REVISTA DE INGENIERIA DYNA

Dirección Vs. Sistemas: Tratado de paz
Resumen
En muchas empresas es frecuente que los gerentes y los técnicos no se pongan de acuerdo. Pero es posible acercar la tecnología al negocio a través de los riesgos, un término que ambos mundos comparten. Un análisis de los riesgos tecnológicos a alto nivel puede ser el nexo de unión entre uno y otros, de forma que todos caminen en la misma dirección.

Palabras clave: Análisis, riesgos, estrategia, seguridad, tecnología.

Abstract
In many companies it's usual that the managers and the technicians do not agree themselves. But it's possible to approach the technology to the business through the risks, a term that both worlds share. A technological risks assessment carried at high level can be the nexus of union between one and others, so that all walk in the same direction.

Key words: Assessment, risks, strategy, security, technology.
Como consultor de seguridad conozco muchas empress , cada una con sus particularices. Sin embargo, la mayor parte de ellas comparten un problema que se repite continuamente, y que habitualmente es la sa cau de muchos desencuentros. La dirección y el área de sistemas de información a nunc se ponen de acuerdo. Las prioridades de unos a los otros les parecen secundarias. Lo que para unos es evidente los otros son incapaces de asimilarlo. Sencillamente, s como e si no fueran capaces de entenderse. Como diría el conocido best-seller, ece par que unos son de Marte y los otros de Venus... ¿Cómo se puede lograr que ambos grupos abajen tr de forma coordinada? ¿Es posible dirigir los esfuerzos de ambos mundos n una e misma dirección? Sí, es posible. Y a continuación vamos a ver cómo se puede conseguir.
La principal preocupación de la dirección es, evidentemente, el negocio. Estrategia, costes o beneficios son palabras habituales en iscrso. su d Sin embargo, es en otro concepto en el que nos tenemos que centrar: el go. ries Todos los directivos son conscientes de los riesgos a los que está sujeto negocio: su financieros, competitivos, de mercado... Sin embargo, hay un tipo de riesgo que suelen no conocer con detalle: el asociado a la tecnología. En general, la dirección es consciente de que la introducción de tecnología en sus procesos de negocio puede tituir cons una ventaja competitiva, pero
en muchos casos no conoce los riesgos que supone a introducción. es Es un mundo
desconocido, complejo y difícil de asimilar si no e conoce. s Por tanto, ése es el punto de partida: resolver esa complejidad.
Para conseguir nuestro objetivo, tenemos que partir de algo sencillo y conocido: el mapa de procesos de negocio. La dirección lo conoce , es sencillo de entender y muy útil si se sabe trabajar con él.
A partir del mapa tenemos que ir profundizando ada en cproceso, revisando en qué consiste. Tenemos que analizar qué se hace y qué obtiene se en cada uno de ellos. Conocerlos, saber cuál es su función, cuáles on s entradas la y cuáles son las salidas de cada uno, y entender sus interrelaciones. Al menos, a nivel general.
Cuando tengamos claro cada proceso (y siempre se ede pu pedir ayuda a los correspondientes responsables), habrá que pensar qué e necesitamos para llevar a cabo esas tareas, identificar los recursos asociados ad a proceso. c Es aquí donde aparece la tecnología. Pero con una particularidad: está a ligda uno (o varios) procesos de negocio.
En este primer paso de identificación de recursos o hay n que ser muy exhaustivos. A los directivos les basta saber con que hay una aplicaci ón que les permite llevar la contabilidad. No les interesa saber si es una ción aplic cliente servidor o si está desarrollada en Java. Y menos si está soportada un por único servidor o por varios. Y en este momento, a nosotros tampoco. Es suficiente saber con que existe una "plataforma" de contabilidad.
Llegados a este punto, podemos empezar a pensar un sencillo en análisis de riesgos.
Que debe ser más sencillo que análisis. Lo suficien te como para que la dirección esté dispuesta a ejecutarlo.
Recordemos que hemos partido del mapa de procsos e negocio. d Y en el análisis de
riesgos, la labor de la dirección es valorar ests procesos. Priorizarlos. Analizar su importancia para la empresa, evaluando aspectos o com la disponibilidad de los procesos, la confidencialidad de la información se que procesa en ellos, o su integridad. Ellos mejor que nadie conocen su negocio, y tienen que ser capaces de valorar estos aspectos.
