Qué es la gestión de riesgos

El riesgo de ciberseguridad es solamente uno de los factores dentro de la situación de riesgo general en la estrategia de gestión de riesgo de una organización (existiendo otros riesgos que debe tratarse en conjunto, como el riesgo operacional, financiero, legal, reputacional, etcétera).

El riesgo de ciberseguridad, como cualquier otro riesgo, no se puede eliminar completamente, pero sí se puede gestionar a través de procesos informados de toma de decisiones. El objetivo de un programa de ciberseguridad es reducir la probabilidad y efecto de un ciberevento en las operaciones de una organización, instalación o individuo.

Un proceso equilibrado, informado de toma de decisión que incluya la gestión de riesgo cibernético conducirá a un efecto positivo en el beneficio financiero de todo el negocio.

A la vista de los impactos y riesgos a que están expuestos las áreas/servicios/procesos y los sistemas/aplicaciones (junto con todo el resto de infraestructura de soporte, localizaciones y personal), hay que tomar una serie de decisiones condicionadas por diversos factores:

• La gravedad del impacto y/o del riesgo.
• Las obligaciones a las que por ley esté sometida la organización.
• Las obligaciones a las que por reglamentos sectoriales esté sometida la organización (banca, seguros, industrias críticas, etcétera).
• Las obligaciones a las que por contrato esté sometida la organización.

Estrategias de tratamiento del riesgo

Con la opción de tratar el riesgo, existen diferentes iniciativas que se pueden realizar amenaza a amenaza:

• Minimizar el riesgo

Establecer controles o salvaguardas para reducir la probabilidad y/o impacto de la amenaza en la organización.

• Eliminar el riesgo

En caso de que el análisis coste-beneficio de un riesgo o conjunto de riesgos concretos hace que no sea viable una serie de contramedidas adecuadas, se deberá analizar si el beneficio del activo (como un proceso de negocio) es tal o no, y en caso de que se estime que el riesgo es muy grande para el exiguo valor de dicho activo, se pude prescindir el mismo.

Otra opción de eliminación menos radical podría ser la sustitución de un activo por otro que conlleve menos riesgos, como cambiar el Sistema Operativo sin soporte de un servidor por una versión con soporte y actualizaciones de seguridad.

• Transferir o compartir el riesgo

En este caso se puede, o bien suscribir un seguro para paliar el impacto de que una amenaza se haga realidad (siempre sabiendo lo que se contrata y lo que nos cubrirá, como la necesidad de mano especializada externa para recuperarnos de un incidente, el lucro cesante, coste en operaciones, etcétera, aunque ciertos aspectos, como el daño reputacional, nunca serán cubiertos del todo, como la pérdida de valor de las acciones o la pérdida de clientes) o bien externalizar una actividad de riesgo a un tercero, asegurándonos de que este cuente con una mejor protección frente a los riesgos así como cláusulas de cobertura.

• Aceptar el riesgo

Si bien esta no es una estrategia de tratamiento per se, en ocasiones no queda otra opción que aceptar un riesgo, tras un análisis coste-beneficio, un análisis de las posibles consecuencias, y siempre con una decisión desde la dirección que sea razonada.

Plan de tratamiento del riesgo

En los casos en que se decida mitigar el riesgo, se deberá desarrollar un plan de tratamiento del riesgo con las salvaguardas seleccionadas. Una vez tengamos claro los Controles que tenemos que implantar, es el momento de planificar como lo vamos a hacer. No todos los controles son igual de fáciles y rápidos de aplicar, y muchos pueden llevar asociados gastos de material o la subcontratación de servicios.

Un plan de tratamiento de riesgos, deberá contener al menos:

• Los objetivos

Por un lado, definiremos el objetivo del plan de tratamiento de riesgos, que siempre estará asociado a reducir los riesgos a niveles aceptables para la organización. Y por otro lado los objetivos particulares de cada control, que variarán en cada caso.

• Plazos de ejecución

El plazo de ejecución del plan de tratamiento de riesgos, vendrá fijado por las acciones y tareas que contenga. Así que los controles más complejos de implantar, serán los primeros en abordar, y los que determinarán cuando finaliza el plan.

• Responsables

Toda acción o tarea definida en el plan de tratamiento de riesgos deberá tener un responsable. Lo habitual es asignar un responsable por cada control a implantar o mejorar, que se preocupe de cumplir los plazos y alcanzar los objetivos fijados para dicho control.

• Presupuestos y recursos

Todas las acciones definidas incluirán horas de dedicación de personal propio de la empresa, que deben ser cuantificadas y valoradas. Pero otras acciones requerirán la compra de equipos o subcontratación de servicios, que hay que tener muy en cuenta.

• Indicadores y métricas

Quizás sea el punto más complejo de definir, dado que encontrar una métrica objetiva que nos ayude a determinar si se ha alcanzado el objetivo esperado, con la implantación u optimización de un determinado control, no suele ser fácil.