Las cuatro fases de la gestión del riesgo

Cursos Empresas Blog Live Conf Precios

Contenido del curso

Importancia de la seguridad de la información

Componentes clave de un programa de seguridad de la información

Gestión de riesgos

Continuidad del negocio

Software seguro

Diseño del equipo

Caso de estudio Platzi

19
Certificación ISO 27001: Implementación y Mejora Continua en Platzi
08:39 min

Tomar examen

Las cuatro fases de la gestión del riesgo

Resumen

Gestionar el riesgo no se reduce a evaluarlo. Si trabajas en seguridad de la información, necesitas una mirada completa que involucre a toda la organización, desde la alta dirección hasta quienes operan los sistemas. Aquí entenderás las cuatro fases de la gestión del riesgo y por qué cada nivel jerárquico aporta algo distinto al proceso.

¿Por qué la gestión del riesgo necesita una visión holística?

La gestión del riesgo funciona como una pirámide donde cada capa cumple un rol específico y todas se comunican entre sí.

En la cima está la alta directiva, que propone, visualiza y establece los objetivos estratégicos. En el medio aparece la gerencia media, que baja la táctica y gestiona los proyectos. Y en la base operan quienes están en la línea del frente: los equipos que manejan los sistemas de información y enfrentan las amenazas día a día.

¿Cómo fluye la información entre niveles?

A mayor nivel jerárquico, la visión del riesgo es más amplia y estratégica. A medida que bajas, te vuelves más táctico y operacional, con un conocimiento más fino de los riesgos concretos a los que están expuestos los sistemas.

Lo que buscas en este flujo es doble:

De arriba hacia abajo: transparencia en las decisiones estratégicas, para que la conciencia sobre el riesgo sea parte del día a día de todos.
De abajo hacia arriba: comunicación constante, feedback y refinamiento, que permita validar si las acciones están funcionando.

¿Quién es responsable de gestionar el riesgo en una organización? Toda la organización. La alta dirección define la estrategia, la gerencia media la opera y los equipos técnicos enfrentan las amenazas. Sin esa coordinación, la gestión falla.

¿Cuáles son las cuatro fases de la gestión del riesgo?

La gestión del riesgo se compone de cuatro funciones que operan de forma encadenada y cíclica.

¿Qué significa enmarcar el riesgo?

Enmarcar el riesgo es establecer el contexto para todas las decisiones que vendrán después. Esta primera fase define estratégicamente cómo se evaluarán los riesgos, cómo la organización responderá ante los que identifique y cómo los supervisará en el tiempo.

Sin este marco, las decisiones posteriores quedan sin rumbo. Es la base sobre la que se apoyan las otras tres fases.

¿En qué consiste la evaluación del riesgo?

La evaluación del riesgo es la fase más conocida en seguridad de la información. Consiste en entender el nivel de riesgo al que están expuestos tus activos de información, cruzando dos variables: las amenazas presentes y el impacto que podrían ocasionar.

No es la única fase, pero sí la que más visibilidad tiene en el sector.

¿Cómo se responde a un riesgo identificado?

Una vez evaluado el riesgo, la organización determina las medidas adecuadas alineadas a su tolerancia, lo que se conoce como apetito de riesgo. Aquí tienes cuatro caminos:

Evitarlo: cerrar una línea de comercialización o eliminar un área porque el riesgo es demasiado alto para asumirlo.
Transferirlo: contratar una póliza de seguro para dispositivos especializados de alta inversión.
Gestionarlo: establecer controles como cámaras de vigilancia, controles de acceso físicos u otros mecanismos.
Aceptarlo: asumir el riesgo si está dentro del apetito definido.

Lo más común en la práctica es gestionar el riesgo, aunque dejar de hacer la actividad también es una opción válida.

¿Qué es el apetito de riesgo? Es el nivel de riesgo que una organización está dispuesta a aceptar para alcanzar sus objetivos. Define qué tan agresivas o conservadoras serán tus decisiones.

¿Por qué supervisar el riesgo es clave?

La supervisión del riesgo se apoya en el ciclo de Deming y la mejora continua. Tu trabajo aquí es determinar si las medidas que tomaste para gestionar el riesgo siguen siendo eficientes y eficaces.

El modelo de negocio cambia. Las condiciones del entorno, las reglas, las leyes y el mercado son cambiantes por naturaleza. Si no revisas tus controles con esos cambios en mente, lo que hoy funciona mañana puede quedar obsoleto.

¿Cuál es la diferencia entre seguridad de la información y seguridad informática?

Esta distinción es importante porque define el alcance de tus controles.

Seguridad de la información: abarca todos los activos de información, tanto digitales como físicos. Incluye documentos en papel, archivos, contratos y cualquier soporte donde viva el dato.
Seguridad informática: se enfoca en la representación digital del dato. Aquí caen la mayoría de los controles modernos.

