Pasar al contenido principal

Gestión de Riesgos

¿A quién va dirigido?

La gestión de riesgos de ciberseguridad es una práctica que debería ser desarrollada por cualquier organización, pública o privada, grande o pequeña, que quiera llevar a cabo una articulación eficiente y eficaz de su ciberseguridad.

¿Qué es?

La gestión de riesgos es una práctica por la cual se identifican los riesgos de ciberseguridad a los que está expuesta una organización, se analizan en términos de probabilidad e impacto, se evalúan los resultados y se determinan las acciones a llevar a cabo para el tratamiento de dichos riesgos, que de manera general consistirán en:

  • Reducir los riesgos, aplicando medidas de seguridad.
  • Asumir los riesgos, aceptando los niveles de probabilidad e impacto asociados.
  • Evitar los riesgos, eliminando aquellos ámbitos a los que están asociados.
  • Transferir los riesgos, delegando en una tercera organización (proveedores o compañías de seguros, habitualmente) el riesgo correspondiente.

Existen multitud de modelos de referencia para la gestión de riesgos, pero el modelo de referencia más extendido y ampliamente aceptado es el establecido por el estándar internacional UNE-ISO 31000:2018, que establece de manera genérica las directrices para la gestión de riesgos. De acuerdo al citado estándar, la gestión de riesgos es un proceso cíclico con las fases y condicionantes que se visualizan en el siguiente gráfico:

Proceso de Gestión de Riesgo definido en la norma ISO 31000:2018

Objetivos

Los objetivos de la gestión de riesgos se pueden resumir en los siguientes puntos:

  • Disponer de un inventario de situaciones que puedan afectar negativamente a la ciberseguridad de la organización.
  • Desarrollar un mecanismo que permita evaluar dichas situaciones potencialmente negativas, en términos de probabilidad de ocurrencia de dicha situación e impacto que dicha situación provocaría en la organización.
  • Articular un proceso capaz de analizar de manera sistemática dichas situaciones y tomar decisiones de tratamiento de riesgos en base a ellas, pudiendo adaptar de manera dinámica dichas decisiones a los resultados obtenidos en cada momento.

Beneficios

La gestión de riesgos va a permitir que cualquier organización pueda disfrutar de los múltiples beneficios que ofrece:

  • Ser consciente de las diversas situaciones específicas que pueden afectar negativamente a la ciberseguridad de la organización.
  • Tener la capacidad de analizar objetivamente el potencial dañino de cada una de las situaciones negativas consideradas, sin sesgos subjetivos ni visiones parciales.
  • Poder conocer en cada momento el nivel real de riesgo asociado a cada una de las situaciones negativas específicas.
  • Poder tomar decisiones sobre el riesgo de manera consistente, pudiendo comparar las diferentes situaciones negativas en términos equivalentes.
  • Poder establecer medidas de tratamiento de los riesgos en base a criterios de priorización objetivos.
  • Contar con la posibilidad de analizar la situación de riesgo de forma coherente a lo largo del tiempo, pudiendo evaluar su evolución y sus tendencias.

Factores a tener en cuenta para la gestión de riesgos

  • El tamaño de la organización
  • El alcance específico en el que se va a desarrollar
  • La metodología específica a aplicar
  • La profundidad (nivel de detalle) con la que se desea realizar el análisis
  • La periodicidad con la que se desea actualizar el análisis
  • Otros aspectos organizativos.

Fases del proceso de gestión de riesgos

Fase 1. Lanzar el proyecto

La gestión de riesgos debe contar con la implicación de los niveles directivos correspondientes al entorno o alcance específico en el que se vaya a desarrollar el análisis, ya que deberá ser dicho nivel directivo quien tome las decisiones relativas al tratamiento de riesgos y dedique los recursos necesarios para su mitigación, en caso de que así se decida.

Fase 2. Delimitar el alcance

La organización debe delimitar el ámbito en el que se va a desarrollar el proceso de gestión de riesgos, determinando:

  • Los procesos, servicios y/o actividades consideradas
  • Las personas intervinientes
  • Los medios tecnológicos afectados
  • Los proveedores involucrados

Fase 3. Definir la metodología de análisis de riesgos

Existen diversas metodologías de análisis de riesgos, en función de sus características:

  • En función de su orientación: Algunas metodologías son de carácter más general, como las orientadas a escenarios, mientras que otras son de carácter más específico, como las orientadas a activos.
  • En función de su tipología: Hay metodologías de carácter cuantitativo, que normalmente se basan en parámetros económicos, y metodologías de carácter cualitativo, habitualmente basadas en una graduación de aspectos cualitativos.
  • En función de su nivel de concreción: Existen metodologías abiertas, que simplemente ofrecen un marco de trabajo sobre el que particularizar la metodología propia, y metodologías cerradas, que incorporan los catálogos y fórmulas de cálculo necesarias para llevar a cabo el análisis de riesgos sin necesidad de personalizaciones.

