Con nuestro template para crear una metodología de gestión de riesgos acabarás rápidamente la actividad y con altas probabilidades de cumplir el requisito.
El objetivo de este documento es el de asegurar que todos los involucrados en la gestión de riesgos dentro de tu empresa, se organicen con base en los mismos criterios para estar alineados con el cumplimiento de la Seguridad de la Información.
NOTA: La creación de esta metodología requiere de un entendimiento en términos de gestión de riesgos y comprensión de la documentación relacionada. Recomendamos que sea realizado por una persona capacitada y que cuente con las habilidades para transmitir esta información a todos los involucrados responsables de realizar el inventario de activos y la matriz de riesgos.
El documento cuenta con siete secciones:
Objetivo
Alcance
Vigencia
Definiciones
Desarrollo de la metodología
Versionado
Anexos
A continuación te explicamos cada una de estas secciones, cómo llenar el documento y los pasos a seguir.
Objetivo
En esta primera sección debes definir los objetivos generales que debe cumplir la creación de este documento.
Un objetivo puede ser, por ejemplo:
Definir las actividades para la ejecución metodológica del procedimiento de Gestión de Riesgos.
El ejemplo anterior también lo puedes encontrar dentro de nuestro template, pero recuerda que puedes complementarlo y/o ajustarlo a las necesidades de tu empresa.
Alcance
En esta sección debes indicar los procesos internos, las áreas funcionales o cualquier otro elemento de tu empresa que será alcanzado o afectado por este documento.
Un alcance puede ser, por ejemplo:
Esta metodología alcanza a todos los activos y riesgos que posee la empresa. Esto es, el personal interno, personal externo, proveedores, hardware y software representativo utilizado para desempeñar sus labores.
El ejemplo anterior también lo puedes encontrar dentro de nuestro template, pero recuerda que puedes complementarlo y/o ajustarlo a las necesidades de tu empresa.
Vigencia
En esta parte hay que indicar la fecha en la que entrará en vigor el documento dentro de la empresa. Esto sucederá cuando sea aprobado y comunicado formalmente a todos los colaboradores que se requiera.
Se recomienda que la duración de la vigencia no exceda un año. Ya que revisar, mantener e incluso mejorar nuestra documentación es un requisito de seguridad muy importante.
Definiciones
En esta sección puedes añadir la definición de cualquier concepto clave que consideres necesario para comprender mejor el contenido de tu metodología.
Dentro del template ya podrás encontrar algunas de las definiciones más importantes que te ayudarán a entender y desarrollar mejor este documento.
Si lo ves necesario, puedes agregar otros conceptos para adaptar o complementar el documento a tu operación.
Desarrollo de la metodología
Comencemos con el desarrollo de la metodología de gestión de riesgos que adoptarás en tu empresa.
Dentro de nuestro template te sugerimos una metodología que consta de 6 fases, las cuales te explicaremos con más detalle a continuación.
Pero recuerda que puedes ajustar esta metodología para que se adapte mejor a las necesidades, capacidades y recursos de tu empresa.
Fase 1: Parametrización de la Gestión de Riesgos
En esta primera fase debes establecer los niveles y criterios de aceptación de riesgos que aplicarás, considerando el impacto que estos tengan dentro de la organización.
Te recomendamos medir los niveles de riesgo como: Muy Alto, Alto, Medio y Bajo.
Además, para una primera implementación del SGSI, te sugerimos generar planes de tratamiento de riesgo sólo para aquellos que sean evaluados con un nivel Muy Alto y Alto.
Esto con la finalidad de proteger tus activos y operaciones de lo que más podría afectarlos.
Considerando entonces, los niveles de impacto y el criterio que te sugerimos previamente para generar planes de tratamiento (es decir, seleccionando los riesgos con nivel de impacto Muy Alto y Alto), estaremos estableciendo que, por lo tanto, los riesgos resultantes en los niveles Medio y Bajo serán aceptados, ya que no impactan de manera significativa las operaciones de la empresa.
