Hablando en términos de análisis de riesgos y/o impacto en el negocio queda patente que, por encima de todos los activos de una organización, la INFORMACIÓN es por lo general y con diferencia el más importante. La anterior afirmación está hecha desde una perspectiva "material", en el plano un poco más humano consideraríamos a todas las personas, o casi ;-), como lo más importante. En todas las ocasiones en que me ha tocado "adivinar" (cualquier "cálculo" es una pura y mera aproximación totalmente subjetiva), tanto de forma cuantitativa como cualitativa, el "valor" de este tipo de activos he acabado debatiendo acerca del sexo de los ángeles y su relación con el eterno dilema de si primero fue el huevo o la gallina, estoy seguro que como much@s de vosotr@s.
Este tipo de activo, totalmente intangible e indeterminado, no puede ser valorado de forma totalmente objetiva por lo que irremediablemente hay que estimar su valor de forma aproximada (como se mediría de ser viable?, en Gb?, en número de registros?, en Kg de papel? en número de hojas?, ......).
Por otro lado, creo que no se debe relacionar el valor del activo como tal con el impacto que supondría la pérdida de éste (coste de reposición, lucro cesante, multas, etc.). En muchas ocasiones se intenta valorar la información pensando únicamente en lo que cuesta "reponerlo". Personalmente creo que son temas completamente ajenos e independientes. Hay información de mucho valor que es de fácil recuperación y otra, de mucho valor también, pero de complicada recuperación. En estos casos, ¿cuál tiene más valor para mi negocio? En mi particular opinión creo que las 2 por igual. Otra cosa es si hablamos de cual de ellas me representará mayores perjuicios en el supuesto de que se vulnere su confidencialidad, integridad o disponibilidad (os recuerdo que, a mi parecer, estos conceptos son de cierta obsolescencia).
Con objeto de facilitar, en el sentido más amplio, el cálculo del valor (entendido como "cuan valioso es") de un activo de información me he acostumbrado a calificar individualmente una serie de atributos (objetivos) para luego obtener, a partir de todos ellos, un resultado global que justifique el mayor o menor valor del activo. Los atributos que habitualmente contemplo son:
Volumen/Cantidad: expresa la "cantidad" de información. Típicamente se expresa en unidades conocidas. Dependen en gran parte del soporte (número de documentos en caso de papel, Tb cuando se trata de soporte informático, etc.).
Genera ingresos: si la organización "vive" de esa información hay que mimarla.
Soporte: No es lo mismo la documentación en soporte papel (originales) que bases de datos en un servidor.
Tipología: Determina de cierta manera el tipo de información desde el punto de vista de visibilidad (por ejemplo pública/reservada/confidencial o nivel básico/medio/alto).
Centralización: Si tienes toda la carne en el asador y empieza a llover la barbacoa será un fracaso.........
Estacionalidad: Es un factor a tener en cuenta. Si el 80% de la información se trata (crea, actualiza, etc.) en periodos concretos y limitados resulta necesario prestar especial atención, dicho de otro modo, te juegas todo el curso en un único examen en lugar de una evaluación continuada.
Dinamismo: cuanto mayor sea el grado de actualización de la información más relevancia tiene (cambios diarios, mensuales, anuales, estática, ....).
Accesibilidad: El número de usuarios que accede a la información es determinante para su valoración.
Todos estos atributos pueden ser expresados con cantidades o valores totalmente objetivos, homogéneos y repetibles (algunos pueden ser rangos de valores). Algunos de ellos serán del tipo lógico (si/no), en estos casos simplemente serán un factor multiplicativo de todo el conjunto. Puestos a complicarse la existencia se puede llegar a ponderar el peso específico de cada uno de los atributos en el total. En resumen, la esencia de todo esto es la integración de todos estos valores objetivos a través de fórmulas, cálculos, ponderaciones, etc. hasta conseguir un resultado por cada activo de información. Me reservo el derecho de mostraros mi particular "excel" dado que se trata de información corporativa y muy personalizada a mi entorno.
El resultado final no puede ser expresado en ninguna unidad exacta (en €? en gallifantes? en infos? .....), por tanto, pueden ser expresados en % sobre el total. Con ello se consigue una finalidad añadida que permite comparar/ordenar valores entre los distintos activos de información. Como conclusión sirva el presente ejercicio como una forma más de cuantificar lo incuantificable y contextualizarlo en cualquier organización.
CITA DEL DÍA: "La seguridad es tan volátil como el mercado de valores"
No hay comentarios:
Publicar un comentario