Un Acercamiento a la Gestión de Riesgos

César Millavil Arenas
26.06.24 11:13 AM - Comment(s)

Un Acercamiento a la Gestión de Riesgos

gestion de riesgos

Hace unas semanas, mi colega Katherine escribió un artículo respecto de la importancia de contar con un PLAN DE CONTINUIDAD OPERACIONAL. ¿Lo leíste? No te preocupes, revísalo aquí. En su artículo, Katherine (Katty para los amigos), aborda la importancia de diseñar y disponer de una PLAN DE CONTINUIDAD OPERACIONAL señalando la necesidad de abordar, previamente, el análisis de impacto en el negocio (BIA), la evaluación de riesgos, las estrategias de recuperación, los procedimientos de respuesta ante incidentes, el debido plan de comunicación y las necesarias pruebas y actualizaciones para nuestro PLAN DE CONTINUIDAD OPERACIONAL. Todas y cada uno de estas de suma importancia y parte integrante fundamental de nuestro PLAN DE CONTINUIDAD OPERACIONAL.

Hoy, vamos a profundizar respecto de la gestión de riesgos en una serie de artículos de esta temática iniciando en este como nuestro primer acercamiento a la gestión de riesgos. Entonces…


¿Qué es la gestión de Riesgos?

La gestión de riesgos lo es todo. Se trata de “el corazón” de la gestión propiamente tal ya se de negocios, operacional, seguridad, ciberseguridad, etc. Sin gestión de riesgos, no hay gestión y solo hablamos de “GASTO” en términos financieros obstaculizando la toma informada de decisiones. La gestión de riesgos permite IDENTIFICAR, EVALUAR y TOMAR ACCIÓN de los riesgos existentes y/o posibles que pueden impactar de forma negativa (aunque también positiva) a nuestros objetivos de negocio. De ahí, desde los objetivos de negocio, es que la gestión de riesgo es fundamental. Entonces, la gestión de riesgos se trata de:

  • Identificar los riesgos
  • Evaluar los riesgos previamente identificados
  • Tratar los riesgos evaluados
  • Monitorizar y revisar el adecuado y correcto tratamiento de riesgos
  • Implementar la mejora continua

¿Por qué es importante?

Como he indicado antes, la gestión de riesgos es quien establece la dirección estratégica en la gestión de seguridad de la información y ciberseguridad ya que permite:

  • Desde los procesos, identificar los activos de información y ciberactivos y proteger estos de amenazas que puedan impactar de forma negativa la integridad, confidencialidad y/o disponibilidad de estos. 
  • Permite orientar las inversiones financieras en función del impacto y probabilidad de ocurrencia de un riesgo haciendo la gestión y tratamiento de riesgos eficiente en términos de inversión y retorno.
  • Provee de visibilidad respecto de real y actual panorama de amenazas a través de la identificación de riesgos y alinear estos con los objetivos de negocios, las necesidades y requerimientos de las partes interesadas y el cumplimiento legal y normativo aplicable.
  • Finalmente, y no menor, permite la toma de decisiones informadas, estratégicas y alineadas a los objetivos y necesidades de negocio.

¿Qué metodología uso?

Siempre en términos de seguridad de la información y ciberseguridad y alineado a estándares nacionales e internacionales; Nos encontramos con tres frameworks posibles: ISO 310000, ISO 27005 y NIST RFM. Respecto de ISO 31.000 es un marco general de gestión de riesgos agnóstico y para todo tipo de riesgos y todo tipo de organización; Es así que ISO 27005, desde la base metodológica de ISO 31.000, se enfoca en la gestión de riesgos de seguridad de la información. Entonces, nos quedamos con dos metodologías posibles:

  • ISO 27005: Enfocada en la gestión de riesgos de seguridad de la información. 
  • NIST RMF: Enfocada en la gestión de riesgos de ciberseguridad.

¿Cómo la aplico?

Aplicamos ambas combinadas. ISO 27005 como marco de gestión general para riesgos de seguridad de la información y NIST RMF como marco específico para riesgos de ciberseguridad. En otras palabras; Empleamos ISO 27005 como marco de gobierno y NIST RMF de manera específica para riesgos operacionales de ciberseguridad. Así empleamos ambos framework estándares a nivel mundial en un marco de gestión único empleando los beneficios de ambas metodologías. 

¿Y si no aplico Gestión de Riesgos?

Hay dos caminos: 

  1. No aplicas gestión de riesgos e inviertes recursos sin tener una visión estratégica ni alineación a los objetivos lo que se traduce en GASTO directamente; Esto implica que, aun invirtiendo, no estas protegiendo tu negocio adecuadamente.
  2. No haces nada. Es necesario que internalices la ciberseguridad como una amenaza con capacidad de EXTERMINAR tu negocio, que cada vez aumenta y que se trata de un negocio millonario para los ciber delincuentes por lo que no hay indicios de que esto se termine pronto.

Tu decides.


Necesito ayuda.

Háblame ;) 

Hasta acá, este acercamiento a la gestión de riesgos. Profundizaremos hasta llegar a un caso práctico en los siguientes artículos. Estoy seguro de que te resultará de utilidad.

Como siempre, gracias por tu tiempo.

César Millavil A

COMPUNETGROUP CEO

C|EH - ISO27001LA – ISO27032LM

Get Started Now

César Millavil Arenas