Hola, soy Jeff Croom, un distinguido ingeniero de IBM. En un artículo anterior, hablé sobre la confianza cero y concluí con la idea de que el análisis de riesgos debería informar nuestras decisiones de confianza cero. Ahora, reflexionemos sobre una pregunta clave: ¿por qué poner frenos en un automóvil? Parece una pregunta lo suficientemente obvia, todos dicen que es para poder frenar. Permíteme sugerirte que también se trata de poder ir realmente rápido. Si no me crees, piensa en lo rápido que estarías dispuesto a conducir un automóvil que no tuviera frenos. La respuesta es que no estarías dispuesto a hacerlo. Ni siquiera te subirías al vehículo. Entonces, ¿qué hacen los frenos por nosotros? Nos permiten tomar riesgos calculados en lugar de riesgos descontrolados. Son lo que nos permite controlar nuestro riesgo.
Ahora, apliquemos eso a las organizaciones y las personas y cómo percibimos el riesgo. Por ejemplo, algunas personas, cuando se trata de viajar, dirán: «Sabes qué, no me gusta subirme a los aviones. Voy a tomar un tren a donde quiera que vaya, incluso si me lleva cuatro días de Chicago a San Diego y otros cuatro días de regreso». Esa es mi tolerancia al riesgo. Alguien más, como yo, no le importa volar cuatro millones de millas en el aire. Está bien, estoy dispuesto a subir al avión. Pero hay algo en lo que no estoy dispuesto a ceder: no me bajaré del avión antes de que toque tierra. En ese caso, diré que estoy en el punto medio en cuanto a tolerancia al riesgo. Pero luego hay personas dispuestas a decir: «Sabes qué, con un paracaídas, puedo saltar de este avión perfectamente bueno y no tengo que esperar a que aterrice». Tres tolerancias diferentes al riesgo, tres perfiles de riesgo diferentes.
Tolerancia al riesgo de las organizaciones
¿Qué tiene que ver esto con el tema que estamos tratando? Las organizaciones son iguales. Puedes tomar un banco y puede ser muy averso al riesgo, mientras que otro banco en la misma industria puede ser mucho más tolerante al riesgo. Por lo tanto, al tomar nuestras decisiones de seguridad, debemos considerar cuál es nuestra tolerancia al riesgo desde el principio.
Para ilustrar esto, pensemos en un ejemplo. Imaginemos que tenemos un usuario que va a acceder a nuestro servidor web. Una organización más tolerante al riesgo podría decir: «Voy a poner un firewall para que tenga cierto nivel de protección, así estará bien». Otra organización podría ver exactamente los mismos problemas y decir: «No, quiero un poco más de protección. Voy a poner mi servidor web aquí, pero voy a hacer una separación entre el servidor web y la base de datos, para añadir otra capa de seguridad, otro firewall». De esta manera, si hay un atacante tratando de entrar, tendrá que atravesar dos zonas de seguridad para llegar allí: más protección, más aversión al riesgo.
Sin embargo, algunas organizaciones, al igual que el aficionado al tren, tomarán aún más medidas para evitar el riesgo. Dirán: «Lo que quiero hacer es separar aún más las cosas. Voy a poner mi servidor web aquí, un servidor de aplicaciones detrás y separar los datos de la aplicación». Así es como se vería el camino ahora:
Ahora tengo una DMZ tradicional para el servidor web, que solo ofrece servicios de presentación. La propia aplicación está protegida del servidor web y los datos están separados de todo. Entonces, ¿cuál de estas opciones es la correcta? Bueno, todo depende. Depende de muchas cosas. Depende de tu tolerancia al riesgo, la tolerancia de tu organización. ¿Es tu organización un tren, un avión o un paracaídas? También depende del costo. Si esto es demasiado caro o si el tipo de datos que estoy tratando de proteger no merece ese nivel de protección, podría reducirlo a una de las otras opciones. Hay muchas consideraciones que entran en juego.
Si necesitas más ayuda, hay recursos disponibles en la parte inferior del artículo donde puedes ver cómo IBM puede ayudar en la toma de estas decisiones. Gracias por leer este artículo. Recuerda darle «Me gusta» si te ha resultado útil y suscribirte para que podamos seguir brindándote contenido que te interese.
Resumen del artículo
| Tema | Tolerancia al riesgo en la toma de decisiones de seguridad |
| Palabras clave | Riesgo, organizaciones, seguridad, tolerancia al riesgo, protección, firewall, datos, servidor web, servidor de aplicaciones, separación |
| Conclusiones | Las organizaciones deben considerar su tolerancia al riesgo y los recursos disponibles al tomar decisiones sobre seguridad. No existe una única solución correcta, ya que cada organización tiene diferentes perfiles de riesgo y consideraciones financieras. |
Preguntas frecuentes
1. ¿Por qué es importante considerar la tolerancia al riesgo en la toma de decisiones de seguridad?
R: Es importante considerar la tolerancia al riesgo porque ayuda a determinar el nivel adecuado de protección y recursos a aplicar en las decisiones de seguridad. Cada organización tiene diferentes perfiles de riesgo y consideraciones financieras, por lo que no existe una única solución correcta para todos.
2. ¿Qué factores se deben tener en cuenta al determinar la tolerancia al riesgo?
R: Al determinar la tolerancia al riesgo, se deben tener en cuenta factores como el tipo de datos que se intenta proteger, los recursos financieros disponibles, las políticas y requisitos regulatorios, y la propensión de la organización a asumir riesgos.
3. ¿Cuáles son algunas medidas de seguridad comunes que pueden aplicarse?
R: Algunas medidas de seguridad comunes incluyen el uso de firewalls, la separación de datos y aplicaciones, el cifrado de datos, la autenticación de usuarios y el monitoreo de actividad sospechosa.
4. ¿Cómo puede ayudar IBM en la toma de decisiones de seguridad?
R: IBM ofrece recursos y soluciones para ayudar a las organizaciones a tomar decisiones de seguridad informadas, teniendo en cuenta su tolerancia al riesgo y las necesidades específicas. Estos recursos incluyen asesoramiento y consultoría, herramientas de seguridad y servicios de implementación.
Gracias por leer este artículo. Espero que te haya sido útil. No dudes en consultar nuestros artículos relacionados para obtener más información sobre seguridad cibernética y toma de decisiones. ¡Hasta la próxima!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!