Hablemos de la Gestión de Riesgos en Tecnología.

En la gestión de riesgos en tecnología, es crucial identificar, analizar, evaluar y mitigar los riesgos que podrían comprometer la seguridad, la privacidad y la operación de la información de una organización. Para entender mejor este concepto, pensemos en un ejemplo cotidiano: cruzar la calle.

Al cruzar la calle, intuitivamente analizamos y evaluamos distintos factores: si hay autos, la velocidad a la que vienen, la densidad del tráfico, posibles obstáculos como autos estacionados o zonas en construcción, etc. Si ignoramos estos aspectos, el riesgo de sufrir un accidente aumenta considerablemente. De manera similar, en la gestión de riesgos tecnológicos, la falta de un análisis de la situación, de lo que podría pasar y la toma de decisiones adecuadas puede derivar en consecuencias graves como pérdida de datos, interrupciones en el servicio, o incluso daños a la reputación de la empresa.

Ahora, imaginemos que quien cruza la calle es un niño que recién aprendió a caminar. Este niño no tiene la capacidad de evaluar los peligros de esa acción debido a los autos, bicicletas, etc. La solución es enseñarle a identificar estos riesgos y tomar las precauciones necesarias para cruzar la calle de forma segura. En el mundo de la tecnología, educar a los equipos sobre los riesgos potenciales y los controles que deben implementar es igualmente esencial.

La gestión de riesgos tecnológicos se basa en tres etapas básicas: identificar los riesgos que podrían ocurrir dadas las circunstancias, analizar su posible afectación y la gravedad de los mismos y evaluar lo que es requerido para mitigar esos riesgos.

Es fundamental identificar la situación que podría ocurrir, generalmente no deseada para la organización. En el caso del ejemplo, sería lesionarme, lastimar a otros, o enfrentar una demanda del otro con el que me crucé. Si soy el que va en el auto, puede ser que se dañe mi auto y lo más grave, morir. En el caso de la información, corresponde a su pérdida, la imposibilidad de acceder a ella o su inexactitud. En el caso de la tecnología,  el riesgo podría ser  que no esté funcionando, que no genere los resultados esperados, que permita ejecutar acciones indebidas, etc.

Luego, se debe analizar esa situación y determinar qué tan probable/posible es que ocurra y qué tan grave podría ser, es decir, qué impacto podría tener. No es lo mismo cruzar una avenida que cruzar un camino rural de ripio o una calle peatonal. Esto me lleva a determinar qué tan peligroso puede ser cruzar la calle

Por último, debemos evaluar qué podemos hacer para contrarrestar esa situación no deseada, que puede ser: 

• Mitigar: Determinar acciones para minimizar la ocurrencia del riesgo. Pongamos sendas peatonales, semáforos, enseñemos a usarlos y a tener cuidado.
• Asumir: No hacer nada para evitar el riesgo. No importa que pasen los autos, cruzo igual y no me importa lo que pase.
• Transferir: Determinar una forma de no correr el riesgo directamente. Necesito cruzar para llevar algo; le voy a decir a alguien más que cruce por mí.
• Evitar: Cambiar la situación para que el riesgo deje de existir. Mejor voy a otro lugar donde puedo lograr lo mismo sin tener que cruzar la calle.

La gestión de riesgos de tecnología abarca los datos, equipos, aplicaciones, espacios físicos, servicios, personal y la tecnología en su conjunto. 

Por lo general, los riesgos son inevitables (no se pueden transferir ni evitar) y tampoco hay quién asuma lo que puede pasar si ocurren. Por ese motivo lo más común es mitigar los riesgos. Para esto se utilizan tres enfoques fundamentales: preventivo, detectivo y correctivo. Cada uno de estos enfoques tiene un papel crucial en la mitigación de los riesgos y la protección de la información y de la infraestructura tecnológica de una organización.

1. Enfoque Preventivo: Asegurar que se implementen controles preventivos adecuados para evitar que el riesgo ocurra (semáforos, sendas peatonales, concientización). 
2. Enfoque Detectivo: Este enfoque implica encontrar nuevas situaciones que puedan generar riesgos o modificaciones en las situaciones existentes, o identificar que los mismos controles no se están ejecutando.
3. Enfoque Correctivo: A pesar de las medidas preventivas y detectivas, los riesgos pueden materializarse. El enfoque correctivo se centra en la preparación y la respuesta ante incidentes. Esto incluye tener planes de contingencia, como procedimientos de recuperación. Por ejemplo, si un servidor falla o si ocurre un ciberataque, es crucial tener un plan para restaurar los servicios y minimizar el impacto.

Los objetivos clave de protección se agrupan en cuatro pilares fundamentales. La confidencialidad, entendiendo la necesidad de asegurar que la información sea accesible únicamente para personas autorizadas. La integridad, garantizando la exactitud y fiabilidad de la información, evitando su alteración. Así también la disponibilidad, para asegurar que la información esté disponible de manera oportuna y confiable para los usuarios autorizados; y la privacidad de los datos para garantizar que los dueños de los datos puedan controlar cómo y en qué medida su información personal se comparte o comunica a otros.

Es clave poder identificar de manera clara y precisa los principales riesgos en TI que afrontan la mayoría de las empresas. En este sentido, los riesgos tecnológicos pueden tomar diversas formas, cada una con potenciales impactos significativos en la operación y la seguridad de la organización:

• Riesgo de acceso: Riesgo relacionado con el acceso no autorizado a sistemas y datos.
• Riesgo de disponibilidad: Riesgo de que los sistemas o datos no estén disponibles cuando se necesitan.
• Riesgo cibernético y de información: Riesgo de ciberataques y fugas o pérdida de información.
• Riesgo de tecnología emergente: Riesgo asociado con la adopción de nuevas tecnologías que podrían no estar suficientemente maduras.
• Riesgo de infraestructura: Riesgo relacionado con fallos en la infraestructura tecnológica que pueden resultar en entrega inadecuada de servicios o productos que ofrece la organización.
• Riesgo de integridad: Riesgo de que la información sea alterada o manipulada de manera no autorizada.
• Riesgo de inversión o gasto: Riesgo de que las inversiones en tecnología no generen los resultados esperados.
• Riesgo de programa/proyecto: Riesgo de que los proyectos no se completen a tiempo, dentro del presupuesto o con los resultados deseados debido a una mala gestión de  la tecnología y la criticidad de la información.
• Riesgo de terceros: Riesgo relacionado con la dependencia de proveedores y socios externos.

Para gestionar eficazmente estos riesgos, es fundamental establecer una estructura sólida basada en tres líneas de defensa. La primera línea está compuesta por los equipos operativos que gestionan los riesgos en sus actividades diarias, implementando controles y mitigando riesgos en tiempo real. La segunda línea incluye a los equipos de supervisión, que monitorean la efectividad de estos controles y aseguran que los riesgos se mantengan dentro de límites aceptables, además de capacitar a los equipos operativos en la prevención de riesgos. Finalmente, la tercera línea de defensa está conformada por los procesos de auditoría interna o externa, que ofrecen una evaluación independiente para asegurarse de que las primeras dos líneas estén funcionando correctamente.

En resumen, la gestión de riesgos tecnológicos es un proceso integral en el que participamos todos que permite determinar la criticidad de las situaciones no deseadas y tomar decisiones adecuadas sobre ellas. Las tres líneas de defensa nos ayudan a asegurar la información y los activos tecnológicos de una organización, garantizando la continuidad operativa y la resiliencia ante amenazas emergentes.