Respuesta eficaz ante el riesgo

Artículo "Respuesta eficaz ante el riesgo" de Miguel Angel Arroyo Moreno en la Sección "Hack & News" de la Revista Tecnología y Sentido Común #TYSC24 de noviembre de 2022

En el artículo anterior de esta sección hablábamos sobre la importancia de la gestión de riesgos, y que en ciberseguridad y seguridad de la información todo gira entorno a este proceso de gestión de los riesgos IT de una organización. De hecho, es la manera más eficaz y eficiente de dar respuesta a los riesgos al poner el foco y la atención en lo realmente importante para la organización; proteger sus activos de información y garantizar la continuidad de negocio.

La protección de los activos de información es crucial para las organizaciones, máxime teniendo en cuenta que cada vez hay más dependencia con la tecnología de la información, por lo que proteger adecuadamente los activos que dan soporte a los procesos críticos de la organización ayudará a la consecución de los objetivos de negocio de ésta.

Las organizaciones tienen que estar preparadas para dar una respuesta eficaz a los riesgos identificados durante la fase de evaluación de riesgos. Un plan de tratamiento permitirá a las organizaciones tener un control sobre los riesgos identificados, niveles de criticidad de cada riesgo (prioridad), información acerca de las amenazas causantes del riesgo, así como de las posibles vulnerabilidades y lo más importante, identificar cómo se va a responder al riesgo, es decir, cómo van a ser tratados.

En este punto, la decisión está en reducir, mitigar, transferir o aceptar el riesgo, pero en ningún caso omitirlo, ya que se trataría de una decisión irresponsable por parte de la organización. Transferir el riesgo a un tercero, como una póliza de seguro de ciberseguridad, puede ser una opción, y cómo no, aceptar el riesgo, siempre y cuando esté dentro de los niveles de aceptación del riesgo, es decir, del apetito al riesgo de la organización.

Las otras dos posibles respuestas, reducir y mitigar, se pueden afrontar de diferentes maneras, pero la más común es a través de la implantación de medidas de seguridad, ya sean físicas, técnicas o administrativas. Independientemente del tipo de medida, el objetivo de su implantación tiene que ser la reducción del riesgo, ya sea a través de la reducción de la probabilidad de que una amenaza se materialice o a través de la reducción del impacto en caso de que la amenaza llegue a materializarse. Siendo el cálculo del riesgo el resultado del producto entre estos dos factores (probabilidad e impacto), la reducción de cualquier de los factores dará como resultado la reducción del riesgo. Si se puede reducir ambos factores, mucho mejor.

Teniendo claro ya cómo puede una organización responder ante los riesgos, y descartando la transferencia o aceptación del riesgo, centrémonos en la reducción o mitigación del riesgo a través de la implantación de medidas de seguridad. Pero ¿cuáles son las mejores medidas de seguridad? No hay medidas peores o mejores. Hay medidas más o menos eficaces, y medidas más o menos eficientes.

A la hora de seleccionar las medidas de seguridad, buscando una respuesta eficaz ante el riesgo, podemos tener en cuenta una serie de criterios. Desde el punto de vista de la propia eficacia de la medida, podríamos decir que se busca la medida de seguridad que más reduzca la probabilidad o el impacto de una amenaza. El coste de la medida también es un factor a tener en cuenta, ya que, en la gestión de riesgos, la relación coste/beneficio es un elemento clave. Por ejemplo, no tendría sentido adquirir una solución de seguridad por valor de 10.000 euros para proteger un activo cuyo valor es inferior.

Además de la eficacia de la propia medida y su coste, podemos contemplar otro criterio a la hora de seleccionar las medidas; el coste de su mantenimiento. Hay medidas de seguridad, sobre todo las técnicas, que requieren de un conocimiento y experiencia por parte de las personas que realicen el mantenimiento sobre estas soluciones. Por ejemplo, podemos encontrar medidas de seguridad cuyo coste de adquisición es menor, pero que va a requerir que los técnicos se formen para mantener adecuadamente la solución, lo que puede incurrir en costes de formación y certificaciones, además de las horas invertidas en dicho mantenimiento.

De manera resumida, a la hora de seleccionar las medidas de seguridad para tratar los riesgos, podríamos destacar tres criterios; eficacia, coste de adquisición y coste de mantenimiento.

Las organizaciones reciben multitud de propuestas de fabricantes, con nuevas soluciones y tendencias para mejorar la protección de los activos de información de las organizaciones, pero el último producto “de moda” no siempre garantiza que sea la medida más adecuada para tratar los riesgos de la organización.

Para tratar de manera eficaz los riesgos, además de una correcta evaluación de estos, es necesario disponer de información que aporte valor y permita a los que toman decisiones, elegir la mejor opción para su organización, para una gestión eficaz del riesgo. En definitiva, para qua la organización, en términos de información, esté más segura.

Como siempre, espero que el artículo sea de vuestro agrado, interés y os pueda resultar útil.

¡Nos leemos!

Miguel Ángel es consultor de seguridad de la información, con certificación CISA de ISACA y 15 años de experiencia en el mundo de la ciberseguridad. Experiencia en auditorías de seguridad e implantación de SGSI (ISO/IEC 27001). Desempeña la labor de Director de Ciberseguridad, liderando la estrategia de seguridad para la gestión de riesgos IT. Es Co-Líder del Grupo de Expertos de Seguridad en la Asociación itSMF España. Profesor en varios másteres de ciberseguridad (UCLM, Universidad de Sevilla y Universidad de Córdoba). Es autor del blog hacking-etico.com, fundador de Hack&Beers y ponente en congresos de ciberseguridad de ámbito nacional.

Todo lo que un Directivo debe saber...

Ha llegado la hora de formar a la Alta Dirección

Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad