Por qu la seguridad es importante

Uno de los mayores problemas de la seguridad informtica reside en el hecho de que los usuarios tienen problemas porque creen que no les puede pasar nada malo, hasta que les sucede. La verdad es que puede suceder lo peor y que se produce con ms frecuencia de la que nos imaginamos. Los estudios realizados por los organismos estadounidenses Computer Security Institute y Federal Bureau of Investigation (FBI) revelan que el 90 por ciento de las organizaciones y agencias gubernamentales han detectado ataques a la seguridad informtica en 2002. De estas organizaciones y agencias, el 80 por ciento reconoci prdidas financieras. Muchos de los propietarios de pequeas empresas creen que no se tienen que preocupar de la seguridad. "Despus de todo", razonan, "quin querra atacar mi empresa cuando hay otras ms grandes". Aunque es cierto que a las pequeas empresas no se les ataca directamente con la misma frecuencia que a las grandes, hay tres errores en este razonamiento. El primer motivo es que las pequeas empresas normalmente acaban formando parte de ataques a gran escala, como amenazas de gusano masivas o esfuerzos por recopilar nmeros de tarjeta de crdito. El segundo motivo es que, debido a que la seguridad se est reforzando cada vez ms en las grandes empresas, las redes de las pequeas empresas resultan ms tentadoras para los piratas informticos. Y el tercer motivo es que se supone que todos los ataques proceden del exterior. Independientemente del modo en que se ha atacado a la empresa y del motivo por el que se ha hecho, la recuperacin normalmente precisa de tiempo y esfuerzo. Imagine que sus sistemas informticos no estuvieran disponibles durante una semana. Imagine que pierde todos los datos almacenados en los equipos de su compaa. Imagine que su competidor ms encarnizado puede obtener una lista de sus clientes, junto con las cifras y las notas de ventas. Cunto tardara en darse cuenta? Cunto le costaran a su compaa estos ataques? Podra permitirse estas prdidas? Parece de sentido comn. A que no dejara la puerta del edificio abierta por la noche? Lo mismo se aplica a la seguridad de la informacin. Con unos pocos pasos puede hacer que sea mucho menos vulnerable. Los expertos en tecnologa hacen que la seguridad bsica parezca una cuestin enorme y difcil. Afortunadamente, proteger su negocio es mucho ms sencillo de lo que cree. Por supuesto que no hay modo de garantizar la seguridad total. Recuerde, una puerta slo puede considerarse segura si resulta ms fcil atravesar la pared que forzar la puerta. Sin embargo, puede lograr un nivel de seguridad razonable y estar preparado cuando se produzcan los ataques. La valoracin adecuada de los riesgos y las consecuencias en relacin con el costo de la prevencin es un buen punto de partida.

Conceptos generales de riesgo Ms all de todas las definiciones que se pudieran llegar a presentar sobre el riesgo, en general se presentan dos caractersticas fundamentales:

