La gestión de riesgos es algo que toda organización debe hacer, pero existen varias enfoques de evaluación de riesgos, cada uno con sus propias aplicaciones y beneficios.

¿Cuál es la manera más efectiva para que su organización identifique y reduzca el riesgo de seguridad de la información? ¿Cómo estimará la probabilidad y el impacto? ¿Cuál es el nivel aceptable de riesgo de su empresa?

Este artículo le ayudará a responder todas estas preguntas y a elegir una metodología de gestión de riesgos que proteja a su organización.

6 tipos comunes de metodologías de evaluación de riesgos

Existen varios enfoques populares para las evaluaciones de riesgos entre los cuales las organizaciones pueden elegir. Comprender estos enfoques puede ayudarle a decidir cuál es el más adecuado para sus necesidades.

Evaluación cualitativa de riesgos

En general, hay dos enfoques para la evaluación de riesgos: cualitativo y cuantitativo.

Con un enfoque cualitativo, se analizarán diferentes escenarios y se responderán preguntas de 'qué pasaría si' para identificar riesgos. Comúnmente se utiliza una matriz de riesgos para asignar a cada riesgo una probabilidad e impacto (es decir, 'alto', 'medio' y 'bajo'), lo que permite una fácil priorización. Los riesgos que son tanto de alta probabilidad como de alto impacto son las máximas prioridades, y los riesgos que son tanto de baja probabilidad como de bajo impacto son las menores prioridades.

Evaluación cuantitativa de riesgos

Un enfoque de evaluación cuantitativa de riesgos utiliza datos y números para definir el nivel de riesgo. El análisis cuantitativo de riesgos utiliza datos para medir la probabilidad y el impacto de los riesgos individuales. Por ejemplo, los posibles costos o retrasos en el tiempo pueden predecirse mediante simulaciones de Monte Carlo. Si bien este enfoque puede ser más preciso, también depende de datos precisos y completos.

Para ilustrar la diferencia con un ejemplo, supongamos que su negocio se ubica en Dakota del Norte. Una evaluación cualitativa de riesgos diría que un terremoto es de baja probabilidad y bajo impacto, por lo que hay poca necesidad de invertir en racks sísmicos para servidores. Una evaluación cuantitativa de riesgos utilizaría datos geológicos para concluir que hay un 2% de probabilidad de un terremoto en los próximos 10 años con pérdidas financieras estimadas en $5k.

Utilizando la fórmula Riesgo = Probabilidad x Impacto, luego puede calcular una exposición al riesgo estimada de aproximadamente $100. Dado que los racks sísmicos para servidores requeridos se estiman en $15k, el riesgo cae dentro de su rango aceptado.

Evaluación de riesgos semi-cuantitativa

Una evaluación de riesgos semi-cuantitativa combina estos dos enfoques. Asigna un parámetro cuantitativamente y el otro cualitativamente.

Para continuar con el ejemplo del terremoto, un enfoque semi-cuantitativo cuantificaría la probabilidad con datos precisos, como la probabilidad geológica de que ocurra un terremoto. Luego asignaría una puntuación numérica de impacto, digamos un 8 en una escala de 1 a 10. Según una evaluación de riesgos semi-cuantitativa, un terremoto tendría un alto impacto pero una muy baja probabilidad.

Debido a que los conocimientos proporcionados por las evaluaciones de riesgos semi-cuantitativas son limitados, se utilizan con mayor frecuencia cuando los datos necesarios para realizar una evaluación de riesgos completamente cuantitativa son incompletos o poco fiables.

Evaluación de riesgos basada en activos

Las evaluaciones de riesgos basadas en activos se centran exclusivamente en los riesgos que se presentan a los activos de una organización, que pueden incluir activos físicos como equipos y edificios, así como datos de la empresa y propiedad intelectual.

Para este tipo de evaluación de riesgos, las organizaciones primero crean un registro de activos. Luego, los dueños de los activos ayudan a identificar riesgos, que luego se priorizan según la probabilidad y el impacto. Las evaluaciones de riesgos basadas en activos se utilizan típicamente cuando se busca la certificación ISO 27001.

Evaluación de riesgos basada en vulnerabilidades

Este enfoque ayuda a las organizaciones a identificar sus riesgos de mayor prioridad. Las soluciones de gestión de vulnerabilidades basadas en riesgos generalmente utilizan herramientas/servicios de escaneo de vulnerabilidades, inteligencia artificial y aprendizaje automático para identificar riesgos que son tanto más propensos a ser explotados como que tienen el mayor potencial de impacto negativo en el negocio. Estos conocimientos ayudan a los equipos de ciberseguridad a centrarse en los riesgos más significativos y urgentes que enfrentan sus organizaciones.

