Riesgo e Incertidumbre

Análisis de riesgos y entorno

de seguridad IT
CONTENIDO
1. Objetivos

2. Introducción

3. Riesgo

4. Gerencia de riesgos

5. Estándares de gestión de riesgos

6. Conclusión

7. Bibliografía
 Riesgo e Incertidumbre | 3

Objetivos El riesgo puede ser causado por diversos factores, como

la competencia, los cambios en el mercado, la regulación
• Estudiar el significado de riesgo en el entorno gubernamental, la tecnología y otros factores externos
empresarial. e internos. Por otra parte, el riesgo en el ámbito de la
ciberseguridad se refiere a la probabilidad de que los
• Analizar la importancia de la gerencia o gestión del
sistemas informáticos, la información y los datos sean
riesgo.
vulnerables a ataques cibernéticos, como el malware, el
• Descubrir algunos de las metodologías y estándares phishing, el ransomware y otros tipos de ciberataques.
que se utilizan en la actualidad para la gestión y el Los riesgos en la ciberseguridad pueden afectar a la
análisis del riesgo. privacidad, la integridad y la disponibilidad de los datos,
lo que puede tener un impacto negativo en la seguridad
Introducción de la información y en la continuidad de la operatividad
de la plataforma tecnológica de las empresas.
El riesgo y la incertidumbre son dos factores que influyen
en las decisiones empresariales y que pueden afectar el
éxito o fracaso de una empresa. Las empresas deben ser Gerencia de riesgos
capaces de evaluar y gestionar tanto el riesgo como la
incertidumbre para minimizar el impacto negativo en la La gestión o gerencia de riesgos en ciberseguridad es un
empresa y aprovechar las oportunidades de crecimiento proceso crítico y complejo que implica identificar, evaluar
y éxito empresarial. ¿Cómo pueden las empresas, evaluar y mitigar los riesgos asociados con las amenazas y
y gestionar tanto el riesgo como la incertidumbre para vulnerabilidades en los sistemas y redes informáticas.
minimizar el impacto negativo? Esta tarea es difícil y muy especializada debido a la rápida
evolución de las tecnologías, los continuos cambios en
las amenazas y las vulnerabilidades, y la complejidad de
Riesgo los sistemas de información modernos.

El riesgo se refiere a la posibilidad o probabilidad de que La gestión de riesgos en ciberseguridad requiere

ocurra un evento o situación no deseada, que pueda una comprensión detallada de la tecnología y de los
tener un impacto negativo o desfavorable en un individuo, posibles riesgos y amenazas que puedan afectar a una
organización o sociedad. En otras palabras, el riesgo organización. Además, debe contar con la capacidad
es la medida de la incertidumbre sobre los resultados de evaluar la criticidad de cada riesgo, determinar su
esperados de una acción o decisión. El riesgo puede ser probabilidad de ocurrencia y su impacto en caso de que
medido y evaluado en términos de su probabilidad de se materialice, y luego tomar medidas para mitigar o
ocurrencia y su impacto en caso de que se materialice. reducir su impacto. Otro desafío importante en la gestión
Por ejemplo, un riesgo puede ser considerado alto de riesgos en ciberseguridad es la falta de recursos
si existe una alta probabilidad de que ocurra y si su y experiencia adecuados. Muchas organizaciones
impacto es significativo y se puede considerar bajo si carecen de los conocimientos y habilidades necesarios
existe una baja probabilidad de ocurrencia y su impacto para identificar y evaluar adecuadamente los riesgos de
es despreciable. seguridad, y para implementar medidas de seguridad
adecuadas.
En muchos entornos, como la gestión empresarial, la
inversión financiera, la seguridad informática, entre otros. La gestión de riesgos es un proceso. Existen diferentes
La gestión efectiva de los riesgos es una actividad crítica marcos para planificar y gestionar el riesgo, uno de ellos
para lograr objetivos y evitar consecuencias negativas. es el elaborado por el Instituto Nacional de Estándares y
Por lo tanto, es importante identificar, evaluar y gestionar Tecnología (NIST), dicha institución desarrolló un marco
adecuadamente los riesgos para minimizar su impacto y de gestión de riesgos de ciberseguridad que caracteriza
proteger a las personas, organizaciones y sociedades de el concepto como un proceso integral que requiere que
eventos no deseados. las organizaciones [1]:

El concepto del riesgo siempre es el mismo sin • Enmarcar el riesgo: hay que determinar cuánto
importar el ámbito al que se refiere, sin embargo, riesgo está dispuesto a asumir la organización,
los planes de acción varían dependiendo de dicho dadas las restricciones y los objetivos de la alta
ámbito. P.ej.: El riesgo en el ámbito empresarial se dirección.
refiere a la posibilidad de que una inversión o decisión • Evaluar el riesgo: se debe determinar la importancia
empresarial no genere los resultados esperados, lo que de los activos, saber cuáles están protegidos y en
podría provocar pérdidas financieras para la empresa. qué medida son vulnerables.
• Responder al riesgo, una vez determinado: se
debe de elaborar planes de acción si los riesgos se
convierten en realidades adversas.
 Riesgo e Incertidumbre | 4

• Monitorear el riesgo de forma continua: se deben Se pueden utilizar herramientas automatizadas y

verificar los planes de riesgo para asegurarse de que registros de riesgos para documentar los riesgos
se hayan implementado y actualizado a medida que asociados a esos activos. El personal encargado
cambian las situaciones, en función del monitoreo del programa de gestión de vulnerabilidades de
continuo o periódico de esos planes. la organización debe estar capacitado en todas
las herramientas automatizadas y métodos para
El manejo del riesgo de ciberseguridad debería ser parte identificar nuevas vulnerabilidades.
del trabajo de todos en una organización. Sin embargo,
• Identificar las amenazas internas y externas: una
es crucial establecer roles claros de responsabilidad
vez que se han identificado las vulnerabilidades,
dentro de la organización, para identificar quién será
el siguiente paso es identificar las amenazas o
responsable de los riesgos que enfrentan o quién será
tipos de amenazas a las que la organización se
el propietario de dichos riesgos. Aunque esta tarea
enfrenta con mayor frecuencia tanto por actores
generalmente recae en el director de seguridad de la
internos (por ejemplo, empleados descontentos)
información (CISO) o en un ejecutivo de TI comparable,
como por atacantes externos. Las vulnerabilidades
algunos expertos en ciberseguridad recomiendan
son aspectos de los sistemas que los atacantes
cada vez más, que la propiedad del riesgo recaiga en
pueden explotar, mientras que las amenazas son
los ejecutivos que tendrán que cubrir los costos, si la
las herramientas que los atacantes usan para
amenaza se materializa. Es esencial establecer claridad
explotar esas vulnerabilidades. Es posible encontrar
en la responsabilidad del riesgo y los roles en toda la
vulnerabilidades en los sistemas sin que se hayan
organización, de lo contrario, algunos riesgos pueden ser
desarrollado amenazas o exploits para ellas. La
ignorados, y no se abordarán adecuadamente hasta que
mejor manera de identificar si las vulnerabilidades
sea demasiado tarde [1].
están siendo explotadas y cómo tratar con ellas
Evaluación y gestión de riesgos: es participar en programas de intercambio de
información (como foros de ciberseguridad).
Una evaluación de riesgos consiste en identificar las Es necesario contar con un gran repertorio de
amenazas que tiene una organización, su probabilidad herramientas o sistemas automatizados para
de ocurrencia y las consecuencias de su materialización. identificar y documentar tanto las amenazas
Se debe utilizar para respaldar la estrategia de la internas, como externas.
organización y proporcionar la información necesaria • Centrarse en las vulnerabilidades y amenazas
para implementar prácticas y controles específicos más probables: una vez identificadas las
para abordar los riesgos identificados. También ayudan vulnerabilidades y las amenazas, se debe
a evaluar la efectividad de los procedimientos y reglas centrar la atención en aquellas que representan
para la gestión de riesgos. Las evaluaciones de riesgos el mayor riesgo para los activos críticos de la
suelen preceder a la gestión de riesgos y se recomienda organización. No todas las vulnerabilidades o
implementar un marco de evaluación de riesgos que amenazas tendrán el mismo impacto, por lo que
permita desarrollar mediciones objetivas de riesgo y es importante establecer cuáles son los riesgos
proteger mejor los activos en riesgo. Este marco es más importantes para los activos críticos. Es
una guía útil para determinar qué se evalúa, quién debe fundamental considerar el impacto potencial de
estar involucrado y los criterios para desarrollar grados una vulnerabilidad y la probabilidad de que una
relativos de riesgo. Algunas de las acciones que hay que amenaza tenga éxito para atacarla. Por ejemplo,
considerar para evaluar y gestionar el riesgo son [1]: una vulnerabilidad en el servidor de datos puede
• Conocer las vulnerabilidades: el primer paso no parecer crítica, pero si este es esencial para
fundamental para realizar una evaluación completa mantener la fiabilidad de un sistema de comercio
del riesgo cibernético en una organización, es electrónico, entonces representa un riesgo
identificar las vulnerabilidades. La identificación significativo. Es importante establecer criterios
de vulnerabilidades de activos es un aspecto claros para evaluar la importancia de los activos y,
clave del marco NIST, conocido como "ID.RA-1". El en función de ellos, determinar los niveles de riesgo
Consejo de Ciberseguridad define las evaluaciones considerando la probabilidad de que los activos
de vulnerabilidad como un esfuerzo continuo para sean exitosamente atacados. La (figura 1) puede
adquirir, evaluar y actuar sobre nueva información demostrar una idea de la priorización de riesgos
con el fin de identificar vulnerabilidades, que implica el proceso. El nivel de las amenazas
remediarlas y minimizar la ventana de y el valor de los activos (independientemente de
oportunidad para los atacantes. Para conocer las cómo se determinen), pueden entrecruzarse de
vulnerabilidades, es necesario tener un inventario distintas formas para crear riesgos altos o bajos.
completo y actualizado del hardware y software. Todo depende de cómo se puntúe los activos y de
cómo se evalué la probabilidad de las amenazas
(figura 1).
 Riesgo e Incertidumbre | 5

