Gestión de Riesgos en Seguridad
Identificación, evaluación y tratamiento de riesgos. ISO 31000 y NIST RMF
Conceptos Fundamentales
Amenaza (Threat)
Evento potencial que puede causar daño. Ejemplo: un atacante que quiere robar datos, un terremoto, un error humano.
Vulnerabilidad
Debilidad en un activo que puede ser explotada por una amenaza. Ejemplo: software sin parchear, contraseñas débiles.
Riesgo
La combinación de probabilidad de que una amenaza explote una vulnerabilidad y el impacto resultante. Riesgo = Probabilidad × Impacto.
Control
Medida implementada para reducir el riesgo. Puede ser preventivo, detectivo o correctivo.
Fórmula del Riesgo
Riesgo = Probabilidad × Impacto
Un riesgo de baja probabilidad pero alto impacto puede ser prioritario sobre uno de alta probabilidad pero bajo impacto.
El Proceso de Gestión de Riesgos
1. Identificación de Activos y Amenazas
Inventariar todos los activos (datos, sistemas, procesos, personas) y listar las amenazas relevantes para el negocio.
Activos: BD clientes, servidores de producción, credenciales de AD. Amenazas: ransomware, insider malicioso, fallo de hardware.
2. Evaluación del Riesgo
Estimar probabilidad e impacto de cada combinación amenaza-activo-vulnerabilidad. Produce una matriz de riesgo.
SQL injection en app web: Probabilidad ALTA (no hay WAF) × Impacto ALTO (acceso a datos de clientes) = Riesgo CRÍTICO.
3. Tratamiento del Riesgo
Decidir qué hacer con cada riesgo según coste vs. beneficio.
Ver las 4 opciones en el bloque siguiente.
4. Monitoreo y Revisión
Los riesgos cambian. Revisar el registro de riesgos al menos trimestralmente y tras cambios mayores.
Auditorías internas, pen testing anual, revisiones post-incidente.
Las 4 Opciones de Tratamiento del Riesgo
🛡️
Mitigar
Implementar controles para reducir la probabilidad o el impacto. La opción más común.
Ej: Parchear la vulnerabilidad, implementar WAF, activar MFA.
📋
Transferir
Trasladar el riesgo a un tercero. No elimina el riesgo, solo cambia quién lo absorbe.
Ej: Contratar un seguro de ciberriesgos, outsourcing del SOC.
✅
Aceptar
Reconocer el riesgo y decidir no hacer nada. Solo válido si el coste del control supera el impacto esperado.
Ej: Riesgo de DoS en un blog interno con datos no críticos.
🚫
Evitar
Eliminar la actividad que genera el riesgo. La opción más radical.
Ej: No recoger datos de tarjeta de crédito (usar Stripe); cerrar el servicio expuesto.
Frameworks de Gestión de Riesgos
ISO 31000:2018
Estándar internacional de gestión de riesgos. Principios, marco y proceso. Agnóstico al sector. Define: contexto → identificación → análisis → evaluación → tratamiento → comunicación → monitoreo.
Complementado por ISO/IEC 27005 para gestión de riesgos de seguridad de la información.
NIST RMF (SP 800-37)
Risk Management Framework del NIST. 6 pasos: Prepare → Categorize → Select → Implement → Assess → Authorize → Monitor. Obligatorio para agencias federales de EE.UU. Ampliamente adoptado en sector privado.
Integrado con NIST CSF (Cybersecurity Framework) y SP 800-53 (controles).
Buenas Prácticas
Mantener un Risk Register (registro de riesgos) formal con propietario, fecha de revisión y estado.
Definir el Risk Appetite del CISO/Board: qué nivel de riesgo residual es aceptable.
Priorizar riesgos por criticidad y coste de remediación, no solo por severidad técnica.
Comunicar riesgos al negocio en términos de impacto económico, no solo técnico.
Integrar gestión de riesgos en el SDLC: evaluar riesgos en el diseño, no solo tras despliegue.
Siguiente Paso
Aprende a clasificar y etiquetar la información según su sensibilidad
Clasificación de la Información →