Evaluación de riesgos basada en amenazas

Mientras que un enfoque de gestión de riesgos basado en activos se centra en los activos más importantes de una organización, un enfoque basado en amenazas examina las condiciones que crean y contribuyen a aumentar el riesgo. ¿Qué técnicas están utilizando los actores de amenazas y cómo puedes protegerte mejor contra ellas?

Por ejemplo, un enfoque basado en activos puede identificar los riesgos de prácticas de contraseñas débiles en toda una organización. El resultado puede ser la implementación de una política de contraseñas que requiera el uso de contraseñas fuertes o autenticación multifactorial.

Un enfoque basado en amenazas, en cambio, se centraría en las prácticas de ingeniería social y la probabilidad de que los actores de amenazas apunten a los empleados y los convenzan de compartir contraseñas u otra información sensible que pueda ser explotada. El resultado de esta evaluación puede ser una capacitación más frecuente para los empleados sobre ataques de phishing y prácticas seguras para contraseñas.

Metodologías de gestión de riesgos para la seguridad de la información

Debido a que las evaluaciones de riesgo son tan importantes para las empresas en la era digital, muchas organizaciones han creado marcos de gestión de riesgos definidos para la seguridad de la información. Esta lista incluye algunos de los más populares y respetados:

NIST RMF

Creado por el Instituto Nacional de Estándares y Tecnología, el Marco de Gestión de Riesgos NIST (RMF) ofrece un proceso de 7 pasos para integrar las actividades de seguridad de la información y gestión de riesgos en el ciclo de vida del desarrollo del sistema:

• Paso 1: Prepararse para gestionar riesgos de seguridad y privacidad
• Paso 2: Categorizar la información procesada, almacenada y transmitida según su impacto
• Paso 3: Seleccionar los controles NIST SP 800-53 para proteger el sistema
• Paso 4: Implementar y documentar controles
• Paso 5: Evaluar el rendimiento del control
• Paso 6: La alta dirección evalúa el riesgo para autorizar la operación del sistema
• Paso 7: Continuar monitoreando los controles y riesgos del sistema

ISO 27005:2018

Desarrollado por la Organización Internacional de Normalización (ISO) para apoyar la ISO/IEC 27001, ISO/IEC 27005:2018 ofrece directrices para gestionar el riesgo de la seguridad de la información. El documento ayuda a las organizaciones a identificar, analizar, evaluar, tratar y monitorear riesgos específicos de seguridad de la información.

OCTAVE

OCTAVE significa Evaluación Operativamente Crítica de Amenazas, Activos y Vulnerabilidades. Define un método integral para identificar, evaluar y gestionar los riesgos de seguridad de la información. OCTAVE implica tres fases:

• Fase 1: Construir Perfiles de Amenazas Basados en Activos
• Fase 2: Identificar Vulnerabilidades de Infraestructura
• Fase 3: Desarrollar una Estrategia de Seguridad

NIST SP 800-30 Revisión 1

También desarrollado por el Instituto Nacional de Estándares y Tecnología, 800-30 Revisión 1 es una guía para realizar evaluaciones de riesgos. Este documento es una entrada en una serie de directrices de gestión de riesgos y seguridad de la información desarrolladas por un grupo de trabajo conjunto con el Departamento de Defensa, la Comunidad de Inteligencia y el Comité de Sistemas de Seguridad Nacional. Amplía la guía descrita en la Publicación Especial 800-30 para incluir información detallada sobre factores de riesgo como fuentes y eventos de amenazas, vulnerabilidades, impacto y probabilidad de ocurrencia de amenazas.

Cualquiera que sea el enfoque o metodología de gestión de riesgos que elijas, la gestión de la empresa debe estar estrechamente involucrada en el proceso de toma de decisiones. Serán fundamentales en la determinación de los criterios de seguridad básicos de tu organización y el nivel de riesgo aceptable.

Y al establecer tu metodología de gestión de riesgos a nivel de la empresa, cada departamento podrá seguir el mismo proceso coherente.

Un proceso de evaluación de riesgos de 6 pasos

Realizar evaluaciones de riesgos de manera regular es un paso crítico para mantener tu organización segura frente a una brecha y mantener el cumplimiento con muchos marcos de seguridad. A continuación, describimos el proceso de gestión de riesgos en seis pasos básicos.

