Evaluaciones de Riesgos de Seguridad Informática: definición, tipos y pasos

Evaluación del riesgo

La evaluación de riesgos es fundamental para un programa sólido de seguridad de la información. Antes de que podamos implementar controles para prevenir un ataque, necesitamos saber el valor de lo que estamos protegiendo, la probabilidad de que ocurra una amenaza determinada, el costo de implementar el control preventivo y cómo tomamos la decisión de implementar el control. Entonces, la evaluación de riesgos es la disciplina de identificar los riesgos que representan amenazas para la organización, identificar los controles potenciales que podrían mitigar esos riesgos y el proceso de toma de decisiones para determinar si se debe implementar un control determinado contra un riesgo determinado.

Tipos de evaluación

Evaluaciones cualitativas

Una evaluación cualitativa es una metodología subjetiva que asigna una calificación a cada riesgo. Darle a un riesgo una categorización alta, media o baja es probablemente el método más común para hacerlo. Las evaluaciones cualitativas tienen la ventaja de no requerir metodologías ni cálculos especializados, lo que las hace más fáciles de comprender para quienes toman decisiones ejecutivas no capacitadas. Sin embargo, esto también es una desventaja porque hace que el proceso de toma de decisiones sea subjetivo y carece de especificidad al comparar los costos de los riesgos mismos versus la implementación de controles para mitigar los riesgos.

Evaluaciones cuantitativas

Una evaluación cuantitativa es más objetiva porque utiliza números para asignar un costo a los activos de una organización, la probabilidad de que ocurra una amenaza determinada, el valor esperado perdido en caso de que ocurra la amenaza y el costo de implementar la mitigación. Tener estos cálculos disponibles puede convertir la decisión de implementar un control en una decisión financiera sencilla.

Riesgos

Los riesgos se presentan de muchas formas y, a menudo, se clasifican de manera que separan los riesgos comerciales, los riesgos cibernéticos y los riesgos físicos entre sí. Sin embargo, en un programa adecuado de Gestión de Riesgos Empresariales (ERP) no deben estar segregados. El liderazgo empresarial piensa en el riesgo en el contexto de nuevos competidores, caídas del mercado y nuevas condiciones regulatorias. Un director de instalaciones piensa en el riesgo en términos de tormentas eléctricas, fugas de gas o el enojo de la pareja de un empleado en el estacionamiento. El CIO piensa en el riesgo en términos de un ataque de denegación de servicio, ransomware en la base de datos clave o una computadora portátil perdida con información corporativa confidencial almacenada en el disco duro.

Pero en el fondo, cada una de estas potencialidades se define como una amenaza: un posible suceso que tendría un efecto perjudicial en la organización si sucediera. El responsable de gestión de riesgos de la organización debe supervisar todos estos riesgos tanto en términos de probabilidad de ocurrencia como de costo de ocurrencia. Luego, el costo de implementar el control de contramedidas se compara con el riesgo y el liderazgo ejecutivo puede tomar una decisión.

Esa decisión puede tomar una de tres formas:

1. Mitigación de riesgos: pueden optar por implementar el control para reducir la probabilidad de que ocurra la amenaza.
2. Asignación de riesgo (también llamada transferencia de riesgo): pueden asignar el riesgo a un tercero, lo que generalmente implica una póliza de seguro.
3. Aceptación del riesgo: deciden que el costo de la mitigación es mayor que el riesgo y eligen no implementar ningún control.

Este proceso de determinar cuánto riesgo aceptará el liderazgo de la organización se conoce como apetito de riesgo.

Continuidad del negocio

Otro cruce de disciplinas involucra la función de planificación de la continuidad del negocio (BCP) de la organización. Los propietarios de BCP están a cargo del plan para mantener la continuidad de las operaciones en caso de un desastre o algún conjunto de circunstancias que de otro modo impedirían el funcionamiento de la organización. El ejercicio clave en el programa BCP es el desarrollo de documentos de Análisis de Impacto Empresarial (BIA). Los BIA son una colección de aportaciones de las líneas de negocio clave para determinar sus necesidades esenciales en caso de un desastre y su tolerancia al tiempo de inactividad antes de que las cosas se vuelvan críticas. Por ejemplo, el departamento de nómina identificaría que necesitan cinco computadoras con acceso a Internet para acceder a su aplicación alojada de procesamiento de nómina y que podrían tolerar treinta y seis horas de tiempo de inactividad a menos que sea uno de los dos días de procesamiento de nómina del mes, en cuyo caso un intervalo de doce horas es todo lo que se podría permitir. Luego, el equipo de BCP deberá tomar esa información de la BIA y conseguir que los equipos de soporte pertinentes determinen cómo satisfacer esa necesidad.

Es fácil ver entonces que la función del BCP y las funciones de riesgo deben interactuar ya que tienen aportes y objetivos superpuestos. Si el costo de un control para mantener el sistema de nómina en funcionamiento es alto y el liderazgo decide aceptar el riesgo, ¿qué sucede si el sistema falla y una parte de la fuerza laboral no ingresa porque no se les paga? Claramente, la toma de decisiones sobre qué riesgos mitigar y la función del BCP que maneja las consecuencias de una ocurrencia de riesgo deben estar en sintonía.

Resumen de la lección

La gestión de riesgos es una disciplina clave que debe comprender un aspirante a líder de TI. El proceso de determinación de los riesgos y controles requiere que la empresa decida si mitigar, asignar o aceptar los riesgos. Para determinar el riesgo, hay dos tipos de metodologías disponibles: el análisis cualitativo, más simple pero menos preciso, o el análisis cuantitativo, más complicado pero financieramente preciso . Determinar la filosofía de una organización sobre cuánto riesgo aceptará es encontrar lo que llamamos el apetito por el riesgo de la organización. Por último, la interacción entre el programa de gestión de riesgos y el Programa de Continuidad del Negocio debe ser intencional. El profesional de TI que desarrolle una sólida comprensión de estas ideas podrá brindar un gran valor a un empleador al contribuir a la toma de decisiones comerciales de la organización.

Articulos relacionados

• ¿Cuáles son los Tipos de Vacunas?
• ¿Cuáles son los Riesgos de Invertir en Acciones? Un Análisis Exhaustivo
• ¿Cuáles son los Riesgos del Embarazo Tardío?
• ¿Cuáles son los Tipos de Tejidos?
• ¿Cuáles son los Tipos de Seguros más Comunes?
• ¿Cuáles son los Principales Tipos de Democracia?
• ¿Qué riesgos existen durante el embarazo en adolescentes?