Figura 1. Determinación de la probabilidad de amenaza [1]

• Desarrollar planes para afrontar los mayores

riesgos: desarrollar estrategias para enfrentar los Estándares de gestión de
riesgos más significativos implica identificar las riesgos
posibles respuestas a las amenazas de mayor
riesgo y diseñar opciones y acciones estratégicas Los estándares de gestión de riesgos son pautas y
para abordar esos riesgos. Es crucial que todas las marcos de referencia que ayudan a las organizaciones
estrategias de respuesta estén alineadas con los a establecer un enfoque sistemático y estructurado para
objetivos de la organización. Por ejemplo, en el caso la identificación, evaluación, tratamiento y monitoreo de
de eliminar el malware, es importante garantizar que los riesgos. Estos estándares establecen las mejores
el acceso a los sistemas de comercio electrónico prácticas y proporcionan orientación sobre cómo
no se vea afectado, mientras que se puede restringir gestionar los riesgos de manera eficaz en diferentes
el acceso a otros sistemas no esenciales, como el áreas de la organización. Algunos de los marcos de
procesamiento de facturas. gestión de riesgos que se utilizan en la industria y que
son ampliamente utilizados son [1].
 Riesgo e Incertidumbre | 6

• Operationally Critical Threat, Asset, and Vulnerability Estos estándares pueden ser aplicados en diferentes
Evaluation (OCTAVE): es un método de evaluación contextos y sectores, y ayudan a las organizaciones a
de riesgos de seguridad de la información mejorar su capacidad para identificar y gestionar los
desarrollado por el equipo de CERT (Equipo de riesgos, reducir la incertidumbre y tomar decisiones
Respuesta ante Emergencias Informáticas) de informadas y acertadas.
la Universidad Carnegie Mellon en Pittsburgh,
Pensilvania. La metodología OCTAVE:
• NIST SP 800-30: es una guía desarrollada por el OCTAVE utiliza un enfoque de tres fases para examinar
National Institute of Standards and Technology cuestiones organizativas y tecnológicas, con el fin
(NIST), que proporciona orientación sobre cómo de crear una imagen completa de las necesidades
realizar evaluaciones de riesgos de seguridad de la de seguridad de la información de la organización.
información. El método consta de una serie progresiva de talleres,
• RISK IT: es un marco de gestión de riesgos de cada uno de los cuales requiere interacción entre sus
TI desarrollado por ISACA para ayudar a las participantes. El método OCTAVE se divide en ocho
organizaciones a identificar, evaluar y gestionar los procesos: cuatro en la fase 1, dos en la fase 2 y dos en la
riesgos de TI de manera efectiva. Este marco se fase 3. Además, se deben completar varias actividades
basa en los principios de COBIT (Control Objectives de preparación antes de la evaluación real. Las tres fases
for Information and Related Technology), otro y la preparación para el método OCTAVE se representan
marco de gestión de TI desarrollado por ISACA. en la (figura 2) [2].
• ISO/ IEC 27005/31010: son estándares
internacionales que establece principios y pautas
generales para la gestión de riesgos en cualquier
tipo de organización.

Figura 2. El método OCTAVE [2]

 Riesgo e Incertidumbre | 7

El Método OCTAVE implica la realización de dos • Fase 2 - Identificación de las vulnerabilidades de

tipos de talleres: discusiones facilitadas con varios la infraestructura: la fase 2 del Método OCTAVE
miembros de la organización y talleres en los que el se enfoca en la infraestructura informática
equipo de análisis realiza una serie de actividades por de la organización. Esta fase consta de dos
su cuenta. Todos los talleres tienen un líder y un escriba. procesos (figura 4). El primero, proceso 5, implica
El líder es responsable de guiar todas las actividades seleccionar los componentes de la infraestructura
del taller y garantizar que todas estas se completen. que se examinarán en el siguiente proceso.
El líder también es responsable de asegurarse de que Los participantes son el equipo de análisis
todos los participantes comprendan sus roles y de que y miembros seleccionados del personal de
cualquier miembro nuevo o adicional del equipo de tecnología de la información. El proceso 6, tiene
análisis esté listo para participar activamente en el taller. como objetivo identificar debilidades tecnológicas
