Bienvenida al Curso

Hola, mi nombre es Santiago Ingold, soy Licenciado en Computación, especializado en Seguridad de la Información. Tengo 9 años de experiencia en tecnología y seguridad en el ámbito bancario y soy el fundador de Black Pitbull, una plataforma online de gestión de la seguridad de la información.

En este curso vamos a hablar de cómo gestionar los riesgos de la seguridad de la información, alineados a la norma ISO 27.005. Veremos las definiciones y procesos definidos en la norma, así como también recomendaciones prácticas para que nuestra gestión de riesgos sea exitosa.

Al finalinzar el curso, podrás realizar una evaluación onilne para obtener un certificado de participación, sin costo.

Comencemos.

Puedes ver el contenido en video o leer el contenido más abajo.

Cuando termines puedes completar el cuestionario para obtener tu certificado aquí: Link a cuestionario

Por otro lado, en BlackPitbull creamos una aplicación para gestionar los riesgos de seguridad de forma simple y amigable en forma alineada a la norma ISO 27.005. Puedes ver una demo de la aplicación en menos de 10 minutos aquí:


Introducción

La seguridad de la información es el proceso de mantener la confidencialidad, integridad y disponibilidad de la información. Pero si algo nos ha enseñado la experiencia es que no existe nunca un 100% de seguridad. No importa cuantos controles, sotware, herramientas, capacitación tengamos en cuenta, si hay un atacante lo suficientemente motivado y con los suficientes recursos, siempre es posible vulnerar un sistema.

De esta realidad surge la necesidad de atacar los problemas de la seguridad desde el punto de vista de la gestión de riesgos. La gestión de riesgos nos permite evaluar que situaciones pueden ser más peligrosas para la organización y hacer un análisis de costo-beneficio para los nuevos proyectos que queramos implementar. De esta forma podremos aprovechar los esfuerzos de seguridad en aquellos puntos más importantes.

Pero ¿Que es un riesgo?

En forma intuitiva todos entendemos más o menos a que nos referimos cuando hablamos de un riesgo. Es algo malo que podría llegar a ocurrir.

Según la norma ISO 27.000 un riesgo es el “efecto de la incertidumbre sobre los objetivos”. Si bien esta definición incluye dentro de los riesgos cosas positivas o negativas, tradicionalmente, el trabajo sobre riesgos se centra en los riesgos que tienen un impacto negativo sobre los objetivos de la organización.

En general, además, un riesgo se expresa como la combinación del impacto del posible evento y su probabilidad de ocurrencia. Es decir, si la probabilidad o el impacto son mayores, el riesgo será mayor.

Proceso de la gestión de riesgos según ISO 27.005

La norma ISO 27.005 establece un proceso para la gestión del riesgo que consta de varias etapas relacionadas entre sí. Éstas son:

  • Establecimiento del contexto
  • Evaluación del riesgo
    • Identificación del riesgo
    • Análisis del riesgo
    • Valoración del riesgo
  • Tratamiento del riesgo
  • Aceptación del riesgo
  • Comunicación y consulta del riesgo
  • Seguimiento y revisión del riesgo

En primer lugar, se debe establecer el contexto del proceso de gestión, cuál va a ser la metodología, los valores y los criterios para gestionar los riesgos. Luego de establecido el contexto se pasa a la etapa de evaluar el riesgo, esta evaluación consta de la identificación del mismo, el análisis del nivel de riesgo y la valoración que permite definir si son o no aceptables. Con los resultados de la evaluación del riesgo, se pasa a la etapa de tratamiento, donde se definen acciones para llevar el riesgo a niveles aceptables. Por último, las actividades de comunicación, monitoreo y registro son actividades que aplican a todo el proceso de la gestión de riesgos y deben ser consideradas desde el incio hasta el final.

Recomendaciones Prácticas

A nivel práctico, la primera recomendación es considerar el proceso de gestión de riesgos como algo iterativo y que será cada vez más completo con el paso de las iteraciones. En ese sentido, la recomendación es que la primera evaluación de riesgos tenga un alcance y profundidad limitado, que permita obtener resultados en poco tiempo. Esto ayudará a que desde la alta gerencia y la dirección se pueda percibir rápidamente el valor de la gestión de riesgos y que las personas encargadas vean que su trabajo da resultados en poco tiempo. Luego con cada nueva iteración se aumenta el alcance y la profundidad del trabajo, basándose en los resultados obtenidos en la iteración anterior. Por ejemplo, es preferible tener varias evaluaciones sucesivas en el correr de un año, que tener una sola, aunque el alcance final sea el mismo. El trabajo iterativo, además, permite ajustar el alcance en respuesta a nuevas amenazas que puedan surgir y sean de mayor interés para la organización.

