Scribd
Cargar
157 vistas6 páginas

Estrategias para Mitigar Riesgos Efectivamente

El documento describe el proceso de mitigación de riesgos, que incluye identificar, evaluar y aplicar controles para reducir riesgos. Existen cuatro soluciones para mitigar riesgos: asumir, evitar, reducir o transferir el riesgo. El análisis de costo-beneficio determina qué controles implementar. El proceso continúa monitoreando nuevos riesgos y reevaluando los existentes.

Cargado por

deiberramirezgallego
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
157 vistas6 páginas

Estrategias para Mitigar Riesgos Efectivamente

El documento describe el proceso de mitigación de riesgos, que incluye identificar, evaluar y aplicar controles para reducir riesgos. Existen cuatro soluciones para mitigar riesgos: asumir, evitar, reducir o transferir el riesgo. El análisis de costo-beneficio determina qué controles implementar. El proceso continúa monitoreando nuevos riesgos y reevaluando los existentes.

Cargado por

deiberramirezgallego
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

Mitigación del riesgo

La mitigación del riesgo es una metodología sistemática para reducir riesgos. Se basa en priorizar,
evaluar e implementar los controles apropiados de reducción de riesgos recomendados por el
proceso de evaluación del riesgo. La implementación del mejor curso de acción puede variar
dependiendo de la organización.

Hay cuatro soluciones alternativas para mitigar el riesgo:

1. Asumir el riesgo: Aceptar el riesgo potencial y continuar operando, o implementar controles


para reducir el riesgo a un nivel aceptable

2. Evitar el riesgo: Eliminar la causa y/o consecuencia del riesgo

3. Reducir el riesgo: Limitar el riesgo mediante la implementación de controles que minimizan el


impacto negativo de una amenaza que explota una vulnerabilidad

4. Transferir el riesgo: Utilizar otras alternativas para compensar las pérdidas, como la adquisición
de una póliza de seguro.

Tras identificar los posibles controles y evaluar su viabilidad y efectividad, se realiza un análisis de
costo-beneficio para determinar los controles apropiados a los que se asignarán recursos. Su
objetivo es demostrar que los costos de implementación de controles pueden justificarse con la
reducción del nivel de riesgo.

El análisis de costo-beneficio abarca:

El impacto de la implementación de los controles (nuevos o mejorados);

El impacto de la no implementación de los controles (nuevos o mejorados);


Costos de la implementación: hardware y software, políticas y procedimientos, personal y
capacitación, y mantenimiento;

Costos y beneficios en relación con la criticidad del sistema y los datos.

Una vez se ha establecido el costo de la implementación, y al comparar sus resultados, puede


decidirse si se implementan o no medidas de control de riesgos.

Análisis y evaluación

Es probable que tanto la red (componentes y aplicaciones de software) como las políticas de
personal y seguridad cambien con el paso del tiempo. Estos cambios significan que aparecerán
nuevos riesgos y los riesgos anteriormente mitigados pueden volver a aparecer. Por lo tanto, el
proceso de gestión del riesgo continúa con la identificación de riesgos nuevos o re-emergentes,
mientras duren las actividades de infraestructura o procesos de negocios.

Cuando se evalúa este proceso, pueden tomarse las siguientes medidas:

Seguir con el plan actual – cuando los datos indican que el riesgo está bajo control;

Invocar un plan de contingencia – cuando el plan original no funcionó como estaba previsto;

Re-plan – volver a la etapa de planificación y cambiar de rumbo; o

Cerrar el riesgo – cuando la probabilidad de riesgo y/o impacto potencial no existe o es muy baja.

En la próxima sección se describe la Guía para la gestión de riesgos de seguridad de la información,


basada en la norma ISO/IEC 27005, la cual procura aportar contribuciones fundamentales para el
bienestar y seguridad de toda organización.

3.2. Guía para la gestión de riesgos de seguridad de la información


La Guía para la gestión del riesgo de la seguridad de la información que esboza a continuación se
basa en la norma ISO/IEC 27005 [4], la cual procura aportar contribuciones fundamentales para el
bienestar y seguridad de toda organización. Esta Guía establece un proceso continuo que permite
a la organización implementar controles efectivos para mitigar los riesgos de seguridad. Esta
práctica general se basa en normas aceptadas por la industria para la gestión de los riesgos de
seguridad e incorpora las primeras tres fases del proceso de gestión de riesgos descritas con
anterioridad.