Un Plan de Tratamiento de Riesgos es esencial para cumplir con tu SGSI. En este plan es donde estableces las acciones que se deben tomar para mitigar los riesgos existentes. Estas acciones son gestionadas en forma de medidas o controles de seguridad.
Los planes de tratamiento que puedes elegir para gestionar tus riesgos son: mitigar, aceptar, transferir y eliminar. Cada uno de estos será explicado más a detalle en una sección posterior de este artículo.
Fase 2: Parametrización del Inventario de Activos
En esta fase debemos definir los criterios de identificación y evaluación de los activos de información de tu empresa, con el objetivo de crear un inventario adecuado.
Hackmetrix insight: Con la creación del inventario, obtendremos toda la información necesaria para comenzar a trabajar en la matriz de riesgos. Es decir, que no podemos comenzar una evaluación de riesgos si no tenemos nuestros activos de información identificados.
Entonces, lo primero que debemos hacer es definir toda la información que sea necesaria para realizar el inventario correctamente.
Todos los puntos explicados a continuación toman como referencia el formato base de nuestro template para hacer el inventario de activos de información.
Este template puedes encontrarlo ingresando a la actividad correspondiente dentro nuestra aplicación, al lado derecho.
Te recomendamos explorar un poco nuestro template de inventario de activos para que te resulte más sencillo comprender cada uno de los puntos siguientes.
Para conocer más sobre cómo puedes crear tu inventario usando nuestro template, te sugerimos leer el siguiente artículo.
¿Qué debe tener tu inventario de activos de información?
Ahora bien, la información que debemos documentar dentro de nuestro inventario de activos de información, es la siguiente:
Identificación de activos.
Define qué nombre se le dará al activo para identificarlo fácilmente.
Tipo de activo.
Define los tipos de activos que te apliquen mejor. Te sugerimos algunos de los más comunes, los cuales pueden englobar la mayoría de activos.
Estos son: software, físico, intangibles, personas, entre otros.
*También puedes encontrar esta tabla en la sección 7. Anexos, dentro del template.
Tipo de ubicación.
Define las ubicaciones que pueden tener tus activos; física, lógica (o digital) o ambas.
*También puedes encontrar esta tabla en la sección 7. Anexos, dentro del template.
Nivel de confidencialidad.
Define la clasificación que le darás a tu información para indicar su nivel de confidencialidad. Te sugerimos utilizar los siguientes tres niveles de clasificación, los cuales puedes adaptar a las necesidades de tu información):
*También puedes encontrar esta tabla en la sección 7. Anexos, dentro del template.
Propietarios.
Define las responsabilidades que deben tener los propietarios de activos en relación a él. Así como cualquier otro lineamiento que consideres pertinente que deban seguir para proteger el activo.
Medidas de seguridad.
Puedes indicar cualquier control que apliques, o puedas aplicar, sobre el activo para mantenerlo seguro.
Cómo por ejemplo:
Acceso a él por medio de usuario, contraseña y doble factor de autenticación.
Acceso limitado a personal autorizado, resguardo protegido, etcétera.
Valoración final del activo.
Define el método de valoración de tus activos, de manera que puedas realizar las mediciones con parámetros sencillos.
Lo más recomendable a la hora de valorizar tus activos es hacerlo con base en las 3 características de la información:Confidencialidad
Integridad
Disponibilidad
Nuestro método de valorización propuesto consta de un rango del 1 al 5 para medir las características antes mencionadas.
A continuación te explicamos los aspectos a considerar para elegir el valor más adecuado.
*También puedes encontrar esta tabla en la sección 7. Anexos, dentro del template.
