La dependencia creciente que tienen las empresas, las administraciones públicas y los ciudadanos de las tecnologías y los sistemas de información para poder realizar sus actividades legítimas, obliga a que su uso deba considerarse también desde la óptica del riesgo, máxime ante el panorama que dibujan dos importantes leyes españolas: la de acceso electrónico de los ciudadanos a los servicios públicos, y la de medidas de impulso de la sociedad de la información.

En efecto, el uso de la tecnología para el tratamiento de información genera riesgos. Y cuando éstos afectan principalmente a su disponibilidad, integridad, confidencialidad y autenticidad, se consideran directamente de seguridad.

Bien puede decirse que la tendencia actual en el ámbito del tratamiento de la información es a que todo crezca y evolucione, incorporándose muy rápidamente nuevas técnicas y tecnologías (virtualización, SOA, web services, Grid, cloud computing, comunicaciones unificadas...) a los sistemas empresariales, sin apenas disponer de tiempo para analizar los riesgos de seguridad que su uso comporta.

El renacido buen gobierno de las organizaciones, muy orientado al control interno del riesgo, presta una atención preferente a la correcta gestión de la información y al buen gobierno de las TIC; y para bien gobernar ambas hay que establecer funciones corporativas centradas en la gestión de la seguridad de la información y la seguridad TIC.

Así pues, en el contexto del sistema de gestión de riesgos de una entidad, tienen que contemplarse imperiosamente los riesgos de seguridad de la información y de seguridad TIC. Aparece aquí la necesidad de realizar análisis de riesgos como paso indispensable para gestionar los procesos de seguridad de la información, de tal suerte que las acciones encaminadas a proteger a la organización y a los interesados ante contingencias, se sustenten en datos contrastables (no en impresiones, intuiciones o conocimientos parciales). Y este es el camino para que la alta dirección pueda decidir, a través de los órganos pertinentes, qué riesgos identificados de seguridad TIC y sobre la información evitar, reducir, transferir y asumir.

La gestión de riesgos se ha de desarrollar de forma metódica, transmisible y auditable. Hay numerosos métodos en el mercado a disposición de los usuarios, todos ellos válidos para alcanzar el fin perseguido. En este curso se utilizará MAGERIT (en su versión 2), creado a instancias del Ministerio de Administraciones Públicas español, y disponible para las administraciones públicas y las empresas.

— MAGERIT, metodología de análisis y gestión de riesgos de los sistemas de información. Versión 2. (MAP, año 2005).

Para iniciar el análisis de riesgos, como primer paso para establecer el proceso de gestión de riesgos, y para poder alcanzar eficiencia en dicho proceso y en todas las fases del ciclo PDCA, es necesario disponer de herramientas de ayuda. En este curso se propone PILAR, ampliamente utilizada por las administraciones públicas españolas, y cuya evolución está enfocada a satisfacer los requisitos de la gestión dinámica, originada por el cambio permanente al que están sometidos los sistemas de información tecnológicos de uso en organizaciones.

— PILAR, herramienta tecnológica de ayuda al análisis y la gestión de riesgos de los sistemas de información, cuya creación y desarrollo está patrocinado por el Centro Criptológico Nacional.