Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Y Gestión de Riesgos
Conceptos generales
Riesgo: Es la probabilidad de que una amenaza (de cualquier
naturaleza) se convierta en un desastre. El riesgo de tecnológico y su
subrama el riesgo de ciberseguridad, hacen parte del grupo de
“Riesgos Operativos”
Riesgo Operativo: Riesgo operativo es aquél que puede provocar
pérdidas debido a errores humanos, procesos internos inadecuados o
defectuosos, fallos en los sistemas y como consecuencia de
acontecimientos externos.
Gestión de riesgos: Proceso de identificar, analizar y cuantificar las
probabilidades de pérdidas y efectos secundarios que se desprenden
de los desastres, así como de las acciones preventivas, correctivas y
detectivas correspondientes que deben emprenderse.
Gestión o gobernanza de riesgos de seguridad:
La gestión de riesgos en ciberseguridad es un proceso que tiene como
objetivo identificar, analizar, medir y gestionar los riesgos asociados a
la seguridad de la información. Establece controles de forma
preventiva contra las amenazas que pueden encontrarse y logra
reducirlas.
¿Cómo se mide el riesgo?
RIESGO = PROBABILIDAD x IMPACTO
Se mide el riesgo para estimar el impacto que la materialización de
un evento tendrá para la organización.
La medición puede ser cualitativa o cuantitativa, la más utilizada es
esta última, donde obtendremos un valor multiplicando los
factores probabilidad e impacto: RIESGO = PROBABILIDAD x
IMPACTO.
Saber que tan alto es un riesgo, nos ayudará a enforcar mejor los
esfuerzos en las contramedidas para evitar su materialización.
Ciberseguridad y Gestión de riesgos
Sin duda alguna, si queremos «empezar por el principio» en materia de
ciberseguridad en nuestra empresa, el análisis de riesgos es uno de los
trabajos más importantes a la hora de definir proyectos e iniciativas para la
mejora de la seguridad de la información. Si consideramos que las
herramientas tecnológicas y la información que manejamos son de gran valor
para nuestra organización debemos empezar a pensar en poner en práctica
un Plan Maestro de Seguridad.
Esto nos permite simplificar tanto la definición como la priorización de un
conjunto de proyectos en materia de seguridad de la información, dirigido a
reducir los riesgos a los que está expuesta la organización hasta unos niveles
aceptables a partir de un análisis de la situación inicial.
Dado que los sistemas son complejos y grandes,
La gestión de riesgos tenemos que tener claridad de cuáles serán los puntos
críticos donde vamos a poner esfuerzos y recursos
en un mundo digital para su protección.
Estamos aprovechando la
tecnología emergente para
mitigar los ciber riesgos?
¿Cómo empezamos?
Materializar la visión integrada de gestión de
ciber riesgo
Establecer un modelo de riesgo que priorice los activos de valor, comprenda
los riesgos críticos, el nivel de exposición y supervise las áreas de negocios;
requiere trabajar en los siguientes frentes:
Consideraciones clave:
Identifique los stakeholders del modelo.
Líneas de reporte oportunas y agiles
1. Estrategia y Gobierno
Es necesario un enfoque de gestión del riesgo de ciber seguridad que vaya
mas allá del grupo de seguridad de la información. El desafío es permear la
organización a través del modelo de las “tres líneas de defensa”.
1. Estrategia y Gobierno
Actores clave sobre las tres líneas de defensa
Un sólido marco de ciber riesgo identifica claramente el riesgo, la responsabilidad, el
gobierno y el monitoreo en las 3 LoD.
2. Modelo
La gestión del ciber riesgo tiene
como propósito la aplicación
sistemática e iterativa de políticas,
procedimientos y prácticas a las
actividades de identificación,
análisis, valoración y tratamiento
en materia de ciber riesgo.
El proceso de gestión de ciber Amenazas y
riesgo debe ser una parte integral ciber riesgos
en toma de decisiones
estratégicas y debe integrarse a la
estructura, la operación y los
procesos.
Durante el proceso de gestión del
ciber riesgo se considera los
contextos internos y externos y la
interacción dinámica del
comportamiento humano y de la
Metodología para la
cultura organizacional que lo
gestión del ciber riesgo
rodea, con el objetivo que esta
sea eficiente, eficaz y coherente.
2. Modelo
2. Modelo
2. Modelo
Inventario de activos y su clasificación.
Conjunto de amenazas a las que está expuesta
cada activo.
Evaluar el riesgo Conjunto de vulnerabilidades asociadas a cada
activo (si corresponde).
Conjunto de medidas de seguridad implantadas
Con esta información, nos encontramos en
condiciones de calcular el riesgo. Para cada par
activo-amenaza, estimaremos la probabilidad de que
la amenaza se materialice y el impacto sobre el
negocio que esto produciría. El cálculo de riesgo se
puede realizar usando tanto criterios cuantitativos
como cualitativos.