Sabemos que llevar la gestión de los riesgos de seguridad de la información en una hoja de cálculo es tarea muy complicada y exhaustiva. Por ello te traemos el módulo de Riesgos, donde podrás realizar todas las actividades de seguimiento y evaluación de manera fácil y rápida 🚀.
Para ir a este módulo solo debes ir a “Riesgos” en la barra lateral izquierda dentro de nuestra plataforma:
Filtros
Cuando ya cuentes con información cargada dentro del módulo, podrás realizar revisiones o consultas muy fácilmente utilizando los diferentes filtros disponibles que se encuentran en la vista principal:
Por nivel de riesgo desde el mapa de calor, tanto del riesgo inherente como del riesgo residual.
🌟¡Puedes seleccionar, quitar o mezclar valores y niveles de riesgo para filtrar exactamente lo que deseas ver! Además, como puedes ver en el vídeo anterior, tienes a la vista tanto la cantidad numérica como el porcentaje de riesgos que se encuentran en ese nivel.
Por tipo de activo, que corresponde a las opciones que asignaste desde tu módulo de Activos.
Por columnas, es decir que puedes seleccionar las columnas con la información que desees ver.
Por palabras clave, ingresadas directamente en el buscador.
💡 Al monitorear tu módulo de Riesgos frecuentemente y utilizar estos filtros, obtendrás la información que necesites en cualquier momento para tomar las decisiones más adecuadas para tu programa de seguridad.
¿Cómo crear un nuevo riesgo?
Si estás comenzando a utilizar el módulo, debes dar clic en “+ Añadir riesgos”:
O si ya tienes información cargada, debes dar clic en el botón “+ Nuevo” de la esquina superior derecha:
Esto te llevará a un formulario donde debes ingresar la información de identificación del riesgo. ¡A continuación te explicamos en qué consiste cada uno de los campos a llenar!
Tipo de activo
Este es un campo obligatorio donde debes seleccionar el tipo de activo que se vería afectado si el riesgo ocurre. Te mostrará una lista desplegable con los mismos tipos de activos que se encuentran disponibles en el módulo de Activos.
Al completar este campo se te habilitará la opción de asociar activos que se encuentren inventariados en tu módulo de Activos. Es decir que podrás indicar cuáles de tus activos se verían afectados por el riesgo que estás a punto de crear.
Ejemplo: Si tenemos un riesgo de “fuga de información por una inadecuada asignación de roles y permisos” seguramente voy a querer asociar todos mis activos de tipo “aplicaciones” que contengan información confidencial, ya que podría suceder en cualquiera de ellas.
⭐ Pero si lo necesitas, puedes seleccionar más de un tipo de activo como te mostramos en el siguiente vídeo:
Descripción del riesgo
Este es un campo obligatorio donde debes ingresar una descripción clara del riesgo de seguridad que estás identificando y agregando al módulo. Para redactar esta descripción te recomendamos analizar algunos aspectos:
Qué es lo que ocurriría si una vulnerabilidad es explotada.
Qué sucedería si se materializa algún escenario de desastre o situación de emergencia / interrupción a tus operaciones.
Qué pasa si ocurre un incidente de seguridad, etcétera.
Incluso puedes incluir la ubicación donde ocurriría el riesgo, el nombre del sistema afectado, el nombre de la vulnerabilidad conocida o cualquier detalle que consideres pertinente.
💡 Puedes apoyarte de nuestro listado de riesgos en el cual te compartimos ejemplos y propuestas sobre descripciones de riesgos que puedes ajustar a las necesidades y contexto real de tu empresa.
Dueño del riesgo
Aquí debes seleccionar la persona, puesto o área que es o será el responsable de evaluar, gestionar, monitorear y/o aplicar el tratamiento adecuado al riesgo.
Aquí verás el listado de colaboradores que cargaste previamente en el módulo de Personal o desde la configuración de tus Miembros dentro de la plataforma, esto para facilitarte esta asignación 😎.
Puedes seleccionar personas específicas (es decir, seleccionar los nombres de tus colaboradores responsables) o también puedes seleccionar áreas o cargos.
Una vez ingresada toda la información solo debes dar clic en “Crear nuevo riesgo” para guardar la información.
¿Cómo editar un riesgo?
Al seleccionar un riesgo te mostrará un menú lateral desde el cual puedes editar todos los campos y su información como te mostramos en el siguiente video:
¿Cómo evaluar un riesgo?
¡Evaluar los riesgos desde nuestro módulo es súper sencillo! Solo es muy importante recordar que esto debe estar alineado con la Metodología de Gestión de Riesgos que hayas definido para tu programa de seguridad.
En el menú lateral del riesgo seleccionado debes realizar lo siguiente:
Ir a la sección de “Riesgo inherente” y dar clic en “Evaluar”.
Seleccionar de los listados desplegables que te muestra la plataforma, los valores de impacto y probabilidad que consideres más adecuados para dicho riesgo. Los valores asignados se multiplicarán para determinar el nivel de riesgo final.
