Matriz de riesgos según el marco de trabajo para la gestión de riesgos

Índice de contenidos

Matriz de Riesgos

Un marco de trabajo para seguridad de la información es, en pocas palabras, un compendio de normas (estándares), directrices, documentos y requisitos que sirven para definir las políticas, procedimientos y procesos en los que se afianzará la organización para prevenir los incidentes de seguridad de la información, detectar y gestionar riesgos, crear controles, monitorearlos para determinar su eficacia, y, en primera instancia, preservar la seguridad de la información de forma efectiva. Esto se conoce como una matriz de riesgos.

Cada marco garantiza que la información esté muy resguardada y que solo puedan acceder a ella las personas pertinentes. De esta forma se aplican controles de seguridad por tiempo limitado. ¿A qué marco, en específico, nos referimos? Son numerosos, pero los que consideramos más eficaces son:

ISO/IEC 27001
NIST
ENS
TISAX

¿Cómo elegir la herramienta adecuada?

Todos perseguimos el mismo fin: la seguridad de la información de la empresa. Sin embargo, existen muchos caminos para lograrlo, como hemos expuesto a lo largo del texto. ¿Cuál se ajusta a sus necesidades? Es fundamental, antes de elegir, seguir los siguientes criterios:

El objetivo de certificación que haya impuesto la empresa: esto decantaría por normas que sean «certificables», que cuenten con servicios de organismos de certificación capaces de verificar el cumplimiento del estándar.
Las exigencias de los clientes: ellos pueden establecer un marco normativo específico con el que se sientan más confiados y es natural que deseen ciertas homologaciones.
Requerimientos de las partes interesadas: en ocasiones deben cumplir con requisitos legales y reglamentarios que establecen los marcos de referencias, como es el caso del ENS, en España. En el sector automotriz, por ejemplo, optan por solicitar el cumplimiento de los requisitos fijados por TISAX.
La cultura organizacional: esta se enriquece con personas que cuentan con diferentes grados de formación y experiencia, o existe mayor uso de métodos y técnicas.
El uso de la tecnología: si se utilizan herramientas que están estandarizadas o se emplean softwares que ya contienen las mejores prácticas basadas en algún marco de referencia, se deben implementar determinados marcos, pero si se utilizan herramientas más manuales, como Excel, lo usual es que se empleen métodos más simples.

¿Qué matriz de riesgos corresponde a cada marco?

Todos los marcos de trabajo emplean matrices de riesgos, los más utilizados son:

ISO/IEC 27005 Tecnología de la información — Técnicas de seguridad — Gestión de riesgos de seguridad de la información: Es una guía para la apreciación de riesgos de ISO/IEC 27001 y hace más fácil la implementación de esta.
MAGERIT: La metodología de análisis y gestión de riesgos de los sistemas de información es un método de carácter público que interesa principalmente a las entidades en el ámbito de aplicación del Esquema Nacional de Seguridad (ENS), para satisfacer el principio de la gestión de la seguridad basada en riesgos, así como el requisito de análisis y gestión de riesgos, considerando la dependencia de las tecnologías de la información para cumplir misiones, prestar servicios y alcanzar los objetivos de la organización.

NIST SP 800 – 30 R1: Fue creado por el Instituto Nacional de Estándares y Tecnología y contiene pautas de seguridad de la información, incluidos los requisitos mínimos para los sistemas de información federales. Su propósito es brindar orientación para realizar evaluaciones de riesgo de los sistemas y organizaciones de información federales. Las evaluaciones de riesgos realizadas en los tres niveles de la jerarquía de gestión de riesgos, forman parte de un proceso general de gestión de riesgos. Esto proporciona a los líderes/ejecutivos de alto nivel la información necesaria para determinar los cursos de acción apropiados en respuesta a los riesgos identificados. En particular, este documento brinda orientación para llevar a cabo cada uno de los pasos en el proceso de evaluación de riesgos.

Matrices de riesgos

Realmente no existe una única fórmula para poder relacionar una guía para la apreciación de riesgos de seguridad de la información con un eventual marco de referencia que se haya seleccionado. No obstante, hay relaciones que son naturales. Tal es el caso de norma ISO/IEC 27001, que se relaciona con la ISO/IEC 27005. Sin embargo, una organización, dependiendo de los conocimientos que alberga, cultura corporativa o tecnologías que haya adquirido, podría utilizar como matriz a MAGERIT. Hay sectores que se inclinan por cierto tipo de marco de referencia. Por ejemplo, en el sector bancario existe una tendencia de utilización de NIST SP 800 – 30 R1.

A pesar de que existen diferencias entre ellos, beben de la misma fuente y utilizan como referencia a la norma ISO/IEC 27001 y se basan en guías más amplias, como ISO 31000. Todo dependerá de cómo esté estructurado el departamento o área de riesgos de la organización. Si tenemos un área centralizada, probablemente podríamos usar un marco más amplio, como la citada ISO 31000 o COSO.

Software GRCTools para la Gestión de Riesgos Corporativos

La implementación de un Sistema de Gestión de Riesgos Corporativos permite que con una serie de pasos se realicen tareas de identificar los riesgos. Para ello se deben tener en cuenta la estructura organizacional, la actividad económica, los recursos, actualizaciones internas, los agentes externos como los tecnológicos, etc.

Determinado esto se debe hacer la evaluación de los riesgos, para ello, el Software de Gestión de Riesgos Corporativos de GRCTools es especialmente indicado, ya que facilita la configuración de las matrices y la alineación con toda la organización. Los recursos empleados para llevar a cabo una gestión de riesgos eficiente se verán reducidos al mínimo, mejorando además el rendimiento del sistema.