Gestión del riesgo en seguridad de la información: buenas prácticas clave
Gestionar el riesgo no es solo tecnología: es gobierno, decisión y negocio. 7 buenas prácticas con ISO 27005, ISO 31000, NIST RMF y CSF 2.0 como referencia.
No es solo tecnología
Gestionar el riesgo en seguridad de la información no es solo tecnología.
Es gobierno, decisión y negocio.
7 buenas prácticas recomendadas
1. Definir una metodología formal
Usa marcos reconocidos para asegurar consistencia y trazabilidad:
- ISO 27005: gestión de riesgos específica para seguridad de la información
- ISO 31000: marco general de gestión de riesgos
- NIST RMF (SP 800-37): framework de gestión de riesgos para sistemas de información
La metodología debe ser:
- Documentada y aprobada por la dirección
- Repetible y consistente entre evaluaciones
- Adaptada al contexto y tamaño de la organización
2. Identificar activos y procesos críticos
Protege primero lo que impacta la operación, la continuidad y el cumplimiento.
No todo tiene la misma importancia. La identificación de activos críticos permite:
- Focalizar recursos en lo que realmente importa
- Justificar inversiones con criterio de negocio
- Alimentar el análisis de impacto al negocio (BIA)
3. Evaluar el riesgo en términos de negocio
Considera impacto:
- Operacional: ¿se detiene la producción?
- Legal: ¿hay incumplimiento regulatorio?
- Financiero: ¿cuál es la pérdida estimada?
- Reputacional: ¿cómo afecta la confianza de clientes y mercado?
No solo técnico. El riesgo que el directorio necesita entender se expresa en impacto al negocio.
4. Definir apetito y tolerancia al riesgo
Sin esto, no hay decisiones claras ni priorización real.
- Apetito de riesgo: cuánto riesgo está dispuesta a asumir la organización para lograr sus objetivos
- Tolerancia: el rango aceptable de variación alrededor de ese apetito
- Capacidad de riesgo: cuánto riesgo puede absorber la organización antes de comprometer su viabilidad
Estos tres conceptos deben ser definidos por la dirección, no por TI.
5. Aplicar controles proporcionales al riesgo
Evita controles genéricos. Ajusta según criticidad y contexto.
Un control de $100.000 para mitigar un riesgo de $10.000 no tiene sentido. Un control de $1.000 para un riesgo de $10.000.000 tampoco.
La proporcionalidad es la clave de una gestión de riesgos madura.
6. Integrar el riesgo al gobierno corporativo
La ciberseguridad es un riesgo de negocio, no solo de TI.
El mapa de riesgos de ciberseguridad debe integrarse al mapa de riesgos corporativo, reportarse al directorio y gestionarse con la misma rigurosidad que los riesgos financieros u operacionales.
7. Revisar los riesgos periódicamente
El riesgo cambia con:
- Nuevas amenazas y vulnerabilidades
- Cambios en el negocio y la tecnología
- Evolución regulatoria
- Incidentes propios o del sector
Un ciclo de revisión trimestral como mínimo, con triggers de revisión ante eventos significativos.
Conclusión
Una gestión de riesgos efectiva permite anticipar, decidir y proteger la continuidad y reputación de la organización.
No es un ejercicio anual para el auditor. Es el proceso continuo que conecta la realidad técnica con las decisiones de negocio.
Referencias
- ISO 31000:2018 — Risk management Guidelines
- ISO/IEC 27005:2022 — Information security risk management
- ISO/IEC 27001:2022 — Information security management systems
- NIST SP 800-37 Rev. 2 — Risk Management Framework
- NIST CSF 2.0 — Cybersecurity Framework