Gestión del Riesgo

Mediante este artículo pretendí generar un primer acercameinto a la gestión del riesgo bien definida tal como figura en ISO 27005, explicando la esencia de dicho proceso y tratando de hacérsela llegar a todo el mundo. Si os es más cómodo al final del post hay un enlace para descargar la revista en la que se publicó donde además podreis encontrar otros artículos muy interesantes. Os dejo con la gestión del riesgo.

INTRODUCCIÓN

Todos manejamos el riesgo cada día en nuestras vidas; no cruzamos los semáforos en rojo, tratamos de ser puntuales en el trabajo, dedicamos tiempo a la gente que tenemos cerca... Esto también es manejar o gestionar el riesgo, pero lo hacemos de forma inconsciente. El término riesgo, no resulta fácilmente definible en primera instancia, sin embargo, abordándolo desde lo cotidiano se puede llegar a una definición sencilla; "el riesgo es la probabilidad de que suceda un acontecimiento adverso ante unas circunstancias determinadas". En los ejemplos anteriores estamos manejando el riesgo de forma intuitiva, conocemos las posibles consecuencias y, con el fin de evitarlas, tomamos precauciones reduciendo (mitigando) dicho riesgo.

Sin embargo, esto que en nuestra vida resulta tan intuitivo y consideramos natural, en la mayor parte de los casos no se ha trasladado a la vida empresarial, por lo que se ha caído en un ambiente de incertidumbre en el que se prefiere estar ciertamente en lo incorrecto que vagamente en lo acertado. No existe pues una base sobre la cual justificar las inversiones de la empresa en tecnologías de información y sus servicios asociados para que éstas sirvan a la consecución de sus objetivos de negocio.

Las empresas, todas y cada una de ellas, desarrollan su actividad en un ambiente sujeto a múltiples amenazas, algunas de ellas comunes y otras dependientes de la actividad de la empresa. De esta forma, todas las empresas que se encuentran en una zona con actividad sísmica están sujetas a la amenaza de un terremoto y sin embargo las amenazas es-pecíficas de un banco tienen poco que ver con las de una empresa textil puesto que sus áreas de negocio son muy disjuntas. Algo parecido sucede con las vulnerabilidades, aunque éstas son inherentes al activo (sobre esto puede leer más aquí). Un papel es vulnerable al agua, un CPD a un incendio o un ordenador portátil a una caída. Sin embargo, los activos que podemos encontrar al igual que las vulnerabilidades variarán y dependerán de la actividad de la organización, si bien hoy día muchos activos son comunes a todas las organizaciones, los PCs son un claro ejemplo.

A buen seguro, sea cual sea la actividad de una organización, su dependencia de la información que maneja la hace vulnerable a su pérdida, indisponibilidad o revelación, lo que le puede provocar desde pequeñas molestias, pasando por multas de diferente cuantía, repercusiones a su imagen y hasta su completa desaparición en casos extremos. No en vano, nos encontramos en la sociedad de la información, y ésta se ha convertido en el activo más importante para el buen desempeño de las actividades en las organizaciones.

Con el objetivo de proteger la información organizacional, han surgido diferentes metodologías y normas que pretenden sentar las bases para la implantación de un Sistema de Gestión de Seguridad de la Información (en adelante SGSI) que permita establecer los procesos necesarios para manejar y gestionar la información de forma segura dentro de la organización. Una de estas normas es la ISO 27001 en la que se establecen un conjunto de cláusulas relacionadas con la gestión de un SGSI y 133 controles que deben ser implementados por una organización con el objetivo de proporcionar seguridad a la información que maneja y de la cual se sustenta.

Vamos a ilustrar el proceso de Gestión del Riesgo con un ejemplo lo más cercano posible a nuestro día a día y exponiendo la esencia de dicho proceso con el objetivo de familiarizarnos con este proceso que es, sin duda alguna, el corazón del SGSI.


En un día soleado decidimos salir a dar un paseo por nuestra bonita ciudad y nos encontramos con que debemos cruzar una calle transitada. A lo largo de nuestras vidas hemos aprendido una serie de controles que mitigan los riesgos subyacentes de tener que cruzar una calle, sin embargo, nuestro cerebro obra de forma automática y nosotros no nos paramos a pensar en las implicaciones que ello realmente tiene y en cómo hemos pasado de cruzar la calle sin mirar por cualquier parte a cruzarla por un paso de peatones, esperando a que el semáforo esté en verde y mirando a ambos lados de la carretera.

