Las 4 fases para la gestión de riesgos en el ciberespacio (parte final)

11.10.2022

El principal deber de la ciberseguridad es gestionar los riesgos en el ciberespacio a los que están expuestos los servicios, los sistemas y la información de las organizaciones, esta tarea incluye su identificación y su mitigación. Es necesario considerar que la eficacia de las políticas, la implementación de controles, la asignación de recursos y la preparación para prevenir y responder ante incidentes de ciberseguridad dependen de la comprensión de los riesgos y de las amenazas que enfrenta una organización.

El uso de un enfoque basado en riesgos permite una toma de decisiones más informada para su protección, de esa manera se podrá invertir de buena forma el presupuesto y asignar los recursos, que de antemano sabemos, son limitados.

Tomando como referencia las normas ISO/IEC 31000:2018 directrices para la gestión de riesgos e ISO/IEC 27005:2018 Tecnología de la información - Técnicas de seguridad - Gestión de riesgos de seguridad de la información, podemos señalar que la gestión de ciber riesgos es un proceso cíclico compuesto de cuatro fases:

Tercera fase: Respuesta y mitigación de los riesgos.

El informe de evaluación de riesgos y el registro de riesgos documentan los riesgos identificados durante las dos primeras fases del proceso de gestión de riesgos. Tanto el informe como el registro deben indicar el nivel de evaluación o la prioridad de cada riesgo. Las recomendaciones que figuran en el informe son orientativas. La dirección es responsable de evaluar y responder a las recomendaciones incluidas en el informe, primero determinando la mejor respuesta y luego desarrollando un plan de acción y una estrategia de implementación que aborden el riesgo de manera coherente con el apetito de riesgo y la tolerancia al riesgo de la empresa.

La dirección debe ser siempre consciente de los factores que impulsan la gestión del riesgo, como el cumplimiento de la normativa y la necesidad de apoyar y alinear la respuesta al riesgo con los objetivos de la organización.

Hay cuatro opciones que una organización puede tomar para tratar un riesgo:

  • La mitigación del riesgo. Se refiere a las acciones que la empresa llevará a cabo para reducir un riesgo. La mitigación se consigue a través de la implementación de controles.
  • La aceptación del riesgo. Se refiere a una toma de decisión consiente, por parte de la dirección, para reconocer la existencia de un riesgo y decidir que el riesgo no sea mitigado. La dirección será responsable del impacto de un evento en caso de que ocurra, por lo que la decisión de aceptar un riesgo se toma de acuerdo con el apetito de riesgo y la tolerancia al riesgo que previamente establecieron.
  • La transferencia del riesgo es una decisión para reducir la pérdida haciendo que otra organización incurra en los costos. El ejemplo más común de transferencia de riesgos es la contratación de un seguro, que proporciona una garantía de compensación o sustitución en caso de una pérdida. Por último,
  • Evitar el riesgo significa salir de las actividades o condiciones que dan lugar al riesgo. Esta es la opción que queda cuando ninguna otra de las respuestas es la adecuada, lo que significa que:
  • El nivel de exposición es considerado inaceptable por la dirección,
  • El riesgo no puede transferirse,
  • La mitigación que permitiría ajustar el riesgo a niveles aceptables es imposible o costaría más que los beneficios que la organización obtiene de esas actividades que generan el riesgo.

Cuarta fase: Seguimiento e información de riesgos y controles

La organización se basa en sus funciones de supervisión y presentación de informes para identificar el riesgo a fin de evaluarlo y mitigarlo. La organización puede gestionar mejor el riesgo cuando el seguimiento es lo suficientemente amplio como para proporcionar una visión razonable del entorno de riesgo, pero no tan amplio como para que los resultados se pierdan en una avalancha de datos. Los indicadores, tanto de rendimiento como de riesgo, deben ser cuidadosamente considerados y elegidos en función de su alineación con los objetivos de la organización. La identificación y el uso de indicadores clave de riesgo (KRI por sus siglas en inglés, Key Risk Indicator) y de indicadores clave de rendimiento (KPI por sus siglas en inglés, Key Process Indicator) pueden mejorar en gran medida el proceso de supervisión continua. Además, las evaluaciones y pruebas periódicas también pueden servir para identificar riesgos nuevos y emergentes. Debido a la naturaleza cambiante del riesgo y de los controles asociados, la supervisión continua es un paso esencial del ciclo de vida de la gestión de riesgos.

Un KRI es un subconjunto de indicadores de riesgo que son muy relevantes y poseen una alta probabilidad de predecir o indicar un riesgo importante. Algunos ejemplos de KRIs son:

  • Cantidad de equipos o software no autorizados detectados en los escaneos,
  • Tiempo medio para desplegar nuevos parches en los servidores,
  • Número de equipos de cómputo que no tienen antivirus actualizados o que no han realizado un escaneo completo dentro de los periodos programados.

Un KPI es una medida que determina el rendimiento del proceso que permite alcanzar el objetivo.

La supervisión es esencial, pero su eficacia depende en gran medida de su buena integración con la elaboración de informes. Los métodos coherentes y repetibles de elaboración de informes proporcionan a la dirección un medio para evaluar la eficacia de las actividades de respuesta y mitigación de riesgos y justificar la inversión para la implementación de controles. Los informes también ayudan a la dirección a ejercer el "due care" o debido cuidado y "due diligence" o debida diligencia en la protección de los activos de la organización y en el cumplimiento de los requisitos normativos.

Ninguna tecnología es 100% segura, por ello es necesario que las organizaciones aprendan a gestionar esa incertidumbre con el ánimo de aprovechar al máximo los beneficios de su uso y minimizar las pérdidas ocasionadas por errores, posibles fallas e incluso ciberataques.

Por: Mtro. Luis Julián Zamora Abrego, Coordinador del diplomado de Ciberseguridad. CISM, CRISC, CDTP, ISO/IEC 27001 LA, ITIL e ITIL OSA.