La gestión de riesgos es uno de los pilares de cualquier programa de seguridad de la información. Aquí entenderás qué es un riesgo, cómo se diferencia de una amenaza y qué decisiones puedes tomar para proteger tus activos sin frenar la operación de tu organización.

Todos gestionamos riesgos de forma inconsciente. Cuando frenas porque otro carro se cruza, estás evaluando una amenaza y aplicando un control. La diferencia es que, en seguridad informática, ese mismo razonamiento debe volverse un proceso estructurado.

¿Qué es una amenaza en seguridad de la información?

Una amenaza es cualquier circunstancia, condición o evento con el potencial de causar daño, pérdida o alteración no deseada a tus datos.

Las amenazas no siempre vienen de un atacante con teclado. Pueden tener orígenes muy distintos y conviene mapearlos antes de pensar en controles.

• Amenazas intencionadas por terceros con motivaciones comerciales, políticas, ideológicas o económicas.
• Amenazas naturales, como inundaciones que afectan un data center ubicado cerca de una fuente de agua.
• Amenazas internas, derivadas de errores humanos o accesos indebidos dentro de la organización.

¿Qué diferencia hay entre amenaza y riesgo? La amenaza es el evento que puede causar daño. El riesgo es la probabilidad de que esa amenaza explote una vulnerabilidad y genere un impacto negativo.

¿Qué es el riesgo y cómo se mide?

Desde la óptica de seguridad de la información, el riesgo es la posibilidad de que una amenaza se aproveche de una vulnerabilidad y cause un impacto negativo. Esa definición te permite asignar una probabilidad de ocurrencia y estimar el daño potencial.

Cuando hablamos de impacto, hablamos de cosas muy concretas: pérdidas financieras, daño reputacional o de marca, interrupciones operativas y violaciones a la privacidad de la información. La pregunta clave es cuánto vale ese activo y cuánto te dolería perderlo.

¿Cómo se relaciona el riesgo con tus activos?

Cada activo tiene un valor distinto para tu negocio. Un servidor con bases de datos de clientes no pesa lo mismo que un equipo de pruebas. Por eso el análisis empieza identificando qué proteges, contra qué y con qué urgencia.

¿Qué puedes hacer frente a un riesgo identificado?

No existe una sola respuesta. Tienes varias rutas y cada una tiene un costo y una consecuencia distinta para la operación.

1. Evitar el riesgo: dejar de realizar la actividad que lo genera. Suele implicar renunciar a una línea de negocio o a una investigación, así que rara vez es viable.
2. Transferir el riesgo: contratar una póliza con una aseguradora de riesgos informáticos. Técnicamente, la aseguradora compra tu riesgo a cambio de la prima que pagas.
3. Gestionar el riesgo: analizar la amenaza, su probabilidad y aplicar controles que reduzcan el impacto. Es la opción más común y la que sostiene un programa maduro de seguridad.

Piensa en el ejemplo del vehículo. Puedes no usarlo (evitar), comprar un seguro a todo riesgo (transferir) o parquearlo en un sitio seguro y ponerle GPS (gestionar). En seguridad de la información, las tres conviven según el activo y el contexto.

¿Qué significa transferir un riesgo? Es trasladar las consecuencias económicas de un incidente a un tercero, normalmente una aseguradora, mediante el pago de una póliza.

¿Qué es el riesgo intrínseco y el riesgo residual?

Para gestionar bien, necesitas separar dos momentos del análisis. Uno antes de aplicar controles y otro después. Esa distinción cambia toda la conversación con el negocio.

Riesgo intrínseco

El riesgo intrínseco es el que existe cuando no aplicas ningún control. Es el carro encendido, con las llaves puestas, en una calle sola. Calculas el impacto multiplicado por la probabilidad de ocurrencia y obtienes una foto del riesgo en bruto.

Riesgo residual

El riesgo residual es lo que queda después de aplicar contramedidas. Los controles casi nunca eliminan el riesgo, lo reducen. Si alguien intenta robar tu carro, el GPS no impide el robo, pero te permite recuperarlo. Quizá vuelva rayado y sin equipo de sonido, pero recuperas la mayor parte del activo.

Esa es la lógica de los controles en seguridad de la información: minimizar el impacto hasta un nivel que la organización pueda asumir conscientemente.

¿Qué es el riesgo residual? Es el riesgo que permanece después de aplicar controles o salvaguardas. Nunca llega a cero, pero se mantiene en un nivel aceptable para el negocio.

¿Cómo se conectan estos conceptos en la práctica?

Gestionar el riesgo es una conversación constante entre amenazas, vulnerabilidades, activos e impacto. Identificas qué te puede pasar, qué tan probable es, cuánto te costaría y qué control tiene sentido aplicar.

El objetivo no es perseguir el riesgo cero, sino tomar decisiones informadas. Cuéntame en los comentarios qué activos consideras críticos en tu organización y cómo los estás protegiendo hoy.