Muchas empresas con operaciones físicas y documentación en papel necesitan controles específicos para esos activos. Si solo proteges lo digital, dejas una puerta abierta.

Esta vista holística, que conecta los cuatro pasos con los tres niveles jerárquicos y reconoce todos los formatos del dato, es lo que te da una mejor posición para salvaguardar los intereses de la organización. ¿Cómo está aplicando tu equipo estas cuatro fases hoy? Cuéntame en los comentarios.

Juan Carlos Gutiérrez Ayala

Estudiante

Visión desde la directiva, gerencia media y áreas operacionales.

Arriba somos más estratégicos, bajando somos más operacionales.

4 fases para la gestión del riesgo:

Enmarcar el riesgo. Establecer el contexto para las decisiones.
Evaluación del riesgo.
Responder al riesgo. Las medidas adecuadas que tomaremos, de acuerdo con nuestra tolerancia al riesgo.
Supervisión del riesgo. Ciclo de Deming de la mejora continua. Eficacia continua de la respuesta a los riesgos e identificar los cambios.

Diego Fernando Ramos Aguirre

Gracias por el resumen.

Eloy Chávez Dev

Visión de la gestión del riesgo desde diferentes niveles de la organización:

Directiva:

Enfoque estratégico: La directiva se preocupa por los riesgos que pueden afectar la estrategia global de la organización, como la entrada de nuevos competidores o cambios en las regulaciones.
Toma de decisiones: La directiva utiliza la información sobre riesgos para tomar decisiones estratégicas, como la inversión en nuevos productos o la expansión a nuevos mercados.
Tolerancia al riesgo: La directiva establece la tolerancia al riesgo de la organización, que es el nivel de riesgo que la organización está dispuesta a aceptar.

Gerencia media:

Enfoque táctico: La gerencia media se preocupa por los riesgos que pueden afectar las operaciones diarias de la organización, como errores humanos o fallos técnicos.
Implementación de estrategias: La gerencia media implementa las estrategias de gestión del riesgo establecidas por la directiva.
Control de riesgos: La gerencia media se encarga de controlar los riesgos mediante la implementación de medidas de seguridad y la monitorización de los indicadores de riesgo.

Áreas operacionales:

Enfoque operativo: Las áreas operacionales se preocupan por los riesgos que pueden afectar su trabajo diario, como accidentes de trabajo o interrupciones del servicio.
Identificación de riesgos: Las áreas operacionales son las responsables de identificar los riesgos que pueden afectar su trabajo.
Comunicación de riesgos: Las áreas operacionales deben comunicar los riesgos a la gerencia media para que se puedan tomar las medidas necesarias.

Angie liliana Ocampo Sánchez

Diferencias importantes para apreciar

Seguridad de la información: son todos los activos de información, digitales y físicos.

Seguridad informática: se enfoca en la representación digital del dato.

Josue M.

Gracias !!

Miguel Angel Franco

1. Gestión de riesgo

Las 4 fases para la gestión del riesgo:

· Enmarcar el riesgo: Establecer el contexto para las decisiones basadas en el riesgo.

· Evaluación del riesgo: Con objetivo de determinar el nivel de riesgo a partir de las amenazas y vulnerabilidades.

· Responder al riesgo: Determinar las medidas adecuadas alineadas a la tolerancia al riesgo de la organización.

· Supervisión del riesgo: Ciclo de Deming de la mejora continua. Determinar la eficacia continua de la respuesta a los riesgos e identificar los cambios que afectan el riesgo.

Fernando Sánchez Mejía

¿Qué se entiende por Riesgo?

El riesgo 🚨, en términos generales, se refiere a la posibilidad de que ocurra un evento que tenga un impacto negativo 😬. En el contexto de seguridad de la información, el riesgo está relacionado con las amenazas que pueden explotar vulnerabilidades y causar daño, pérdida o alteración no deseada de datos.

Las estrategias para manejar el riesgo incluyen:

Evitar el riesgo: Aunque no siempre es posible, evitar actividades que presenten riesgos innecesarios puede ser una forma efectiva de gestión. Sin embargo, esto a veces puede privar de oportunidades 🚫.
Transferir el riesgo: Consiste en trasladar el riesgo a otra entidad. Un ejemplo es el seguro, donde se compra una póliza para transferir el riesgo financiero asociado a ciertos eventos 🔄.
Gestionar el riesgo: Este enfoque implica analizar las amenazas y evaluar la probabilidad de ocurrencia. Luego, se implementan controles para minimizar el impacto del riesgo. La gestión de riesgos es una práctica común en la ciberseguridad y otras áreas para proteger activos y datos 🕵️‍♂️.

El concepto de riesgo intrínseco se refiere al riesgo que está presente sin ningún tipo de control 🔄. En ciberseguridad, esto implica calcular el impacto y la probabilidad de ocurrencia de amenazas antes de aplicar controles. Cuando se implementan controles, se está minimizando el impacto del riesgo, pero es importante tener en cuenta que el riesgo nunca se elimina por completo.