Establecimiento del Contexto

Esta primera etapa consiste en definir el alcance y los límites para la gestión, los criterios de trabajo y la organización necesaria para realizar esta tarea.

Para esta tarea se debe tener en cuenta el contexto de la organización, tanto interno como externo. El contexto externo incluye el mercado en que se desempeña la organización, el contexto político/económico, las leyes y regulaciones que se deban cumplir, entre otros. Por otro lado, el contexto interno refiere a los objetivos organizacionales, la capacidad financiera de la organización, la infraestructura tecnológica, la disponibilidad de recursos para la gestión de riesgos, etc. Todos estos factores afectan el alcance y el foco que tendrá la gestión de riesgos, así como también los riesgos que se analizarán.

El alcance de la gestión define cuáles grupos de riesgos vamos a analizar. Este alcance puede ser total (para toda la organización), parcial por procesos o unidades de negocio, por escenarios de riesgo, por activos críticos, etc. Este alcance nos permitirá tener un foco adecuado para el análisis de riesgos.

Los criterios de trabajo establecen el enfoque de gestión de riesgos, como se van a valorar los riesgos, su probabilidad e impacto y que riesgos resultan o no aceptables para la organización.

El enfoque de la gestión puede ser de alto nivel (general) o de bajo nivel (detallado). La ventaja de un enfoque de alto nivel es que permite la definición de prioridades para acciones de mejora en menor tiempo, además, genera resultados que pueden ser difundidos hacia la dirección de la organización. Por otro lado, un enfoque más detallado permite tener resultados más específicos e implementar acciones acotadas a los resultados que lo requieran, pero a cambio requiere de más recursos y horas de trabajo.

La valoración de los riesgos puede ser cualitativa o cuantitativa. Cualitativa significa evaluar los riesgos por categorías, las más simples son “Alto”, “Medio” y “Bajo”; esto aplica tanto para la probabilidad como el impacto de un riesgo, así como para los niveles de control que puedan existir. Una valoración cuantitativa apunta a evaluar el impacto como un número (en general una estimación de daño monetario) y la probabilidad como un porcentaje de ocurrencia en un año, de esta forma el riesgo sería la pérdida esperada en un año por ese riesgo (es decir, el costo de impacto multiplicado por la probabilidad de ocurrencia).

Recomendaciones prácticas

Comenzar por la definición de la organización de la gestión, debido a que los recursos son en general limitados e influyen mucho en la forma de implementar la gestión de riesgos.

Alcance lo más limitado posible para obtener resultados en poco tiempo e ir creciendo con el tiempo y las iteraciones. Evitar a toda costa el alcance total inicial.

Comenzar con una evaluación de alto nivel e ir bajando el nivel en los puntos que se consideren más críticos a medida que avanzan las iteraciones.

A menos que se cuente con información particular que permita nutrir una evaluación cuantitativa, se recomienda utilizar una evaluación cualitativa. Las categorías pueden incluir referencias cuantitativas, por ejemplo, considerar el nivel de impacto como “alto” si constituye una pérdida mayor a 10.000 USD. Esto permite manejar umbrales cuantitativos (más objetivos) pero realizar un análisis cualitativo.

Evaluación de los Riesgos

La evaluación de riesgos consiste en identificar, analizar y valorar los riesgos. Como vimos antes, un riesgo se puede ver como la combinación de la probabilidad de ocurrencia de un evento adverso y el impacto que la ocurrencia de ese evento pueda tener. Esta evaluación permite priorizar los distintos riesgos y las correspondientes acciones correctivas a implementar.

Es recomendable ejecutar la evaluación de riesgos en forma iterativa. Primero se identifican los riesgos de alto nivel y luego se profundiza en los de nivel más alto.

Identificación de los riesgos

El primer paso de la evaluación del riesgo es la identificación, es decir, identificar qué situaciones podrían ocurrir y afectar los objetivos de la organización.

