Repaso rápido: Gestión del riesgo – ISC2 CC

Lo que realmente debes saber

La gestión del riesgo es el proceso mediante el cual una organización identifica, evalúa y trata los riesgos que pueden dañar sistemas, datos, personas, procesos o servicios.

Para ISC2 CC debes entender que la seguridad no consiste solo en bloquear amenazas, sino en reducir el riesgo a un nivel aceptable para la organización. No todos los riesgos pueden eliminarse: algunos se mitigan, otros se aceptan, se transfieren o se evitan.

Conceptos clave

• Asset: algo que tiene valor para la organización, como datos, sistemas, aplicaciones o servicios.
• Amenaza: evento o actor que puede causar un daño.
• Vulnerabilidad: debilidad que puede ser explotada por una amenaza.
• Riesgo: posibilidad de que una amenaza explote una vulnerabilidad causando un impacto.
• Impacto: consecuencia negativa si el riesgo se materializa.
• Probabilidad: posibilidad de que ocurra un evento.
• Riesgo residual: riesgo que queda después de aplicar los controles.
• Mitigación: reducción del riesgo mediante controles.
• Aceptación: decisión consciente de tolerar un riesgo.
• Transferencia: desplazamiento parcial del riesgo, por ejemplo mediante seguro u outsourcing.
• Evitación: eliminación de la actividad que genera el riesgo.

Diferencias que no debes confundir

Concepto	Significado principal
Asset	Recurso que proteger
Amenaza	Algo que puede causar daño
Vulnerabilidad	Debilidad explotable
Riesgo	Probabilidad e impacto de un evento dañino
Impacto	Daño o consecuencia negativa
Probabilidad	Posibilidad de que ocurra
Riesgo residual	Riesgo que queda después de los controles
Mitigación	Reducción del riesgo
Aceptación	Tolerar conscientemente el riesgo
Transferencia	Desplazar parte del riesgo
Evitación	Eliminar la actividad riesgosa

Assets, amenazas y vulnerabilidades

La gestión del riesgo parte de los assets. Un asset puede ser una base de datos, un servidor, una aplicación, una cuenta privilegiada, una red, un servicio cloud o información sensible.

Una amenaza puede ser un atacante, malware, error humano, fallo técnico, incendio, pérdida de conectividad o proveedor comprometido.

Una vulnerabilidad es una debilidad que hace posible o más probable un daño: contraseñas débiles, sistemas sin actualizar, configuraciones incorrectas, ausencia de backups, accesos excesivos o falta de formación.

El riesgo surge cuando una amenaza puede explotar una vulnerabilidad sobre un asset importante.

Probabilidad e impacto

El riesgo se evalúa a menudo combinando probabilidad e impacto.

La probabilidad indica qué tan posible es que ocurra un evento.

El impacto indica qué tan grave sería el daño si el evento ocurriera.

Un evento muy probable pero con impacto bajo puede ser menos crítico que un evento raro pero con impacto muy alto. Por eso la gestión del riesgo debe considerar ambas dimensiones.

Risk assessment

El risk assessment es la evaluación del riesgo. Sirve para entender qué riesgos existen, qué tan relevantes son y qué prioridades asignar.

Un proceso simple puede incluir:

• identificar los assets;
• identificar amenazas y vulnerabilidades;
• estimar probabilidad e impacto;
• evaluar el nivel de riesgo;
• decidir qué controles aplicar;
• documentar y monitorizar el riesgo en el tiempo.

Para ISC2 CC debes recordar que el risk assessment ayuda a tomar decisiones basadas en el riesgo, no solo en percepciones o miedo.

Risk treatment

Después de evaluar un riesgo, hay que decidir cómo tratarlo. Las estrategias principales son:

• mitigar;
• aceptar;
• transferir;
• evitar.

Estas opciones son muy frecuentes en los quiz.

Mitigación del riesgo

Mitigar significa reducir el riesgo aplicando controles.

Ejemplos:

• aplicar parches;
• usar MFA;
• configurar firewalls;
• hacer backups;
• formar a los usuarios;
• segmentar la red;
• monitorizar los accesos;
• eliminar privilegios excesivos.

La mitigación no siempre elimina el riesgo. A menudo lo reduce a un nivel más aceptable.

Aceptación del riesgo

Aceptar un riesgo significa decidir conscientemente tolerarlo.

Esta elección puede tener sentido cuando:

• el riesgo es bajo;
• el coste del control es demasiado alto;
• el impacto es limitado;
• la organización decide que el riesgo residual es aceptable.

Atención: aceptar un riesgo no significa ignorarlo. Debe ser una decisión consciente, documentada y aprobada.

Transferencia del riesgo

Transferir un riesgo significa desplazar una parte hacia un sujeto externo.

Ejemplos:

• seguro cyber;
• outsourcing;
• contratos con proveedores;
• servicios gestionados;
• acuerdos de responsabilidad.

La transferencia no elimina completamente el riesgo. Aunque un proveedor gestione un servicio, la organización sigue siendo responsable de su propia seguridad y de la protección de los datos.

Evitación del riesgo

Evitar un riesgo significa eliminar la actividad que lo genera.

Ejemplo: si una aplicación obsoleta expone datos sensibles y no puede protegerse adecuadamente, la organización puede decidir retirarla.

La evitación puede ser eficaz, pero no siempre es posible, porque algunas actividades son necesarias para el negocio.

Riesgo residual

El riesgo residual es el riesgo que queda después de haber aplicado los controles.

Ejemplo:

• riesgo inicial: acceso no autorizado a cuentas corporativas;
• control aplicado: MFA;
• riesgo residual: phishing avanzado, robo de sesión o error humano.

El punto clave es que la seguridad reduce el riesgo, pero rara vez lo lleva a cero.

Errores comunes en los quiz

• Confundir amenaza, vulnerabilidad y riesgo.
• Pensar que el riesgo siempre puede eliminarse completamente.
• Confundir mitigación y transferencia.
• Pensar que aceptar un riesgo significa ignorarlo.
• Olvidar que el riesgo residual permanece incluso después de los controles.
• Pensar que la transferencia del riesgo elimina toda responsabilidad.
• Evaluar el riesgo solo según la probabilidad sin considerar el impacto.
• Olvidar que la gestión del riesgo debe documentarse y revisarse.

Mini escenario de examen

Una empresa descubre que un servidor antiguo contiene datos sensibles y ya no recibe actualizaciones de seguridad. Decide sustituirlo por un sistema soportado y migrar los datos.

Esta es una forma de mitigación del riesgo, porque la organización reduce la probabilidad de compromiso aplicando una solución más segura.

Si en cambio decidiera apagar definitivamente el servicio porque ya no es necesario, sería un ejemplo de evitación del riesgo.

Mini checklist antes del quiz

Antes de empezar el quiz deberías saber explicar:

• qué significa riesgo;
• la diferencia entre amenaza y vulnerabilidad;
• qué son probabilidad e impacto;
• qué significa risk assessment;
• qué significa mitigar un riesgo;
• cuándo puede aceptarse un riesgo;
• qué significa transferir un riesgo;
• qué significa evitar un riesgo;
• qué indica el riesgo residual;
• por qué los riesgos deben monitorizarse en el tiempo.