¿Cuáles son los riesgos que se deben tener en cuenta en un SGSI?

Riesgos

Hace mucho tiempo el control que realizaban los empresarios era el de controlar que los trabajadores no perdieran el tiempo en la organización dedicando tiempo a otros quehaceres que no fueran los estrictamente laborales. Hoy en día, esto ha cambiado, se presenta un gran abanico de riesgos que pueden afectar a la seguridad informática de la organización, y que hace que ésta se vea forzada a establecer una serie de protocolos que deben seguir los trabajadores.

Cuando un empresario de una pequeña organización piensa en seguridad de la información, lo primero que piensa es que debe contar con un antivirus para evitar que se infecten sus ordenadores y, por lo tanto, que pueda peligrar la información que guarda en su organización. Pero la realidad es que no se puede equipar solamente con un antivirus a los ordenadores, hay otros muchos peligros que pueden afectar a la organización y que no sea capaz de evitar.

Los principios de Confidencialidad, Integridad y Disponibilidad

Para que se pueda garantizar la seguridad de la información de una organización es necesario que se cumplan todos los principios de Confidencialidad, Integridad y Disponibilidad de la información que guarda y gestiona.

• Confidencialidad: es la propiedad que impide que la información se pueda divulgar a personas, entidades o sistemas no autorizados, de forma que sólo pueden acceder a ella las personas que tienen autorización y de forma controlada.
• Integridad: en este caso hablamos de proteger la exactitud de la información, con esto evitamos que se pueda modificar de forma no autorizada.
• Disponibilidad: se garantiza que la información sea accesible y se use bajo demanda de un usuario correctamente autorizado, que se encuentre disponible en todo momento, evitando interrupciones del servicio por cortes de electricidad, fallos de hardware, etc.

Riesgos de seguridad de la información

Para que el sistema de información de las empresas sea 100% fiable es necesario que se garantice y mantengan los tres principios mencionado anteriormente. Por tanto, es necesario que se conozcan cuales son las vulnerabilidad y amenazas a las que se pueden enfrentar una organización. Vamos a nombrar algunos riesgos básicos que pueden llegar a afectar a algunos de los principios:

• Permiso de administrador en el ordenador: si los trabajadores tienen permisos de administrador en los ordenadores de la organización se corre el riesgo de que puedan instalar aplicaciones ajenas a las actividades de la organización. Estas instalaciones serán sin supervisión y, por lo tanto, quede expuesto al ataque de nuevos virus, con el riesgo de que puedan acceder a la información confidencial, o hasta el control de ordenador de la organización.
• Correos maliciosos o no deseados: en este caso hablamos de correos electrónicos que pueden contener phishing, pharming, como los de spam, que pueden introducir malware, saturar la red de la organización o robar información.
• No llevar a cabo copias de seguridad: es impensable en grandes organizaciones, pero en las pequeñas si es mucho más habitual. Es muy fácil realizar copias de seguridad y esto permitirá la recuperación de la información. Es necesario evitar sufrir pérdidas de datos, y poderse recuperar de forma rápida un posible ciberataque.
• Realizar un buen uso de las contraseñas: hay que ser cuidadoso y original con las contraseñas, no dejar nunca la contraseña que ha sido asignada por defecto. Es muy recomendable que se utilicen letras, números y caracteres especiales. Tampoco se deberán guardar las contraseñas en el ordenador en un fichero que se llame “Contraseñas” o “Passwords”, esto suele ser lo primero que buscan los hackers.
• Utilización de aplicaciones de almacenamiento on-line: la utilización de la nube por parte de los empleados, para almacenar, compartir e intercambiar archivos de gran información para la organización puede provocar pérdidas de los tres principios, tanto de confidencialidad, de integridad y de disponibilidad.

¿Cómo podemos evitar riesgos innecesarios?

En este momento es cuando el empresario ya tiene en mente una lista de criterios que el trabajador de su organización debería seguir para minimizar los riesgos que hagan peligrar la seguridad de la información. Algunos de ellos son:

• Podríamos comenzar por formar a los trabajadores en la cultura de la ciberseguridad, que sean cuidadosos y precavidos a la hora de abrir un correo electrónico sospechoso, o a la hora de instalar un programa de dudosa procedencia. También insistir en el buen uso de las contraseñas.
• Limitar uso de los empleados en los ordenadores de la organización para uso particular. Puede ser que se den instrucciones de que los recursos de la organización son de uso meramente laboral y, por lo tanto, se prohíba la utilización del ordenador para fines particulares. También se puede limitar el acceso a páginas relacionadas con el negocio de la organización.
• Será necesario hacer copias de seguridad de la información que tenga de sus clientes.
• No puede permitir el intercambio de información crítica de la organización mediante el almacenamiento on-line, pendrive, etc.

Software para la seguridad de la información

Hay numerosas herramientas para la determinación de los riesgos de activos de la información, pero, independientemente de la metodología o la herramienta que se utilice, el resultado debería conformar una lista de los riesgos correspondientes a los posibles impactos.

Esto permite categorizar los riesgos e identificar cuáles deberían ser tratados exhaustivamente. Se debe escoger, en base a los resultados obtenidos, cual es el nivel de riesgo que la organización está dispuesta a tolerar, de manera que por debajo de ese nivel el riesgo es aceptable y por encima no lo será y se tomará alguna decisión al respecto.

La Plataforma Tecnológica ISOTools está elaborada para ser capaz de desarrollar cada una de estas indicaciones en la implantación de un SGSI de ISO27001, y llevar a cabo una gestión eficaz y eficiente del mismo.