Para identificar los riesgos, primero debemos identificar los activos. Un activo es algo que tiene valor para la organización y por lo tanto requiere protección. Un activo de información es información que tiene algún tipo de valor para la organización, independientemente de que sea en soporte físico o digital. Por definición, si un riesgo es algo que afecta los objetivos de la organización, tiene que afectar algún activo. Por eso es que debemos en primer lugar identificar los activos.

No puede existir un riesgo sobre un activo, si no existe una amenaza que pueda afectarlo. Por eso, debemos identificar las potenciales amenazas a nuestros activos. Una amenaza es una causa potencial de un incidente no deseado, que podría resultar en un daño a un sistema u organización. Las amenazas pueden ser de origen natural o humano, internas o externas, accidentales o deliberadas. Es importante tener en cuenta todas estas características e identificar amenazas de todos los tipos.

Una vulnerabilidad es una debilidad en un activo o control, que puede ser explotada por una o más amenazas. De esta forma, cada amenaza podrá estar asociada a distinto tipo de vulnerabilidades. Hay que tener en cuenta que cuando hablamos de vulnerabilidades, no nos referimos solamente a vulnerabilidades de software, sino que pueden ser controles insuficientes, procesos mal definidos, incluso las personas pueden ser una vulnerabilidad dentro de un proceso.

Un control es una medida que modifica un riesgo. Un control puede ser tecnológico, de procedimiento, de política, físico, entre otros. Se deben identificar los controles existentes y a que activos y de que amenazas los protegen. Los controles pueden afectar el impacto o la probabilidad de ocurrencia del riesgo, incluso podrían afectar a ambos.

Finalmente llegamos a la identificación de los riesgos, que consiste en identificar que amenazas pueden afectar a cuáles activos y que controles están implementados al respecto.

Recomendaciones prácticas

Para reducir la cantidad de riesgos, optar por identificar activos más genéricos, por ejemplo, “Documentos físicos de clientes”, en lugar de identificar cada tipo de documento diferente como un activo diferente. De la misma forma, es recomendable iniciar con un catálogo de amenazas más general, por ejemplo “ataque informático”, en lugar de manejar cada tipo de ataque por separado. En ambos casos, esto permite reducir la cantidad inicial de riesgos a analizar y posteriormente tratar. En iteraciones siguientes se puede aumentar el nivel de detalle en aquellos riesgos que puedan ser más altos o donde puedan existir más diferencias.

Para la identificación de amenazas, se pueden utilizar inventarios de amenazas existentes, informes sobre las amenazas más comunes para una determinada industria, el registro de incidentes ocurridos en la organización, entre otros. La variedad del origen de la información de amenazas que se utilice, dará como resultado una identificación de riesgos más amplia.

Puede ser de utilidad para asignar las amenazas a los riesgos, tener en cuenta el tipo de los activos y las amenazas que aplican para cada tipo de activo. Por ejemplo, una amenaza de ataque informático no aplica para un activo en soporte papel.

Análisis de los riesgos

Luego de identificados los riesgos, debemos analizarlos, lo cual implica varios pasos.

El primer paso es analizar el nivel de riesgo inherente, es decir, el riesgo antes de aplicar cualquier control. En este momento debemos imaginar que no se cuenta con ningún control implementado, por ejemplo, si pensamos en un riesgo de infección por software malicioso, debemos analizar el nivel de riesgo sin tener en cuenta controles como la existencia de un firewall, software antivirus, etc.

Para calcular el nivel de riesgo debemos utilizar la metodología definida en el establecimiento del contexto. Esta metodología incluye los niveles a utilizar y como se realizan los cálculos. El nivel de riesgo inherente será la combinación del nivel de impacto del riesgo y el nivel de probabilidad de ocurrencia del riesgo.

Luego de analizado el nivel de riesgo inherente, el siguiente paso es analizar el nivel de los controles implementados. Teniendo en cuenta los controles identificados que apliquen para cada riesgo, debemos asignar un nivel de control. Este nivel de control se puede estimar directamente o como combinación de la estimación de efecto sobre el impacto y la probabilidad de ocurrencia.

Finalmente, dado un nivel de riesgo inherente y un nivel de riesgo residual, nuevamente se combinan para dar un resultado de riesgo residual, es decir, el riesgo que queda luego de aplicados los controles.

