Definir la estrategia
Relacionado: Alcance. COBIT. Controles. Herramientas. CENT.
La estrategia es el plan diseñado para alcanzar un objetivo partiendo de una situación inicial. En el contexto de la gestión de riesgos, implica la identificación, evaluación y mitigación de amenazas para garantizar la seguridad y estabilidad de la organización.
Estrategia de gestión de riesgos
Objetivo de la estrategia:
El propósito de una estrategia de gestión de riesgos es minimizar la incertidumbre y los posibles impactos negativos en los activos de la organización. Para ello, se deben identificar los factores de riesgo, evaluar su nivel y establecer un marco de actuación adecuado.
Factores que determinan el nivel de riesgo:
- Probabilidad de ocurrencia del riesgo.
- Impacto sobre la organización.
- Factores internos y externos (como regulaciones, sector de actividad y capacidades de respuesta).
Definir el nivel de riesgo aceptable:
Cada organización debe establecer su propio umbral de tolerancia al riesgo, es decir, el nivel de riesgo que está dispuesta a aceptar antes de tomar medidas de mitigación.
Organizaciones con funciones de gestión de riesgos:
La gestión de riesgos varía según el tamaño y la estructura de la organización:
- Grandes empresas: Cuentan con departamentos dedicados a la gestión de riesgos, cumplimiento normativo y auditoría interna.
- Pequeñas empresas: Suelen depender de buenas prácticas generales, externalización o herramientas específicas para abordar los riesgos más críticos.
Importancia de la comunicación del riesgo
La comunicación del riesgo es clave para garantizar que todas las partes interesadas comprendan los peligros potenciales y puedan tomar decisiones informadas. Es necesario establecer canales efectivos para compartir información sobre amenazas, vulnerabilidades y estrategias de mitigación.
Relación entre decisiones y riesgos
Toda decisión conlleva un nivel de riesgo. La gestión efectiva implica evaluar las consecuencias de cada elección y adoptar medidas que reduzcan la incertidumbre. La conciencia del riesgo permite tomar decisiones más informadas y alineadas con los objetivos estratégicos.
Justificación de un marco de gestión de riesgos
Para gestionar el riesgo de manera eficaz, es fundamental adoptar un marco de referencia que establezca procedimientos claros. Un marco ayuda a:
- Identificar y evaluar riesgos de manera sistemática.
- Definir controles y estrategias de mitigación.
- Garantizar el cumplimiento normativo.
Ejemplos de marcos de referencia incluyen:
- ISO/IEC 27001: Proporciona directrices para establecer un Sistema de Gestión de Seguridad de la Información (SGSI). La gestión de riesgos se aborda en la cláusula 6.
- ISO 31010: Específica técnicas para la evaluación de riesgos.
- NIST: Ofrece estándares y buenas prácticas para la ciberseguridad y la gestión del riesgo.
- COBIT: Se centra en la gobernanza y gestión de TI, incluyendo aspectos relacionados con el riesgo.
Componentes clave de un marco de gestión de riesgos
Cada marco suele incluir los siguientes elementos:
- Alcance y objetivos: Definición del contexto y metas del sistema de gestión de riesgos.
- Políticas de gestión del riesgo: Directrices que establecen cómo la organización debe abordar los riesgos.
- Apetito y tolerancia al riesgo: Nivel de riesgo que la organización está dispuesta a aceptar.
- Roles y responsabilidades: Asignación de funciones dentro del proceso de gestión de riesgos.
Elección del marco adecuado
La selección de un marco depende de diversos factores, como los requisitos legales aplicables, el sector de actividad y los objetivos de la organización. Algunas empresas optan por combinar elementos de diferentes marcos para adaptar su estrategia a sus necesidades específicas. Si ya existe un sistema de gestión de riesgos empresarial (ERM), se pueden integrar elementos de estándares como ISO 27001 o NIST para fortalecer el enfoque general.
Gestión de riesgos: explicación y justificación
La gestión de riesgos en seguridad de la información es un proceso esencial que permite a las organizaciones proteger sus activos críticos, garantizar la continuidad del negocio y cumplir con los requisitos legales y regulatorios.
Un director de seguridad debe tener conocimientos amplios y transversales, pues su rol exige una visión integral sobre todos los aspectos de la seguridad de la información. No solo debe estar informado sobre riesgos técnicos y operativos, sino que también debe apoyarse en equipos de expertos, organizar mesas redondas, talleres, consultar guías de buenas prácticas y contar con el respaldo de empresas especializadas para tomar decisiones acertadas.
Justificación: la naturaleza cíclica de la gestión de riesgos
El análisis completo de riesgos no es una tarea puntual ni estática. Los riesgos pueden evolucionar rápidamente debido a factores como cambios tecnológicos, amenazas emergentes o modificaciones en los procesos de negocio. Por ello, el ciclo de vida del proceso de gestión de riesgos debe ser continuo y cíclico, con procedimientos implementados que permitan revisar, actualizar y mejorar constantemente los controles y medidas adoptadas.
Es esencial realizar revisiones periódicas para identificar nuevos riesgos, evaluar su impacto y ajustar el apetito y la tolerancia al riesgo de la organización de acuerdo con su situación actual y sus objetivos estratégicos.
Identificación y registro de riesgos
Un punto clave en la gestión de riesgos es el registro de riesgos, que debe incluir no solo la descripción y clasificación de los riesgos identificados, sino también los activos que podrían verse afectados.
Identificación de activos
Los activos representan cualquier elemento de valor para la organización y, en el contexto de las TIC, resultan especialmente críticos. Algunos ejemplos de activos que deben ser identificados y protegidos son:
-
Información de clientes: datos personales, datos financieros y cualquier otra información sensible que pueda afectar la privacidad o los derechos de los clientes.
-
Propiedad intelectual: incluye código fuente de aplicaciones, algoritmos (por ejemplo, los utilizados en inteligencia artificial), diseños de productos y cualquier innovación desarrollada por la empresa.
-
Información estratégica: como políticas internas, planes de marketing, campañas publicitarias y documentación confidencial que forma parte de la ventaja competitiva.
-
Operaciones de negocio: registros internos que reflejan el trabajo diario de la empresa, procesos y procedimientos operativos.
-
Activos virtuales: datos almacenados en la nube, sistemas operativos, aplicaciones y servicios en infraestructuras alojadas externamente (centros de datos o CPD).
En entornos como la nube, estos activos pueden encontrarse distribuidos en infraestructuras dinámicas, como arquitecturas basadas en servicios (SaaS, PaaS, IaaS), lo que incrementa la complejidad de su gestión y protección.
Categorización de activos
Para gestionar adecuadamente los riesgos, la información y los activos deben ser catalogados según distintos criterios como:
-
Valor económico: ¿qué coste tendría para la organización la pérdida o exposición de ese activo?
-
Criticidad: ¿qué impacto tendría su indisponibilidad en las operaciones del negocio?
-
Integridad: importancia de mantener la exactitud y consistencia de la información asociada al activo.
-
Sensibilidad: grado de confidencialidad necesario en el tratamiento de la información contenida en el activo.
Dentro de los niveles de sensibilidad podemos establecer categorías como:
-
Secreta: acceso restringido a un grupo muy limitado de personas; exposición podría causar un daño severo.
-
Restringida/confidencial: acceso permitido a ciertos roles o funciones autorizadas; exposición podría perjudicar a la empresa.
-
Pública: información que puede ser difundida sin restricciones y cuya divulgación no supone ningún riesgo para la organización.