Todos los líderes de taller también deben asegurarse en la infraestructura seleccionada, utilizando
de seleccionar un enfoque de toma de decisiones (por herramientas de evaluación de vulnerabilidades.
ejemplo, voto mayoritario, consenso) que se utilizará Los participantes son el equipo de análisis y
durante los talleres. Los escribas son responsables de miembros seleccionados del personal de TI. Los
registrar la información generada durante los talleres, ya resultados de este proceso proporcionan una
sea electrónicamente o en papel [2]. indicación de la vulnerabilidad de la infraestructura
de la organización.
Las fases y procesos que componen el método OCTAVE
• Fase 3 - Desarrollo de la estrategia y los planes de
son los siguientes: [2]
seguridad: durante la fase 3 se analiza la información
• Preparación: las actividades de preparación incluyen recopilada previamente y se desarrollan estrategias
obtener el patrocinio de la alta gerencia, seleccionar y planes de seguridad específicos para abordar
al equipo de análisis y a los participantes, establecer los riesgos y problemas únicos de la organización
el alcance adecuado y coordinar la logística. Una (figura 5). El proceso 7 implica la identificación y
vez que se completa la preparación, la organización análisis de los riesgos para los activos críticos
está lista para iniciar la evaluación. de la organización. Mientras tanto, el proceso 8
consta de dos talleres en los cuales se desarrolla
• Fase 1 - Creación de perfiles de amenazas
una estrategia de protección y planes de mitigación
basados en activos: durante los procesos 1 a
de riesgos para los activos críticos. Los gerentes
3 del Método OCTAVE, se llevan a cabo talleres
de la organización revisan y ajustan la estrategia y
para la obtención de conocimiento para identificar
planes propuestos antes de implementarlos.
los activos más importantes de la organización,
conocer las áreas de preocupación, identificar NIST SP 800-30:
requerimientos de seguridad y capturar información
sobre las prácticas de seguridad actuales y las La Publicación Especial 800-30 tiene como objetivo
vulnerabilidades organizacionales (figura 3). En proporcionar orientación para llevar a cabo
el proceso 1, los gerentes senior participan en evaluaciones de riesgos en sistemas. Las evaluaciones
la identificación de los activos más importantes de riesgos son parte de un proceso general de gestión
de la organización, en el proceso 2, los gerentes de riesgos y brindan a la alta gerencia la información
de área operativa aportan su conocimiento para necesaria para determinar las acciones apropiadas
identificar cómo se protegen los activos, mientras en respuesta a los riesgos identificados. Esta
que en el proceso 3, los miembros del personal publicación proporciona orientación para llevar a cabo
contribuyen con sus perspectivas sobre cómo los cada uno de los pasos en el proceso de evaluación
activos son manejados en la práctica. En cada de riesgos y cómo las evaluaciones complementan e
uno de estos procesos se llevan a cabo cuatro informan otros procesos organizacionales. También
actividades para obtener conocimiento de los proporciona orientación sobre la identificación de
participantes. Estas incluyen la identificación de los factores específicos para monitorear continuamente
activos y las prioridades relativas, la identificación y determinar si los riesgos han aumentado a niveles
de las áreas de preocupación, la identificación de inaceptables. El proceso de evaluación de riesgos
los requisitos de seguridad para los activos más consta de cuatro pasos (figura 6) [3]:
importantes y conocer las prácticas de seguridad
actual y las vulnerabilidades de la organización. En • Prepararse para la evaluación.
el proceso 4, el equipo de análisis crea perfiles de • Llevar a cabo la evaluación.
amenazas para los activos críticos identificados • Comunicar los resultados de la evaluación.
en los procesos anteriores. El equipo de análisis • Mantener la evaluación.
consolida la información obtenida en los procesos
1 a 3 y selecciona los activos más críticos para la
organización. Luego, se identifican las amenazas
a esos activos y se refinan los requerimientos de
seguridad para protegerlos adecuadamente.
 Riesgo e Incertidumbre | 8

