Cómo gestionar el riesgo aprovechando la norma ISO/IEC 27001

Por el Mtro. Pablo Corona Fraga
Experto en Sistemas de Gestión / Director Corporativo de Ventas Grupo NYCE

Cuando hablamos de gestión de riesgos, hay varias consideraciones y diferentes lados a considerar. En algunos campos o disciplinas existe un concepto de riesgo positivo; en otros, la gestión de riesgos es una herramienta sobre cómo abordar las oportunidades.

A veces, tendemos a intentar encajar todo tipo de riesgo en el mismo molde, pero no todos los riesgos son iguales. La familia de normas ISO 31000 incluye pautas para crear un proceso de gestión de riesgos,  partiendo de la comprensión del contexto de la organización, y de las necesidades y expectativas de las partes interesadas, para utilizarlas como base para establecer los objetivos, roles y mecanismos de comunicación de la organización.

Estas normas son aplicables a todo tipo de riesgo. Por ejemplo, los riesgos financieros, donde está muy claro por qué hablamos en el mismo punto de riesgos y oportunidades, ya que cada riesgo se toma para perseguir una oportunidad. Además, hay algunos aspectos medibles que ayudan a evaluar el riesgo asociado con la ganancia potencial que se puede obtener mezclada con la pérdida potencial.

Cuando se realiza una inversión, existen parámetros que pueden describir qué tan conservadora o agresiva es la inversión. Es factible encontrar información histórica, indicadores de rendimiento e índices de retorno. En este caso, es fácil ver que la inversión es un facilitador de negocios que utilizamos como palanca para aumentar la cantidad de dinero invertido. Una empresa que cotiza en una bolsa de valores que es muy estable producirá alguna ganancia sostenida, pero con un riesgo bajo que provocará que el beneficio obtenido también sea bajo.

Invertir en una empresa de nueva creación puede dar una tasa de retorno mucho más alta que la de la empresa estable, pero el riesgo es mayor. Puedes ganar a lo grande,  pero también puedes perder a lo grande.

Esto se aborda comúnmente construyendo una cartera de inversiones, que equilibrará el riesgo resultante con alguna cantidad en organizaciones estables que devolverán algo muy cercano a una renta fija, y alguna otra cantidad en empresas más agresivas que pueden dar grandes rendimientos pero la posibilidad de perder también es grande.

Dependiendo del apetito de riesgo del inversor, esta cartera puede tener una mayor porción en la parte agresiva o en la conservadora. Además, el riesgo tolerable es una parte de la inversión que según el perfil del inversor, se puede perder antes de volver a llamar a la inversión.

Traducir estos conceptos a la seguridad de la información y la Ciberseguridad parecía natural pero también es complicado, porque los riesgos en este otro ámbito se comportan de manera diferente. Aquí es donde reside la importancia de estándares como ISO / IEC 27005, con la integración de las mejores prácticas y lecciones aprendidas de muchas organizaciones y culturas, para que nosotros podamos adoptarlas y adaptarlas a nuestro contexto, con necesidades y objetivos, pero que se centran en considerar elementos específicos que pueden tener un efecto en la confidencialidad, disponibilidad e integridad.

En la norma también se incluyen anexos con ejemplos de metodologías de evaluación de riesgos, incluidas las centradas en activos, amenazas y vulnerabilidades, o algunas recientes que se refieren a escenarios de riesgo y modelos de amenazas.

Debemos considerar que estos procesos de gestión de riesgos son medios para introducir la tecnología como un facilitador de negocios, persiguiendo oportunidades. En muchos casos, el triunfo llega de primera mano, al contrario de lo que sucede muchas veces en los riesgos financieros.

Solo con instalar o implementar este tipo de estándares podemos trabajar más rápido,  desde cualquier lugar en todo momento. Con este tipo de esquemas, se abren nuevas opciones y se puede llegar a clientes o usuarios en lugares que serían imposibles de alcanzar sin este tipo de procedimientos. Este es el triunfo del que hablamos, con las oportunidades que se generan.

El tema que tratamos tiene gran similitud con el acto de firmar un contrato con un cliente que te da dinero al inicio del contrato. En este caso, si entregas el trabajo a tiempo, usas los recursos de manera eficiente y administras el proyecto adecuadamente, al final terminas ganando dinero. En caso contrario, si los entregables llegan tarde recibes una penalización; si no administras los recursos de una manera rentable, al final puedes perder dinero en lugar de ganarlo.

El proceso de gestión de riesgos debe alinear los objetivos de negocio con los objetivos de seguridad de la información, para poder evaluar, identificar y evaluar aquellos eventos que pueden tener un efecto en la información, los activos y los facilitadores del negocio, ya que si la información se ve afectada, los objetivos de negocio se ven comprometidos.

Cuando se habla de seguridad de la información y riesgos de Ciberseguridad, la ganancia se obtiene de antemano y la pérdida potencial permanece latente hasta que la información se corrompe o se pierde, o que los servicios no están disponibles, o bien, que alguien obtiene acceso no autorizado a información confidencial o para controlar las transacciones comerciales. Esta situación puede ocurrir a largo o a corto plazo pero, a la larga, algo sucederá eventualmente, y esto dependerá de aspectos como el beneficio que la organización pueda obtener a través de lo que puede ser controlado por estos procesos tecnológicos, por la exposición que tiene, por los puntos únicos de falla que tiene el sistema, o ya sea por lo complejo que es corromper el sistema sin ser notado,  entre otros.

Estos aspectos en realidad definen tanto la probabilidad del riesgo, como el tipo de medidas que podrían implementarse para reducir esta probabilidad. Entonces, si tomamos la exposición de este tipo de tecnología traducida en la certificación, lo que podemos medir es qué tan expuesta está mapeando desde dónde se puede acceder, ya sea desde un acceso físico a las instalaciones, a través de una red local o de Internet.