Con esta valoración el trabajo puede seguir avanzan do. Ahora tenemos que pensar en las amenazas que pueden sufrir esos procesos. emos Y ten que pensar en ellas a todos los niveles. Unas serán externas, otras internas. Algu as intrínsecas. Y otras, debidas a la tecnología. Por fin, la primera aproximación. Sin embargo, no hay que tener prisa. Estamos pensando en plataformas tecnológicas, icas, genér y por lo tanto las amenazas a las que están sujetas serán igual de abstractas. demos Po pensar en errores de usuario o quizás en hackers, pero jamás seremos capaces aluar de ev la amenaza de corrupción de la base de datos a este nivel. No importa, todo gará. lle
Después tenemos que analizar las vulnerabilidades. Habrá que discutirlas y razonarlas, tratando de establecer lo más claramente posible r qué po las plataformas son vulnerables a las amenazas contempladas. Y una lleguemos vez a un acuerdo... está dado el primer paso. El cálculo del nivel de riesgo es automático, como resultado de los tres factores analizados. Será tan sencillo coo mbinar co los valores que se han dado a cada activo, a cada amenaza y a cada vulnerabilidad . Y como consecuencia del análisis tenemos una serie de riesgos tecnológicos que an afect sobre los procesos de negocio. Valorados y definidos.
A partir de este punto, es probable que la direcció n se preocupe. Aparecen ciertos riesgos de los que hasta este momento no eran iente. consc Y probablemente quieran conocer mejor el problema, o al menos sus solucione s.
En este momento, la tarea es desgranar el análisis de riesgos estratégico que hemos realizado. Expandir el concepto de plataforma en da ca uno de sus componentes, desmenuzar cada una de las amenazas contemplada sus en múltiples elementos. Una vez que lleguemos a identificar la base de dats, odremos p analizar su riesgo de corrupción. Pero no tenemos que perder de vista el que análisis exhaustivo tiene que partir del estratégico, y por tanto habrá que poner mucho empeño en que quede claro cómo se llega de los riesgos estratégicos a los sgos rie técnicos. Evitando que los riesgos identificados a nivel estratégico se diluyan o ierdan se p al llegar al nivel operativo.
Una vez tengamos el análisis de riesgos a bajo l, nive será relativamente sencillo identificar los activos a proteger. Y probablemente también será fácil identificar el modo de hacerlo, ya que los riesgos serán técnico y sus soluciones también. Así que tendremos que comenzar a gestionar el riesgo. Habrá que definir las contramedidas técnicas y operativas a implantar, y evaluar su te. cos Y nadie mejor que el propio departamento de sistemas para llevar a cabo esta rea. ta
Luego habrá que asociar esas soluciones técnicas los riesgos a estratégicos. Para ello, habrá que identificar las ventajas de alto nivel e qu presentan las soluciones técnicas planteadas. Un antivirus corporativo se convertirá en una mayor protección para los datos financieros, mientras que un CPD replicado sará pa a ser una garantía de disponibilidad frente a catástrofes naturales. Quedará claro que si necesitamos una nueva cabina de discos es para mejorar la competiti vidad de la empresa. Tendremos soluciones de negocio para los riesgos tecnológicos . Soluciones diseñadas y
cuantificadas desde el departamento de sistemas, parametrizadas y en tiempo, dinero y esfuerzo para que sean entendibles por la dirección . Y de este modo habremos llegado a la solución del problema.
De este modo, hemos llevado a cabo un análisis iesgos de r estratégico, y hemos sido capaces de traducirlo en un plan de tratamiento riesgos de de carácter técnico que sea entendible por la dirección. Ahora, el área de emas sist sabe expresar proyectos a nivel estratégico, y la dirección es capaz de identificar riesgos a nivel tecnológico. Por fin, hemos conseguido que directivos y técnicos se ndan. entie ¿No parece complicado, verdad? Con unos resultados tan prometedores, merecen bien la pena el intento. Y de todas formas, si a la hora de la verdad el trabajo se complica, siempre se puede recurrir a ayuda externa especializada...
Joseba Enjuto Gozalo Consultor Senior Nextel, S.A.