La Gestión de Riesgos de IT garantiza que todos los riesgos informáticos se detecten y se aborden de forma adecuada, eficiente y segura. Dicha práctica ayuda a proteger al entorno y a los usuarios frente a amenazas internas y externas, y a acatar las obligaciones en materia de Gobernanza, Riesgo y Cumplimiento (GRC).
Por lo tanto, si estás buscando maneras confiables y eficaces de mantener tu lugar de trabajo a resguardo, llegaste al lugar indicado: en este artículo exploramos el alcance de la Gestión de Riesgos y las ventajas que conlleva, analizamos los frameworks o marcos más utilizados, así como el modo de crear un plan completo y útil para pasar a la acción.
¿Estás listo para saber más sobre el tema? Entonces comencemos.
Automatiza tu Gestión de Riesgos con etiquetas inteligentes
¿Qué es la Gestión de Riesgos?
La Gestión de Riesgos comprende las iniciativas de una organización para identificar, evaluar y administrar los riesgos financieros, legales, tecnológicos y los relacionados con la seguridad. Esto incluye procedimientos, políticas, prácticas de trabajo, programas de formación y herramientas para descubrir y determinar posibles amenazas y vulnerabilidades.
Gestión de Riesgos Tecnológicos
Los términos Gestión de Riesgos y Gestión de Riesgos Tecnológicos pueden utilizarse (y a menudo ocurre así) de forma indistinta, lo cual tiene sentido considerando que ambos nos instan a descubrir, analizar, examinar y abordar sistemáticamente las amenazas para la organización.
Sin embargo, no significan lo mismo. Los principales objetivos de la Gestión de Riesgos de IT son:
- Administrar, controlar y proteger el entorno informático.
- Mantener la integridad, la confidencialidad y la disponibilidad de los servicios tecnológicos.
- Garantizar la identificación de los riesgos y su manejo eficaz, eficiente y seguro.
Las áreas de IT y Gestión de Riesgos colaboran estrechamente en todas las organizaciones para que cualquier riesgo relacionado con la información se detecte y se aborde de manera rápida y segura.
La primera respalda las prácticas generales de la segunda mediante la implementación de estas iniciativas:
- Política de uso aceptable para que todas las partes interesadas comprendan qué es y qué no un uso aceptable de los dispositivos y los sistemas.
- Gestión o Habilitación del Cambio para que cualquier modificación se revise, evalúe y autorice. Todos deben ser conscientes de los riesgos relacionados con una transformación.
- Práctica de Gestión de Versiones para que solo se despliegue el software autorizado, con licencia y seguro.
- Gestión de Activos de IT (ITAM) para que dichos recursos se supervisen, administren y controlen a lo largo de su ciclo de vida.
- Mejores prácticas del soporte informático, como bloqueo de dispositivos corporativos para garantizar los cambios. O que el nuevo software sea introducido por un miembro autorizado del equipo de IT.
Lectura recomendada
Leer artículo
¿Cómo automatizar la Gestión de Riesgos?
Enterprise Risk Management
La Gestión de Riesgos Empresariales (Enterprise Risk Management) es un enfoque holístico e integrado para identificar, evaluar, priorizar y mitigar los riesgos en toda la organización.
La práctica crea y administra procesos y procedimientos para descubrir amenazas potenciales, comprender su impacto y desarrollar un plan de abordaje de los mismos. La Gestión de Riesgos de IT es una pieza esencial del programa general de la Enterprise Risk Management.
¿Por qué es importante la Gestión de Riesgos?
La Gestión de Riesgos consiste en un enfoque sistemático para mantener a salvo a la organización, a sus datos y a su personal. La implementación del conjunto completo de prácticas y procedimientos asegura que ninguna amenaza se pase por alto ni se ignore.
Para el departamento de IT, esto garantiza el cumplimiento normativo externo y la preparación a posibles auditorías, así como la implementación de medidas preventivas para estar listos ante posibles amenazas cibernéticas. También significa que puede operar sin interrupciones inesperadas, que suelen resultar costosas y frustrantes para los equipos.
En esencia, la Gestión de Riesgos mantiene todo bajo protección y en funcionamiento, tal y como debe ser.
Evaluación de Riesgos vs. Gestión de Riesgos
¿Es lo mismo la Evaluación de Riesgos y la Gestión de Riesgos? No. Pero se requieren ambas prácticas para un abordaje adecuado.
En primer lugar, se utiliza la Evaluación de Riesgos para comprender la amenaza potencial, su importancia y su impacto. Se trata de acceder a los posibles riesgos en detalle para luego identificarlos, analizarlos y evaluarlos a fondo. El objetivo es ayudar a diseñar una estrategia.
