Patrocinado por

Ignacio Pérez

CISO y CSO de Aragonesa Servicios Telemáticos (AST)

El contexto y las vulnerabilidades en el análisis de riesgos

El dilema de los recursos finitos
No hay sistema de gestión de seguridad de la información (UNE-EN ISO/IEC 27001), ni cumplimiento legal (ENS, Real Decreto 311/2022) que no base la decisión de las medidas de protección a adoptar si no es en base a un análisis de riesgos.

Sistemáticamente en cualquier tipo de auditoria es de las primeras cosas que se pide: ¡El análisis de riesgos por favor! La base es sencilla y coherente: los recursos destinados a prevenir, proteger, detectar y responder a las diferentes amenazas de seguridad son finitos. Por lo que hay que escoger que salvaguardas implantar y cuales obviar. El análisis de riesgos esclarece por tanto tan sensible cuestión: donde poner el foco.

La realidad y los análisis de riesgos
– ¿Riesgo de inundación? – pregunte al consultor con asombro.
– Es lo que me ha salido en PILAR respondió con ojos vidriosos del que sospecha que no ha atinado con su trabajo.
Una vez, cansado de mis propios análisis de riesgos le pedí a un proveedor que realizara uno de uno de mis CPD. Mi sorpresa surgió al ver que el mayor riesgo obtenido era el de inundación… Me explico, es un CPD que está en una loma, en una zona no inundable, que cuenta con un sótano, un suelo técnico de casi un metro (ahí es nada), sin canalizaciones de agua (quien no haya visto un cubo de agua encima de un rack es que no ha tenido infancia) y en una zona prácticamente catalogada de desierto (como buen santanderino la ausencia de
lluvia es de las cosas que más me ha costado adaptarme). Pero que importaba el contexto o la realidad, lo importante es lo que haya sacado la herramienta.

Y si la herramienta da un resultado incoherente se tortura la misma hasta que diga lo que quieres… Y en ese caso ¿Qué sentido tiene utilizarla?… Es cierto que el consultor no había “alimentado” correctamente a la herramienta de gestión de riesgos… pero cuantos de vosotros no habéis “torturado” alguna vez a alguna de estas herramientas para que el resultado saliera más parecido a lo que vosotros esperabais.

Inversión TIC de las Administraciones Públicas en Ciberseguridad | H1 2023

Al completar el formulario, usted autoriza a Adjudicaciones TIC la cesión de sus datos a los patrocinadores del barómetro.