Es cada vez más común escuchar sobre Gestión de Riesgos en distintos círculos y contextos tanto financieros como operativos, en la industria, en el medio ambiente, en la corrupción, y el caso de los sistemas de información y la ciberseguridad no es la excepción.
Este libro busca servir como una guía para llevar a cabo la gestión de riesgos en cualquier entorno o actividad, estableciendo las bases para identificar los riesgos no solo por las consecuencias negativas que pueden provocar sino también asociarlos con los beneficios que se derivan de tomar cada uno de ellos, para con ello determinar los controles necesarios para atenderlos, dónde deben ser implementados y qué tantos recursos se asignarán a su implementación. Así se logra que la gestión de riesgos no sea un apéndice o una carga burocrática para la organización, sino un habilitador de negocio y una herramienta para cumplir sus objetivos. Aunque tiene un enfoque particular en mi ámbito de formación y experiencia que son las tecnologías de la información y la seguridad de la información.
A lo largo del texto se analizan las ventajas y desventajas de las metodologías y modelos de referencia más comunes, sumando recomendaciones para tomar los aspectos más significativos de cada una y proponiendo nuevos lineamientos a fin de crear un marco de referencia propio que cada organización personalice para la adecuada gestión y tratamiento de sus riesgos. En la actualidad está de moda hablar de riesgos y de ciberseguridad. Dentro de estas páginas se busca definir qué relación existe entre estos conceptos, de dónde surgen y cómo han evolucionado para poder considerarlos dentro de la gestión de riesgos.
Este libro se enfoca en describir mi experiencia y observaciones sobre una adecuada gestión de riesgos para alinearla con los objetivos del negocio y disminuir de manera eficaz la posibilidad de que se presenten eventos que impacten de manera negativa a la organización, sus colaboradores, activos e infraestructura, más allá de cumplir con un requisito administrativo. Es el resultado de más de 20 años de realizar desarrollo de sistemas, pruebas de seguridad, auditorías informáticas y de sistemas de gestión, además de analizar y proponer esquemas de gobernabilidad y gestión, combinados con mi experiencia como docente en programas de posgrado relacionados con seguridad de la información y, en general, con mi pasión por ver todo a mi alrededor como un riesgo que hay que aprovechar y al mismo tiempo manejar para no salir perdiendo.
En varias ocasiones he escuchado que la gestión de riesgos sólo sirve para cumplir requisitos legales, normativos o regulatorios, que la verdadera atención a las amenazas y vulnerabilidades —en particular en la seguridad de la información y la ciberseguridad— se hace en la trinchera, administrando la infraestructura, desarrollando y probando aplicaciones de forma segura, monitoreando las operaciones en un Centro de Operaciones de Seguridad SOC o defendiendo los sistemas e infraestructuras físicas en un Centro de Respuesta a Emergencia de Cómputo CERT; que la gestión de riesgos sólo es de papel y que la seguridad de papel sólo protege contra ataques de papel.
Sin embargo, estoy seguro —porque lo he visto— que la gestión de riesgos y la seguridad de las operaciones y sistemas pueden convivir y ser un complemento que ayude a reforzar la seguridad en general, siempre y cuando se utilicen las herramientas adecuadas y no se lleven a cabo actividades solamente por cumplir con una regulación o norma.
El objetivo de la gestión de riesgos no es solamente identificar los riesgos o hacer listas y análisis sobre estos, sino llevar a la implementación y mantenimiento de los controles necesarios para poder aprovechar la tecnología, los sistemas, redes y capacidades de cómputo, automatización e inteligencia de negocio para cumplir con los objetivos de la organización. Para cumplir este objetivo es importante identificar y atender los riesgos relacionados en la misma proporción que los beneficios que brindan.
Este texto busca ser un documento de referencia para apoyar en el establecimiento de modelos, metodologías y estrategias de gestión de riesgos. Para ello en algunos momentos se vuelve —hasta cierto punto— técnico, pero está construido de forma que leído en su conjunto pueda ser comprendido por profesionales y practicantes de la gestión de riesgos de cualquier disciplina y formación.