Introducción
Cuando hablamos de Seguridad Informática o Ciberseguridad, regularmente se nos viene a la mente la aplicación de firewalls, antimalware, mecanismos de seguridad contra hackers, etc. Si bien, todas estas herramientas nos ayudan a mantener el control de la seguridad, no son la seguridad en su totalidad. Para poder implementar un sistema de gestión de seguridad de la información efectivo, es necesario implementar la gestión de riesgos.
Con esta práctica realizamos una evaluación de todos los activos digitales de la empresa, creamos escenarios de posibles riesgos y proponemos las medidas necesarias para controlar el riesgo. Es importante conocer la capacidad que la empresa tiene para afrontar el riesgo (apetito de riesgo), para poder conocer el impacto que el escenario ocasionaría en la empresa, la mitigación por medio del control de seguridad y el estado en que la empresa estará después de la aplicación de las medidas.
Apetito de riesgo: Es la capacidad de pérdida que está dispuesta a asumir la empresa en caso de ocurrir una eventualidad negativa, se puede cuantificar en tiempo, trabajo, recursos humanos y/o dinero.
¿En que consiste la gestión de riesgos y por qué es tan importante?
La gestión de riesgos consiste en crear un inventario de todos los activos digitales de la empresa, cuantificar el activo, elaborar una serie de escenarios de posibles riesgos que puedan generar un impacto negativo y cuantificarlos. Hasta este punto podemos conocer el costo para la empresa del activo y la posible pérdida que generaría si un riesgo se materializara. Posteriormente se elabora una propuesta de implementación de un mecanismo de seguridad y también se cuantifica, por último, se realiza un análisis de la mejora al haber implementando el mecanismo y como en los otros elementos, también se cuantifica.
Es importante identificar y cuantificar los activos digitales para conocer la viabilidad del mecanismo de seguridad, por ejemplo, si un activo tiene un costo de $100,000 MXN, y si el riesgo se materializa le costaría a la empresa $500,000 MXN, lógicamente valdría la pena implementar un mecanismo de seguridad por ejemplo de $50,000 MXN. Pero, de lo contrario, si el activo tiene un costo de $20,000 MXN y si el riesgo se materializa a la empresa le costaría $10,000 MXN, no sería viable implementar un mecanismo de $50,000 MXN, se tendría que buscar otra opción o si el apetito de riesgo lo permite mitigar el impaco.
Con estos datos es posible identificar, clasificar, cuantificar y tratar el riesgo en la empresa, todo con la finalidad de que el negocio pueda sobrevivir en el tiempo. Los resultados de estos análisis se pueden graficar en una semaforización, rojo, ambar y verde, del antes y del después de la aplicación del mecanismo de control. Cabe señalar que los riesgos no se pueden eliminar, siempre existirá un factor riesgo, pero, es posible darles el tratamiento adecuado.
¿Como se puede tratar un riesgo?
Un riesgo tiene 3 formas de tratamiento:
- Asumir: Cuando la materialización del riesgo representa un daño muy bajo o controlable, la empresa puede decidir asumir el riesgo, para esto, es muy importante tener cuantificado el apetito de riesgo.
- Mitigar: Después de realizar la evaluación del riesgo y estudiar la viabilidad del mecanismo de control, la empresa implementa las acciones necesarias para el tratamiento adecuado. Implementación de políticas, dispositivos, tecnología, capacitaciones, etc.
- Transferir: En algunos casos las empresas prefieren contratar a otras empresas o servicios para transferir el riesgo, por ejemplo, comprar un seguro, contratar una empresa para la gestión de la seguridad, etc.
¿Es necesaria la gestión de riesgos?
Los ataques se han hecho cada vez más comunes, la filtración de datos personales, daños contra información sensible, robos de identidad, llamadas telefónicas de extorsión, fraudes digitales, etc. Las empresas de hoy en día están cada vez más digitalizadas, los activos más importantes de los negocios se encuentran almacenados en computadoras, servidores, bases de datos, etc. por lo tanto, el aplicar mecanismos de seguridad es necesario para la protección de la información, pero, ¿como podemos reconocer que riesgos podemos tener para cada uno de los activos digitales? ¿es posible saber cuanto costaría la materialización de un riesgo? ¿es costeable el mecanismo de seguridad?.
La respuesta a estas interrogantes se encuentran en un análsis de riesgos, el cual consta de una tabla gráfica donde se visualiza todo el inventario de los activos digitales, se valoriza en costo, se elaboran escenarios de riesgo que afecten directamente a cada uno de los activos, se valoriza el impacto que representaría en caso de materializarse un riesgo, se evalúa el mecanismo de control de riesgo, se valoriza y se contrapone el valor de la medida de seguridad contra el del impacto para determinar viabilidad, por último se grafica en que nivel de riesgo queda el activo después de aplicar el mecanismo.
Para realizar esta práctica existen diferentes metodologías internacionales, actualmente una de las metodologías más utilizadas e importantes es la ISO 31000, a pesar de que existe la ISO 27005, la versión 2022 de la norma ISO 27001 recomienda las directrices de la norma ISO 31000 para la gestión del riesgo. Por otro lado en México la Ley federal de datos personales en propiedad de particulares y la Ley general de protección de datos personales en posesión de sujetos obligados, exige aplicar una metodología para la seguridad de la información, por lo tanto, es obligación de las empresas y el gobierno realizar un análisis de riesgo, aplicación de mecanismos de seguridad y un análisis de brecha.
Análisis de brecha: Es la evaluación del riesgo después de haber aplicado un mecanismo de seguridad para su control.
En LinkOS podemos ayudar a una empresa a realizar una gestión de riesgos, con la finalidad de que la empresa tenga la capacidad de afrontar una situación de materialización de riesgos, logrando mantener el negocio productivo a través del tiempo, además, es importante aplicar un sistema de gestión de continuidad del negocio.
