La gestión del riesgo constituye uno de los pilares fundamentales de los Sistemas de Gestión de Seguridad de la Información (SGSI). Para establecer un proceso consistente, medible y alineado con las mejores prácticas internacionales, es indispensable comprender cómo los estándares definen el concepto de riesgo. La norma ISO/IEC 27000, que establece el vocabulario y los principios generales de la familia ISO/IEC 27000, ofrece una definición formal del riesgo para la seguridad de la información en su cláusula 3.61, acompañada de notas explicativas que aclaran su aplicación práctica.
A continuación, se presenta un análisis detallado y fiel al contenido normativo, con el fin de facilitar su comprensión y correcta aplicación en entornos organizacionales.
Riesgo para la seguridad de la información según ISO/IEC 27000
La norma establece que el riesgo para la seguridad de la información está asociado a la posibilidad de que una amenaza aproveche una vulnerabilidad presente en un activo o grupo de activos de información, lo que podría causar un daño a la organización. Esta definición se amplía mediante las notas explicativas incluidas en la cláusula 3.61.
Relación entre amenaza, vulnerabilidad y activo
Esto nos indica que el riesgo está directamente vinculado con la interacción entre tres elementos esenciales:
- La amenaza, que representa un agente o evento capaz de causar daño.
- La vulnerabilidad, definida como una debilidad en un activo o control.
- El activo de información, que posee un valor para la organización y requiere protección.
El riesgo surge cuando una amenaza tiene la posibilidad de explotar una vulnerabilidad y afectar la confidencialidad, integridad o disponibilidad de la información. Esta perspectiva subraya la necesidad de identificar de manera sistemática las vulnerabilidades y los escenarios de amenaza para evaluar correctamente los riesgos.
La combinación entre probabilidad y consecuencias
Esta nota aclara que el riesgo se expresa comúnmente como la combinación de dos factores:
- La probabilidad de ocurrencia, que refleja la posibilidad de que un evento adverso se materialice.
- Las consecuencias o impacto, que representan el nivel de daño que dicho evento podría causar.
Este enfoque cuantitativo o cualitativo, dependiendo del método adoptado, permite clasificar los riesgos en niveles y priorizar su tratamiento según su criticidad.
Riesgo como efecto de la incertidumbre
Esto introduce un concepto alineado con la gestión moderna del riesgo:
el riesgo representa el efecto de la incertidumbre sobre los objetivos de seguridad de la información.
Este enfoque amplía la visión tradicional del riesgo, al reconocer que no solo se trata de evitar incidentes, sino de gestionar adecuadamente la incertidumbre que podría impedir el logro de los objetivos institucionales relacionados con la seguridad de la información.
Fórmula fundamental del riesgo
El concepto de riesgo, expresado en términos operativos, se resume comúnmente mediante la siguiente relación:
Probabilidad (probabilidad de ocurrencia) + Consecuencia (Impacto) = Riesgo
Aunque algunas metodologías lo representen como una multiplicación, la norma en sí no impone una fórmula específica. Sin embargo, la relación conceptual es clara: el nivel de riesgo depende de la combinación entre qué tan probable es que ocurra un evento adverso y qué tan severo sería su impacto.
La definición de riesgo presentada en la ISO/IEC 27000, cláusula 3.61, proporciona una base sólida para comprender y gestionar los riesgos asociados a la seguridad de la información. Al considerar la interacción entre amenazas, vulnerabilidades y activos, así como la probabilidad e impacto de los eventos, las organizaciones pueden estructurar procesos de análisis y tratamiento del riesgo de manera más eficaz. Comprender estos principios es esencial para la correcta implementación y mejora continua de un SGSI conforme a estándares internacionales.
