Ensayo: Gestión de Riesgos y el Zero Trust,
Como Complementarlos
Amauri Montalvo. Autor, Ingeniero en Sistemas.
organización o una persona que es la
información.
Fundación Universitaria Católica del Norte.
aemontalvo@soyucn.edu.co
Resumen- Este ensayo se realiza con el fin de
exponer el fruncimiento del modelo de sistema de
gestión de riesgo y el por qué es importante
desarrollarlo, sobre todo para las organizaciones
Un SGSI es para una organización el diseño,
implantación, mantenimiento de un conjunto de
procesos para gestionar eficientemente la
accesibilidad de la información, buscando asegurar
la confidencialidad, integridad y disponibilidad de
los activos de información minimizando a la vez los
riesgos de seguridad de la información.
Por otro lado, veremos el modelo Zero Trust el cual
está tomando gran auge entre las grandes empresas
de tecnología. Dicho modelo tiene cero confianza
con los usuarios que entran a la red y está en todo
momento verificando su identidad y monitoreando
lo que el usuario o la maquina hace mientras esta
en la red.
Abstract--This essay is done in order to expose the
framing of the risk management system model and
why it is important to develop it, especially for
organizations. An ISMS is for an organization the
design, implementation and maintenance of a set of
processes to efficiently manage the accessibility of
information, seeking to ensure the confidentiality,
integrity and availability of information assets
while minimizing information security risks.
On the other hand, we will see the Zero Trust
model, which is gaining momentum among
large technology companies. This model has zero
trust with users entering the network and is at all
times verifying their identity and monitoring what
the user or machine does while on the network.
Palabras claves-- Gestion de riesgo,
vulneravilidad, amenaza, mitigar, control de
riesgo, zero trust.
I INTRODUCCION.
Hoy en día vemos la gran relevancia que tiene la
seguridad informática, no solo para poder
contrarrestar ataques informáticos sino para
potreger los activos mas valiosos que tiene una
Para dar protección a dicha información nos
valemos de la gestión del riesgo que consiste en
un método para poder analizar, valorar y
clasificar el riesgo para luego crear o implemetar
mecanismos que permitan controlarlo.
Otra forma de poder proteger los información y
poder tomar desiciones es el modelo zero trust.
Al final poder establecer una relación entre la
gestión del riesgo y el zero trust y como se
pueden o no fortalecer.
II DESARROLLO DEL CONTENIDO.
En la cuarta era de la revolución industrial, casi
todo está almacenado digitalmente, nuestros
recuerdos, gustos, dinero, información. Para las
organizaciones ya sean grandes o pequeñas es de
vital importancia proteger y mantener todos estos
datos ya que es crucial para la continuidad de la
misma.
En esta era digital, las organizaciones que
utilizan sistemas tecnológicos para automatizar
sus procesos o información deben de ser
conscientes de que la administración del riesgo
informático juega un rol crítico.
La meta principal de la administración del riesgo
informático debería ser “proteger a la
organización y su habilidad de manejar su
misión” no solamente la protección de los
elementos informáticos. Además, el proceso no
solo debe de ser tratado como una función
técnica generada por los expertos en tecnología
que operan y administran los sistemas, sino como
una función esencial de administración por parte
de toda la organización
Para gestionar la seguridad de la información es
preciso contemplar toda una serie de tareas y de
procedimientos que permitan garantizar los
niveles de seguridad exigibles en una
organización, teniendo en cuenta que los riesgos
no se pueden eliminar totalmente, pero sí se
pueden gestionar.

En este sentido, conviene destacar que en la

práctica resulta imposible alcanzar la seguridad
al 100% y, por este motivo, algunos expertos
prefieren hablar de la fiabilidad del sistema
informático, entendiendo como tal la
probabilidad de que el sistema se comporte tal y
como se espera de él.

En palabras del experto Gene Spafford, “el único

sistema verdaderamente seguro es aquel que se
encuentra apagado, encerrado en una caja fuerte
de titanio, enterrado en un bloque de hormigón,
rodeado de gas nervioso y vigilado por guardias
armados y muy bien pagados. Incluso entonces,
yo no apostaría mi vida por ello”. [1]

El análisis del riesgo está determinado por 4 fases

que son: análisis, clasificación, reducción y
control.

La evaluación del riesgo incluye las siguientes

actividades y acciones:
 Identificación de los activos.
 Identificación de los requisitos legales y de
negocio que son relevantes para la
identificación de los activos.
 Valoración de los activos identificados,
teniendo en cuenta los requisitos legales y
de negocio identificados anteriormente, y el
impacto de una pérdida de confidencialidad,
integridad y disponibilidad.
 Identificación de las amenazas y
vulnerabilidades importantes para los
activos identificados.
 Evaluación del riesgo, de las amenazas y las
vulnerabilidades a ocurrir.
 Cálculo del riesgo.
 Evaluación de los riesgos frente a una escala
de riesgo preestablecidos.
Fig. 1 Proceso para la administración del riesgo en la
información
Ya para finalizar con el asunto de la gestión del
riesgo, considero importante concluir con las
estrategias más utilizadas para reducir (mitigar)
el riesgo
Evitar riesgos: Se debe salir de las actividades o
de las condiciones que dan lugar a riesgo;
eliminar la causa raíz.
Reducción de Riesgos o Mitigación:
Corresponde a las medidas tomadas para detectar
el riesgo, seguido por la acción para reducir la
frecuencia y/o el impacto de un riesgo. Al aplicar
los controles sobre las causas del riesgo, se
reduce la frecuencia del mismo o su
materialización futura.

