3.5 Tratamiento Tratamiento de de RiesgosRiesgos
Una vez que el riesgo ha sido valorado y la organización ha determinado Una vez que el riesgo ha sido valorado y la organización ha determinado cuáles son los activos de la información sujetos a riesgos, y cuál es su cuáles son los activos de la información sujetos a riesgos, y cuál es su significado, la Alta Dirección debe elegir una
significado, la Alta Dirección debe elegir una estrategiaestrategia para su tratamiento. para su tratamiento. Al
Al margen margen de de considerar considerar el el impacto impacto financiero financiero del del riesgo riesgo en en la la organización,organización, ésta debe considerar el costo de actuar sobre alguna de las opciones del ésta debe considerar el costo de actuar sobre alguna de las opciones del tratamiento del riesgo. La organización debe asegurarse de que existe un tratamiento del riesgo. La organización debe asegurarse de que existe un buen balance
buen balance entre el costo de la protección y el valor de los activos entre el costo de la protección y el valor de los activos protegidos, para no perjudicar la rentabilidad ni la competitividad de la protegidos, para no perjudicar la rentabilidad ni la competitividad de la empresa. Para el tratamiento del riesgo las buenas prácticas consideran empresa. Para el tratamiento del riesgo las buenas prácticas consideran cuatro estrategias genéricas:
cuatro estrategias genéricas:
•
• Reducción del riesgo: aplicación deReducción del riesgo: aplicación de controlescontroles sobre los activos que sobre los activos que
disminuyen el riesgo. La reducción del
disminuyen el riesgo. La reducción del riesgo normalmente se elige cuandoriesgo normalmente se elige cuando los controles a implantar para disminuir los riesgos a los niveles de los controles a implantar para disminuir los riesgos a los niveles de aceptación previamente identificados por la empresa son económicamente aceptación previamente identificados por la empresa son económicamente factibles.
factibles.
•
• Aceptación del riesgo: la Alta Dirección entiende el riesgo y explicita suAceptación del riesgo: la Alta Dirección entiende el riesgo y explicita su
aceptación en un
aceptación en un documento formaldocumento formal. La aceptación del riesgo. La aceptación del riesgo normalmente se elige cuando el diseño del control para mitigar el riesgo es normalmente se elige cuando el diseño del control para mitigar el riesgo es más costoso que las consecuencias del riesgo. Sin embargo, debe más costoso que las consecuencias del riesgo. Sin embargo, debe resaltarse el hecho de que esta opción implica entender y aceptar las resaltarse el hecho de que esta opción implica entender y aceptar las consecuencias de la concreción de una amenaza en forma objetiva y con consecuencias de la concreción de una amenaza en forma objetiva y con conocimiento.
conocimiento.
•
• Transferencia del riesgo:Transferencia del riesgo: traslado del riesgo a traslado del riesgo a terceras partesterceras partes, por, por
ejemplo, mediante una tercerización de los controles, o la contratación de ejemplo, mediante una tercerización de los controles, o la contratación de un seguro. La transferencia del riesgo normalmente se elige cuando el un seguro. La transferencia del riesgo normalmente se elige cuando el diseño del control para mitigar el riesgo es costoso, pero las diseño del control para mitigar el riesgo es costoso, pero las consecuencias del riesgo son devastadoras para la empresa y la consecuencias del riesgo son devastadoras para la empresa y la transferencia del riesgo es económicamente viable.
transferencia del riesgo es económicamente viable.
•
• Evasión del riesgo: cese de las actividadesEvasión del riesgo: cese de las actividades que producen los riesgos. que producen los riesgos.
La evasión del riesgo normalmente se elige cuando el diseño del control La evasión del riesgo normalmente se elige cuando el diseño del control para mitigar el riesgo es costoso, las consecuencias del riesgo son para mitigar el riesgo es costoso, las consecuencias del riesgo son devastadoras para la empresa, pero la transferencia del riesgo no es devastadoras para la empresa, pero la transferencia del riesgo no es económicamente viable.
económicamente viable.
Algunos autores aceptan una quinta “estrategia”
Algunos autores aceptan una quinta “estrategia” que es la que es la negación del riesgonegación del riesgo ((denial denial ), pero es más bien una forma de describir lo que no debe hacerse), pero es más bien una forma de describir lo que no debe hacerse
(pero que algunas organizaciones hacen), la no-estrategia, o la estrategia de (pero que algunas organizaciones hacen), la no-estrategia, o la estrategia de las “malas prácticas”
las “malas prácticas” 26 26..
El riesgo residual es el riesgo remanente luego de haber implementado las El riesgo residual es el riesgo remanente luego de haber implementado las decisiones tomadas en el tratamiento del riesgo. La Alta Dirección debe decisiones tomadas en el tratamiento del riesgo. La Alta Dirección debe asegurarse de que entiende estos riesgos residuales y de que el nivel de asegurarse de que entiende estos riesgos residuales y de que el nivel de riesgos residuales se encuentra dentro de los
riesgos residuales se encuentra dentro de los parámetros aceptables..parámetros aceptables
26
26 Ver por ejemplo, Harris, Shon: Ver por ejemplo, Harris, Shon:
CISSP Certificati
CISSP Certification, All-In-One Exam Guide, on, All-In-One Exam Guide, Second EditionSecond Edition,,
Emeriville, McGraw-Hill, 2003. Emeriville, McGraw-Hill, 2003.
