Gestión de Riesgos y Oportunidades

Clase 10 de 22Curso de Certificación ISO 27001 para Empresas

Clase anteriorSiguiente clase

Resumen

La gestión de riesgos y oportunidades es un componente fundamental en la implementación de la norma ISO 27001, especialmente en su versión actualizada. Este aspecto optimizado permite a las organizaciones identificar, analizar y tratar adecuadamente las amenazas potenciales a la seguridad de la información, así como aprovechar las oportunidades para mejorar continuamente su sistema de gestión. Comprender estos conceptos es esencial para cualquier profesional que busque implementar o mantener un sistema de gestión de seguridad de la información efectivo.

¿Qué entendemos por riesgo y oportunidad en ISO 27001?

Antes de adentrarnos en la gestión de riesgos y oportunidades, es crucial comprender claramente estos conceptos fundamentales. Un riesgo se define como la probabilidad de que ocurra un evento que afecte la seguridad de la información de una organización, ya sea por ataque, error humano, falla técnica, desastre natural o similar.

En esta definición destacan dos elementos clave:

  • La probabilidad indica que el evento puede o no ocurrir, lo que implica que todo riesgo debe gestionarse, incluso si parece mínimo o insignificante.
  • El impacto se relaciona directamente con la afectación que podría generar en la empresa.

Por ejemplo, si una empresa utiliza una pasarela de pagos con mala reputación en seguridad, la probabilidad de un incidente es alta y el impacto sería considerable, afectando tanto las finanzas como la imagen corporativa.

Por otro lado, una oportunidad representa el lado positivo del riesgo. Se define como una situación o condición que, si se aprovecha adecuadamente, puede generar un beneficio o mejora para la organización y su sistema de gestión de seguridad de la información.

Es importante entender que al aprovechar una oportunidad, podríamos mitigar riesgos aún desconocidos. Por ejemplo, si identificamos como oportunidad el uso de inteligencia artificial para optimizar procesos de cartera, debemos prepararnos para aplicar mejores prácticas y entrenar adecuadamente el modelo para evitar filtraciones de información a personal no autorizado.

¿Cómo implementar una metodología efectiva de gestión de riesgos?

Todo riesgo necesita ser gestionado mediante metodologías documentadas que incluyan aspectos como:

  • Fórmula de cálculo de riesgos
  • Criterios de aceptación
  • Estrategias de tratamiento
  • Procedimientos para revisiones periódicas

Es común que en las organizaciones existan diferentes sistemas de gestión con metodologías distintas para gestionar riesgos, especialmente en empresas que cuentan con sistemas para temas ambientales u ocupacionales.

Para la seguridad de la información específicamente, la norma ISO 27005 proporciona pasos sencillos para una correcta gestión de riesgos. El proceso típico incluye:

  1. Identificación del riesgo
  2. Análisis del riesgo
  3. Evaluación del riesgo
  4. Tratamiento del riesgo

Las opciones de tratamiento generalmente incluyen:

  • Mitigar el riesgo: aplicar controles y buenas prácticas de seguridad.
  • Transferir el riesgo: delegar la responsabilidad a terceros.
  • Evitar el riesgo: cambiar el alcance del sistema para excluir ciertos activos no controlables.
  • Aceptar el riesgo: reconocer que se puede convivir con el riesgo si su impacto potencial es mínimo.

Recomendaciones prácticas para la certificación

Si estás preparándote para certificar tu sistema de gestión a corto plazo, considera estas recomendaciones:

  1. Analiza la caracterización de los procesos definidos en el alcance e identifica posibles riesgos que afectarían tus activos. Debes ponerte en el lugar de los ciberdelincuentes para anticipar amenazas.

  2. Contrasta los riesgos identificados con los controles del anexo A de la norma, verificando si cada control realmente mitigará el riesgo correspondiente. La ISO 27002 puede ser una guía útil en este proceso.

  3. Monitorea tanto riesgos como oportunidades, incluyendo las definidas en la matriz DOFA y los resultados de cada auditoría.

  4. Informa periódicamente a la dirección sobre la gestión de riesgos para obtener retroalimentación y garantizar la alineación con las metas del negocio.

¿Cómo gestiona una empresa real sus riesgos de seguridad?

El caso de Nutri Global ilustra cómo una organización implementa la gestión de riesgos y oportunidades en la práctica. Su sistema de gestión incluye:

  • Metodología de gestión de riesgos: define la fórmula de riesgo (impacto × probabilidad) y establece criterios de aceptación. En su caso, consideran aceptables los riesgos con puntaje entre 0 y 3.9, mientras que los superiores requieren tratamiento mediante controles de seguridad.

  • Matriz de riesgos: documenta los riesgos específicos asociados a los procesos definidos en el alcance. Entre los más importantes identificaron:

    • Fuga de información confidencial en el proceso de investigación y desarrollo (catalogado como riesgo crítico)
    • Compromiso de la plataforma de comercio electrónico (catalogado como riesgo alto)

  • Plan de tratamiento: para cada riesgo identificado, han mapeado controles específicos como protección contra malware y seguridad en servicios en la nube.

La identificación adecuada de riesgos es fundamental, ya que constituye la base del trabajo futuro en seguridad de la información. En la práctica, este análisis es el insumo real para los equipos de seguridad en las empresas.

Si has llegado hasta este punto en la implementación de tu sistema de gestión, estás cada vez más cerca de lograr la certificación ISO 27001. La gestión efectiva de riesgos y oportunidades no solo te ayudará a obtener la certificación, sino que fortalecerá significativamente la postura de seguridad de tu organización. ¿Qué desafíos has encontrado al identificar y gestionar los riesgos en tu organización? Comparte tu experiencia en los comentarios.