nos afecta? El riesgo tecnolgico tiene su origen en el continuo incremento de herramientas y aplicaciones tecnolgicas que no cuentan con una gestin adecuada de seguridad. Su incursin en las organizaciones se debe a que la tecnologa est siendo fin y medio de ataques debido a vulnerabilidades existentes por medidas de proteccin inapropiadas y por su constante cambio, factores que hacen cada vez ms difcil mantener actualizadas esas medidas de seguridad.
Origen del riesgo tecnolgico Cmo
nos afecta? Adicional a los ataques intencionados, se encuentra el uso incorrecto de la tecnologa, que en muchas ocasiones es la mayor causa de las vulnerabilidades y los riesgos a los que se exponen las organizaciones. El riesgo tecnolgico puede verse desde tres aspectos, primero a nivel de la infraestructura tecnolgica (hardware o nivel fsico), en segundo lugar a nivel lgico (riesgos asociados a software, sistemas de informacin e informacin) y por ltimo los riesgos derivados del mal uso de los anteriores factores, que corresponde al factor humano como un tercer nivel.
Origen del riesgo tecnolgico Cmo
nos afecta? Si se revisan las definiciones de las metas, objetivos, visin o misin de las organizaciones, ests no se fundamentan en trminos tcnicos o con relacin a la tecnologa. Sin embargo, al analizar de forma profunda y minuciosa este tipo de planteamientos gerenciales, se encuentra que su aplicacin trae como base el desempeo de una infraestructura tecnolgica que permita darle consecucin a dichas cualidades.
Origen del riesgo tecnolgico Cmo
nos afecta? Por ello, el cumplimiento correspondiente con la prestacin de los servicios y desarrollo de los productos ofrecidos por la empresa, el mantenimiento de la actividad operativa e incluso la continuidad del negocio, dependen del cuidado y conservacin que se tenga de la base tecnolgica y por supuesto, del personal que la opera.
Medidas de aseguramiento ante el
riesgo tecnolgico Hablar de controles y medidas que permitan a las organizaciones contrarrestar este tipo de riesgo puede ser complicado, pero es posible tomar acciones que lleven a su mitigacin. El aseguramiento puede realizarse desde los tres niveles antes mencionados.
Medidas de aseguramiento ante el
riesgo tecnolgico En el nivel fsico, las medidas a tomar son de carcter tcnico o de seguridad informtica, referidas a la aplicacin de procedimientos de control y barreras fsicas ante amenazas para prevenir dao o acceso no autorizado a recursos e informacin confidencial que sea guardada en la infraestructura fsica.
Medidas de aseguramiento ante el
riesgo tecnolgico Dentro de stas se encuentran: Controles de acceso fsico, que pueden incluir el uso de sistemas biomtricos y vigilantes para acceso en reas especficas. Manejo de tokens o tarjetas de identificacin. Controles a nivel de equipos, tales como ubicacin y proteccin, seguridad en cableado o mantenimiento peridico de equipos.
Medidas de aseguramiento ante el
riesgo tecnolgico Servicios bsicos (energa, agua y alcantarillado, entre otros) de soporte para continuidad. Gestin de medios de almacenamiento removible. Controles de vulnerabilidades tcnicas, entre otros.
Medidas de aseguramiento ante el
riesgo tecnolgico En el nivel lgico, las medidas a tomar se dan con respecto al uso de software y sistemas, enfocadas a proteger los datos y garantizar el acceso autorizado a la informacin por parte de los usuarios a travs de los procedimientos correctos.
Medidas de aseguramiento ante el
riesgo tecnolgico Como parte de estas medidas se pueden tomar: Controles de acceso lgico con la gestin de usuarios, perfiles y privilegios para acceso a aplicaciones y gestin de contraseas. Controles de acceso a la red interna y externa, segregacin en redes y controles para asegurar servicios de la red. Controles a nivel de teletrabajo y equipos mviles. Soluciones de proteccin contra malware.
Medidas de aseguramiento ante el
riesgo tecnolgico
Respaldos de bases de datos e informacin crtica.
Protocolos para intercambio de informacin y cifrado de informacin. Monitoreo de los sistemas, sincronizacin de relojes y proteccin sobre registros. Limitacin en tiempos de conexin a aplicativos y cierres de sesin por inactividad. Gestin de control de cambios, entre otros.
Medidas de aseguramiento ante el
riesgo tecnolgico El tercer nivel y el ms crtico dentro de las organizaciones, dada su naturaleza impredecible, es el personal o recurso humano. Las medidas a este nivel deberan ser ms procedimentales, ligadas a la regulacin y concienciacin.
Medidas de aseguramiento ante el
riesgo tecnolgico Dentro de stas se pueden incluir: Definicin de polticas de seguridad que presenten las correspondientes violaciones con el fin de dar cumplimiento. Controles relacionados a acuerdos con terceros, prestacin de servicios que se puedan dar con stos y segregacin de funciones. Controles a nivel contratacin de personal.
Gestin antes, durante y despus de la terminacin de los
contratos.
Medidas de aseguramiento ante el
riesgo tecnolgico Educacin y capacitacin continua en aspectos de seguridad. Procedimientos e instructivos para manejo de informacin. Polticas de escritorio y pantalla limpia. Cumplimiento de legislacin aplicable, entre otros.
Riesgo tecnolgico como raz de otros
riesgos El riesgo tecnolgico puede ser causa y consecuencia de otro tipo de riesgos, una falla sobre la infraestructura puede implicar riesgos en otros mbitos, como prdidas financieras, multas, acciones legales, afectacin sobre la imagen de la organizacin, causar problemas operativos o afectar las estrategias de la organizacin.
Riesgo tecnolgico como raz de otros
riesgos Si pensamos en el caso de un empleado descontento que puede representar un riesgo operativo, podra implicar tambin un riesgo tecnolgico por manipulacin inapropiada de sistemas e informacin.
Riesgo tecnolgico como raz de otros
riesgos A continuacin, se presentan algunos ejemplos que ilustran lo anterior: 1. El reciente descubrimiento en mayo de 2012 del malware Flame, el cual tena como objetivo ataques de ciberespionaje en pases de oriente medio. Este ataque represent prdida de informacin confidencial y crtica. 2. Otro caso de ciberespionaje industrial es el malware encontrado en archivos de AutoCad, cuya finalidad es el robo de informacin sensible como planos arquitectnicos.
Riesgo tecnolgico como raz de otros
riesgos 3. Un ataque muy nombrado en marzo del ao pasado es el relacionado al robo de informacin realizado a RSA, que implic riesgos para la banca en lnea. 4. Por ltimo, el ataque que sufri Sony en 2011, donde robaron informacin de cuentas de usuarios.
Riesgo tecnolgico como raz de otros
riesgos Todo lo anterior, confirma la posibilidad de daos y perjuicios que puede desencadenar un fallo en la seguridad a nivel tecnolgico.