Paso 1: Determinar el nivel aceptable de riesgo de tu organización

El riesgo es una inevitabilidad para todas las empresas. Pero con una mayor conciencia y comprensión de esos riesgos, las empresas pueden identificar formas de resolverlos, reducirlos o evitarlos para alcanzar sus objetivos. A veces, el riesgo incluso puede convertirse en una oportunidad, por lo que es importante tener un enfoque de gestión de riesgos que equilibre la conciencia del riesgo y la toma estratégica de riesgos.

El bajo riesgo puede llevar a la estagnación y la falta de innovación. El alto riesgo puede resultar en pérdidas innecesarias tanto de tiempo como de dinero. Una gestión de riesgos efectiva encuentra un equilibrio que permita a las organizaciones alcanzar sus objetivos mientras minimizan las posibles pérdidas.

Definir el apetito de riesgo de una organización normalmente implica algunos pasos clave:

1. Definir los objetivos estratégicos de tu empresa. ¿Qué está tratando de lograr tu organización? ¿Cuánto riesgo estás dispuesto y puedes aceptar para alcanzar esos objetivos?
2. Para cada uno de los objetivos principales que has identificado, decide el nivel aceptable de riesgo.
   undefinedundefinedundefinedundefinedundefined
3. Comunica tu apetito de riesgo a los interesados de la empresa. Los equipos de liderazgo y gestión deben trabajar juntos para discutir el apetito de riesgo, mitigación, compartir comentarios y determinar cómo impactará en las operaciones diarias. Escribir una declaración de apetito de riesgo puede aclarar tu estrategia para el liderazgo, empleados y otros interesados clave, y permite tomar decisiones de riesgo más informadas en toda la empresa.

La tolerancia al riesgo y el apetito de riesgo se usan comúnmente de manera intercambiable, pero no son lo mismo.

El apetito de riesgo es cuánto riesgo está dispuesta a aceptar tu empresa antes de tratarlo. El apetito de riesgo varía ampliamente según factores como la industria de tu empresa, situación financiera, entorno competitivo y cultura empresarial. ¿Cuál es el análisis de costo-beneficio de cada riesgo? Si tienes más recursos, puedes estar dispuesto a aceptar un mayor riesgo para impulsar un ritmo más rápido de innovación, por ejemplo.

La tolerancia al riesgo es cuánto riesgo residual estás dispuesto a aceptar después del tratamiento. Supongamos que identificas un riesgo que tiene una probabilidad del 40% de ocurrir, lo cual está fuera de tu apetito de riesgo. Después de tratar el riesgo, reduces la probabilidad de que ocurra al 10%. ¿Es aceptable un riesgo residual del 10% para tu negocio?

Paso 2: Selecciona una metodología de evaluación de riesgos

Hazte las siguientes preguntas:

• ¿Qué esperas obtener de la evaluación? Una evaluación cuantitativa del riesgo puede proporcionar información basada en datos, mientras que una evaluación cualitativa a menudo ofrece mayor eficiencia.
• ¿Cuál es el alcance de la evaluación? Decide si la evaluación de riesgos se llevará a cabo en toda tu organización o se centrará en un solo departamento o equipo.
• ¿Qué requisitos de cumplimiento o normativos necesitas cumplir? Algunos estándares de seguridad de la información como ISO 27001, SOC 2, PCI y HIPAA pueden tener procedimientos específicos de evaluación de riesgos que deberás seguir para cumplir con los requisitos.
• ¿Qué restricciones de costo o tiempo necesitas ajustar? Un cronograma acelerado puede requerir una evaluación cualitativa en lugar de una cuantitativa. Las organizaciones que carecen de la experiencia interna para completar una evaluación de riesgos pueden necesitar contratar a un tercero.

Paso 3: Identificación de riesgos

Los riesgos de seguridad están en constante cambio, con nuevas amenazas surgiendo aparentemente cada día. La única forma de abordar los riesgos es primero identificarlos.

Comienza con una lista de activos de información y luego identifica riesgos y vulnerabilidades que podrían impactar la confidencialidad, integridad y disponibilidad de los datos para cada uno. Necesitarás considerar tu hardware (incluidos los dispositivos móviles), software, bases de datos de información y propiedad intelectual.

• Vulnerabilidades son fallos en el estado de tu entorno que podrían ser explotados.
• Amenazas son la posibilidad de que alguien o algo aproveche una vulnerabilidad.
• Riesgos son una medida de la probabilidad de que una amenaza dada aproveche una vulnerabilidad dada y el impacto que tendrá en el entorno de datos de los titulares de tarjetas.

Por ejemplo, consideremos un sistema de software que no se ha actualizado con una nueva versión destinada a parchear una vulnerabilidad de ciberseguridad. Esa vulnerabilidad es el software desactualizado, la amenaza es que un hacker podría infiltrar el sistema, y el riesgo de ciberseguridad es no asegurarse de que el software esté actualizado.

