Inicio / Protege tu empresa / Blog / Gestión de riesgos, una guía de aproximación para el empresario

Gestión de riesgos, una guía de aproximación para el empresario

Publicado el 06/07/2015, por INCIBE
Gestión de riesgos, una guía de aproximación para el empresario

En medio de la batalla por mantener a flote el negocio, cuando te persiguen las llamadas y cumplen los plazos, lo que menos necesitas es más preocupaciones. Encima de la mesa está ese asunto de la ciberseguridad. Tienes poco tiempo. Necesitas sentarte una hora con alguien con experiencia que resuelva tus dudas y del que tomar las ideas esenciales para abordarlo con éxito.

¿De verdad tengo que preocuparme de esos riesgos?

Es importante que reconozcas y aceptes que el crimen en el ciberespacio existe. Toda actividad que mueve dinero tiene riesgos, en el mundo real y en el virtual. Los ciber-riesgos son una realidad, los ataques a pymes van en aumento:

  • roban tu base de clientes con sus datos personales y además de un gran daño a tu imagen puedes tener problemas legales
  • convierten tus equipos en zombies al servicio de actividades criminales desde el otro lado del mundo
  • te cifran la información de tu negocio parando tu actividad y pidiéndote un rescate, por poner algunos ejemplos

Mira estos datos de los daños a empresas del año pasado.

Tipos de amenazas de ciberseguridad e incidentes mas habituales: Acceso no autorizado 37,94%, fraude 23,90%, virus troyanos gusanos y spyware 9.76%, spam 5.62%, denegacion de servicio 4.41%, escaneos de red 2.38%, robo de informacion 0.45%, otros 15.54

Y sí, aunque te resistas a creerlo, estos riesgos te afectan. Busca cinco minutos y prueba la herramienta de autodiagnóstico con la que te harás una idea de tu nivel de riesgo.

Bueno, entonces ¿qué es lo primero que debo hacer?

Tienes que proteger tus datos, los de tus clientes, tus transacciones, tu página web, tus servidores, tus instalaciones, etc. Aún es pronto para conocer los detalles de todas las amenazas que acechan. Lo que de verdad te interesa saber es cómo priorizar las decisiones para invertir en garantizar la confidencialidad, integridad y disponibilidad de la información.

De momento has de comprender en qué invertirás esos euros necesarios para abordar la ciberseguridad, cuánto te va a costar y qué vas a conseguir a cambio. En la práctica esto se hace con un análisis de riesgos.

Y ¿qué debo saber para iniciar un análisis de riesgos?

Aunque haya muchas metodologías de gestión de riesgos para seguridad de la información ninguna te va a dar una fórmula mágica para aplicar a tu negocio. Lo intuías, ¿verdad? Tendrás que conocerlas y valorar cuál es la mejor, la más apropiada o adoptar una mezcla de ellas adaptada a tu empresa.

La gestión de riesgos te guiará para responder a algunas preguntas:

  • ¿qué puede pasar?, ¿cuándo y dónde? y ¿cómo y por qué?
  • ¿cómo valorar las posibles consecuencias?
    • pérdidas financieras
    • costes de reparación o sustitución
    • interrupción del servicio
    • pérdida de reputación y confianza de los clientes
    • disminución del rendimiento
    • infracciones legales o ruptura de condiciones contractuales
    • pérdida de ventaja competitiva
    • daños personales
  • ¿qué puedo hacer con los riesgos?, ¿cómo priorizar las medidas a tomar?, ¿cuánto me va a costar? y ¿qué recursos necesito?

Vamos al grano: ¿me conviene invertir en ciberseguridad?, ¿estoy obligado a ello?

Has dado en el quid de la cuestión: ¿hasta qué punto es rentable invertir en seguridad? Y derivada de esta: ¿tengo que cumplir obligaciones legales o contractuales? El análisis de riesgos te ayudará a comprender por qué vas a pagar, qué recursos tienes que emplear y qué vas a conseguir con ello, es decir, cuáles serán las ventajas de aplicar medidas de seguridad.

