Uno de los beneficios clave de la cuantificación de riesgos de seguridad de la información es que permite priorizar los recursos. Esto significa una asignación más eficiente de personas, procesos y presupuestos en torno a las amenazas a la seguridad de la información que representan un mayor impacto o que tienen una mayor probabilidad de ocurrencia.
Al operar bajo la cuantificación de riesgos de seguridad de la información, los encargados de tomar las decisiones obtienen cifras que se pueden comparar en términos financieros y, así, comprenden los problemas y asignan los recursos de la forma más responsable.
Los beneficios de la cuantificación de riesgos de seguridad de la información
La cuantificación de riesgos de seguridad de la información ayuda a las organizaciones a comprender su exposición y les proporciona una línea de base para saber cómo mejorar la seguridad este área. Pero, además, ofrece otros beneficios:
- Genera conciencia más allá de los aspectos tecnológicos.
- Permite a la alta dirección y a los directores de área tomar decisiones informadas sobre las inversiones en seguridad de la información.
- Optimiza los recursos, al emplearse estos de manera estratégica y considerando prioridades.
- Permite preparar respuestas adecuadas ante escenarios catastróficos.
La cuantificación de riesgos de seguridad de la información permite a los profesionales del riesgo implementar acciones de tratamiento basadas en números y no en percepciones, opiniones o intuiciones. Pero ¿cómo se hace?
¿Cómo realizar la cuantificación de riesgos de seguridad de la información?
Las variables utilizadas universalmente para evaluar riesgos y que funcionan más allá del área de seguridad de la información son la probabilidad y el impacto. Es importante entender que la cuantificación de riesgos de seguridad de la información se encuentra directamente relacionada con la expresión en cifras monetarias de lo que representaría la ocurrencia del riesgo. Por eso, la cuantificación hace uso de unos conceptos particulares:
- SLE (Expectativa de Perdida Individual): es el dinero que se perdería si el evento generador del riesgo ocurre. También involucra los recursos que sería preciso invertir para retornar a la normalidad.
- ARO (Índice de Ocurrencia Anualizado): indica en qué grado el incidente puede ocurrir de manera recurrente durante un año. Es importante saberlo para dimensionar el impacto financiero durante ese periodo de tiempo.
- ALE (Expectativa de Perdida Anualizada): es la cifra de dinero total que se podría perder en un año como causa del riesgo. Es el resultado de multiplicar SLE x ARO.
¿Cómo priorizar la inversión con la cuantificación de riesgos de seguridad de la información?
A menudo, el registro de riesgos de la organización es la evidencia más palpable de la falta de priorización. Esto ocurre porque generalmente no se conocen los verdaderos riesgos. Entonces, el primer paso hacia la priorización es crear listas viables de riesgos. Riesgos que ya han sido cuantificados y que sabemos cuánto nos van a costar si los dejamos actuar.
Luego, podemos pensar en los siguientes puntos:
Comprender los riesgos asociados
Para comprender de manera efectiva la gravedad de los problemas y cuál sería la respuesta más adecuada ante ellos es preciso saber si existen otros riesgos asociados y dimensionarlos. Los hallazgos de auditorías, las excepciones de políticas de seguridad o las alertas de incidentes son una buena fuente de información.
Priorizar los riesgos principales
El primer análisis de riesgo cuantitativo, en profundidad, por lo general se limita a los cinco sucesos principales. Es el punto de partida usual para la priorización. Pero, estos resultados a veces pueden sorprender. Por ejemplo, los eventos de alto impacto, que encabezan la lista, pueden ser de muy baja o escasa probabilidad de ocurrencia, en tanto que los eventos de alta frecuencia, pero de bajo impacto, pueden tener un valor acumulativo alto a largo plazo.
Determinar el apetito de riesgo
El apetito de riesgo es un elemento imprescindible en la gestión de riesgos. Hagamos un repaso rápido sobre cómo determinarlo:
- Identificar los tipos de riesgos que sean más relevantes.
- Definir los umbrales de exposición a pérdidas inaceptables o aceptables, dependiendo del enfoque.
- Validar los valores del apetito de riesgo utilizando una muestra de escenarios de riesgo cuantitativo.
El objetivo, en otras palabras, es entender si aceptar un riesgo o no previendo sus consecuencias. Se puede tratar de aprovechar una oportunidad que, finalmente, puede resultar mucho más redituable que gastar dinero en evitar el riesgo.
Determinar el ROI de las inversiones en seguridad
El objetivo final de la cuantificación de riesgos de seguridad de la información siempre será expresar el impacto de los riesgos en términos financieros. Ello conduce a que la alta dirección o el área encargada autoricen la destinación de unos recursos para tratar esos riesgos.
Lógicamente quien autorice la inversión querrá saber en cuánto tiempo la tendrá de retorno y en qué condiciones. Para ello es preciso comparar el efecto de la ocurrencia del riesgo con los beneficios productivos de invertir en su gestión.
Las organizaciones que han implementado un sistema de gestión para la seguridad de la información basado en la norma internacional ISO 27001 lo tendrán más fácil.
Experto en Auditoría Interna ISO/IEC 27001:2013 SGSI + Método de Auditorías Remotas de Sistemas de Gestión
Cuando eres un experto, minimizar riesgos y aprovechar al máximo la norma de seguridad de la información más reconocida en el ámbito internacional es más sencillo. Ahora puedes convertirte en uno con el Curso Experto en Auditoría Interna ISO/IEC 27001:2013 SGSI + Método de Auditorías Remotas de Sistemas de Gestión.
Este programa ofrecido por la Escuela Europea de Excelencia conjuga el estudio minucioso de los requisitos de la norma, con las mejores prácticas para realizar auditorías remotas de sistemas de gestión, tan necesarias en el momento actual.
Este es un programa que puede abrirte la puerta a muchas oportunidades. Empieza ahora.