RISK IT de ISACA: El dominio de Respuesta al Riesgo cubre la definición,

priorización y los indicadores clave (KRIs) de respuesta
El marco de gestión de riesgos de ISACA Risk IT, al riesgo. Las opciones de respuesta al riesgo incluyen
combina modelos tradicionales de TI con un enfoque evitarlo, mitigarlo, compartirlo o transferirlo y aceptarlo.
más centrado en el riesgo. Las actividades clave El marco de gestión de riesgos de ISACA Risk IT se
se agrupan en procesos dentro de tres dominios: desarrolló para alinearse con el marco COBIT de ISACA.
Gobernanza del Riesgo (RG), Evaluación del Riesgo (RE) Mientras que COBIT se utiliza para gestionar otros
y Respuesta al Riesgo (RR). El dominio de Gobernanza aspectos de la infraestructura y el riesgo empresarial,
del Riesgo trata sobre el apetito y la tolerancia al riesgo el marco Risk IT se utiliza explícitamente para permitir
y la comunicación del riesgo a los líderes. El dominio a las organizaciones identificar y gestionar el riesgo
de Evaluación del Riesgo incluye la comprensión de de TI. Los procesos de Evaluación del Riesgo en el
los impactos en el negocio y los escenarios de riesgo. marco Risk IT no solo cubren la evaluación; también se
superponen con las áreas de identificación del riesgo.

Figura 3. Fase 1 del método OCTAVE [2]

 Riesgo e Incertidumbre | 9

Figura 4. Fase 2 del método OCTAVE [2]

Figura 5. Fase 3 del método OCTAVE [2]

 Riesgo e Incertidumbre | 10

Figura 6. Proceso de evaluación de riesgos NIST SP 800-30 [3]