Después de efectuar el análisis debemos Riesgo Compartido o Transferencia:

determinar las acciones a tomar respecto a los
riesgos residuales que se identificaron. Las
acciones pueden ser:
 Controlar el riesgo.- Fortalecer los controles
existentes y/o agregar nuevos controles.
 Eliminar el riesgo.- Eliminar el activo
relacionado y con ello se elimina el riesgo.
 Compartir el riesgo.- Mediante acuerdos
contractuales parte del riesgo se traspasa a
un tercero.
 Aceptar el riesgo.- Se determina que el nivel
de exposición es adecuado y por lo tanto se
acepta. [2].
Transferencia o distribución de una parte del
riesgo. Las técnicas más comunes son los seguros
y la subcontratación. Sin embargo, el riesgo no se
transfiere por completo al subcontratista o
aseguradora, la empresa sigue asumiendo parte
del riesgo y además se expone a otros riesgos
relacionados con la subcontratación o
aseguramiento.
Aceptación del riesgo: No se toman medidas
relativas con un riesgo particular, y la pérdida es
aceptada cuando se produce. Esto es diferente de
ignorar el riesgo. En ocasiones, se considera
aceptar el riesgo cuando mitigarlo resulta más
costoso que el mismo impacto que este pueda
producir a la organización
Por otra parte tenemos el modelo zero trust el
cual plantea un cambio en la manera de proteger
la información y la manera de acceder a ella.
Zero trust se basa en requerir una verificación de
identidad estricta para cada persona y dispositivo
que intenten acceder a los recursos de la red.
El modelo tradicional basado en el concepto de
perímetro, donde se protege el acceso desde fuera
y el usuario interno es de confianza, ya no es
válido. La deslocalización de los datos en
distintos centros de datos y nubes, así como el
acceso de terceros (proveedores e invitados)
desde dentro y fuera de la red hace más difícil
definir un perímetro.
¿Qué es el Zero Trust?
El modelo de seguridad de Zero Trust asume que
los actores que no son de confianza ya existen
dentro y fuera de la red. Por lo tanto, la confianza
debe ser completamente eliminada de la
ecuación. Zero Trust Security requiere poderosos
servicios de identidad para asegurar el acceso de
cada usuario a las aplicaciones e infraestructura.
Una vez que se autentica la identidad y se prueba
la integridad del dispositivo, se concede la
autorización y el acceso a los recursos, pero con
el privilegio suficiente para realizar la tarea en
cuestión. En lugar del viejo adagio "confía pero
verifica", el nuevo paradigma es "nunca confíes,
verifica siempre".
La seguridad efectiva de Zero Trust requiere una
plataforma de identidad unificada que consta de
cuatro elementos clave dentro de un solo modelo
de seguridad. Combinados, estos elementos
ayudan a garantizar un acceso seguro a los
recursos mientras que reducen
significativamente la posibilidad de acceso de los
malos
Para implementar la confianza cero en
seguridad, las organizaciones deben:
1. Verificar el usuario
2. Verificar su dispositivo.
3. Limitar el acceso y privilegio
4. Aprender y adaptar
Este enfoque debe ser implementado en toda la
organización. Ya sea que esté dando a los
usuarios acceso a las aplicaciones o a los
administradores acceso a los servidores, todo se
reduce a una persona, un punto final y un recurso
protegido. Los usuarios incluyen a sus
empleados, pero también a los proveedores y
socios comerciales que tienen acceso a sus
sistemas. Complicar el entorno con diferentes
sistemas para diferentes situaciones es
innecesario, y distintas herramientas pueden
introducir brechas en la seguridad. [3]
El análisis de riesgos es un proceso que
comprende la identificación de activos
informáticos, sus vulnerabilidades y amenazas a
los que se encuentran expuestos así como su
probabilidad de ocurrencia y el impacto de las
mismas, a fin de determinar los controles
adecuados para aceptar, disminuir, transferir o
evitar la ocurrencia del riesgo el zero trust sería
un modelo para evitar al máximo la posibilidad
de daños ya que con su modelo de verificación y
control dentro y fuera de la red puede darnos un
mejor control contra las vulnerabilidades y
amenazas tanto externas o internas. Con este
modelo podemos crear una arquitectura de
seguridad con la finalidad de preservar las
propiedades de confidencialidad, integridad y
disponibilidad de los recursos.
Entonces podemos decir que el zero trust puede
ser un gran complemento en el modelo de gestión
de riesgo sobretodo en la reducción del riesgo ya
que con el método de siempre estar verificando y
desconfiando del usuario o maquinas que están
en la red se puede reducir sustancialmente el
riesgo.
REFERENCIAS
[1] Alvaro Gonzales Vietes, Enciclopedia de la Seguridad
Informatica. 2ª Edicion [En línea]. Disponible
en:http:// Enciclopedia de la Seguridad Informática. 2ª
edición - Álvaro Gómez Vieites - Google Libros.
[2] Wikipedia. Information security management
systems(2006).Part 3. [En línea]. Disponible en:
https://es.wikipedia.org/wiki/Analisis_de_riesgo_info
rmatico
[3] Ruben Ramiro – Blog – Que es Zero Trust en
Ciberseguridad. [En línea]. Recuperado de:
https://ciberseguridad.blog/que-es-zero-trust-en-
ciberseguridad.