Primera fase: Evaluación de riesgos

Esta fase incluye la planificación, la recopilación de datos y priorización de riesgos. La priorización


de riesgos conlleva enfoques cualitativos y cuantitativos para proporcionar información fiable
sobre el riesgo con ventajas y desventajas razonables en cuanto a tiempo y esfuerzo.

Segunda fase: Alternativas de tratamiento de riesgos

Durante esta fase, se determina la forma en que se abordarán los principales riesgos de la manera
más efectiva y eficaz en función de los costos. Las soluciones de control a implementarse se
definen después de una evaluación de todos los controles recomendados, costos estimados, y los
niveles de reducción de riesgo son medidos. El resultado de esta fase es un plan claro y aplicable
para controlar o aceptar cada uno de los principales riesgos identificados durante la fase de
evaluación de riesgos.

Tercera fase: Evaluación del tratamiento

Durante esta fase, se desarrollan y ejecutan planes basados en las soluciones de control que
emergieron durante el proceso de apoyo de decisiones para medir la eficacia del programa.
Cuando las fases anteriores del proceso de gestión de riesgos de seguridad concluyen, las
organizaciones evalúan el progreso logrado con respecto a la gestión de riesgos de seguridad en su
totalidad.

Los siguientes diagramas de flujo (de la ISO/IEC 27005) ilustran las fases descritas anteriormente
para la gestión de riesgos de seguridad.
Figura 1. Proceso de gestión de riesgos (ISO/IEC 27005)

Por último, los aspectos clave para que la implementación de un programa de gestión de riesgos
de seguridad tenga éxito se basarán en:

El compromiso de la dirección y el pleno apoyo y participación de los equipos de TIC;

Los conocimientos técnicos especializados para aplicar la metodología de evaluación de riesgos de


seguridad a un sitio y sistema específicos, identificar los riesgos de la misión y proporcionar
protección eficaz en función de los costos;

El conocimiento y cooperación de los miembros de la comunidad de usuarios; y

Una evaluación constante de los riesgos asociados a las TIC.

4. Resumen

Esta contribución proporciona aportes sobre la gestión de riesgos de seguridad para la Carpeta
Técnica sobre Seguridad Cibernética. Proporciona una descripción detallada del proceso por
medio del cual puede llevarse a cabo la gestión de riesgos. Se examinan dos modelos: la “Guía de
gestión de riesgos de los sistemas de tecnología de la información - NIST SP 800-30” y la norma
ISO/IEC 27005:2008, “Tecnología de la información – Técnicas de seguridad – Gestión de riesgos
de la seguridad de la información”.

Se recomienda que el Relator sobre Seguridad Cibernética del Grupo de Trabajo sobre
consideraciones de Política y Regulación considere incorporar esta contribución en el capítulo 3 de
la Carpeta Técnica sobre Seguridad Cibernética.
Oscar Avellaneda & Magdoly Rondon

Industry Canada

Información Adicional:

Referencias

1. Norma de gestión de riesgos, Instituto de Gestión de Riesgos (IRM),


http://www.theirm.org/publications/documents/Risk_Management_Standard_030820.pdf

2. Gestión de riesgos de seguridad cibernética: Una perspectiva económica, Dr.


Lawrence Gordon, http://www.rhsmith.umd.edu/faculty/lgordon/cybersecurity/CYBERSECURITY
%20

RISK%20MANAGEMENT.AN%20ECONOMICS%20PERSPECTIVE.ppt

3. Guía de gestión de riesgos de seguridad para los sistemas de tecnología de la


información, Dirección de Seguridad en las Comunicaciones (CSE) del Canadá, MG-2, enero de
1996.

4. ISO/IEC 27005: Gestión del riesgo de seguridad de la información (REQUISITOS PARA


LA EVALUACIÓN Y GESTIÓN DE RIESGOS)

5. Guía de gestión de riesgos de los sistemas de tecnología de la información, NIST,


Publicación Especial 800-30 http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

6. “Marco para la gestión de riesgos”, Cigital Inc., patrocinado la División Nacional de


Seguridad Cibernética del Departamento de Seguridad Interna de los Estados Unidos, 2005,
https://buildsecurityin.us-cert.gov/daisy/bsi/articles/best-practices/risk/250-BSI.html
7. Marco para la gestión de riesgos (RMF) VISIÓN GENERAL,
http://csrc.nist.gov/groups/SMA/fisma/framework.html

También podría gustarte