Mientras que la Gestión de Riesgos es el siguiente paso, que toma los resultados de la etapa anterior para priorizar la lista de amenazas antes de tomar las medidas pertinentes de mitigación, monitoreo y control.
Cumplimiento vs. Gestión de Riesgos
También son diferentes el cumplimiento y la Gestión de Riesgos: en materia de IT el primero implica acatar los requisitos de un tercero para satisfacer las obligaciones reglamentarias, legales o de los clientes.
El segundo es más amplio, pero actúa como un facilitador clave al garantizar que los riesgos se gestionen de forma eficaz y segura, abordando las necesidades de cumplimiento normativo.
Vulnerability Management vs. Gestión de Riesgos
La Gestión de Vulnerabilidades (Vulnerability Management) se centra en abordar dichas vulnerabilidades informáticas a través del proceso de Gestión de Parches, orientado a mejorar la funcionalidad. La práctica verifica que los parches se implementen de forma rápida y segura para eliminar vulnerabilidades de un sistema o servicio informático.
La Gestión de Riesgos, por su parte, respalda este proceso señalando las posibles vulnerabilidades del software para garantizar que se lleven adelante estas iniciativas de manera oportuna.
Gestión de Activos vs. Gestión de Riesgos
La Gestión de Activos de IT garantiza que todos los recursos informáticos se administren, controlen y protejan a lo largo de su ciclo de vida.
La Gestión de Riesgos está estrechamente relacionada con esta práctica, ya que destaca cualquier riesgo potencial, como multas o sanciones asociadas a licencias caducadas, software obsoleto que puede suponer una amenaza a la seguridad y activos no autorizados que acechan el perímetro de IT.
5 beneficios de la Gestión de Riesgos de IT
Las ventajas de implementar una estrategia de Gestión de Riesgos de IT son las siguientes:
- Disponibilidad de un marco estructurado para garantizar que los riesgos se aborden de forma eficaz y coherente en toda la organización.
- Existencia de un área dedicada a identificar y registrar los riesgos, asegurando que no se pierdan, ignoren u olviden.
- Garantía de una alineación sustancial con las obligaciones generales de la GRC.
- Acceso a un mayor control sobre el entorno de IT, lo cual conduce a un modelo más proactivo.
- Mayor confianza por parte de los clientes y las partes interesadas por la preocupación de la organización en por la seguridad informática, así como por la tecnología, su información y su personal. Esto marca una diferencia sustancial en un mercado saturado, otorgando la confianza a los usuarios potenciales que se velará por ellos y por sus datos.
Frameworks de Gestión de Riesgos
En cuanto a los marcos o frameworks de Gestión de Riesgos, existen varias opciones: cada uno define directrices específicas orientadas a diferentes áreas de la práctica. Un enfoque combinado es ideal, ya que cubre las necesidades específicas de la organización.
Algunos de los más utilizados son NIST, ISO 27001, COBIT, COSO e ITIL. Los analizamos en detalle en las próximas líneas.
NIST
El Instituto Nacional de Estándares y Tecnología (NIST - National Institute of Standards and Technology) es el propietario del marco de ciberseguridad NIST.
El mismo consiste en un conjunto de directrices voluntarias para que las organizaciones gestionen las amenazas, los riesgos y las vulnerabilidades de ciberseguridad.
En concreto, proporciona un enfoque basado en el riesgo para que las compañías identifiquen, evalúen y mitiguen los ciberataques.
ISO 27001
Se trata de la norma internacional para la Gestión de la Seguridad de la Información, con un enfoque basado en la Gestión de Riesgos, orientado a administrar, controlar y proteger los datos privilegiados y sensibles.
En definitiva, ISO 27001 fija los requisitos para establecer, implementar, mantener y mejorar continuamente el Sistema de Gestión de la Seguridad de la Información (SGSI Information Security Management System) de una organización.
COBIT
Los Objetivos de Control para la Información y la Tecnología Relacionada (COBIT - Control Objectives for Information and Related Technology) se ocupa de la gobernanza de las IT.
Alineado con el marco de mejores prácticas de ITIL (así como con otras metodologías y frameworks), COBIT es utilizado para gestionar los riesgos de IT, la seguridad de los datos y las obligaciones de cumplimiento.
COSO
COSO (que viene de Committee of Sponsoring Organizations of Treadway Commission) define la Gestión de Riesgos Empresariales como “la cultura, las capacidades y las prácticas, integradas con el establecimiento de estrategias y su ejecución, en las que las organizaciones se basan para administrar el riesgo en la creación, preservación y materialización de valor”.
Esta guía ayuda a las empresas a comprender cómo incorporar la evaluación, la tolerancia y el apetito a los riesgos, el establecimiento de objetivos, la gobernanza corporativa y la respuesta en las estrategias del negocio.