En los procesos de evaluación del riesgo, se enmarca Los valores de probabilidad e impacto se
y describe el impacto empresarial y también se determinan después de considerar los controles
desarrollan escenarios de riesgo. Los riesgos son existentes, y las opciones de respuesta al riesgo
evaluados y analizados y presentados a la dirección de recomendadas deben reducir el riesgo a un nivel
la organización. Los procesos de evaluación del riesgo aceptable basado en el apetito y la tolerancia al
están divididos en tres áreas, estos son [4]: riesgo de la organización.
• Mantener el perfil de riesgo (RE3): implica
• Recopilación de datos (RE1): durante este proceso,
la creación y mantenimiento de un perfil de
el personal encargado desarrolla un modelo para la
riesgo detallado que describe los riesgos de TI
recopilación estandarizada de datos sobre diversos
identificados en un sistema o activo, y que puede
aspectos del negocio y los escenarios de riesgo.
extenderse a toda la organización. Durante esta
• Análisis del riesgo (RE2): implica evaluar evaluación, se desarrolla un documento completo
y analizar el riesgo definiendo el alcance de riesgos identificados y sus características, como
de los esfuerzos de análisis de riesgo, detalles sobre impacto, probabilidad y factores
considerando toda la documentación reunida, contribuyentes.
estimando el riesgo de TI e identificando
posibles opciones de respuesta al riesgo.
 Riesgo e Incertidumbre | 11

ISO/IEC: La gestión de riesgos en ciberseguridad requiere de

marcos específicos, como los desarrollados por el
ISO y IEC son organizaciones que establecen estándares NIST, la ISO/IEC, ISACA, entre otros. Que señalan que
en diversas áreas, incluyendo seguridad de la información las organizaciones deben enmarcar el riesgo, evaluar
y gestión de riesgos. En particular, los estándares ISO/ el riesgo, responder al riesgo y monitorear el riesgo de
IEC 27001, 27002 y 27005 se centran en la seguridad de manera continua. Es crucial establecer roles claros de
la información, mientras que ISO/IEC 31000 y 31010 se responsabilidad dentro de la organización para identificar
enfocan en la gestión de riesgos. El estándar ISO/IEC quién será el responsable de los riesgos que enfrentan
27005 establece los principios del ciclo de vida de la o quién será el propietario de dichos riesgos. Además,
gestión de riesgos, incluyendo la evaluación de riesgos, aunque el manejo del riesgo de ciberseguridad debería
y describe metodologías de evaluación cuantitativa y ser parte del trabajo de todos en una organización,
cualitativa. Por su parte, el estándar ISO/IEC 31010 se generalmente recae en el director de seguridad de la
centra en técnicas de evaluación de riesgos y establece información (CISO) o en un ejecutivo de tecnología.
un proceso formalizado y estructurado que incluye
la identificación, análisis y evaluación de riesgos, la
comunicación con las partes interesadas y el monitoreo
continuo del riesgo [4].
Bibliografía
[1] C. Brumfield y B. Haugli, Cybersecurity risk

Conclusión management: mastering the fundamentals using the

NIST cybersecurity framework, New Jersey: John
Wiley & Sons, Inc., 2022.
El riesgo se refiere a la posibilidad de que ocurra un
evento o situación no deseada que pueda tener un [2] C. Alberts y A. Dorofee, Managing Information Security
impacto negativo en un individuo, organización o Risks: The OCTAVE Approach, New Jersey: Pearson
sociedad. Es importante identificar, evaluar y gestionar Education, Inc, 2022.
adecuadamente los riesgos para minimizar su impacto
[3] NIST, “NIST Special Publication 800-30 Revisión
y proteger a las personas, organizaciones y sociedades
1”, septiembre 2012. [En línea]. Disponible en:
de eventos no deseados. En la gestión de riesgos en
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/
ciberseguridad, se deben identificar, evaluar y mitigar los
nistspecialpublication800-30r1.pdf
riesgos asociados con las amenazas y vulnerabilidades
en los sistemas y redes informáticas. La gestión de [4] P. H. Gregory, B. E. Rogers y D. Dunkerley, CRISC, New
riesgos en ciberseguridad es un proceso crítico y York: McGraw Hill, 2022.
complejo que implica una comprensión detallada de la
tecnología y de los posibles riesgos y amenazas que
puedan afectar a una organización. Además, se deben
contar con la capacidad de evaluar la criticidad de cada
riesgo, determinar su probabilidad de ocurrencia y su
impacto en caso de que se materialice, y luego tomar
medidas para mitigar o reducir su impacto.