sistemas digitales tanto

para sus operaciones y procesos. Los sistemas de informacin han pasado a
ser una herramienta de trabajo y una necesidad competitiva de las empresas a
la hora de seleccionar estrategias de mercado, estos sistemas ayudan de
diferentes formas a cada organizacin, brindndoles una ventaja sobre sus
competidores o un mejor servicio a sus consumidores.

Con la entrada de los sistemas de informacin a las organizaciones surgieron

un sin nmero de necesidades, una de las ms importantes es la seguridad e
integridad de los datos, dado que la informacin que es utilizada y manejada
por los sistemas de informacin depende mucho la empresa para su
continuidad de operaciones. Podemos tomar el ejemplo del ataque terrorista en
las torres gemelas de los estados unidos, en los edificios existan una gran
cantidad de empresas y dado a la prdida total de los datos de sus sistemas de
informacin, tuvieron que cerrar operaciones ya que perdieron la continuidad
de sus negocios, otras por ejemplo pudieron continuar operaciones pero con el
transcurso del tiempo tuvieron que cerrar operaciones dado que dejaron de ser
viables.

Con estos ejemplos anteriores se puede plantear la idea de lo importante que

son los datos para las empresas y lo comprometido que esta la empresa con el
cuidado de la informacin, dado que perjudica su viabilidad misma. Las
empresas han tomado varios requerimientos de seguridad existentes para
tomar el control de una gran cantidad de riesgos que existen en el entorno de
los sistemas de informacin.

Dado que en el mercado existe una gran cantidad de riesgos para los sistemas
de informacin las empresas deben tomar en cuenta que no pueden utilizar
todos los controles de seguridad que existen para los riesgos ya que
comprometeran su estado econmico y los sistemas de informacin ya no

3
 E. S. Hernandez Cruz / 1nnovare 4 (2016) 1 10

seran una herramienta ventajosa para la organizacin sino pasara a ser un

gasto sin beneficio alguno hacia la empresa. Dado a este caso la intrusin de lo
que es el riesgo de la ciber austeridad.

2.Marco Terico

La inseguridad y riesgos estn presentes en nuestro entorno diario, y en

nuestros locales o la red no son la excepcin. De tal manera, las
organizaciones, empresas, universidades etc., buscan tener la mayor seguridad
al momento de manejar con diversos protocolos y en gran diversidad de datos
o archivos, obteniendo una gran proteccin y previendo accesos no
autorizados, controlando riegos fsicos, riesgos ambientales, ataques
ciberntico, la modificacin o alteracin de los mismos, el desarrollo de normas
y aplicativos de seguridad informtica en la empresa es posible ya que de esta
forma se podr proteger la integridad y cumplir con los controles de polticas de
seguridad informtica, ya que gracias a esto se podra evitar la prdida de
datos o la alteracin de nuestros documentos.

Cada empresa es diferente, por lo tanto su posicin estratgica y financiera

tambin son diferentes por esto no todas las empresas pueden tomar los
mismo aplicativos o controles para prevenir todo los diferentes riesgos que
cada una padece, tanto como los estados de las organizacin son diferentes lo
mismo es con los riesgos dado que son diferentes para cada uno de los
procesos que se toman, notaremos que no todas las empresas tiene la
capacidad de tomar ciertos controles para cada uno de los procesos para
minimizar el riesgo en este caso la empresa ingresar a lo que es la ciber-
austeridad, los pasos que miraremos para este proceso son los siguiente.

A. En listar las opciones para el control de riesgos.

B. Beneficios de cada una las opciones.

C. Evaluar el riesgo.

D. Priorizar.

4
 E. S. Hernandez Cruz / 1nnovare 4 (2016) 1 10

E. Evaluar el riesgo residual.

3. El riesgo de la ciber-austeridad

La austeridad en las empresas es la moderacin propia de los recursos y

emplear nicamente aquellos que son necesarios para el funcionamiento
propio de todos los procesos de la empresa y para lograr los ingresos
proyectados para el tiempo estipulado. Existe una amplia lista de herramientas
y procesos que podemos utilizar para la seguridad de nuestros sistemas de
informacin, cada uno vara su costo en el mercado dado a los diferentes
beneficios que le brindan a la organizacin y tambin el nivel de riesgo que
contienen a favor de la empresa.