Al definir estos valores, obtendrás un promedio con el que podrás establecer la categoría final del activo.Esta categoría nos indicará la criticidad que tiene dicho activo para la empresa y se mide con los siguientes niveles:
Muy Alto
Alto
Medio
Bajo
Muy Bajo
Para conocer la categoría del activo, debemos tener ya calculado el promedio de los valores que le dimos anteriormente a la confidencialidad, integridad y disponibilidad.
Y siguiendo el criterio mostrado en la tabla siguiente, debemos buscar el valor del promedio dentro del parámetro correspondiente y con ello, definir la categoría final del activo.
*También puedes encontrar la tabla anterior en la sección 7, dentro del template.
Al comenzar con una implementación del SGSI, se recomienda sólo realizar el análisis y evaluación de riesgos a los activos valorados como Muy Alto y Alto.
Fase 3: Identificación de Riesgos
En esta fase debemos definir todos los criterios y lineamientos necesarios para identificar y describir los riesgos que puedan impedir que tu empresa logre sus objetivos.
A continuación, te contamos las acciones más recomendables para realizar una identificación de riesgos adecuada, en qué consiste cada acción, algunos conceptos importantes y sugerencias generales.
Dentro de nuestro template podrás encontrar ya una base con toda esta información, pero recuerda que puedes ajustarlo, de manera que se adapte mejor a las necesidades de tu empresa.
Identificar amenazas y vulnerabilidades
Pueden existir una gran variedad de amenazas y vulnerabilidades para la gestión de riesgos en relación a la seguridad de la información.
Así que, antes de comenzar, es importante comprender lo que significa cada uno de estos términos.
Amenaza: Responde a la pregunta ¿qué puede pasar?
Un ejemplo de esto podría ser un acceso no autorizado a la información.
Para mayor detalle y otros ejemplos de amenazas, puedes consultar la sección 7. Anexos dentro de nuestro template.Vulnerabilidad: Responde a la pregunta ¿por qué puede pasar?
Un ejemplo de esto, y siguiendo la idea del ejemplo anterior, podría ser una inadecuada gestión y protección de contraseñas.
Sabiendo esto, será mucho más fácil identificar las amenazas y vulnerabilidades asociadas a nuestros activos.
Describir el riesgo
Una vez identificadas las amenazas y vulnerabilidades, podemos describir el riesgo.Esta descripción es básicamente un párrafo donde se define lo que puede ocurrir al combinar dicha amenaza y su vulnerabilidad.
Un ejemplo podría ser el siguiente:Acceso no autorizado a la información causado por una mala gestión y protección de contraseñas, resultando en robo de información. Donde el robo de información es el riesgo.
Identificar al propietario del riesgo
El propietario será la persona, rol o área que deberá tomar la responsabilidad de dicho riesgo.
Es quien será el encargado de elegir las acciones y el tratamiento a seguir, así como también, será el responsable de tomar las medidas pertinentes, en caso de que el riesgo se materialice.
Además, es importante definir también al área o persona responsable que deberá designar y comunicar a los propietarios sus riesgos pertinentes.
Identificar origen y categoría del riesgo
Aquí debemos identificar el criterio a seguir para categorizar de la mejor manera los riesgos, tomando como base su origen.
En la siguiente tabla te mostramos algunos de los orígenes de riesgo más comunes y las categorías a los que pertenecen. Si te parece necesario, puedes añadir más o ajustarlos para que se adapten mejor a tu organización.*También puedes encontrar esta tabla en la sección 7. Anexos, dentro del template.
Categorizar los riesgos nos permitirá comprender mejor de dónde vienen y cómo podemos enfrentarlos.
Identificar controles existentes y planificados
Aquí vas a identificar los controles de seguridad ya existentes, o que se encuentren en proceso de implementación dentro de tu empresa.Estos controles deben ser aplicados a tus activos para obtener un nivel de seguridad de información adecuado.
Fase 4: Evaluación de Riesgos
Una vez que ya identificaste tus amenazas, vulnerabilidades, los riesgos y su origen, debes definir las actividades y/o métodos a llevar a cabo para realizar la evaluación de los riesgos.