Considera estas categorías de amenazas y vulnerabilidades:

• Digital: No actualizar el software con parches de seguridad
• Físico: Eliminación incorrecta de datos
• Interno: Empleados
• Externo: Hackers
• Ambiental: Desastre natural

Paso 4: Análisis de riesgos

Una vez que hayas identificado los riesgos, determina la probabilidad potencial de que ocurra cada uno y su impacto en el negocio. Recuerda que el impacto no siempre es monetario; podría ser un impacto en la reputación de tu marca y en las relaciones con los clientes, un problema legal o contractual, o una amenaza para tu cumplimiento.

• Probabilidad del riesgo: Considera qué tan probable es que una amenaza aproveche un riesgo dado. Por ejemplo, si experimentaste una violación de datos en el último año, la probabilidad de que ocurra otra sería alta a menos que hayas subsanado la vulnerabilidad que causó la violación.
• Potencial de riesgo: Considera el daño que un riesgo podría causar a tu organización. Por ejemplo, cortafuegos configurados incorrectamente tendrían una alta probabilidad de permitir tráfico innecesario dentro o fuera de los sistemas de información.

Asigna a cada riesgo una puntuación de probabilidad e impacto. En una escala del 1 al 10, ¿qué tan probable es que ocurra el incidente? ¿Qué tan significativo sería su impacto? Estas puntuaciones te ayudarán a priorizar los riesgos en el siguiente paso.

Paso 5: Tratamiento del riesgo

Ningún negocio tiene recursos ilimitados. Necesitarás decidir en qué riesgos deberías gastar tiempo, dinero y esfuerzo para abordar y cuáles caen dentro de tu nivel aceptable de riesgo.

Ahora que has analizado el impacto potencial de cada riesgo, puedes usar esos puntajes para priorizar tus esfuerzos de gestión de riesgos. Una matriz de riesgos puede ser una herramienta útil para visualizar estas prioridades (encuentra una plantilla gratuita de registro de riesgos + matriz de riesgos aquí).

Un plan de tratamiento de riesgos registra cómo tu organización ha decidido responder a las amenazas identificadas en tu evaluación de riesgos de seguridad.

La mayoría de las metodologías de evaluación de riesgos delinean cuatro posibles formas de tratar el riesgo:

• Tratar el riesgo con controles de seguridad que reduzcan la probabilidad de que ocurra
• Evitar el riesgo previniendo las circunstancias donde podría ocurrir
• Transferir el riesgo a un tercero (es decir, externalizar los esfuerzos de seguridad a otra compañía, comprar un seguro, etc.)
• Aceptar el riesgo porque el costo de abordarlo es mayor que el daño potencial

Paso 6: Control y mitigación del riesgo

Ahora es el momento de crear un plan de acción y decidir tus opciones de mitigación de riesgos. Los controles de riesgos pueden incluir procesos operativos, políticas y/o tecnologías diseñadas para reducir la probabilidad y/o el impacto de un riesgo.

Por ejemplo, el riesgo de pérdida accidental de datos puede mitigarse realizando copias de seguridad regulares de los sistemas de información que se almacenen en diferentes ubicaciones.

Cada uno de los riesgos identificados debería tener un responsable asignado que sea responsable de supervisar cualquier tarea de mitigación de riesgos, desde asignar plazos de implementación hasta monitorear la efectividad del control.

Fortalece tu organización contra amenazas con Secureframe

Sin importar cómo elijas monitorizar y gestionar el riesgo, es un proceso continuo. Una solución GRC todo en uno como Secureframe puede ayudarte a evaluar las salvaguardas de seguridad e identificar debilidades para proporcionar una imagen clara de tu perfil de riesgo y postura de seguridad.

Secureframe facilita la construcción y mantenimiento de procesos robustos de gestión de riesgos:

• Monitoriza riesgos 24/7: La monitorización continua a través de tu stack tecnológico proporciona visibilidad completa de problemas críticos de seguridad y privacidad. Rastrea y actualiza la probabilidad e impacto del riesgo, así como los planes de tratamiento de riesgos.
• Rastrea riesgos en una sola plataforma: Mantén un registro de riesgos actualizado a medida que introduces nuevos productos y servicios, tu entorno tecnológico cambia, o para incorporar hallazgos de auditorías internas o externas.
• Asigna responsables de riesgo: Recordatorios de notificación para revisar y actualizar regularmente los riesgos garantizan la responsabilidad.

Aprende más sobre cómo Secureframe puede ayudarte a construir una postura de seguridad fuerte y escalable agendando una demo hoy.