Volviendo al ejemplo de una gestión de riesgos real en una organización, en Volviendo al ejemplo de una gestión de riesgos real en una organización, en la figura 3.6 se muestra el gráfico de riesgos residuales
la figura 3.6 se muestra el gráfico de riesgos residuales propuestos propuestos a la Alta a la Alta
Dirección. Nótese que de las 101 amenazas identificadas, 19 han quedado Dirección. Nótese que de las 101 amenazas identificadas, 19 han quedado por fuera del área de riesgo aceptable, y el gráfico es más parecido al de la por fuera del área de riesgo aceptable, y el gráfico es más parecido al de la figura 3.4 que al de la figura 3.5. Los valores de los riesgos han disminuido figura 3.4 que al de la figura 3.5. Los valores de los riesgos han disminuido sensiblemente, pero en algunos casos, sencillamente era imposible disminuir sensiblemente, pero en algunos casos, sencillamente era imposible disminuir los valores del impacto o de la probabilidad de ocurrencia, y la organización los valores del impacto o de la probabilidad de ocurrencia, y la organización no tuvo más remedio que
no tuvo más remedio que aceptarlos de manera consciente y objetiva.aceptarlos de manera consciente y objetiva.
Figura 3.6 Figura 3.6
La etapa del tratamiento de riesgos es la más difícil de llevar a la práctica, La etapa del tratamiento de riesgos es la más difícil de llevar a la práctica, porque es en la que debemos
porque es en la que debemos “hacer cosas”“hacer cosas”. En las dos etapas anteriores,. En las dos etapas anteriores, relevábamos información, realizábamos una serie de reuniones de trabajo en relevábamos información, realizábamos una serie de reuniones de trabajo en grupo y llegábamos a conclusiones.
grupo y llegábamos a conclusiones.
Como las condiciones en las que está inmersa la organización (y su negocio) Como las condiciones en las que está inmersa la organización (y su negocio) no se mantienen estáticas en el tiempo, los riesgos se modifican no se mantienen estáticas en el tiempo, los riesgos se modifican constantemente, y también debe hacerlo su análisis, valoración y tratamiento. constantemente, y también debe hacerlo su análisis, valoración y tratamiento. En consecuencia, el proceso de gestión de riesgos debe ser implementado En consecuencia, el proceso de gestión de riesgos debe ser implementado periódicamente
periódicamente. En todo momento, los datos que utilizamos en los gráficos. En todo momento, los datos que utilizamos en los gráficos se están modificando, y la organización debe mantener la claridad con se están modificando, y la organización debe mantener la claridad con respecto a las sucesivas etapas de análisis, valoración e implementación de respecto a las sucesivas etapas de análisis, valoración e implementación de controles. Por ejemplo, en el caso de los controles que actúan sobre los controles. Por ejemplo, en el caso de los controles que actúan sobre los riesgos, tenemos los controles implementados, los que queremos riesgos, tenemos los controles implementados, los que queremos implementar, y los que se están implementando. De igual manera, tenemos implementar, y los que se están implementando. De igual manera, tenemos los riesgos residuales
los riesgos residuales propuestos propuestos (antes de que implementemos los(antes de que implementemos los controles) y los riesgos residuales
controles) y los riesgos residuales reales reales (si es que podemos medirlos de (si es que podemos medirlos de manera independiente, una vez implementados los controles). Estos riesgos manera independiente, una vez implementados los controles). Estos riesgos residuales reales, se convierten luego en los riesgos
residuales reales, se convierten luego en los riesgos “a secas” “a secas” en un posterior en un posterior
análisis de riesgos. Gestionar estas variables y su
análisis de riesgos. Gestionar estas variables y su evoluciónevolución a lo largo del a lo largo del tiempo constituye un desafío importante.
tiempo constituye un desafío importante.
54 54 11 11 22 28 28 33 22 22 11 11 44 11 11 22 44 66 88 10 10 2 2 4 4 6 6 8 8 1010 Probabilidad de Ocurrencia Probabilidad de Ocurrencia Impacto Impacto
Deberíamos esperar que el gráfico
Deberíamos esperar que el gráfico realreal de los riesgos de la organización vayade los riesgos de la organización vaya
evolucionando de la situación inicial de la figura 3.3 hacia la de la figura 3.6 (si evolucionando de la situación inicial de la figura 3.3 hacia la de la figura 3.6 (si todo sale de acuerdo a lo planeado). Sin embargo, es posible que cuando la todo sale de acuerdo a lo planeado). Sin embargo, es posible que cuando la organización comience nuevamente el ciclo de gestión de los riesgos, habrán organización comience nuevamente el ciclo de gestión de los riesgos, habrán aparecido nuevos activos que cuidar y nuevas amenazas, y tal vez la eficacia aparecido nuevos activos que cuidar y nuevas amenazas, y tal vez la eficacia de algunos controles establecidos no habrán sido los que se esperaban, por lo de algunos controles establecidos no habrán sido los que se esperaban, por lo que el riesgo analizado sigue estando en un valor por encima del umbral de que el riesgo analizado sigue estando en un valor por encima del umbral de aceptación.