Seguridad y riesgos en las TIC (III)

Nos van a disculpar la ausencia de estos días, pero diversas cuestiones nos han mantenido alejados del blog, y no hemos podido dejarnos caer por aquí. En cualquier caso, dicho eso y esperando que acepten las disculpas, volvemos con la tercera parte de la serie «Seguridad y Riesgos en las TIC» (uno, y dos), que se centra en el Análisis de Riesgos. Al igual que en otros «capítulos» de la serie, no esperen demasiada profundidad ni tecnicismos, ya que no es ese el propósito de esta serie.

El Análisis de Riesgos es una herramienta de diagnóstico utilizada para determinar la exposición de una organización a los riesgos. Sus objetivos son (a) identificar los riesgos mediante la identificación de sus elementos, (b) determinar el riesgo total o exposición bruta al riesgo, como combinación de los elementos que lo conforman, y (c) determinar el riesgo residual.

Comúnmente se calcula el valor del impacto promedio por la probabilidad de ocurrencia para cada amenaza y activo. De esta manera tendremos, para cada combinación válida de activos y amenazas:

RT (riesgo total) = Probabilidad x Impacto Promedio

Por ejemplo, si la probabilidad anual de sufrir un incendio es de 0,0001 y su impacto promedio en términos monetarios es 600.000 €, la exposición al riesgo anual es de 60. Al cálculo previo se debe agregar el efecto de medidas mitigantes de las amenazas, lo que generará el riesgo residual: el riesgo «que queda» tras la aplicación de las medidas implantadas para reducir los riesgos existentes. Estas medidas son conmunmente conocidas como controles, por lo que tendremos que el riesgo residual es una medida del riesgo total remanente después de contemplar la efectividad de las contramedidas implantadas.

De esta manera, siguiendo con el ejemplo planteado, si el riesgo total de la amenaza de incendio es 60, tras contratar un seguro sobre la totalidad de los activos, el riesgo residual resultante sería igual a cero; si en su lugar se asegurara por la mitad del capital, el riesgo residual sería igual a 30. Ni que decir tiene que el ejemplo está simplificado, con el único objetivo de ayudar a comprender los conceptos anteriores; en la realidad no es nada sencillo cuantificar adecuadamente los riesgos, y es habitual utilizar un enfoque cualitativo en lugar del anterior cuantitavivo, expresando los riesgos en escalas: alto, medio, bajo, o equivalentes.

El proceso de análisis descrito genera habitualmente un documento que se conoce como matriz de riesgo, en el que se muestran todos los elementos identificados, sus relaciones y los cálculos realizados. La suma de los riesgos residuales calculados será la exposición neta total de la organización a los riesgos. Simplificando, su resultado será positivo si decidimos asumir un cierto nivel de riesgo residual (lo que en términos anglosajones se conoce como el risk appetite de la organización), cero en el caso ideal (número justo de controles para mitigar todos los riesgos), o negativo si la organización se encuentra cubierta de cualquier riesgo pero tiene más controles de los necesarios (y por tanto su coste es superior al óptimo).

Realizar un análisis de riesgos es indispensable para llevar a cabo una administración adecuada de los riesgos, aspecto que consiste en gestionar los recursos de la organización para lograr un nivel de exposición determinado, generalmente establecido por el tipo de activo: a mayor criticidad del activo, menor exposición y viceversa. El ciclo de administración de riesgo se cierra (tras el análisis) con la determinación de las acciones a seguir respecto a los riesgos residuales identificados.

Acciones que pueden ser (a) controlar el riesgo, si se fortalecen los controles existentes o se agregan nuevos, (b) eliminar el riesgo, si se elimina el activo relacionado y por lo tanto el riesgo, (c) transferir el riesgo, traspasando parte de éste (o su totalidad) a un tercero (un ejemplo típico son los seguros), o (d) aceptar el riesgo, al determinar que el nivel de exposición es adecuado. La opción a escoger para administrar cada uno de los riesgos dependerá de diferentes factores, tanto económicos como estratégicos, teniendo en cuenta que las consecuencias asociadas a un determinado riesgo no siempre aceptan todas «opciones posibles»; se puede transferir el impacto económico de un robo en un banco a través de un seguro, pero no su impacto en la imagen de marca.

En la próxima entrada, veremos un poco más en profundidad el proceso de administración del riesgo como proceso continuo.

Comments

  1. Compañeros gran aporte al área de Riesgo, leí todo el contenido y me parece que esta muy bien organizado para profundizar en la Administración de Riesgos…

    Seguiré todo lo publicado por ustedes…

    Gracias….