La ciber-austeridad es una realidad global que enfrentan la mayora de las

empresas dado que no cuentan con los recursos para implementar cada
mtodo posible para resguardar los sistemas de informacin de sus
organizaciones o no mira necesario la utilizacin de dichos recursos y toma la
decisin de utilizar un margen de riesgo para cada uno de los procesos que
contienen, aunque las organizaciones toman que esos riegos sean los menores
posibles.

Las organizaciones deben de realizar los siguientes principios a la hora de

tomar todos los criterios necesarios para realizar el anlisis completo de la
seguridad que tomaran a la hora de reguardar los sistemas de informacin.

En listar las opciones para el control de riesgos

En este proceso la organizacin tiene que enlistar todos los procesos de los
sistemas de informacin que ellos requieren resguardar, tambin enlistar para
cada proceso las herramientas o procesos que existen para resguardar ese tipo
de proceso. En esta la organizacin no piensa plantear todava ninguna
herramienta o proceso, nada ms en listar el sinnmero de posibilidades
existentes para la seguridad de dicho proceso en la organizacin.

5
 E. S. Hernandez Cruz / 1nnovare 4 (2016) 1 10

En estos casos cuando una organizacin no contiene con el personal adecuado

y con la vasta experiencia para realizar dicho proceso, existe la posibilidad de
contratar alguien externo con los requerimientos necesarios para realizar el
evalu de los que es todo el anlisis completo de los mejores requerimientos
que se adaptan a todas las necesidades de la empresa.

Beneficios de cada una las opciones

En este proceso las organizaciones tienen que analizar cada una de las
opciones seleccionadas para cada proceso de los sistemas de informacin,
para poder analizar cada uno de los beneficios que les brindar a la empresa,
porque cada opcin que tenemos a la mano tiene diferentes beneficios unas
ms que otras.

La organizacin tiene que tomar en cuenta que dicho beneficio les repercute en
su rea, porque podemos ver que alguna opcin de control de riesgo pueda
que tenga varios beneficios, pero no sean aplicables para el tipo de
organizacin.

Evaluar el riesgo

El siguiente paso sera evaluar el riesgo de cada uno de los procesos de los
sistemas de informacin, para poder tener el margen de riesgo que repercute
en lo que es la organizacin y la forma como es afectada al ser efectuado el
proceso del cual el riesgo hace referencia. Siempre se toma en cuanta al
momento de evaluar el riesgo el nivel de continuidad de la empresa, y de los
procesos de los sistemas de informacin.

En estos informes de riesgo tambin se detalla el tiempo que la organizacin

podra pasar sin operar en dado caso que el riesgo afecte directamente los
procesos operarios de la empresa, dado que el tiempo sin operar para la
organizacin es perdida monetaria de ingresos y en los peores de los casos
prdida total de los clientes, esto llevara a una catstrofe y la empresa no
podra continuar con sus operaciones, y tendra que cerrar operaciones dado
que perdi su viabilidad completamente.

6
 E. S. Hernandez Cruz / 1nnovare 4 (2016) 1 10

Una vez identificados todos los activos de informacin comprendidos en el

alcance, utilizando la metodologa elipse, se procede a establecer el SGSI,
siguiendo las pautas del estndar ISO 27001.En esencia lo que se exige es
efectuar de manera disciplinada y sistemtica un anlisis y evaluacin del
riesgo de los activos identificados para determinar cules son aquellos que
deben ser protegidos para mitigar su riesgo.

Tabla N.1

Realizacin del anlisis y evaluacin del riesgo

Priorizar

Es una realidad que las empresas nunca tendrn suficiente dinero para
perseguir todas las estrategias que les gustara. Comprender esto es clave
para incorporar el pensamiento basado en el riesgo en las tareas diarias de
seguridad. Entonces Cmo abordar la creciente amenaza ciberntica con
presupuestos decrecientes? Cmo decidir qu reducir, qu retrasar y qu
parar?