También se debería tener en cuenta para los riesgos, el impacto que tengan en el negocio, ya que no es lo mismo, por ejemplo, que ocurra un problema en una aplicación si es de uso interno que si se utiliza para la atención en tiempo real de los clientes. Al igual que antes, se puede definir una forma de combinación del nivel de riesgo con el nivel de criticidad del proceso de negocio.

Recomendaciones prácticas

Como dijimos antes, en general es conveniente utilizar una metodología de evaluación cualitativa, ya que la evaluación cuantitativa requiere de datos más confiables y detallados para dar resultados realistas. En general, si se utilizan niveles como “Alto”, “Medio” y “Bajo” para la evaluación de impacto y probabilidad, se debe definir cuál es el resultado de cada combinación como nivel de riesgo residual (aplica igualmente para los controles y riesgo residual). Es posible asignar un número a cada nivel y establecer algún tipo de relación matemática para automatizar en una planilla de cálculo, el nivel de riesgo resultante. Pero es importante tener en cuenta que lo matemático del cálculo, no hace que deje de ser algo cualitativo y subjetivo.

Valoración de los riesgos

Luego de identificados y analizados los riesgos, se debe valorar los riesgos, es decir compararlos contra los límites de riesgo establecidos en el contexto.

Hay tres límites de riesgo que se pueden establecer. El apetito de riesgo, la tolerancia de riesgo y la capacidad de riesgo. Todas las actividades humanas llevan un riesgo implícito, el apetito de riesgo es el nivel de riesgo que la organización quiere asumir para la realización de sus actividades. La tolerancia de riesgo es la variación aceptable desde el apetito de riesgo y por último la capacidad de riesgo es el nivel máximo de riesgo que la organización puede soportar sin ver comprometido su funcionamiento.

El apetito de riesgo es el nivel principal que se debe establecer, mientras que los otros dos son opcionales ya que permiten un trabajo más detallado sobre los riesgos.

La valoración de riesgos consiste en comparar el nivel de riesgo obtenido en cada caso contra el apetito definido. Si el nivel de riesgo es menor o igual al apetito, consideramos que es un riesgo aceptable y no requiere de más acciones. Si el nivel de riesgo es mayor al apetito establecido, es un riesgo que requiere algún tipo de tratamiento adicional. Aunque no es lo más común, se puede considerar que los riesgos que están por debajo del apetito establecido, son riesgos que están sobre controlados, donde se podría mejorar la eficiencia reduciendo los controles existentes. Este último enfoque no es muy utilizado, pero si es importante conocerlo.

Tratamiento de los riesgos

Un riesgo tiene 4 tipos de tratamientos posibles: retener el riesgo, modificar el riesgo, evitar el riesgo e intercambiar el riesgo.

Para los riesgos que están por debajo del apetito definido, el tratamiento por defecto debería ser retener el riesgo, ya que no requiere de acciones adicionales. Para los que estén por debajo, se debería definir algún tipo de tratamiento que permita reducir el nivel a uno igual o menor al apetito definido.

La modificación de riesgo significa agregar o modificar controles que permitan reducir más el impacto o la probabilidad del riesgo para que sea un riesgo aceptable.

Evitar el riesgo significa evitar de alguna forma la actividad o condición que hace que un riesgo sea posible. Esto puede ir desde evitar por completo una actividad, hasta algo menos drástico como no guardar información sobre un proceso para evitar los riesgos asociados a mantener esa información registrada.

Intercambiar el riesgo (también conocido como transferir el riesgo) significa que, debido a determinada acción, el riesgo pasará a ser responsabilidad de un tercero. Formas típicas de intercambio de riesgo pueden ser la tercerización de la actividad que genera el riesgo, o la contratación de un seguro. Algo importante a tener en cuenta es que el intercambio del riesgo puede generar nuevos riesgos que también se deben considerar.

Para casos especiales en que no se pueda reducir el riesgo a niveles aceptables (con o sin tratamiento), debido a la naturaleza del riesgo, a restricciones presupuestales, entre otros, se puede definir explícitamente la retención de un riesgo por encima del apetito definido. En estos casos es importante que la decisión sea justificada y aprobada por quienes corresponda y quede debidamente registrada.