El objetivo principal de esta evaluación es determinar los niveles de riesgo, que constituyen la probabilidad e impacto del mismo, y así poder elegir el plan de tratamiento más acertado.
Para esto te sugerimos realizar las siguientes acciones:
Determinar la probabilidad
Aquí debes hacerte la pregunta: ¿cuál es la posibilidad de que ocurra el riesgo identificado?
A continuación te mostramos una tabla con los parámetros que te recomendamos seguir para determinar la probabilidad de tus riesgos.*También puedes encontrar esta tabla en la sección 7. Anexos, dentro del template.
Determinar el impacto
Aquí debes hacerte la pregunta: ¿qué es lo qué sucede cuando el riesgo identificado se convierte en una realidad?
A continuación te mostramos una tabla con los parámetros que te recomendamos seguir para determinar el impacto de tus riesgos.
*También puedes encontrar esta tabla en la sección 7. Anexos, dentro del template.
Determinar el nivel de riesgo
Este es el resultado de la combinación de la probabilidad y el impacto determinados anteriormente.
Las categorías de nivel de riesgo que obtenemos siguiendo los parámetros de probabilidad e impacto sugeridos previamente son:Muy Alto
Alto
Medio
Bajo
A continuación te mostraremos un ejemplo práctico, usando nuestro método sugerido, para encontrar la categoría del nivel de riesgo.
Para esto, utilizamos la siguiente tabla:
El uso de esta tablita es muy simple, solo debes realizar los siguientes pasos:
Busca el valor de probabilidad que le diste a uno de tus riesgos en la columna de la izquierda.
Busca el valor de impacto que le diste a ese mismo riesgo en la fila de la parte superior.
Haz el cruce correspondiente y podrás obtener la categoría de tu riesgo.
Para nuestro ejemplo diremos que; nuestro riesgo X tiene una probabilidad igual a 3 y un impacto igual a 2.
Buscamos estos dos valores dentro de la tabla, hacemos el cruce entre ellos y vemos que dicho riesgo tendría un nivel Alto.
Fase 5: Tratamiento de Riesgos
En esta fase debemos definir y establecer las diferentes opciones de tratamiento de riesgos que tenemos disponibles.
Para seleccionar la acción más adecuada para cada uno de los riesgos, primero debemos comprender las opciones que tenemos, las cuales son las siguientes:
Aceptar
No se tomará ninguna acción para tratar el riesgo. Es decir, se mantendrá el nivel de riesgo tal y como está.
Solo recuerda que debes realizar un análisis previo antes de tomar la decisión de aceptar riesgos. Este análisis debe quedar documentado para justificar el porqué de nuestra decisión.
Mitigar
Esto quiere decir que se implementarán controles técnicos, físicos o administrativos para reducir los factores que conforman al riesgo.
Eliminar
Esto implica eliminar la fuente que genera el riesgo. Es decir, prescindir del proceso, servicio, actividad o recurso que lo origina.
Transferir
Esto se realiza mediante la obtención de servicios de un tercero para que éste sea el responsable asignado, en caso de que el riesgo se materialice.
Recuerda que los riesgos evaluados con un nivel Muy Alto y Alto, siguiendo el método y las recomendaciones explicadas anteriormente, serán a los que debemos planificarles un tratamiento pertinente.
Es de suma importancia saber que los riesgos en niveles Muy Alto y Alto, solo los podremos aceptar bajo dos condiciones particulares:
Cuando el costo del tratamiento (lo cual podría involucrar aplicación de medidas de seguridad, asignación de personal como responsables del riesgo, etcétera) es mayor al costo de que el riesgo se materialice.
Si sufres recortes de presupuesto. En otras palabras, si te quedas sin recursos para tratar esos riesgos, los cuales pueden ser de diferentes tipos: recursos financieros, recursos tecnológicos, recursos humanos, etcétera.
