Buenas nuevamente! En esta entrada siguiendo con el post anterior (y a modo continuación), quisiera seguir desarrollando los riesgos que íbamos identificando. Esta vez, se han escogido los diez riesgos más relevantes (bajo mi criterio y discutibles). Después, se proponen soluciones con objetivo de minimizar los riesgos mediante controles; de tal manera que una vez identificados el impacto y probabilidad de los riesgos se exponen cuestiones, ideas e iniciativas para saber cómo abordar el riesgo en cuestión.
Partiendo de la tabla expuesta en la entrada anterior, a continuación se muestran diez riesgos en la tabla 1:
ID | Riesgo | Probabilidad | Impacto |
R1 | Vulnerabilidad de la plataforma | MUY ALTO | MUY ALTO |
R2 | Malware Dirigido | MUY ALTO | MUY ALTO |
R3 | Falta de Escalabilidad | MEDIO | MEDIO |
R4 | Responsabilidades poco definidas | MEDIO | MEDIO |
R5 | Fallo en cumplimiento tecnológico | MUY ALTO | MEDIO |
R5 | Pérdida de gobierno | MUY ALTO | MEDIO |
R6 | Implementación de claves | MUY ALTO | BAJO |
R7 | Compromiso de Claves | ALTO | BAJO |
R8 | Gestión de tiempos de espera | ALTO | NAJO |
R9 | Brecha de privacidad | MUY ALTO | MEDIO |
R10 | Retención de la información | BAJO | BAJO |
A continuación, pasaremos a la explicación de los significados los riesgos, así como las medidas que se sugieren para controlar/mitigar el problema.
[R1] Vulnerabilidad de la plataforma: Al ser nueva tecnología, es posible que se diese la situación de que una vez en producción, se detectase una vulnerabilidad de tal manera que pusiese en jaque a toda la organización. Se propone primero invertir fondos para conocer las noticias y novedades desde este punto de vista y después establecer un plan de contingencia a modo preventivo.
[R2] Malware Dirigido: Si la organización fuese objetivo de ataque e intentan atacar de forma intencionada nuestro sistema operacional de Blockchain, hay que tener acciones previamente diseñadas para afrontar este riesgo. Primeramente, se deben establecer protocolos de acción para cada tipo de ataque conocido. Después, se deberían de comprobar periódicamente estas pautas; de tal manera que garanticemos que el sistema es robusto y se defiende [1].
[R3] Falta de Escalabilidad: La escalabilidad está estrictamente vinculada a la velocidad de procesamiento de las transacciones que ocurren dentro de una blockchain específica. Las medidas que pueden tomarse son la medición de tiempos de espera y realizar periódicamente pruebas de carga, para ver si la infraestructura desarrollada sirve para el día a día dentro de la organización [1].
[R4] Responsabilidades poco definidas: Nuevamente, la organización deberá realizar un trabajo previo a la implementación para saber quien se debe responsabilizar de la administración y roles de la plataforma; quienes serán los incluidos y excluidos de la topología… es decir, será necesario realizar todo un análisis de responsabilidades donde se deberán acotar las funcionalidades para cada actor/rol identificado y dejarlo documentado.
[R5] Fallo en cumplimiento tecnológico: ¿Qué sucede si la tecnología deja de funcionar?¿En cuanto tiempo es posible reiniciar todo el sistema o, en su defecto, poner en marcha el respaldo correspondiente? Para ello, habrá que diseñar un plan de contingencia donde tengamos garantías de que este riesgo no va a suponer un problema. Los controles que se proponen son 1) tener un sistema respaldo en marcha (aunque de manera pasiva) y 2) someter a simulacros eventualmente para poder medir los tiempos de espera.
[R6] Implementación de claves: ¿Cada cuanto cambias las claves?¿Quién lo hace? Esas responsabilidades y periodos temporales en un documento. Además, se debería de gestionar periódicamente si ha habido vulnerabilidades de, por ejemplo, la metodología implementada.
[R7] Compromiso de Claves: Debemos asegurarnos de que las claves que preparamos y asignamos, efectivamente, se utilizan y se guardan de manera efectiva.
[R8] Gestión de tiempos de espera: ¿Qué sucede si el sistema tarda demasiado en responder, verificar y respaldar todo el proceso?
[R9] Brecha de privacidad: ¿Qué pasa si la clave se externaliza y se publica? Para ello
[R10] Retención de la información: ¿Cómo garantizamos que la información es efectivamente guardada sólo por nuestro sistema?¿Qué servicios pueden almacenar/acceder?
En resumen, hemos identificado y explorado muchos de los riesgos ya identificados en el post anterior. Sabemos que Blockchain tiene muchos quebraderos de cabeza iniciales, pero una vez desarrolladas estas cuestiones y sabiendo cómo mitigar los riesgos que tiene podremos gozar de los beneficios de esta tecnología (la posible exención de autoridad digital, la auditabilidad y trazabilidad entre otros [2]).
[1] https://www.iproup.com/blockchain/182-blockchain-bitcoin-ethereum-Los-tres-retos-de-la-tecnologia-Blockchain-escalabilidad-interoperabilidad-y-sustentabilidad
[2] https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_acm3225619&context=PC&vid=deusto&lang=en_US&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,blockchain&sortby=rank
ibonreinoso
Latest posts by ibonreinoso (see all)
- Mi experiencia como Data Scientist - 16 enero, 2019
- Sistemas de Información Empresarial: Transformación digital - 26 diciembre, 2018
- Post 5: Experiencia de auditar Blockchain y reflexiones - 1 diciembre, 2018
Son más preguntas y retos que controles ¿verdad? cuidado con la calidad del texto, hay alguna frase que empieza y no termina nunca …