Recomendaciones prácticas

Al momento de elegir las opciones de tratamiento, se debe tener en cuenta no solo la evaluación de los riesgos sino también los costos de implementación de las acciones, la capacidad real de la organización de implementar esas mejoras, los tiempos esperados de implementación y los beneficios esperados de ésta.

Como recomendación general, es conveniente implementar acciones que sean económicas y viables que den resultados en tiempos cortos, antes que embarcarse en proyectos de largo plazo, cuyos resultados sean visibles mucho más adelante. Esto no significa que no se deban implementar proyectos de largo plazo, pero es más conveniente utilizar la evaluación de riesgos como justificación del proyecto y no utilizar el proyecto como tratamiento de una evaluación de riesgos.

Sobre el intercambio del riesgo, hay que tener en cuenta que en general no es posible intercambiar todo el riesgo, sino una parte, por ejemplo, el impacto reputacional en general no se puede transferir.

Cada tratamiento debería tener al menos un responsable y un plazo de implementación, de esta forma se asegura que, para una fecha definida en el futuro, se alcanzaría un nivel de riesgos aceptable.

Aceptación de los riesgos

Esta es la última etapa del proceso de gestión de riesgos en sí. En esta etapa se define que los riesgos evaluados y el correspondiente plan de tratamientos definido llevan el riesgo de la organización a niveles aceptables.

Es recomendable que la decisión de aceptar el riesgo sea tomada al mayor nivel jerárquico posible y que dicha decisión quede registrada formalmente. Se deben agregar cualquier tipo de observación o comentarios que se consideren necesarios, en particular si se aceptan riesgos por encima del apetito definido.

Comunicación y consulta del riesgo

Durante todo el proceso de gestión de riesgos, es necesario comunicar a todas las partes interesadas, las distintas decisiones tomadas y los resultados obtenidos. Es una actividad que se debe tener en cuenta desde el inicio y durante todo el proceso de gestión de riesgos.

Esta comunicación es importante por varios motivos, pero en particular, genera compromiso en la organización, este compromiso además ayuda a que se obtenga más información y de mejor calidad y además, hace que la percepción de riesgo de los distintos involucrados sea más uniforme.

Si los recursos disponibles lo permiten, es recomendable generar un plan de comunicación de riesgos y que la comunicación sea continua.

La comunicación que incluya a los tomadores de decisiones puede canalizarse a través de un comité donde participen todas las partes interesadas y se registren las decisiones.

Seguimiento y revisión del riesgo

La realidad cambia constantemente, las organizaciones modifican sus procesos, incluyen nueva tecnología para hacer frente a las demandas de los clientes. Todo esto hace que los riesgos sean dinámicos y estén en constante cambio.

Por este motivo es importante hacer un seguimiento y revisión de los riesgos de forma periódica, para actualizar los valores de activos, impactos, amenazas, probabilidades, etc.

Además de las revisiones periódicas, determinados eventos pueden desencadenar una revisión. Ejemplos de estos eventos pueden ser incidentes graves, cambios importantes en procesos de negocio, implementación de nuevos sistemas, cambios regulatorios, nuevas amenazas identificadas, entre otros.

Por otro lado, se debe hacer un seguimiento, revisión y mejora del proceso de gestión de riesgos en sí mismo. Durante todo el proceso se debe hacer un seguimiento que garantice que el contexto y las condiciones siguen siendo válidas. Finalmente, todas las situaciones que se identifiquen como oportunidades de mejora para el proceso y sus resultados, debería registrarse de alguna forma y ser tenido en cuenta para las siguientes iteraciones del proceso.

Cierre

Hastá acá llega el curso de introducción a la gestión de riesgos alineado a la norma ISO 27.005.

Primero que nada, muchas gracias por haber participado y felicitaciones por haber llegado hasta el final.

En esta lección te dejo un link a un formulario donde podrás completar un cuestionario para obtener tu certificado, puedes hacer el cuestionario las veces que quieras.

Por otro lado, en BlackPitbull creamos una aplicación para gestionar los riesgos de seguridad de forma simple y amigable en forma alineada a la norma ISO 27.005. Puedes ver una demo de la aplicación en menos de 10 minutos aquí:

o contactarnos a [email protected] para coordinar una prueba de la aplicación sin compromiso.

De nuevo, muchas gracias por participar y espero que el curso haya sido de utilidad.

El cuestionario lo puedes completar en este link: Link a cuestionario