¿Qué es lo que hacemos realmente?, ¿Qué proceso seguimos inconscientemente?, ¿Podemos inspirarnos en nuestro comportamiento y extrapolarlo al ámbito empresarial?.
El proceso de Gestión del Riesgo se puede dividir en varias fases mediante las cuales se consigue un objetivo. Estas fases quedan expuestas en los puntos siguientes.

ESTABLECIMIENTO DEL CONTEXTO

Lo primero que tenemos que tener claro es dónde queremos llegar y qué estamos dispuestos a tolerar. Debemos por tanto Establecer el objetivo y fijar los criterios:

• Establecer el objetivo: Nuestro objetivo es cruzar una calle transitada.

• Fijar los criterios: Establecer los criterios bajo los cuales estamos dispuestos a cruzar la calle. Un criterio bastante prudente puede ser: “no estoy dispuesto a cruzar la calle si no se me garantiza razonablemente que mi integridad física no corre peligro”.

Nos ponemos manos a la obra a ver qué acciones podemos llevar a cabo con la intención de conseguir nuestro objetivo.

EVALUACIÓN DEL RIESGO

El proceso de Evaluar el Riesgo consta de dos partes bien diferenciadas. En la primera de ellas se Analiza el Riesgo al que se está sujeto, en nuestro caso, a lo riesgos derivados de cruzar una calle. Mientras que en la segunda se deben priorizar esos riesgos para saber a qué debo prestar más atención y destinar el mayor número de recursos.

Análisis de Riesgos
El análisis de riesgos es el diagnóstico de la situación, ¿a qué me expongo?. Es una fase crítica puesto que si el diagnóstico es equivocado, el tratamiento también lo será. Podemos hacer un símil claro con un caso médico en el que si se nos diagnostica mal y se nos da un tratamiento basado en ese mal diagnóstico, difícilmente nos recuperaremos.

Podemos encontrar aquí dos subfases:

Identificación del riesgo: Identificar las amenazas, las vulnerabilidades, y las posibles consecuencias:

• Amenazas: Aquello que puede causarnos algún daño. ¿Qué puede frustrar nuestro objetivo?. En circunstancias normales, la mayor amenaza la suponen los vehículos, sin embargo, un obstáculo en la calzada puede constituir también una amenaza.

• Vulnerabilidades: ¿Qué cualidades nos hacen vulne-rables?. Somos vulnerables en esta situación por nuestra condición humana, porque nos encontramos en pié y nos disponemos a cruzar la calle. Nuestra condición y entorno nos hace vulnerables al tráfico y a los obstáculos.

• Consecuencias: Vamos a identificar las posibles consecuencias que podemos tener en función de nuestras vulnerabilidades. Los vehículos pueden provocarme un golpe si cruzo sin precaución y un obstáculo en la carretera, una caída.

Estimación del riesgo: Basándonos en las posibles consecuencias y su probabilidad de ocurrencia, debemos estimar cuál es el nivel de riesgo al que estaríamos sometidos. Esto ha de hacerse sin tener en cuenta ninguna de las medidas que se puedan imponer o se hayan impuesto, de lo contario estaríamos calculando lo que se denomina riesgo residual (estaríamos asumiendo que los controles funcionan). Para poder hacer la estimación necesitamos una escala sobre la cual valorar (estimación cualitativa) o un método para calcular ese riesgo (estimación cuantitativa). En este caso vamos a emplear una escala muy sencilla de 3 valores (Bajo, Medio y Alto) y vamos a estimar los riesgos de forma intuitiva por simplicidad. Por tanto, el escenario es que cruzamos la calle para llegar al otro lado de forma inmediata y sin pensar. Podemos determinar que por la condición y el entorno tenemos un riesgo Medio de sufrir una caída en caso de que haya un obstáculo y un riesgo Alto de sufrir un golpe causado por el tráfico.

