Uno de los pilares de la gestión de la seguridad de la información se encuentra en la gestión de riesgos, que del mismo modo, también se trata de unas de las actividades básicas que son establecidas en los estándares de seguridad.
De este modo, una cantidad importante de esfuerzos enfocados en la protección de la información, los activos y el negocio deriva de los resultados obtenidos de la valoración y priorización que se realiza a los riesgos de seguridad. Estos son, en gran medida, utilizados para la toma de decisiones.
Por estas razones, en esta publicación abordaremos los aspectos básicos de la gestión de riesgos, como una de las actividades fundamentales para la gestión de la seguridad de la información.
Definiciones y conceptos: ¿riesgo o amenaza?
Adicional a otras actividades clave como la conformación de un gobierno o la formulación y aplicación de políticas de seguridad, la gestión de riesgos forma parte de las primeras y más importantes actividades.
Comencemos por las definiciones. Para tener el contexto general, recordemos que el diccionario indica que un riesgo se entiende como una “contingencia o la proximidad de un daño”, ya que si el daño no está “próximo”, se habla de una amenaza.
En el contexto de la seguridad y en términos del estándar ISO 27001, un riesgo puede ser expresado como el efecto de la incertidumbre sobre los objetivos de seguridad de la información. También, están asociados a la causa potencial de que una amenaza pueda explotar una o más vulnerabilidades de un activo o grupo de activos de información, teniendo como consecuencia algún tipo de daño.
Generalmente, los riesgos se expresan en términos de la combinación de la posibilidad de ocurrencia de un evento no deseado (probabilidad) y sus consecuencias (impacto), por lo que las medidas de seguridad están orientadas a reducir alguna de estas dos variables, o en el mejor de los casos a ambas.
Contexto de la gestión de riesgos de seguridad
Luego de conocer los conceptos relacionados, revisemos el contexto junto con las actividades que implican su aplicación y ejecución.
En un sentido amplio, la gestión involucra actividades que permiten dirigir, controlar, medir y continuamente mejorar la organización a través de las estructuras apropiadas. En términos de seguridad, la gestión consiste en la supervisión y toma de decisiones orientadas a lograr los objetivos de la empresa en materia de seguridad de la información.
En el ámbito de los riesgos, se tiene como propósito principal mitigar la materialización de amenazas, y para ello se realizan distintas actividades (identificación, análisis y evaluación de riesgos) y fases (valoración, tratamiento y aceptación de los mismos). Si representamos gráficamente estas actividades y fases, podemos observarlas de la siguiente manera:
Al tratarse de un proceso de mejora, se consideran otras fases y actividades durante la gestión de riesgos. Por ejemplo, ISO 27005 (que define un proceso de gestión de riesgos de seguridad), incluye una fase previa a la valoración, denominada ‘establecer el contexto’, donde se deben definir (entre otros elementos), los criterios para su aceptación y priorización. También, considera actividades transversales: monitoreo, revisión, comunicación y consulta.
De acuerdo con las actividades, la identificación pretende conocer los activos más importantes para una organización junto con las amenazas que podrían afectarlos. Posteriormente, el análisis de los riesgos permite caracterizar cada uno de ellos para luego ser evaluados de forma cualitativa o cuantitativa en función de los criterios. Todo esto se considera dentro de la fase de valoración.
Una vez que los riesgos han sido evaluados y priorizados (valorados en su conjunto), la siguiente fase tiene como propósito llevar a cabo alguna actividad para su tratamiento: mitigar, eliminar, transferir o aceptar. Esta etapa tiene como objetivo la definición de las acciones a realizar con relación a los riesgos y la aplicación de controles de seguridad.
- Mitigar. Consiste en implementar algún control que reduzca el riesgo.
- Transferir. Ocurre cuando se delega la acción de mitigación a un tercero.
- Aceptar. Se presenta cuando el impacto es suficientemente bajo para que la organización decida no tomar ninguna acción de mitigación o cuando el costo de la aplicación de un control supera el valor del activo.
La eliminación es una actividad ideal, ya que difícilmente se puede reducir a cero un riesgo y generalmente se presenta cuando el activo en cuestión deja de tener valor, por lo que los riesgos asociados pueden ser descartados.
Cuando se ha definido una acción para cada riesgo valorado, es necesario que los resultados sean aceptados y las medidas de seguridad aplicadas. Esto se vuelve necesario ya que al aplicar una contramedida o control, todavía se cuenta con un riesgo denominado residual, es decir, un remanente que debe ser aprobado.
Gestión de riesgos: actividad básica para la seguridad
Los esfuerzos realizados a través de la aplicación de medidas de seguridad se concretan en mitigar riesgos, de manera que la realización de un ataque o la materialización de una amenaza sea impráctica, no viable o con las consecuencias mínimas aceptables.
Por lo tanto, retoma relevancia la idea sobre la seguridad, relacionada con el hecho de que aunque no se pueda garantizar por completo, los riesgos deben ser tratados y reducidos hasta un nivel que, en caso de presentarse, no involucren consecuencias considerables. Esta es la idea básica de la gestión de riesgos.
Además, debido a que el riesgo es variable, el daño tiene como base el valor del activo y cualquier cambio en las variables lo modifica. En términos de la gestión, suelen aceptarse los riesgos poco probables o de bajo impacto, así como aquellos que no afectan un activo de valor. Por todo lo anterior, la gestión resulta fundamental en busca de dirigir, controlar y tomar las mejores decisiones.