SUSCRÍBETE
Fátima Rodríguez
Fátima Rodríguez

Ingeniera en Ciberseguridad en Ingeniería Dric, egresada de la carrera de Ingeniería en telecomunicaciones por la UNAM, cuenta con una maestría en Ingeniería en Seguridad y Tecnologías de la Información por el Instituto Politécnico Nacional, cuenta con experiencia en seguridad defensiva, ofensiva y regulación de la Seguridad de la Información. Profesional en Ciberseguridad con base en ISO27032:2012.

El riesgo es un factor presente en cada uno de los aspectos fundamentales para la continuidad y crecimiento de cualquier organización y se asocia con el peligro. Podemos definir al riesgo de varias formas dependiendo de los componentes que lo integren, el contexto en que lo estemos determinando y el enfoque que se le proporcione. El riesgo no es inherentemente bueno o malo y no todo el riesgo es negativo o tiene que ver con pérdidas, también existe el riesgo positivo, que es también llamado “riesgo de oportunidad”, sin embargo, es menos frecuente abordarlo desde este enfoque ya que el objetivo por lo general es reducir las pérdidas.

Y dentro del ámbito de la seguridad de la información, el enfoque de riesgo es considerado de la misma forma. Toma relevancia, debido a que es una medida que nos permite tener la cuenta la incertidumbre de un daño que podría causar una amenaza a un activo de información en caso de materializarse. Es por eso por lo que se enfoca hacia la pérdida.

Cuando hablamos de riesgo sabemos que debemos incluir factores como probabilidad e impacto, pero detrás de estos dos factores hay un mundo de cuestiones que debemos conocer de nuestro sistema de información y debemos tener claro que la identificación de estos es solo una parte en la que avanzar, pero, no es todo el camino.

El principal objetivo de la identificación de estos riesgos es su tratamiento, cómo si no podríamos reducirlos. Reducir el riesgo es la tarea para la que los sistemas de gestión de seguridad de la información son diseñados y estandarizados a través de una serie de prácticas que garanticen dicha reducción a niveles aceptables y es entonces cuando viene la primera tarea importante de la organización que intente tratar sus riesgos:

¿El riesgo es aceptable?

Cuando trabajamos con la seguridad de la información, es preciso comprender que no vamos a estar exentos de riesgo en algún momento, pero podemos identificar el Apetito de Riesgo.

Este apetito de riesgo debe entenderse como una construcción estratégica de la cantidad de riesgo que una organización está dispuesta a aceptar al perseguir un objetivo. En este caso el objetivo depende del negocio y con base a su persecución se deben establecer niveles de tolerancia de riesgo, que pueden ser cualitativos (por ejemplo, bajo, elevado, severo) o cuantitativo (por ejemplo, pérdida de dólares, número de clientes afectados, horas de inactividad).

Lo más importante de este punto es destacar que la tolerancia y en consecuencia, el apetito de riesgo deben ser abordado desde niveles directivos y no a la inversa, desde la operación de la seguridad de la información, para poder lograr aparatos de medición congruentes y útiles que agreguen valor al negocio a través del cuidado de todos los activos de información.

Una vez que se han definido los niveles de tolerancia, hay que identificar un estándar que nos acerque a este nivel ideal, identificando en primera instancia cuál es el nivel actual de riesgo.

¿Para qué evaluar el riesgo?

En un escenario ideal, un área de evaluación de riesgo debería ser capaz de determinar, analizar, valorar y clasificar los riesgos específicos de la seguridad informática para determinar con certeza cuáles de ellos causarían el mayor impacto. Pero la realidad es que no se cuenta con un área específica salvo en giros contados y no se encargan puramente de los riesgos informáticos.

Y aunque la evaluación de riesgo es altamente importante, el fin último de esta es la administración los mismos, administrar el riesgo es una tarea crítica. En esta administración es el contexto en el que debe establecerse un SGSI, es decir, toda nuestra gestión debe ir enfocada a atenuar el riesgo identificado y no al contrario.