El término riesgo residual se refiere al impacto que permanece después de aplicar controles 🔄.

Aunque se implementen medidas para reducir el riesgo, siempre existe un nivel residual que debe ser aceptado, ya que es difícil o imposible eliminar completamente todos los riesgos.

La gestión efectiva del riesgo implica evaluar y aceptar el riesgo residual de manera consciente y informada 🤔.

Francisco Marín

¿Qué es la mejora continua según Deming?Fue desarrollado por Edward Deming y consiste en un ciclo dinámico de cuatro etapas: Planificar, Hacer, Actuar y Verificar, que se puede emplear en procesos y proyectos de las organizaciones para mejorar continuamente su calidad.

Rene Rodríguez

Holístico ciberseguridad: proteger la confidencialidad de los datos de la compañía,administrar riesgo y asegurar el cumplimiento de los parámetros de seguridad establecidos.

Joselin paola Rivera Hernández

¿Por qué es mejor gestionar riesgos holísticamente?

Imagina un barco donde solo los marineros de cubierta tapan las fugas de agua, pero el capitán no sabe que el casco está dañado y sigue navegando hacia una tormenta. Gestionar los riesgos de forma aislada crea puntos ciegos fatales. Al adoptar una postura holística, conectas la visión estratégica de la alta dirección con la realidad táctica de quienes operan los sistemas día a día. Esto permite que las decisiones de negocio consideren las vulnerabilidades reales y que los equipos técnicos entiendan el impacto financiero o reputacional de un fallo. En la práctica, significa crear canales donde la junta directiva define el apetito de riesgo y los operadores de TI retroalimentan constantemente si los controles actuales son suficientes, logrando una defensa unificada y resiliente.

Josadec Pedraza

¿Qué se entiende por gestión de riesgo?

Se refiere al proceso de identificar, evaluar y controlar las amenazas que pueden afectar los activos de información de una organización. Implica analizar la probabilidad de que una amenaza explote una vulnerabilidad y el impacto que esto podría tener. Las opciones para gestionar riesgos son evitar, transferir o tratar de disminuir el riesgo. Es esencial para minimizar pérdidas financieras, daños a la reputación e interrupciones operativas.

¿Qué es una amenaza?: Cualquier circunstancia, condición o evento con el potencial de causar daño, perdida o alteración no deseada de los datos.

Existen varios tipos de amenazas en el contexto de la ciberseguridad:

Amenazas intencionadas: Actores maliciosos que buscan causar daño, como hackers o competidores.
Amenazas naturales: Desastres como inundaciones, terremotos o incendios que pueden afectar la infraestructura.
Amenazas internas: Empleados o contratistas que pueden comprometer la seguridad, ya sea intencional o accidentalmente.
4. Amenazas tecnológicas: Vulnerabilidades en software o hardware que pueden ser explotadas.

¿Qué se entiende por riesgo?

La posibilidad de que una amenaza explote una vulnerabilidad, causando un impacto negativo.

Los tipos de pérdidas que podrías enfrentar debido a riesgos en la seguridad de la información incluyen:

Pérdidas financieras: Costos asociados a incidentes de seguridad, como robo de información o interrupciones operativas.
Daños a la reputación: Pérdida de confianza por parte de clientes y partners tras un incidente.
Interrupciones operativas: Tiempo de inactividad que afecta la productividad.
Violaciones a la privacidad: Exposición de datos sensibles de clientes o empleados.

¿Qué hacemos con el riesgo?

Lo evitamos: Aunque no es común, pero se puede usar, Eso puede implicar parar operaciones
Lo transferimos: Se puede transferir el riesgo pagando un seguro, puede ser una póliza con un tercero.
Lo gestionamos: es la mejor opción y es analizar estas amenazas y su probabilidad de ocurrencia.
- Riesgo intrínseco: El asumir sin implementar ninguna protección, Calculamos el impacto sobre la probabilidad de ocurrencia. Es el riesgo que se incurre sin implementar ningún tipo de control. Se refiere a la exposición que tiene un activo cuando no se toman medidas de protección.
- Riesgo residual: Es el riesgo que queda después de aplicar controles o medidas de mitigación. Representa el impacto. restante que no se puede eliminar completamente.

MARIA TERESA PANIAGUA RIVERA

gracias

Importancia de la seguridad de la información

Implementación de un Programa de Seguridad de la Información

Seguridad de la Información: Implementación y Estrategia Empresarial

Componentes clave de un programa de seguridad de la información

Componentes Clave de un Programa de Seguridad de la Información

Elementos Clave de Políticas de Seguridad de la Información

Gestión de Incidentes: Ciclo de Vida y Mejores Prácticas

Cómo funciona CVE y CVSS en la práctica

Gestión de riesgos

Riesgo intrínseco vs residual en seguridad