Antes de
iniciar el análisis como tal, un ejercicio “table top” ayudará a identificar
las condiciones iniciales. Las condiciones iniciales son importantes y su
inclusión o no puede conllevar a resultados completamente diferentes. Y en este
caso el análisis puede ofrecer recomendaciones no adecuadas.
Errores de
juicio en las reales condiciones de acceso a datos pueden dar como resultado
análisis erróneos o complacientes. Desafortunadamente, en mi experiencia la
complacencia es una situación común.
Un análisis
de riesgo de este tipo puede ser complicado especialmente si la organización no
ha identificado previamente que usuarios tienen acceso a que tipo de
información. Esto puede parecer ilógico, pero la identificación de flujo de
información toma tiempo, meses en algunos casos.
A pesar de la
aparente complejidad, el practicante de seguridad informática no debe asustarse
ante la inmensidad del trabajo a realizar. La delimitación de condiciones
iniciales tales como el tipo de acceso de diferentes usuarios e identificación
de datos importantes permitirán llevar a cabo un buen análisis de riesgo. La
ventaja de un análisis de alcance limitado es que es más rápido y no consume
mucho tiempo del personal involucrado. La desventaja es asumir que es las
recomendaciones son válidas para todos las situaciones. Pero, si las
limitaciones del análisis son conocidas de antemano, es posible extrapolar las
recomendaciones y aplicarlas a escenarios más complejos.
Aunque este
articulo solo provee un vistazo de los factores que un análisis de riesgo debe
considerar, si enfatiza la necesidad de identificar correctamente las
condiciones de la organización. En la próxima entrega describiré un error común
en los análisis de riesgo.