Como ya conocerás tienes algunas obligaciones legales, sobre todo si tratas con datos personales, si tienes una página web, si utilizas comercio electrónico, etc. También puede que hayas adquirido obligaciones contractuales con tus proveedores o clientes. El análisis de riesgos te servirá para revisar estas obligaciones.

Para saber si te conviene invertir en seguridad tendrás que elegir cuál es el nivel de tolerancia al riesgo de tu empresa, es decir, qué riesgos asumes y cuáles no. Esto se hará en función de criterios de coste-beneficio. Esta tabla ilustra cómo sería:

El coste del tratamiento es muy superior a los beneficios -> Evitar el riesgo, por ejemplo, dejando de realizar esa actividad. El coste del tratamiento es adicuado a los beneficios -> reducir o mitigar el riesgo: seleccionando e implantando las medidas aducuadas que hagan que se reduzca la probabilidad o el impacto. El coste del tratamiento por terceros es mas beneficioso que el tratamiento directo -> transferir el riesgo, por ejemplo, contratando un seguro o subcontratndo el servicio. El nivel de riesgo es muy bajo comparado con el nivel de tolerancia. No merece la pena pagar por reducirlo más -> retener o aceptar el riesgo sin implementar controles adicionales. Monitorizando para confirmar que no se incrementa.

Pero ¿cómo sé qué medidas aplicar?

Para ayudarte a tomar las medidas apropiadas desde Incibe publicamos «Gestión de riesgos. Una guía de aproximación para el empresario»

Gestión de riesgos

La norma ISO 27001:2013 en su anexo A incluye una lista de objetivos de seguridad y medidas, que aunque no es exhaustiva, es aplicable a la mayoría de empresas. A modo de resumen estas medidas consisten en:

  • instalar productos o contratar servicios
  • establecer controles de seguridad
  • mejorar los procedimientos
  • cambiar el entorno
  • incluir métodos de detección temprana
  • implantar un plan de contingencia y continuidad
  • realizar formación y sensibilización

A modo de reflexión

Aunque duela reconocerlo «no hay rosas sin espinas». Como suele ocurrir en otros campos, en general cuanto más «incómodo» es tomar medidas más crece la seguridad.

Por ejemplo, dejar que cada empleado ponga o no contraseñas en sus equipos es más «cómodo» que implantar una política de contraseñas que les obligue a modificarlas con frecuencia, que sean difíciles de averiguar, etc. Pero si no la implantamos estamos vendidos, cualquiera podrá entrar en nuestros sistemas con poco esfuerzo. La «comodidad» puede ser arriesgada.

Por lo general también se cumple que cuando más «cómoda» resulta una actividad más «obligaciones» tendremos si algo falla.

Siguiendo con el ejemplo, es más «cómodo» dejar al libre albedrío de los usuarios el uso de las contraseñas. Pero así cualquiera podrá entrar en nuestros sistemas, robarnos todo tipo de información, incluso datos personales de clientes, dejarnos sin actividad y causarnos graves daños derivados. Reparar estos daños y volver a la actividad será más costoso que implantar una política de contraseñas.

De manera gráfica podemos representar el punto de equilibrio entre «comodidad» y «obligaciones». Ese es el punto que buscamos con la gestión de riesgos.

Gráfica de seguridad comodidad obligaciones

Este punto no es estático. Las medidas que implantemos harán que se desplace. Si subcontratamos la actividad que genera el riesgo tendremos menos «obligaciones» y más «comodidad». Dejaremos de preocuparnos por esos riesgos, aunque habrá que estudiar qué compromisos se derivan de ello. Si por el contrario aplicamos medidas la «comodidad» será menor y también las «obligaciones» que tendremos si algo sucediera, pues disminuyen los riesgos o sus impactos. Como diría Aristóteles: «en el término medio está la virtud».