Para entender el proceso de gestión de riesgos de la seguridad de la información, primero es necesario definir los conceptos importantes vinculados a éste, tales como: amenaza, impacto, riesgo, control y vulnerabilidad.
La amenaza es un evento que puede desencadenar un incidente, produciendo daños en los activos (causados por el medio ambiente, la tecnología, los seres humanos, las organizaciones, etc.); el impacto, es la consecuencia de la materialización de la amenaza sobre un activo de información.
En tanto, el riesgo es la estimación del grado de exposición de un activo a que una amenaza se materialice sobre él, causando daños que conducen a un impacto adverso en la organización, es decir, indica lo que le podría pasar a los activos si no se protegen adecuadamente; el control permite garantizar que cada activo que se valoró con un cierto riesgo quede cubierto y auditable; y la vulnerabilidad se refiere a la debilidad de un activo o de un control que puede ser afectado por una o más amenazas.
La gestión de riesgos en la implementación de un sistema de gestión de seguridad de la información (SGSI) es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza que puede afectar a los activos de información en cuanto a su confidencialidad, disponibilidad e integridad, por lo tanto se deben implementar controles para protegerlos a través de una metodología.
La norma ISO/IEC 27005:2011 incluye: establecer el contexto, las condiciones y parámetros en los cuales se van a gestionar los riesgos; valoración, cuantificar y describir cualitativamente el riesgo, identificar las vulnerabilidades y amenazas, controles existentes y sus efectos en los riesgos identificados, determinar las consecuencias potenciales; identificación, realizar la valoración de los activos de información críticos considerando el impacto institucional de su pérdida o degradación.
Además considera el análisis, que se refiere a identificar y evaluar la probabilidad e impacto de la materialización de cada vulnerabilidad; evaluación, realizar la proyección del impacto financiero por la materialización de las amenazas, así como el costo-beneficio en relación con la criticidad del activo de información; y tratamiento, de acuerdo con los resultados de la evaluación anterior se establecen los criterios para dar tratamiento a cada uno de los riesgos identificados: aceptarlo o asumirlo, mitigarlo o evitarlo.
Finalmente se debe documentar y notificar a la alta dirección el resultado de la evaluación de riesgos, antes y después de implementar los controles para determinar la aceptación o no del riesgo residual.
Esto permite establecer estrategias para prevenir la ocurrencia de eventos potenciales que puedan impactar de manera negativa el logro de los objetivos de la organización.
Fuentes:
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT versión 3). Libro I. Método.