Esta fase requerirá la definición y formalización de la metodología de análisis de riesgos que va a ser utilizada, a partir de la selección y/o particularización de alguna metodología específica o del diseño de una metodología propia. En cualquier caso, será necesario formalizar la metodología seleccionada, con el fin de que el ejercicio pueda ser desarrollado de manera periódica y permita ofrecer resultados comparables tanto entre sí como a lo largo del tiempo.

Fase 4. Determinar el catálogo de situaciones a considerar

Dependiendo de la metodología seleccionada, el siguiente paso será determinar el catálogo de situaciones negativas a considerar. Dicho catálogo podrá ser extraído directamente de la metodología considerada, en caso de que dicha metodología lo incorpore, o podrá ser construido a partir de los diferentes elementos que pueden intervenir en la determinación de cada riesgo, en función de la metodología seleccionada:

  • Escenarios considerados
  • Activos afectados
  • Amenazas contempladas
  • Vulnerabilidades identificadas
  • Agentes intervinientes
  • Árboles de ataque previstos
  • Etc.

En el caso de una metodología de uso habitual orientada al activo como MAGERIT, el catálogo de riesgos se construirá sencillamente a partir de la asociación de pares activo-amenaza.

Fase 5. Valorar los riesgos

Una vez identificado el catálogo de riesgos a analizar se deberá llevar a cabo la valoración de los mismos. Dicha valoración se podrá realizar de diversas formas dependiendo de los diferentes elementos que hayan sido considerados en la metodología de análisis, pero de manera general dicha valoración siempre tendrá que confluir en la determinación de los dos parámetros que van a determinar el riesgo:

  • La probabilidad de ocurrencia de la situación negativa considerada
  • El impacto que provocaría en la organización dicha situación negativa en caso de producirse

Esta valoración será realizada en términos cuantitativos o cualitativos dependiendo de las características de la metodología seleccionada, pero finalmente confluirán en un parámetro único, cuya valoración sea comparable, que permitirá determinar el nivel de riesgo que cada situación negativa tiene asociado.

Fase 6. Evaluar los riesgos

A la vista de los resultados de la valoración de los riesgos, la organización deberá determinar cuál es el nivel de riesgo que considera aceptable, comparando dicho nivel con el resultado de la fase de valoración de los riesgos y determinando todas aquellas situaciones negativas cuyo nivel de riesgo excede el considerado como aceptable por la organización.

Fase 7. Tratar los riesgos

A la vista de la evaluación de riesgos, la organización deberá determinar qué tratamiento lleva a cabo con todos los riesgos que superan el nivel de riesgo aceptable:

  • Eliminar el riesgo
  • Reducir su nivel de riesgo
  • Aceptar su nivel de riesgo
  • Transferir el riesgo

En caso de que la decisión de tratamiento de los riesgos excesivos sea su reducción, la organización deberá determinar las medidas de ciberseguridad más apropiadas para:

  • Reducir la probabilidad de ocurrencia de la situación negativa considerada
  • Reducir el impacto de dicha situación negativa, en caso de que se materialice

En cualquiera de los dos casos, será necesario llevar a cabo una planificación específica en la que se determinen los responsables, plazos y recursos necesarios para el desarrollo de los proyectos asociados a la aplicación de las medidas de ciberseguridad definidas.

Fase 8. Aceptación del riesgo residual

Por último, la organización deberá aceptar el riesgo residual asociado al análisis realizado, y que vendrá definido por la combinación:

  • Todos aquellos riesgos que no han sido expresamente contemplados en la fase de determinación del catálogo de situaciones a considerar
  • Todos aquellos riesgos cuyo nivel está por encima del nivel de riesgo declarado como asumible de manera temporal, puesto que la adopción de medidas de ciberseguridad para mitigarlo todavía no está concluida

Los niveles directivos tendrán que llevar a cabo una asunción expresa de dichos riesgos y plantear para el siguiente ciclo de revisión y actualización del análisis de riesgos la realización de un análisis más detallado o la asunción de un nivel de riesgo menor en caso de que la aceptación del riesgo residual haya supuesto un reto para la organización.

¿Dónde recibir asesoramiento o contratar la adecuación al RGPD?

Desde el BCSC, se pone a disposición tanto de los organismos públicos como de las empresas privadas el “Libro Blanco de la Ciberseguridad en Euskadi”, un documento que recoge la visión de conjunto de nuestro ecosistema local con diferentes perspectivas de innovación, investigación, emprendimiento, etc. y en el que se incluye el catálogo de proveedores de ciberseguridad que ofrecen este tipo de servicios, con el objetivo de que las organizaciones interesadas en demandarlos tengan un punto de referencia que contribuya a facilitar la toma de decisiones.

El catálogo sirve de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un listado vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.

BCSC Libro Blanco

Referencias

Guía de gestión de riesgos de INCIBE: https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ciberseguridad_gestion_riesgos_metad.pdf

ISO 31000: https://www.iso.org/obp/ui#iso:std:iso:31000:ed-2:v1:es

ISO 31000 en Wikipedia: https://es.wikipedia.org/wiki/ISO_31000

Gestión de riesgos en Wikipedia: https://es.wikipedia.org/wiki/Gesti%C3%B3n_de_riesgos

Compartir

Compartir en Linkedin