💡Por ejemplo, al asignar un impacto de valor (2) y una probabilidad de valor (5) obtendrás un riesgo resultante de 10 (es decir 2 x 5), que significa que el riesgo se encuentra en un nivel Alto.
El siguiente mapa de calor muestra los parámetros que utiliza la metodología y configuración de nuestra plataforma para determinar el nivel de riesgo:
¿Cómo definir el plan de tratamiento?
Una vez identificado el nivel de riesgo debes definir el plan de tratamiento que le darás, lo cual consiste básicamente en determinar las acciones necesarias para controlar y/o evitar las consecuencias que provocaría dicho riesgo y seleccionar los controles normativos que te ayudarán a lograrlo.
En el menú lateral del riesgo seleccionado debes realizar lo siguiente:
En la sección de “Tratamiento” dar clic en “Evaluar”.
Seleccionar la decisión de tratamiento, recordando que las opciones disponibles son mitigar, aceptar, transferir o eliminar.
Dentro de tu Metodología de Gestión de Riesgos puedes consultar en qué consiste cada una de estas decisiones para que puedas seleccionar la más adecuada.
Describir las tareas que debes ejecutar para llevar a cabo el plan de tratamiento apropiado, según la decisión tomada.
Seleccionar al responsable más adecuado para ejecutar esa tarea, que puede ser un colaborador, área o puesto.
Definir una fecha de vencimiento / fecha límite en la cual la tarea debe ser ejecutada. Esto para tener un seguimiento oportuno del estado de tratamiento de los riesgos.
Seleccionar los controles normativos del estándar de seguridad que estás implementando y que te ayudan a lograr el tratamiento correcto de los riesgos. para que puedas seleccionar aquellos que te permiten aplicar el plan de tratamiento adecuado.
💡Por ejemplo, si tenemos un riesgo relacionado a accesos no autorizados a aplicaciones y sistemas críticos de la empresa, es probable que los controles “A.5.15 Control de acceso” y “A.5.18 Derechos de acceso” (de ISO 27001) me ayuden a mitigarlo.
En el siguiente vídeo te mostramos un ejemplo de cómo se ven estas acciones aplicadas desde la plataforma:
Al completar las tareas, debes chequearlas (✔️) acá en el módulo de Riesgos para que posteriormente puedas evaluar el riesgo residual.
¿Cómo evaluar el riesgo residual?
💡Es muy importante recordar que, a menos de que hayas eliminado el riesgo de raíz, siempre existe un riesgo residual. Este riesgo es el que permanece incluso luego de aplicar las medidas de tratamiento y los controles normativos. Generalmente el nivel de riesgo residual es menor que el nivel de riesgo inherente, pero su evaluación es igual de importante para la seguridad de la información y el cumplimiento normativo.
Como puedes ver en la siguiente imagen, si las tareas no han sido marcadas como hechas, no podrás evaluar el riesgo residual ya que es súper importante validar que efectivamente se hayan realizado todas las tareas y que se cuenta con la evidencia de su aplicación (porque seguramente será solicitada durante una auditoría):
Ahora bien, la evaluación del riesgo residual se realiza igual que la del riesgo inherente. Es decir que debes seleccionar de los listados desplegables los valores de impacto y probabilidad que consideres más adecuados, y dichos valores se multiplicarán para definir el nivel de riesgo.
💡Por ejemplo, después de tratar el riesgo se decide mantener un impacto de valor (2) pero se asigna una probabilidad también de valor (2), ya que con las medidas aplicadas es menos probable que el riesgo se materialice. Con esto, obtendrás un riesgo resultante de 4 (es decir 2 x 2), que significa que el riesgo se encuentra en un nivel Bajo.
Si la decisión de tratamiento que seleccionaste es “Aceptar” o “Eliminar”, la plataforma no te pedirá realizar una evaluación de un riesgo residual.
🌟Columnas
¡Ahora puedes añadir y complementar tu matriz de riesgos con más información si lo necesitas creando nuevas columnas personalizadas! Así como también reordenarlas para ajustarlas cómo a ti te parezca mejor. ¡A continuación te mostramos cómo realizar esto dentro del módulo! 🚀
Crear columnas
Para crear una nueva columna debes seleccionar la opción de “+ Nueva columna” que se encuentra al final del listado:
Ejemplo:
Editar columnas
Para editar columnas solo debes dar clic en los 3 puntitos (...) que se encuentran al lado del nombre de la columna:
Ejemplo:
Eliminar columnas
Al igual que para editar columnas, para eliminarlas solo debes dar clic en los 3 puntitos (...) que se encuentran al lado del nombre de la columna:
Ejemplo:
Reordenar columnas
Para reordenar columnas solo debes pasar el cursor por encima de su nombre, sostener presionado el cursor y mover la columna al lugar donde desees colocarla, como se muestra en el siguiente vídeo:
Entonces ¿qué esperas? ¡Ve a crear tus riesgos y olvídate de mantener hojas de cálculo! Verás que la gestión y monitoreo será mucho más sencilla y tendrás todo bajo control 💪🏼.
¡Califica este artículo! Esto nos ayudará a mejorar nuestro contenido para ti. Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.