Ms all del tamao de la empresa o del tipo de industria, conviene comenzar

con un anlisis de riesgos minucioso para determinar cunta seguridad de los
sistemas se necesita en realidad. Asegurarse de tener en cuenta todos los

7
 E. S. Hernandez Cruz / 1nnovare 4 (2016) 1 10

grupos que componen la organizacin para incluir la mayor cantidad de riesgos

posibles. Se debe analizar y acortar la lista de cosas que nos importan, cada
uno de los despliegues tecnolgicos o de infraestructura, as como tambin los
aspectos organizativos, ordenar por rango los recortes necesarios para cumplir
con los objetivos presupuestarios.

Por ello se debe establecer toda una secuencia de acciones tendientes al

establecimiento, implementacin, operacin, monitorizacin, revisin,
mantenimiento y mejora de los sistemas con el propsito de organizar la
seguridad de la informacin. Este tipo de razonamiento es bastante difcil en
tiempos de abundancia, pero cuando las empresas estn pasando por recortes,
se convierte en crtica. En tiempos de austeridad, muchas veces contemplamos
el corte de servicios de seguridad crtica sin medir el riesgo residual.

Evaluar el riesgo residual

Se debe realizar una evaluacin del riesgo residual sobre cunto mayor riesgo
la organizacin asumir al hacer algn tipo de recorte en los sistemas de
informacin. Cuando las organizaciones hacen recortes presupuestarios
muchas veces eso significa recortes en el presupuesto de seguridad el cual
tiene un impacto en trminos de dinero ahorrado y los beneficios futuros
abandonados. Las amenazas de hoy son ms rpidas, ms inteligentes, ms
frecuentes y ms evasivas que nunca por lo que la seguridad ciberntica es
una prioridad de las organizaciones y estas deben asegurarse de contar con la
proteccin adecuada.

Las soluciones de seguridad adaptables y orientadas al contexto de la

organizacin son la nica manera de mejorar las decisiones de seguridad y
respaldar entornos empresariales y de TI ms dinmicos. Sin embargo, estas
medidas slo pueden ejecutarse con la cantidad adecuada de apoyo financiero
y de nivel superior.

4. Conclusiones

8
 E. S. Hernandez Cruz / 1nnovare 4 (2016) 1 10

4.1 Los sistemas de seguridad de la tecnologa y comunicacin deben

garantizarle a la empresa la tranquilidad de tener identificados sus riesgos y los
controles que le van a permitir actuar ante una eventual amenaza. Esta gestin
debe mantener el equilibrio entre el costo que tiene una actividad de control, la
importancia del activo de informacin para los procesos de la empresa y el
nivel de criticidad del riesgo.

4.2 Como parte del Sistema de Gestin de Seguridad de la Informacin, es

necesario para la empresa hacer una adecuada gestin de riesgos que le
permita saber cules son las principales vulnerabilidades de sus activos de
informacin y cules son las amenazas que podran explotar las
vulnerabilidades. En la medida que la empresa tenga clara esta identificacin
de riesgos podr establecer las medidas preventivas y correctivas viables que
garanticen mayores niveles de seguridad en su informacin.

4.3 Ciber austeridad es una realidad global segn los temas visto en el
siguiente informe, podemos observar que todas las empresas tienen que pasar
por lo que es este proceso, para poder tomar los criterios ms eficientes en lo
que es el manejo de su seguridad, y no solo ser eficientes sino tambin muy
eficaces en lo que es su manejo.

5. Bibliografa

1. Alberts, C. y Dorofee, A. (2003). Managing Information Security Risk. Pearson

Education, Boston.

2. Alexander, A. (2007). Diseo de un Sistema de Gestin de Seguridad de Informacin.

ptica ISO 27001:2005. Alfaomega Colombiana S.A., Colombia.

3. Barnes, J. (2001). A Guide to Business Continuity Planning. Wiley, London.

4. Peltier, T. (2001). Information Security Risk Analysis. Auerbach, London.

5. Hiles, A. (2004) Business Continuity Best Practices. Rothsein Associates. Inc.

6. ISO/IEC Guide 73:2002. Risk management - Vocabulary - Guidelines for use in

standards.

7. ISO/IEC ISO 27001:2007. (2007). Information Technology - Security Techniques -

Information Security Management Systems Requirements Specification. Recuperado el 9
de marzo de 2008 en http://iso27000.es

9
E. S. Hernandez Cruz / 1nnovare 4 (2016) 1 10

10