ITIL
El marco más popular para la Gestión de Servicios de IT (ITSM), ITIL, cuenta con un abordaje específico para la Gestión de Riesgos dentro de la Práctica de Gestión General del Sistema de Valor del Servicio.
Su objetivo es garantizar que las organizaciones comprendan y administren eficazmente los riesgos, ofreciendo orientación sobre la forma de identificarlos, evaluarlos y abordarlos de manera eficaz.
Plan de Gestión de Riesgos IT
Como ocurre con todo el ámbito de las IT, es necesario contar con un Plan de Gestión de Riesgos IT para documentar el proceso, incluyendo las tareas de identificación, evaluación y mitigación.
En concreto, reunirá lo siguiente:
- Alcance.
- Definición de un riesgo relevante para el negocio.
- Actividades de la Gestión de Riesgos (identificación, evaluación y priorización; mitigación, administración y prevención; y auditoría de las prácticas de trabajo)
- Uso de un software de Gestión de Riesgos para automatizar las tareas rutinarias.
Lectura recomendada
Leer artículo
10 pasos para crear un plan de Gestión de Riesgos
Mejores prácticas de la Gestión de Riesgos Informáticos
Además de estudiar e implementar los marcos específicos, estas mejores prácticas contribuyen a optimizar los procesos de la Gestión de Riesgos y a respaldar los esfuerzos de planificación:
- Monitorear el entorno de IT: ¿Cómo manejar el riesgo si no se sabe qué se tiene? La supervisión proactiva del portfolio informático es crucial para garantizar que el proceso de Gestión de Riesgos de IT se mantenga en el buen camino (se puede hacer con las Reglas de Salud y las Etiquetas Inteligentes de InvGate Asset Management).
- Comenzar por las áreas de exposición más significativas: intentar abordar todo a la vez suele resultar abrumador y resultar poco estratégico. Entonces hay que empezar por el área que más preocupa. Ante un problema, se requiere su solución para pasar al siguiente estadío.
- Aprovechar los marcos existentes de GRC: no se necesita inventar la rueda. Si la empresa cuenta con un departamento de GRC, se debe colaborar con ellos para definir y crear las políticas, procedimientos e instrucciones de trabajo para la Gestión de Riesgos Informáticos, de modo que estén alineados con el resto de la empresa.
Conclusión
La Gestión de Riesgos de IT implica abordar todas las amenazas informáticas, pero también analizarlas e identificarlas con antelación. Esto permite actuar antes de que se agrave, perturbe o perjudique significativamente el trabajo en la organización. También ayuda a prevenir situaciones similares en el futuro.
El conjunto de dichas prácticas constituye una parte fundamental del marco general de la Gestión de Riesgos Empresariales: ambas se desempeñan en estrecha colaboración con la intención de mantener en funcionamiento y segura a la empresa.
Pero el abordaje de todos los riesgos resulta una tarea compleja, especialmente si la compañía es grande. Afortunadamente, los frameworks de Gestión de Riesgos proporcionan estructura.
A su vez, un plan completo es indispensable para trazar las actividades para la Gestión de Riesgos Tecnológicos.
Y no olvides que puedes contar con InvGate Asset Management para automatizar y optimizar las prácticas de la Gestión de Riesgos Informáticos: solicita una prueba gratuita de 30 días para comenzar de inmediato.
Preguntas frecuentes
¿Qué es la Gestión de Riesgos en seguridad de IT?
La Gestión de Riesgos colabora con la seguridad de IT para identificar, evaluar y administrar los riesgos.
¿Por qué es importante contar con un Plan de Gestión de Riesgos?
Para garantizar una forma documentada y repetible de abordar los riesgos de IT.
¿Cuál es el primer paso en el proceso de Gestión de Riesgos?
Identificar y captar los riesgos en un registro para que puedan evaluarse, priorizarse y gestionarse de forma adecuada.
¿Dónde encaja la Gestión de Riesgos en ITIL?
La Gestión de Riesgos es una práctica general dentro del marco de ITIL 4.
¿Qué es un Gestor de Riesgos de terceros?
Un Gestor de Riesgos de terceros administra cualquier actividad de riesgo relacionada con proveedores externos.
¿Cómo convertirse en Gestor de Riesgos?
Primero hay que investigar, averiguar qué áreas de riesgo interesan más al postulante, e interiorizarse sobre los frameworks y las cualificaciones pertinentes.
¿Qué hace un Gestor de Riesgos?
Un Gestor de Riesgos es responsable del funcionamiento diario de la práctica de Gestión de Riesgos de IT.
¿Vale la pena una certificación en Gestión de Riesgos?
Sí, porque proporciona un objetivo por el cual trabajar y del cual hacerse responsable. La certificación impulsa a una Gestión de Riesgos más eficaz (y visible) en toda la organización.
