Gestión de riesgos y oportunidades en ISO 27001

La gestión de riesgos y oportunidades en ISO 27001 es el corazón de tu sistema de seguridad de la información. Aquí entenderás cómo identificar, tratar y monitorear riesgos, además de aprovechar oportunidades para fortalecer tu organización rumbo a la certificación.

Si ya construiste tu matriz DOFA durante la fase de contexto, este es el momento de retomarla. Vas a darle vida con metodologías claras, criterios de aceptación y controles que realmente protejan tu negocio.

¿Qué es un riesgo y qué es una oportunidad en seguridad de la información?

Antes de gestionar, necesitas tener claros ambos conceptos. No son opuestos, son dos caras de la misma moneda [01:00].

Un riesgo es la probabilidad de que ocurra un evento que afecte la seguridad de la información de tu organización, ya sea por ataque, error humano, falla técnica o desastre natural. La palabra probabilidad te dice algo importante: el evento puede ocurrir o no, pero igual debes gestionarlo, por mínimo que parezca.

La palabra afecte se conecta con el impacto. Piensa en una pasarela de pagos con mala reputación de seguridad: la probabilidad de incidente es alta y el impacto sería gigantesco, porque pierdes dinero e imagen corporativa al mismo tiempo.

Una oportunidad, en cambio, es el lado positivo del riesgo. Es una situación que, si la aprovechas bien, genera un beneficio o mejora para tu sistema de gestión [02:10]. Si por ejemplo identificas el uso de inteligencia artificial para optimizar procesos de cartera, ya estás obligado a entrenar bien el modelo y aplicar buenas prácticas para evitar fugas a personal no autorizado.

¿Qué diferencia hay entre riesgo y oportunidad? El riesgo es la probabilidad de un evento negativo que afecta tu seguridad. La oportunidad es una condición que, si la aprovechas, mejora tu sistema y puede mitigar riesgos que aún no conoces.

¿Cómo se gestiona un riesgo según ISO 27005?

Todo riesgo necesita una metodología documentada. La norma ISO 27005 te entrega los pasos para hacerlo bien, sin reinventar la rueda [03:30].

El ciclo básico funciona así:

• Identificación del riesgo sobre los activos definidos en el alcance.
• Análisis y evaluación según fórmula de impacto por probabilidad.
• Tratamiento mediante controles y buenas prácticas de seguridad.
• Monitoreo permanente cuando el riesgo ya es bajo.

Cuando llegas al punto de tratamiento, tienes cuatro opciones reales. Puedes mitigar aplicando controles, transferir el riesgo a un tercero, evitarlo cambiando el alcance de tu sistema, o aceptarlo si reconoces que puedes convivir con él sin impacto grave.

La aceptación no es buena práctica, pero pasa más de lo que crees: empresas que permiten ingreso libre al centro de datos o usan cuentas genéricas para servicios cloud están aceptando riesgos sin decirlo abiertamente.

¿Qué debe contener tu metodología documentada?

No basta con decir que gestionas riesgos. Tu metodología debe dejar claros estos puntos:

• Fórmula de riesgo (típicamente impacto por probabilidad).
• Criterios de aceptación con puntajes definidos.
• Opciones de tratamiento disponibles.
• Frecuencia de revisiones periódicas.

Si tu empresa ya tiene otros sistemas de gestión, como ambiental u ocupacional, ten cuidado. Cada uno maneja sus propias reglas y metodologías, y mezclarlas te puede complicar la auditoría.

¿Cómo aplica NutriGlobal la gestión de riesgos y oportunidades?

NutriGlobal creó un apartado específico en su sistema de gestión con tres elementos: metodología, matriz de riesgos y plan de tratamiento [05:40].

Su fórmula es impacto por probabilidad. Los criterios de aceptación funcionan así: riesgos entre 0 y 3.9 se aceptan, y riesgos superiores a 3.9 deben tratarse con controles de seguridad. Esto le da al equipo un umbral claro para decidir dónde invertir esfuerzo.

En la matriz aparecen los riesgos puntuales asociados al alcance. Dos de los más relevantes:

• Fuga de información confidencial en investigación y desarrollo, catalogada con nivel crítico y con controles ya mapeados.
• Compromiso de la plataforma de comercio electrónico, con nivel alto y controles como protección contra malware y seguridad en servicios en la nube.

¿Qué controles usar para mitigar un riesgo crítico? Apóyate en el anexo A de ISO 27001 y en la guía ISO 27002. Cada control debe responder a un riesgo concreto, no aplicarse por inercia.

¿Qué recomendaciones seguir si vas a certificar pronto?

Si tu meta es certificarte en el corto plazo, estas cuatro acciones marcan la diferencia [04:50]:

1. Toma la caracterización de procesos del alcance y mapea qué riesgos afectarían tus activos. Ponte en el lado oscuro y piensa cómo actuaría un ciberdelincuente.
2. Contrasta cada riesgo con los controles del anexo A y verifica si realmente lo mitigan. Apóyate en ISO 27002.
3. Monitorea oportunidades, no solo riesgos. El auditor te lo va a preguntar, y deben aparecer tanto en la matriz DOFA como en los resultados de auditoría.
4. Informa periódicamente a la dirección de tu empresa. Ellos deben estar enterados para darte retroalimentación y alinear todo con las metas del negocio.

¿Por qué el auditor pregunta por oportunidades? Porque ISO 27001 exige que las oportunidades se monitoreen igual que los riesgos. Son fuente de mejora continua y demuestran madurez del sistema.

Dedica tiempo de verdad a la identificación de riesgos. Ese ejercicio es el insumo diario de los equipos de seguridad y la base de todo el trabajo que viene después. ¿Tú ya empezaste a mapear los riesgos críticos de tu organización? Cuéntame en los comentarios cuál fue el primero que detectaste.