Los estándares y mejores prácticas de implementación de sistemas de gestión de seguridad de la información detallan acciones, puntos de mejora para tecnología y procesos que guían las acciones a tomar y de cierta manera, marcan la estrategia a seguir para llevar el riesgo a un nivel aceptable, pero ¿qué estrategia, marco o estándar se debería adoptar?

Elección de la estrategia

Una vez identificado el impacto y la probabilidad de que algún riesgo ocurra, se puede determinar la estrategia necesaria para aquellos riesgos que puedan ocurrir con probabilidad media o alta, de manera prioritaria, por ejemplo. Si bien es posible monitorear los riesgos bajos, que son menos prioritarios cuando se trata de dar el siguiente paso y hacer un plan.

Para realizar la elección de la mejor manera de afrontar un riesgo, si es mejor es transferirlo, mitigarlo, aceptarlo o abolirlo, es necesario tomar en cuenta factores como:

  • Considerar a todos los interesados: Los clientes son parte fundamental de esta elección. ¿cómo les afectará tomar una u otra estrategia?
  • Profesionalizar y cubrir: Considerar si se contratará un servicio externo o se capacitará al interior a expertos que puedan entender de riesgos, pero también del negocio e ir de la mano con sistemas de software que apunten a la agilidad operativa de los mismos.
  • Reconocer todos los riesgos: No porque el riesgo parezca irreal o no sea útil o práctico para los implicados tomar alguna acción, quiere decir que dejará de existir. No se puede preparar para algo que no se acepta.
  • Fomentar la toma de riesgos: Una vez reconocidos y de ser posible, la recomendación es tomar el riesgo por la propia organización para aplicar las acciones de reducción en lugar de transferirlos.
  • Observar las ventajas. Un riesgo puede venir acompañado de una oportunidad de negocio si se tiene el suficiente panorama para elegir las acciones que conduzcan a tomar ventaja de ellos.
  • Extender las opciones de mitigación. Si se ha decidido tomar un riesgo, lo principal es tener diversas opciones. Si se consigue que los principales implicados (tomadores de decisiones, promotores de negocio) aporten ideas desde sus diferentes perspectivas, las opciones de mitigación abundantes permitirán identificar la que realmente sea la mejor.

Con todo lo anterior dicho, podemos considerar que el diagnóstico de riesgos no debe ser temido como un instrumento que revelará malas estrategias anteriores y carencias actuales, sino como una guía e incluso, acelerador de oportunidades no exploradas anteriormente.

“El mayor peligro en tiempos de turbulencia no es la turbulencia; es actuar con la lógica de ayer” -Peter Druker

En iDric podemos apoyarte con este diagnóstico y reconocimiento de oportunidades que pueden obtenerse de este instrumento clave para robustecer tu seguridad. Pregúntanos cómo.

TE INVITAMOS A CONOCER MÁS DE NUESTROS SERVICIOS DE SEGURIDAD TI:


Diagnostico de riesgos
Análisis de impacto al negocio
Diagnóstico de capacidades


Visitas: 39

ARTICULOS RELACIONADOS

5 aspectos fundamentales para el diagnóstico de riesgos informáticos

El tratamiento de amenazas y vulnerabilidades cibernéticas comienza en el diagnóstico y análisis de riesgos informáticos.

analisis de riesgos informatico gestion de vulnerabilidades materia de seguridad digital Seguir leyendo keyboard_arrow_right
Aug 2021 Visitas: 31

10 consejos esenciales de ciberseguridad para principiantes

Los ciberatacantes se dirigirse a tecnologías emergentes, la nueva tecnología no esta preparada para un ciberataque.

Seguir leyendo keyboard_arrow_right
Aug 2021 Visitas: 98

2021 Pico histórico en la cantidad de sitios de phishing

Pico máximo histórico en la cantidad de URL únicas de sitios de phishing a nivel mundial.

malware phishing ransomware Seguir leyendo keyboard_arrow_right
Jul 2021 Visitas: 169

COMENTARIOS

SUSCRÍBETE

help_outline