👉¿En qué situaciones la empresa puede aceptar un riesgo de seguridad?
R: Es posible aceptar riesgos de seguridad, siempre y cuando se tenga una justificación sustentada. Por ejemplo, si la empresa realiza un análisis de costo-beneficio, y concluye que la implementación de controles que mitiguen el riesgo consumiría más recursos (financieros, humanos, etcétera) que la misma ocurrencia del riesgo, pueden aceptarlo y mantener un monitoreo constante, para asegurar que se encuentra bajo control.
👉¿Cómo puedo justificar la aceptación de un riesgo durante una auditoría?
R: Para justificar adecuadamente la aceptación de riesgos de seguridad, es muy importante dejar evidencia del análisis que se realizó, ya sea de costo-beneficio o de algún otro tipo, y documentar una “Carta de Aceptación de Riesgos”, en la cual se indique lo siguiente:
La descripción y/o ID del riesgo asociado.
El análisis realizado y/o los motivos por los cuáles se está aceptando el riesgo.
Firma o evidencia de aceptación por parte del dueño / responsable del riesgo.
Firma o evidencia de aceptación por parte del comité de seguridad.
Acciones que se tomarán para evitar que el riesgo no sea explotado.
💡 Esto lo puedes documentar utilizando el template de Informe de Análisis de Riesgos que te proporcionamos en esta actividad. Además, recuerda que es súper importante que estos criterios de aceptación se encuentren documentados en tu Metodología de Gestión de Riesgos.
👉¿Debo tener todos los riesgos mitigados para la auditoría interna y/o externa?
R: No necesariamente, pero es muy importante ser transparente con el auditor sobre el estado actual de su matriz de riesgos. Dependiendo del criterio del auditor, puede tomarlo como hallazgo, pero para evitar una no conformidad mayor es esencial poder explicar muy bien los motivos por los cuales no se pudo implementar o completar los planes de tratamiento definidos, proporciona razones válidas y presenta una planificación de qué se va realizar y con fechas, por lo menos estimadas.
👉¿Cuál es el riesgo residual y cómo lo debo calcular?
R: Un riesgo residual es el nivel resultante que queda de un riesgo después de implementar controles, planes y/o medidas de mitigación.
El cálculo del riesgo residual se debe llevar a cabo después de la implementación de las acciones de tratamiento, sobre todo cuando la decisión fue mitigar.
Una vez implementado el plan de tratamiento definido, se debe identificar un nuevo valor de impacto y probabilidad para dicho riesgo.
💡 Ejemplo
Mi empresa tiene un riesgo X que tiene una probabilidad de 4 y un impacto de 3. Una de mis acciones de mitigación es documentar, comunicar e implementar políticas de seguridad específicas para cada área involucrada. Al hacer esto, seguramente el impacto y la probabilidad de que el riesgo X ocurra sea menor, pero nunca 0, porque muy posiblemente alguno de mis colaboradores no va a cumplir al 100% la política, no la va a leer, o si es de nuevo ingreso, puede ser que aún no termina de leerlas y las incumple de algún modo, incluso accidentalmente.
Ahora bien, para calcular el nivel residual del riesgo X, yo establezco el valor de impacto en 3, y el de probabilidad en 1. Porque aunque sea muy poco factible que el riesgo se materialice ya con mis políticas implementadas, ese “1” podría seguir causando el mismo impacto (o consecuencias negativas) dentro de mi programa de seguridad.
👉¿Qué debo considerar, después de mi primera evaluación de riesgos, para seguir haciéndolas de forma correcta y alineada a los requisitos normativos?
R: Al terminar la primera evaluación de riesgos de la empresa, los riesgos residuales no requieren tener un plan de tratamiento definido. En esta instancia, lo más importante para el cumplimiento normativo es poder demostrar que las acciones de tratamiento fueron efectivas, de manera que el nivel de riesgo residual, sea menor al nivel de riesgo inherente.
Para una segunda evaluación de riesgos, ese nivel de riesgo residual se va a convertir en el nivel de riesgo inherente, de manera que se pueda realizar nuevamente todo el análisis para asegurar que la información siga alineada al contexto de la empresa.
💡 Ejemplo
Al estar realizando mi segunda evaluación de riesgos, veo que el riesgo residual de X quedó con un impacto de 3, y una probabilidad de 1. Estos valores ahora los voy a considerar como el riesgo inherente. Y para continuar con el ejercicio, debo definir su plan de tratamiento.
Con estos valores de probabilidad e impacto, el nivel de riesgo ahora es “bajo”, por lo que siguiendo los criterios de aceptación definidos en mi metodología, decido aceptar el riesgo X.
Posteriormente, solo debo documentar en el Informe de Análisis de Riesgo (template que te proporcionamos en la actividad 13), la justificación del porqué voy a aceptar estos riesgos, dejando trazabilidad de las acciones tomadas desde la primera evaluación.
👉¿Cuáles son los principales aspectos que debo tener en cuenta para realizar las evaluaciones de riesgo periódicas?
R: Para que tus evaluaciones de riesgo se realicen correctamente, debes considerar los siguientes puntos:
Nuevos activos: Ya sea porque se adquirieron nuevos sistemas, entró nuevo personal, el alcance del programa de seguridad se amplió y ahora abarca otros activos, se compraron nuevos equipos de cómputo, etcétera. Es importante asegurar que todos los activos sean considerados en el análisis de riesgos, siguiendo la metodología definida por la organización.
Nuevos riesgos: La tecnología y la innovación de las herramientas digitales genera nuevas amenazas y vulnerabilidades constantemente, por lo que es esencial mantener contacto con grupos de interés para recibir novedades (recuerda que los definiste en tu Política de Seguridad de la Información), realizar inteligencia de amenazas y analizar los nuevos riesgos que pudieron haber surgido y que impactan tu SGSI y/o tus operaciones en general.
Reevaluación de riesgos existentes: Como lo mencionamos en la pregunta anterior, el nivel de riesgo residual obtenido en la evaluación previa, se convierte en el nivel de riesgo inherente de tu evaluación actual. Por lo que ahora debes analizar cuál será el plan de tratamiento para estos riesgos.
Por ejemplo, puede ser que el riesgo residual (ahora inherente) haya quedado con un nivel “muy bajo” gracias al tratamiento que aplicaste en la evaluación pasada. Por lo que ahora, cumple con los criterios de aceptación y puedes tomar la decisión de aceptarlo y no hacer más nada.
O puede ser que, al analizar nuevamente un nivel de riesgo residual que se consideró “bajo” en la evaluación anterior, ahora se considera “muy alto” para el contexto actual de la empresa. Por ende, la decisión de tratamiento más adecuada para este caso será la mitigación.