La reducción de riesgo se logra a través de la implementación de Medidas de protección, que basen en los resultados del análisis y de la clasificación de riesgo.

pres_17_reduccion_riesgo

Las medidas de protección están divididos en medidas físicas y técnicas, personales y organizativas.

En referencia al Análisis de riesgo, el propósito de las medidas de protección, en el ámbito de la Seguridad Informática, solo tienen un efecto sobre los componentes de la Probabilidad de Amenaza, es decir aumentan nuestra capacidad física, técnica, personal y organizativa, reduciendo así nuestras vulnerabilidades que están expuestas a las amenazas que enfrentamos. Las medidas normalmente no tienen ningún efecto sobre la Magnitud de Daño, que depende de los Elementos de Información y del contexto, entorno donde nos ubicamos. Es decir, no se trata y muy difícilmente se puede cambiar el valor o la importancia que tienen los datos e informaciones para nosotros, tampoco vamos a cambiar el contexto, ni el entorno de nuestra misión.

En referencia al folleto ¡Pongámos las pilas! [5], en el capitulo “¿Cómo podemos prevenir para no lamentar”, página 22 a 27, se aborda algunas medidas de protección contra amenazas muy comunes.

pres_18_medidas_proteccion

La fuerza y el alcance de las medidas de protección, dependen del nivel de riesgo

  • Alto riesgo: Medidas deben evitar el impacto y daño.
  • Medio riesgo: Medidas solo mitigan la magnitud de daño pero no evitan el impacto.

Considerando que la implementación de medidas de protección están en directa relación con inversiones de recursos económicos y procesos operativos, es más que obvio, que las medidas, para evitar un daño, resultarán (mucho) más costosas y complejas, que las que solo mitigan un daño.

Para que las medias sean exitosas, es esencial que siempre verificamos su factibilidad, es decir que técnicamente funcionan y cumplen su propósito, que están incorporadas en los procesos operativos institucionales y que las personas se apropian de estás. Es indispensable que están respaldadas, aprobadas por aplicadas por la coordinación, porque sino, pierden su credibilidad. También significa que deben ser diseñadas de tal manera, que no paralizan o obstaculizan los procesos operativos porque deben apoyar el cumplimiento de nuestra misión, no impedirlo.

Otro punto clave es, que las personas que deben aplicar y apropiarse de las medias saben sobre su existencia, propósito e importancia y son capacitadas adecuadamente en su uso, de tal manera, que las ven como una necesidad institucional y no como otro cortapisa laboral.

Debido a que la implementación de las medidas no es una tarea aislada, única, sino un proceso continuo, su manejo y mantenimiento debe estar integrado en el funcionamiento operativo institucional, respaldado por normas y reglas que regulan su aplicación, control y las sanciones en caso de incumplimiento.

<< anterior | siguiente >>



A %d blogueros les gusta esto: