• Fecha: Abr 14, 2004
  • Comentarios: no hay comentarios
  • Categorias: Sin categoría

Fuente: B:Secure (http://www.bsecure.com.mx) Autor: Andrés Velázquez, CISSP

El activo más importante, después del recurso humano, es la información… imagine cuánto pierde si ese recurso no se encuentra disponible, si es modificado o peor aún, ¡si es robado!

Muchas personas catalogan cierta información de que dispone su organización como crítica y como de mayor valor; pero realmente, ¿cómo podemos saber cuánto cuesta nuestra información?

Recordando algunas clases que tuve en la carrera, veo en mi mente a uno de mis profesores diciendo: “Un dato es algo aislado; puede ser un número, una palabra… pero un conjunto de datos que tienen sentido entre sí, es información”.

¿Se puede cuantificar el valor de un dato? Claro que no, porque si yo tengo un dato, por ejemplo el valor “7,000” pero no sé si se refiere al número de clientes, de pedidos, de pérdidas, etc., no lo puedo valorar. De tal manera que lo que sí se puede cuantificar es la información completa.

Algunos analistas mencionan que el activo más importante, después del recurso humano, es la información. Es difícil pensar en ello porque la información, en su estado digital, no es tangible: es un conjunto de unos y ceros que se almacenan todos juntos en un medio magnético que llamamos disco duro.

Los directivos apreciarán algo sólo si:

– Lo pueden ver
– Lo pueden entender
– Están de acuerdo en que es valioso
– Saben que no lo pueden hacer tan bien por ellos mismos
– Pueden enseñar a sus jefes
– Pueden lograr que el jefe entienda
– Pueden lograr que el jefe esté de acuerdo en que es valioso

Regresemos al punto fundamental: creo que hasta ahora no sabe cuánto vale su información.

Es muy sencillo, veámoslo desde el punto de vista negativo. Imagine algo dentro de su organización que contenga información; por ejemplo, una base de datos, una hoja de cálculo, etc. Ahora imagine cuánto pierde si ese recurso no se encuentra disponible, si es modificado o si se lo robaron. Vea cuán fácilmente puede ahora definir lo que vale su información.

Seamos un poco más arriesgados y complejos. En una hoja de papel, escriba alguna amenaza que crea que pueda afectarle; por ejemplo, supongamos que se trata de una de las amenazas muy conocidas, como hackeos, vulnerabilidades, errores de usuarios, etc.

Primero, junto al nombre, escriba la posibilidad de que la amenaza se dé en su organización determinado número de veces al año. Después, junto a ese valor, escriba cuánto le va a costar si esa información no está disponible o si la modifican. Multiplique ese número de ocurrencias al año por el valor de la información que tiene en ese recurso.

Usted acaba de realizar un análisis muy sencillo de riesgos de un recurso en su organización. Con este análisis es más fácil cuantificar en algunos casos el valor de su información.

Esto es sólo una pequeña parte del análisis de riesgos, pero puede ayudarnos a cuantificar el valor de la información y, por medio de esto, justificar la imposición de algunos controles en nuestra organización para proteger esa información.

Compartir:

No Comments Yet.

Deja un comentario

Your email address will not be published.