Valoración de Riesgos
Decidir en base a nuestros criterios, es decir, mantener nuestra integridad, qué riesgos son más importantes. En este caso, dada la simpleza del ejemplo y los niveles bajo los que se clasifican los riesgos tras su estimación, este paso es trivial, pero imaginemos que tuviese varios riesgos en cada nivel de clasificación. En esta fase tendríamos que establecer un orden. Dado que no es el caso, nos vamos a salvaguardar de los riesgos de golpe y caída en el citado orden. Este orden nos da una idea de a qué hay que dedicarse con más cuidado, a qué hay que poner más atención y recursos.

TRATAMIENTO DEL RIESGO

Ver qué opciones tengo para lidiar con los riesgos que me supone cruzar la calle. Las opciones son:

• Reducir o mitigar el riesgo: Aplicar contramedidas o controles que nos permitan minimizar el riesgo hasta que lo considere aceptable. Cruzar la calle con un nivel de riesgo que nos permita asegurar al máximo posible nuestra integridad física.

• Aceptar el riesgo: No aplicar controles, simplemente aceptar los posibles riesgos.

• Evitar el riesgo: No cruzar la calle.

• Transferir el riesgo: Al tratarse de nuestra integridad física, nada puede compensarnos cualquier incidente que podamos sufrir, de forma que ésta no es una opción para nuestro ejemplo. Si bien, en el caso organizacional, tiene sentido contratar un seguro para determinados incidentes de forma que, de suceder, la empresa obtiene una compensación económica.

Consideramos que nuestra opción para ambos riesgos es mitigarlos, tenemos claro que queremos cruzar y ahora debemos decidir qué acciones llevar a cabo. Vamos a dirigirnos hasta un paso de peatones, a comprobar que no hay obstáculos para cruzar al otro lado, a situarnos en la acera a una distancia prudencial de la calzada y en una zona con no mucha gente, a esperar a que el semáforo se ponga en verde y una vez que lo haga, miramos a ambos lados de la calzada y cruzamos con la mayor de las garantías.

ACEPTACIÓN DEL RIESGO

Ya hemos decidido qué debemos hacer y aceptamos el riesgo residual que podamos correr una vez aplicadas todas las acciones descritas. Estamos pues de acuerdo a que esas medidas son suficientes para que nuestra integridad física corra el mínimo riesgo.

CONCLUSIONES

Éste ejemplo, nos ha mostrado cómo se puede analizar algo que para nosotros resulta tan cotidiano como cruzar una calle desde la perspectiva del proceso de Gestión del Riesgo, sin embargo, el entorno organizacional es, si cabe, mucho más complejo, no tenemos que proteger una persona sino todas las que integran la organización, y aunque las personas siempre son lo más importante, desde el punto de vista de su gestión económica, la información que se maneja en la organización y cómo se trata es crucial para su supervivencia y la consecución de sus objetivos.

Trasladando el ejemplo desarrollado a lo largo de este artículo a la información que manejan las organizaciones, obtenemos lo que se conoce como Gestión de Riesgos de Seguridad de la Información.

Se han pasado por alto algunas fases de la gestión del riesgo que pueden verse en ISO 27005 así como tareas muy importantes cuando tratamos de trasladar esto al mundo organizacional como es la asignación de responsabilidades (quién hace qué) con intención de no enmarañar aun más algo que de por sí, incluso en un ejemplo como el que se ha mostrado, resulta difícil.

Lo importante es la esencia. Si no nos paramos a pensar qué es para nosotros lo más importante y evaluamos y gestionamos los posibles riesgos, tenemos una venda en los ojos y en cualquier momento puede ocurrir una contingencia que dé al traste con muchos años de trabajo.

Cada vez más, al igual que en otros campos como la prevención de riesgos laborales, en la seguridad de la información la filosofía pasa de reactiva a preventiva. Ya no basta con tener las copias de seguridad, hay que poner los controles necesarios para que esas copias de seguridad no tengan que utilizarse y en caso de que así sea, para que se garantice que son correctas y que albe-gan los datos necesarios para cubrir las expectativas de recuperación del negocio.

En toda carrera siempre hay un primer paso y en ésta el primero es hacerse la pregunta; ¿Puede mi negocio sobrevivir sin mi información?.

Este artículo apareció primero en CTICRM digital nº2 Abril de 2009 revista de libre difusión.

Salu2