Análisis y gestión de riesgos

• Uno de los pilares de la gestión de la seguridad de la información se

encuentra en la gestión de riesgos, que, del mismo modo, también se
trata de unas de las actividades básicas que son establecidas en los
estándares de seguridad.
• De este modo, una cantidad importante de esfuerzos enfocados en la
protección de la información, los activos y el negocio deriva de los
resultados obtenidos de la valoración y priorización que se realiza a
los riesgos de seguridad. Estos son, en gran medida, utilizados para la
toma de decisiones.
• Generalmente, los riesgos se expresan en términos de la combinación
de la posibilidad de ocurrencia de un evento no deseado
(probabilidad) y sus consecuencias (impacto), por lo que las medidas
de seguridad están orientadas a reducir alguna de estas dos variables,
o en el mejor de los casos a ambas.
• la gestión involucra actividades que permiten dirigir, controlar, medir
y continuamente mejorar la organización a través de las estructuras
apropiadas. En términos de seguridad, la gestión consiste en la
supervisión y toma de decisiones orientadas a lograr los objetivos de
la empresa en materia de seguridad de la información.
• En el ámbito de los riesgos, se tiene como propósito principal mitigar
la materialización de amenazas, y para ello se realizan distintas
actividades y fases (valoración, tratamiento y aceptación de los
mismos). Si representamos gráficamente estas actividades y fases,
podemos observarlas de la siguiente manera:
• De acuerdo con las actividades:
• la identificación pretende conocer los activos más importantes para
una organización junto con las amenazas que podrían afectarlos.
• Posteriormente, el análisis de los riesgos permite caracterizar cada
uno de ellos para luego ser evaluados de forma en función de los
criterios. Todo esto se considera dentro de la fase de valoración.
• Una vez que los riesgos han sido evaluados y priorizados (valorados
en su conjunto), la siguiente fase tiene como propósito llevar a cabo
alguna actividad para su tratamiento: mitigar, eliminar, transferir o
aceptar. Esta etapa tiene como objetivo la definición de las acciones a
realizar con relación a los riesgos y la aplicación de controles de
seguridad.
• Mitigar. Consiste en implementar algún control que reduzca el riesgo.
• Transferir. Ocurre cuando se delega la acción de mitigación a un
tercero.
• Aceptar. Se presenta cuando el impacto es suficientemente bajo para
que la organización decida no tomar ninguna acción de mitigación o
cuando el costo de la aplicación de un control supera el valor del
activo
• La eliminación es una actividad ideal, ya que difícilmente se puede
reducir a cero un riesgo y generalmente se presenta cuando el activo
en cuestión deja de tener valor, por lo que los riesgos asociados
pueden ser descartados.
• Cuando se ha definido una acción para cada riesgo valorado, es
necesario que los resultados sean aceptados y las medidas de
seguridad aplicadas. Esto se vuelve necesario ya que, al aplicar una
contramedida o control, todavía se cuenta con un riesgo denominado
residual, es decir, un remanente que debe ser aprobado