La gestión de riesgos es fundamental en el proceso de gestión de seguridad de la información de una organización, ya que permite identificar, evaluar y reducir los peligros identificados hasta un nivel aceptable y enmarcarlos en un modelo de mejora continua. La gestión de los riesgos determina la propensión o aversión a los eventos inesperados e indeseados en las organizaciones.
En un segundo nivel de granularidad se encuentra la evaluación de riegos, que es una fase del proceso de gestión de riesgos y que generalmente son utilizadas como base para la elaboración de estrategias de protección a partir de metodologías que permiten categorizar dichos riesgos y los criterios de aceptación de estos.
Lecturas recomendadas:
8 pasos para la evaluación de riesgos de ciberseguridad de una empresa (parte I)
8 pasos para la evaluación de riesgos de ciberseguridad de una empresa (parte II)
Objetivos de la evaluación de riesgos
La evaluación de riesgos tiene como objetivo la determinación del valor cualitativo o cuantitativo de los riesgos relacionados con la información; por ello, la metodología de evaluación de riesgos utilizada debe permitir la identificación de vulnerabilidades, amenazas y el impacto de las mismas sobre la confidencialidad, integridad y disponibilidad de nuestros activos. Por lo general, incluye actividades como:
- Identificación de activos de información críticos.
- Identificación de vulnerabilidades.
- Identificación de amenazas.
- Identificación de impacto y probabilidad de ocurrencia.
- Cálculo de riesgos identificados.
- Definición de opciones de tratamiento de riesgos.
Existen múltiples metodologías y herramientas para llevar a cabo la evaluación de riesgos; algunas de estas metodologías son de aplicación general (para cualquier tipo de organizaciones), para regiones específicas, para sectores o industrias específicos, basadas en activos o incluso con elementos más estructurados para implementar el proceso de gestión de riesgos.
Ante este abanico de posibilidades, las organizaciones pueden utilizar la metodología que mejor se adapte a sus necesidades, características o condiciones.
¿Qué metodología se puede utilizar para la gestión de riesgos de seguridad?
La Agencia de la Unión Europea para la Ciberseguridad (ENISA, por sus siglas en inglés), publicó en enero de 2022 el documento “Compendio de marcos de gestión de riesgos con interoperabilidad potencial”, sobre marcos de gestión de riesgos. Este trabajo incluye estándares conocidos y ampliamente utilizados que describen las principales características de cada uno de los marcos y metodologías.
La selección de los marcos y metodologías de gestión de riesgos se realizó sobre la base de una encuesta realizada en diferentes sectores y que consideró criterios como: mejores prácticas en la industria; marcos de trabajo propuestos por organismos de normalización nacionales e internacionales, como pueden ser normas y directrices; y también marcos de trabajo propuestos por la academia.
Para este documento fueron excluidos los marcos y metodologías de gestión de riesgos obsoletos. Es decir, aquellos que no habían sido actualizados en más de diez años, los que no incluían los procesos fundamentales de la gestión de riesgos, y los que no brindan la orientación específica para su implementación. Por lo tanto, más que una lista exhaustiva se consideraron marcos y metodologías de gestión de riesgos avanzados que se adaptan a la teoría definida para la gestión de riesgos.
En la segunda etapa, se identificaron fuentes de búsqueda (incluidos repositorios de recursos relevantes); sitios, revistas comerciales y de negocios; y literatura académica. Luego de varias iteraciones de búsqueda y revisión, se generó un listado de alrededor de 30 marcos y metodologías de gestión de riesgos.
La descripción de los estándares seleccionados incluye características como: nombre completo, enlace al sitio Web, proveedor y origen, ámbito geográfico de uso, si apoyan necesidades de gestión de riesgos genéricas o sectoriales, si están disponibles gratuitamente o no, si están respaldados por una herramienta automatizada u otro material, idiomas admitidos, entre otros elementos que pueden resultar clave a la hora de tomar decisiones.
Interoperabilidad de marcos y metodologías de gestión de riesgos
En la etapa final de este trabajo se identificaron un conjunto de características para su potencial interoperabilidad. Si bien, este análisis no está incluido en el informe, existen varias características que permiten (o limitan) el potencial de interoperabilidad entre marcos de trabajo o frameworks.
Estas características comprenden aspectos como: cumplimiento o apoyo a estándares de gestión de riesgos (ISO, NIST, etc.); proceso de gestión de riesgos (identificación, evaluación, tratamiento y monitoreo de riesgos); enfoque para la identificación de riesgos (basado en activos o basado en escenarios); enfoque para la evaluación de riesgos (cuantitativo o cualitativo); método de cálculo del riesgo; uso de catálogos o bibliotecas específicos; idiomas soportados; costos de licencias; entre otros.
El resultado de este trabajo nos permite tener un panorama amplio de las posibilidades que tienen las organizaciones para implementar un proceso de gestión de riesgos de acuerdo a las mejores prácticas de la industria, con metodologías actualizadas y robustas. Además, ofrece un compendio de marcos de trabajo que son muy útiles para poder cumplir los objetivos: mitigar los ciberataques a gran escala y mantener una sólida postura de ciberseguridad en las organizaciones.