Fase 6: Seguimiento e Informe
En esta última fase del desarrollo de nuestra metodología, debemos definir los objetivos, acciones o criterios a seguir para el seguimiento de los riesgos, su gestión y el informe de los mismos.
Dentro del template podrás encontrar las dos actividades siguientes:
Seguimiento y revisión
Aquí debes definir los lineamientos y actividades necesarias para asegurar que la creación y el seguimiento de los planes de tratamiento de riesgos se realicen correctamente.
Además, debes asignar a una persona o área responsable de ejecutar este seguimiento. Recuerda que éste no puede ser el mismo que el responsable del riesgo, ya que no es correcto ser juez y parte del mismo.
Registro e informe
Aquí debes establecer los lineamientos necesarios para documentar el seguimiento y los resultados de los planes de tratamiento de riesgos definidos, de manera que la información sea correcta y accesible.
Esto te permitirá informar al Comité de Seguridad de la Información y a la Alta Gerencia sobre el estado de los riesgos y de todas las acciones relevantes que se lleven a cabo, ya que así ellos podrán tomar las decisiones más acertadas para que la gestión de riesgos sea exitosa.
Versionado
La última parte de nuestro template es una de las más importantes de cualquier documento.
El versionado te permite identificar a las personas responsables de la elaboración, revisión y aprobación del documento.
Al versionar un documento puedes saber si está vigente, si cuenta con versiones obsoletas y tener registro de los cambios que ha sufrido.
Nuestro template te pide identificar los siguientes puntos:
Elaborado por:
Se recomienda indicar el nombre y rol de la persona responsable de la creación del documento.
Código de documento:
No existe una regla para generar códigos de documentos. Lo único que tienes que tener en cuenta es que debe ayudar a identificarlos fácilmente.
Sugerimos hacer una combinación de varios elementos, como puede ser el nombre de la empresa, el número de documento, una abreviatura de política (POL) o procedimiento (PRO), el número de versión (v1, v2, v3), etcétera.
Algunos ejemplos pueden ser: DM-001A, SGSI-V1-DM, POL-SGSI-V1.
Versión:
Al crear este descriptivo por primera vez, tendremos la versión 1 del documento (lo cuál se puede indicar cómo v1). Por lo tanto, al actualizar este documento, su versión cambiará.
Las modificaciones que le sigan se pueden indicar cómo v2, v3, v4, y así sucesivamente.
Fecha última de actualización:
Se debe actualizar esta fecha cada que se realice algún cambio al documento o se renueve su vigencia.
Revisado por:
Se recomienda indicar el nombre y rol de la persona responsable de la revisión del documento.
Aprobado por:
Se recomienda indicar el nombre y rol de la persona responsable de la aprobación del documento.
Hackmetrix insight:
Las personas involucradas en la elaboración, revisión y aprobación del documento no deben ser las mismas.
Esto porque además de que le permite tener varios niveles de validación a tu documentación, te ayuda a cumplir y mantener la segregación de funciones dentro de tu empresa.
Cuando termines la tabla de versionado, debería verse algo así:
Anexos
En esta sección encontraremos todas las tablas mencionadas en este artículo y dentro del documento, las cuales pueden ser consultadas para comprender la metodología de una mejor manera.
Si haces referencia a alguna otra información, puedes complementar esta sección con todos los anexos que consideres pertinentes.
Recuerda que:
El comité de seguridad, los propietarios de riesgos y los responsables de activos de información, deben estar involucrados dentro de los procesos de gestión de riesgos.
La metodología de gestión de riesgos te ayudará a identificar problemas potenciales de manera oportuna y a evaluar los riesgos para conocer el impacto que tendrían en tu operación, en caso de materializarse.
Los planes de tratamiento a los cuales someter los riesgos para reducir su nivel de ocurrencia y probabilidad son de suma importancia y deben ser definidos a consciencia y con los responsables pertinentes.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.