Además, es más probable que se materialice un riesgo si el número de usuarios o dispositivos es alto o no está autenticado. Estos se pueden usar como criterios para medir el riesgo y también brindan orientación sobre la identificación de cada usuario y dispositivo, de la identificación y reducción del número de componentes del sistema expuestos fuera de la organización, y finalmente, de la implementación de sistemas de registro y monitoreo para identificar actividades inusuales.

Por lo tanto, gestionamos los riesgos para maximizar las ganancias y reducir la pérdida.

Otro elemento a tomar en cuenta es poder comprender qué tan grande es el beneficio de introducir un habilitador de negocios, que nos ayudará a asignar la cantidad adecuada de recursos para administrar y controlar los riesgos derivados de esos facilitadores. Encontrar esa cantidad adecuada de recursos es clave para la gestión de riesgos y es un equilibrio difícil de encontrar.

Demasiados controles pueden tener efectos negativos sobre el negocio; no obstante, muy pocos controles pueden hacer que la organización sea frágil, expuesta y vulnerable. No sólo encontrar ese equilibrio es una tarea difícil ya que cuando se encuentra, debe mantenerse a pesar de que diferentes escenarios y condiciones se mantienen en constante evolución: la tecnología está avanzando, los ataques son cada vez más complejos y la dependencia de la tecnología por parte de las empresas cada día es mayor.

Es por eso que la gestión de riesgos requiere comenzar desde la parte superior de la organización, desde la comprensión de las necesidades y expectativas de las partes interesadas para establecer objetivos estratégicos de negocio. Acto seguido, se deben asignar roles, responsabilidades, recursos, capacitación y, en general, algún tipo de aparato organizacional que sea capaz de reunir elementos como: la comprensión de los riesgos en términos del negocio, la relevancia y la contribución de cada facilitador de negocios, incluyendo  las operaciones y sus diferentes componentes, como personas, herramientas, procesos; pero también la comprensión de la tecnología, sus riesgos en términos técnicos y cómo gestionar y administrar cada componente.

Este aparato organizacional es lo que llamamos un Sistema de Gestión de Seguridad de la Información/Ciberseguridad, que está diseñado para alinear todas estas diferentes visiones, perfiles, necesidades, expectativas, objetivos, actividades, indicadores, etc. de una manera integral que maximice las oportunidades mientras seas capaz de reducir los riesgos asociados a su persecución, de forma simultánea.

El estándar ISO /IEC 27001 es la referencia más utilizada para establecer este aparato como un Sistema de Gestión de Seguridad de la Información, estableciendo los requisitos que una organización debe seguir para establecer, implementar, operar y mejorar continuamente un sistema de gestión, que sea compatible con las necesidades del negocio, pero también, que le permita ser comparable con los objetivos comunes de otras partes interesadas fuera de la organización.

Este sistema de gestión es una herramienta que crea una estrategia de seguridad, trabajando de la misma manera con cartera de inversiones, con controles en diferentes niveles de la organización y de diferentes tipos (ya sean administrativos, físicos o lógicos), para identificar, proteger, detectar, responder y recuperar antes, durante y después de incidentes, evitando transmitir la seguridad completa en un solo control o grupo de personas,  alineando las necesidades y expectativas de los diferentes niveles de la organización con los objetivos de negocio.

Esto convierte al Sistema de Gestión de seguridad de la Información en un sistema de gestión de riesgos centrado en aquellos eventos que pueden tener un efecto sobre la confidencialidad, integridad o disponibilidad.

Podemos encontrar orientación sobre cómo implementar esta estrategia en base a los controles incluidos en ISO/IEC 27002, que son la base de una de las piedras angulares del sistema de gestión de la seguridad de la información, que es el proceso de gestión de riesgos.

Considerando que este proceso está en constante mejora y que puede presentar algún defecto, especialmente durante las etapas más jóvenes del establecimiento del sistema de gestión, la posibilidad de tener una lista de controles que debe compararse con los obtenidos de la evaluación de riesgos es un control en sí mismo, porque cualquier omisión de controles que el proceso de evaluación de riesgos pueda haber olvidado también puede incluirse después de esta comparación.

Por esta razón, podemos considerar que el Sistema de Gestión de Seguridad de la Información incluye un requisito para establecer una Declaración de Aplicabilidad, que comúnmente se ha entendido como una lista o subconjunto de esos controles en el anexo A de ISO/IEC 27001 (que proviene de ISO/IEC 27002), pero el requisito en ISO/IEC 27001 es comparar los controles resultantes del proceso de evaluación de riesgos con los del anexo A,  para evitar omisiones.

De hecho, esta lista de controles determinados podría alimentarse de diversas fuentes. Además de los resultados del análisis de riesgos, dichas fuentes podrían ser evaluaciones de impacto en la privacidad, controles obligatorios y medidas establecidas en requisitos legales o contractuales, otros marcos o referencias de control implementadas u ordenadas por clientes u otras partes interesadas.

A continuación, estos controles se comparan y complementan con los del anexo A o las normas específicas del sector, como ISO/IEC 27011, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27019, ISO/IEC 27701 u otro tipo de directrices y marcos, como la Guía de seguridad en la nube de ENISA para pymes o el marco de Ciberseguridad del NIST.

En la siguiente ilustración observamos cómo el conjunto de controles para una organización puede incluir diferentes fuentes, tipos o referencias:

2022-01-27T15:39:05-06:00enero 27th, 2022|Blog NYCE, Diciembre 2021|

About the Author:

Leave A Comment