Marcos de gestión del riesgo

Con el objeto de poder gestionar el riesgo, primero es necesario contar con un framework o marco para el mismo dentro de la organización que define roles y responsabilidades, políticas y procedimientos, recursos, etcétera.

Esto permitirá homogeneizar el proceso y asegurar su respetabilidad en el tiempo, así como su completitud y efectividad. Es muy importante que los resultados sean homogéneos y repetibles en el tiempo, de tal forma que puedan ser comparables y podamos ver como el riesgo de una organización va evolucionando a lo largo del tiempo.

El marco del riesgo establece el contexto y provee de una perspectiva común sobre cómo las organizaciones gestionan el riesgo.

Su principal salida es la estrategia de gestión del riesgo que permite dirigir como las organizaciones pretenden valorar el riesgo, responder a este y monitorizar el mismo, para detectar desviaciones y problemas.

La estrategia de gestión del riesgo hace explícitas las asunciones específicas, las restricciones, la tolerancia al riesgo y las prioridades y contrapartidas utilizadas en la organización para las decisiones de inversión y operacionales.

La estrategia también incluye cualquier decisión a nivel estratégico y las consideraciones sobre cómo los riesgos a las operaciones y activos serán gestionados por el comité de dirección y la gerencia senior.

Entre los marcos internacionales que podemos usar con el objeto de adaptarlos a nuestra organización y sus particularidades encontramos los dos que vamos a ver a continuación, que son los más utilizados a nivel mundial.

ISO 27005

Es un estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001.

Es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización. No recomienda una metodología concreta, sino que dependerá de una serie de factores, como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI) o el sector comercial de la propia industria. Es decir, busca que la organización adapte las buenas practicas a su cultura empresarial, a su apetito del riesgo, a los roles y responsabilidades que ya tenga previamente definidos, etcétera.

Muestra un enfoque directamente centrado en “Risk Management” para Tecnologías de la Información. Este enfoque tiene que estar alineado con la Gestión de Riesgos Empresarial general de la compañía. Esta norma parte del mismo modelo definido en ISO 31000 (gestión riesgo empresarial general).

Gracias a esta norma se pueden seguir unas pautas para gestionar riesgos en Tecnologías de la Información, tales como aquellos originados por aplicaciones en condiciones vulnerables, sistemas operativos sin actualizaciones o tecnologías obsoletas, por poner unos ejemplos.

De acuerdo a la norma ISO 27005, se establece un contexto en el que se indica un enfoque y criterios de evaluación, impacto y aceptación, se definen alcances y límites y se organiza la Gestión de Riesgos de Seguridad de la Información.

NIST 800-39

NIST es una organización de EEUU que publica estándares para organismos públicos y las organizaciones que trabajan con los mismos, si bien dichos estándares pueden ser utilizados de forma libre en cualquier organización.

El propósito del estándar NIST 800-39 es proporcionar una guía para la orientación para desplegar un sistema integrado para toda la organización del programa para la gestión de riesgos de seguridad de información. Otro factor importante es proporcionar orientación para desplegar un sistema integrado a toda la organización del programa de gestión de riesgos.

La publicación especial 800-39 proporciona un enfoque estructurado, pero flexible para la gestión de riesgos de la información de seguridad que es intencionalmente de base amplia para que pueda funcionar para todos los tipos de organizaciones, con los detalles específicos de la evaluación, respuesta y seguimiento del riesgo de forma continua proporcionada por otros que apoyan los estándares del NIST y directrices de seguridad.

En resumen, nos ayuda a definir una serie procesos:

• Valoración del riesgo: en el cual se detectan activos, amenazas, vulnerabilidades y se valoran los mismos.

• Respuesta: en el que definimos la estrategia de respuesta al riesgo, viendo si queremos aceptar, mitigar, eliminar o transferir los riesgos.

• Monitorización: aquí se valora si riesgos bajos pueden convertirles en riesgos mayores, si hay cambios en la organización que puedan introducir nuevas amenazas o si los controles están funcionando de manera adecuada o hay desviaciones.

Además, como podemos ver en la imagen, la comunicación entre estos procesos es bidireccional, es decir, todos ellos retroalimentan a los demás, y en el centro estaría el marco de gestión (definición de procesos, políticas, apetito del riesgo, roles y responsabilidades, metodologías, etcétera), que hace que esto se pueda hacer de manera efectiva y repetible en el tiempo.

Por otro lado, NIST 800-39 define tres niveles de actuación:

• Nivel 1 o alta dirección: establece su visión, cómo hacer las cosas a alto nivel y la estrategia para la gestión del riesgo global.

• Nivel 2 o intermedio: lo componen los responsables de cada área, procesos, servicios, etcétera.

• Nivel 3: es el nivel más bajo en el día a día, y lo componen los profesionales de TI y de ciberseguridad.

Desde arriba hacia abajo se deben dar una serie de guías claras. A la vez, el proceso de comunicación también iría de abajo hacia arriba, de tal forma que los riesgos en detalle se puedan ir comunicando hacia arriba y llegue una visión unificada al nivel 1 para cambiar los procesos, actuar ante nuevas amenazas, etcétera.