Incertidumbre: el acontecimiento que caracteriza al riesgo puede o no ocurrir, es decir nunca existe un riesgo del 100% o del 0%. Perdida: Si el riesgo se convierte en realidad ocurrirn prdidas (a veces deseadas). En el anlisis y gestin del riesgo es importante tratar de cuantificar la incertidumbre (probabilidad de ocurrencia) y la perdida (impacto). Los siguientes representan tipos de riesgos que nos podemos encontrar durante el desarrollo de un proyecto: Riesgos de proyecto: Son una amenaza al plan de proyecto, es decir, si los riesgos se hacen realidad se vera afectado principalmente la planificacin temporal y por lo tanto trae un aumento en el costo (tiempo = dinero). Adems, los riesgos presentan problemas potenciales en reas tales como recursos, cliente y requisitos. Riesgos tcnicos: representan una amenaza a la calidad del producto y por lo tanto a la planificacin temporal del proyecto. Si un riesgo tcnico se hace realidad bsicamente se dificulta su implementacin, podemos imaginarnos problemas tales como: ambigedades en especificaciones, ignorancia al respecto de implementacin con tecnologas de punta y hasta problemas en la interfaz de usuario. Riesgos de negocio: Son aquellos riesgos que ponen en peligro la viabilidad del proyecto, los riesgos candidatos son: la construccin de un software que nadie necesite, la construccin de un producto que no encaja en la estrategia comercial de la compaa ya que esta ha cambiado con el tiempo, etc. Riesgos conocidos: Son aquellos riesgos que se dan a conocer tras un meticuloso anlisis del plan de proyecto. Riesgos predecibles: Son aquellos riesgos que se heredan de la experiencia laboral del equipo de software, son conocidos por decantacin natural (frase de Fernando lvarez). Identificacin del riesgo: La identificacin del riesgo es la actividad principal de este anlisis y gestin y tiene como ideal especificar las amenazas al plan de proyecto. Existen dos tipos diferenciados de riesgos para cada categora presentada previamente. Los riesgos generales, aquellos que son una amenaza en la generalidad de los proyectos de software, y los riesgos especficos al proyecto mismo que como se pueden imaginar, son aquellos riesgos particulares de nuestro proyecto y son nicamente identificados por la gente que se encuentra en el entorno del proyecto y que tiene una clara visin del negocio en el cual el proyecto va a ser implementado. Un mtodo para identificar riesgos es generar una simple tabla de comprobacin de riesgo que describa cada uno de los riesgos pero dentro del subconjunto de los riesgos conocidos y predecibles y dentro de las siguientes categoras mayormente utilizadas tales como: tamao del proyecto, definicin del proceso, entorno de desarrollo, tecnologa utilizada. Un ejemplo de lista puede ser:

Riesgo Estimacion del tamao podria ser baja Los usuarios finales se resisten al sistema Referencia: PS: riesgo de proyecto BU: riesgo de negocio Estimacin del riesgo:

Categora PS BU

Una vez identificado el riesgo podemos comenzar una etapa de estimacin o proyeccin del mismo, donde la actividad principal se centra, como dijimos previamente, en cuantificar la probabilidad de ocurrencia y el impacto. Lo ideal seria que 1) establecer una escala que refleje la probabilidad percibida del riesgo, 2) definir las consecuencias del riesgo, 3) estimar el impacto en el proyecto y en el producto, 4) evaluar la exactitud de esta proyeccin. En esta etapa podemos hacer uso de la tabla previamente presentada y agregarle informacin de valor para poder gestionar el riesgo de manera relevante. Riesgo Estimacion del tamao podria ser baja Los usuarios finales se resisten al sistema Categora PS Probabilidad 60% Impacto 2

BU

25%

Una vez que se han definido los niveles de impacto y se haya llenado la tabla trataremos de ordenar la misma por probabilidad de ocurrencia y por impacto. El gestor del proyecto debera ser el encargado de estudiar esta tabla y definir una lnea de corte, es decir un umbral de probabilidad e impacto dejando por encima a dichos riesgos que deben ser evaluados para una cierta exitosa implementacin y por debajo aquellos que sern tomados en cuenta en diferentes situaciones del proyecto. Puntos a tener en cuenta para la evaluacin del impacto del riesgo Existen tres factores que afectan a las consecuencias del riesgo si este ocurre. La naturaleza del riesgo nos provee informacin acerca de los problemas probables que aparecern si este ocurre.

El alcance del riesgo combina la severidad (Que tan serio es el problema) con su distribucin en el proyecto (que proporcin del proyecto se vera afectado, o bien, cuantos clientes se vern afectados). La temporizacin del proyecto nos considera cuando y por cuanto tiempo se dejara sentir el impacto. Para evaluar las consecuencias del riesgo, podemos referirnos a obtener la exposicin al riesgo [ Hall, E.M. Managing RIk: Methods for software System development, addison wesley, 1998] donde: Exposicin al riesgo = P x C Siendo P la probabilidad de ocurrencia y C el costo del proyecto si este ocurriera. Esta exposicin al riesgo puede ser evaluada para cada riesgo identificado durante la etapa de Identificacin del riesgo y una vez que poseemos todas las exposiciones al riesgo, la sumatoria nos proporcionara un valor para ajustar nuestra estimacin del coste de proyecto y tambin para estimar los posibles ingresos de recursos en determinadas etapas del proyecto. Es importante hacer una evaluacin lo mas objetiva posible en funcin del riesgo, la probabilidad y el impacto, para establecer un punto de referencia donde el proyecto seria preferible abandonarlo