¿Qué es el riesgo informático?

Se define riesgo informático como cualquier riesgo asociado al uso de tecnología informática que pueda tener potencialmente un impacto negativo en el negocio empresarial.
En otras palabras, se refiere a la vulnerabilidad de nuestro sistema informático ante eventos internos o externos capaces de causar alteración, robo o indisponibilidad de datos y funciones.

La gestión del riesgo informático

Dada la naturaleza incierta y la evolución continua de la tecnología, la gestión del riesgo IT representa un desafío estratégico en cualquier empresa. Pueden identificarse cuatro fases que deben aplicarse de forma cíclica:
  1. Análisis del riesgo;
  2. Implementación de procedimientos;
  3. Monitorización, revisión y verificación de los mismos;
  4. Corrección de los procedimientos aplicados.

Diez reglas fundamentales para gestionar el riesgo informático

El Risk Management es una materia compleja, que no puede abordarse en un simple artículo. Podemos ofrecer diez puntos de reflexión que no deberían faltar en una estrategia de análisis, identificación y gestión del riesgo informático.
  1. Cada proceso informático implica riesgos. Para evaluar pros y contras respecto a cada agente de riesgo identificado, hay que considerar el impacto de costos de recuperación, downtime, daño de imagen y retrasos en procesos.
  2. El plan de Disaster Recovery. Para pequeñas y medianas empresas se traduce en tener siempre disponibles una o más unidades de backup, actualizadas regularmente y cuyo funcionamiento se haya verificado.
  3. La gestión automática de actualizaciones. Las actualizaciones no son una molestia: sirven para resolver problemas concretos de seguridad y funcionalidad.
  4. Una protección base contra malware y ataques. El antivirus no basta contra ataques modernos. También hacen falta firewalls evolucionados, antivirus para tráfico web y correo capaces de bloquear ataques antes de llegar a los PCs empresariales.
  5. No poner demasiados huevos en la misma cesta. Demasiados datos, aplicaciones y funciones confiadas al mismo sistema representan una apuesta arriesgada. Mejor fraccionar el riesgo.
  6. Si faltan recursos, confiar en soluciones Cloud. Es más seguro usar servicios online de correo y archivo documental que soluciones locales improvisadas. Si faltan recursos para implementar salvaguardias básicas, mejor apoyarse en servicios externos y usar antivirus en cada máquina.
  7. La configuración y el mantenimiento de los equipos no son secundarios a su presencia. No basta comprar appliances o servicios: hay que confiar la configuración a expertos reales.
  8. El personal debe estar vinculado por una policy clara y precisa para usar la red informática. Nadie excluido, del manager a la secretaria.
  9. No sufrir la “seguridad de papel”. Compliance, leyes y estándares ISO son positivos, pero deben entenderse y aplicarse inteligentemente a la propia realidad.
  10. Tener un plan. La seguridad informática es ante todo cultura. Una figura de gestión debe asumir la responsabilidad de pensar y gestionar la seguridad a alto nivel y explicar a todos su papel.

IT-Risk Management para todos

Hoy las grandes empresas cuentan con figuras dedicadas exclusivamente a la gestión del riesgo informático. A menudo, sin embargo, esto implica costos excesivos para pequeñas y medianas empresas. Por eso las soluciones de consultoría ISGroup y las verificaciones puntuales realizadas con EasyAudit representan una alternativa eficaz para PYMEs.

¿Quieres saber qué tan expuesto está tu sitio?

EasyAudit WEB verifica sitios, portales y e-commerce con una auditoría externa profesional pensada para PYMEs.

Descubre EasyAudit WEB