Gestión de Riesgos

Por Qué Importa

Los recursos de seguridad son finitos, pero las amenazas no. La gestión de riesgos es el marco que traduce amenazas y vulnerabilidades en decisiones de negocio: dónde invertir, qué aceptar y qué escalar al liderazgo. Sin ella, los equipos persiguen la alarma más ruidosa en lugar del riesgo más consecuente.

Los consejos esperan que la ciberseguridad se reporte en términos de riesgo alineados con obligaciones de cumplimiento como las reglas de la SEC, NIS2 y DORA. Las aseguradoras exigen programas estructurados antes de suscribir. Los reguladores miden la madurez por el rigor de los procesos, no por el número de controles instalados.

El Ciclo de Gestión de Riesgos

1. Identificar

Cataloga los riesgos mediante inventarios de activos, modelado de amenazas, evaluaciones de vulnerabilidades, pentests, threat intelligence, hallazgos de auditoría, incidentes y revisiones de procesos. Mantén un registro centralizado.

2. Evaluar

Estima probabilidad e impacto:

3. Priorizar

Clasifica los riesgos frente a umbrales de tolerancia. Un mapa de calor coloca probabilidad vs impacto, y la prioridad sigue el cuadrante superior derecho. Los programas FAIR priorizan por pérdida anualizada esperada.

4. Tratar

Aplica una de las cuatro estrategias:

Evitar     - Suspender la actividad por completo
Mitigar    - Aplicar controles para reducir probabilidad o impacto
Transferir - Seguros, indemnizacion contractual, externalizacion
Aceptar    - Documentar la aprobacion y aceptar el riesgo residual

Cada riesgo tratado tiene un propietario, plan, plazo y presupuesto.

5. Monitorear

Los riesgos cambian conforme evolucionan amenazas, vulnerabilidades, controles y contexto de negocio. Revisa en intervalos definidos, tras incidentes y tras cambios materiales.

6. Comunicar

Adapta el discurso a cada audiencia: detalle técnico para ingenieros, impacto financiero para ejecutivos, exposición regulatoria para legal e implicaciones estratégicas para el consejo.

Marcos Principales

• NIST RMF (SP 800-37): ciclo federal (Categorize, Select, Implement, Assess, Authorize, Monitor)
• NIST CSF 2.0: funciones de alto nivel (Govern, Identify, Protect, Detect, Respond, Recover)
• ISO 31000: estándar internacional, principios + marco + proceso
• ISO 27005: gestión de riesgos de seguridad de la información
• OCTAVE Allegro: metodología SEI de Carnegie Mellon
• FAIR: análisis cuantitativo de riesgo cibernético

Cuantitativo vs Cualitativo

Construir un Programa de Riesgo

1. Define el apetito de riesgo con la dirección.
2. Adopta un marco (NIST RMF o ISO 31000).
3. Establece gobierno con un comité de riesgos y rutas de escalado.
4. Mantén un registro vivo integrado con datos de vulnerabilidades e incidentes.
5. Realiza evaluaciones regulares al menos anuales, más a menudo en sistemas críticos.
6. Cuantifica los riesgos clave con FAIR para presupuesto y consejo.
7. Valida los controles con pentesting y red teaming.
8. Reporta de forma consistente en dashboards alineados al negocio.

Errores Comunes

• Tratar el riesgo como casilla de cumplimiento en lugar de soporte a la decisión
• Calificaciones subjetivas sin definiciones consistentes
• Registros estáticos que no reflejan la realidad operativa
• Confundir probabilidad con frecuencia sin base estadística
• Ignorar el riesgo de terceros y supply chain
• Falta de propiedad o seguimiento de los planes

Conceptos Relacionados

• Cumplimiento
• Evaluación de Vulnerabilidades
• Modelado de Amenazas
• Marco de Seguridad