Gestión de riesgos en ciberseguridad: guía práctica para empresas (ISO 27001, continuidad y proveedores)

Entrevista completa en:

Café con riesgo

En Capital Radio (Café con Riesgo), Ricardo Olmos Nieva, especialista chileno en seguridad de la información, destacó la necesidad de alinear negocio y tecnología mediante un enfoque de gestión del riesgo que facilite una comunicación común entre áreas (operaciones, RR. HH., tecnología y dirección).

Con 15 años de experiencia, subrayó la adopción de marcos ISO como ISO/IEC 27001 (seguridad de la información), ISO/IEC 20000 (gestión de servicios) e ISO 22301 (continuidad de negocio). En ciberseguridad, advirtió que el foco ha evolucionado del “malware” a la protección de la información y a riesgos en la cadena de suministro: los proveedores con alto acceso y menor control pueden convertirse en la vía de entrada. Señaló como objetivos preferentes a banca, instituciones financieras y aseguradoras, por el valor de los datos y la confianza.

La gestión de riesgos en ciberseguridad deja de ser una tarea técnica aislada para convertirse en una disciplina estratégica que conecta tecnología, personas y objetivos del negocio. Esta guía práctica explica qué es, por qué importa, qué normas y marcos usar, cómo evaluar y tratar riesgos, y qué controles aplicar según nivel de madurez.

¿Qué es la gestión de riesgos en ciberseguridad y para quién es relevante?

La gestión de riesgos en ciberseguridad consiste en identificar, evaluar, priorizar y tratar amenazas que pueden afectar el cumplimiento de los objetivos de una organización relacionadas con la información y los servicios digitales. Es relevante para:

• Dirección y consejo: para tomar decisiones informadas y asignar presupuesto.
• Responsables de TI y seguridad: para diseñar controles adecuados.
• Operaciones, RR.HH. y compras: porque el riesgo atraviesa procesos y proveedores.
• PYMES y grandes empresas: la escala cambia, no la necesidad.

Normas y marcos clave

Para ordenar la gestión de riesgos y las buenas prácticas conviene apoyarse en marcos reconocidos:

• ISO 27001: sistema de gestión de seguridad de la información — estructura para identificar requisitos, establecer controles y mejorar continuamente.
• ISO 22301: continuidad de negocio — prepara a la organización para mantener servicios críticos frente a interrupciones.
• ISO 20000: gestión de servicios TI — alinea prestación de servicios con necesidades del negocio.
• Frameworks complementarios: NIST CSF, CIS Controls y guías sectoriales según regulación local.

Clasificación de riesgos: endógenos vs exógenos

Una clasificación útil para priorizar respuestas:

• Riesgos endógenos: originados dentro de la organización — errores humanos, malas configuraciones, procesos deficientes, acceso inapropiado.
• Riesgos exógenos: amenazas externas — ciberataques dirigidos, fallos de proveedores, cambios regulatorios, eventos geopolíticos.

En ciberseguridad muchos incidentes se materializan vía terceros: proveedores con acceso, software de terceros o integraciones débiles.

Proceso práctico de evaluación de riesgos (6 pasos)

1. Identificar activos: servicios, datos, aplicaciones, infraestructuras y procesos críticos.
2. Valorar activos: impacto potencial en confidencialidad, integridad y disponibilidad; valor económico y reputacional.
3. Identificar amenazas y vulnerabilidades: amenazas humanas, técnicas y ambientales; vulnerabilidades de configuraciones, parches, proveedores.
4. Estimación de impacto y probabilidad: cualitativa o cuantitativa (p. ej. baja/media/alta o pérdida estimada).
5. Priorizar riesgos: matriz de riesgo (impacto x probabilidad) para decidir acciones.
6. Asignar responsables y tratar: aceptación, mitigación, transferencia (seguros) o evitación; documentar plan y plazos.

Controles por capas: básico, intermedio y avanzado

Una estrategia por capas mejora la resiliencia y dificulta el éxito del atacante.

Controles básicos (esenciales para todas las organizaciones)

• Gestión de parches y actualizaciones automáticas.
• Antimalware/EDR básico en endpoints y servidores.
• Contraseñas robustas y MFA en accesos críticos.
• Backups periódicos y verificados fuera de la red principal.
• Políticas y formación básica para usuarios sobre phishing y gestión de datos.

Controles intermedios

• Segmentación de red para limitar alcance lateral.
• Control de accesos y least privilege.
• Sistemas de DLP (prevención de fuga de datos) en repositorios críticos.
• Monitorización centralizada (logs, correlación) y alertas básicas.
• Evaluaciones de vulnerabilidad y pruebas de penetración periódicas.

Controles avanzados

• SOC y respuesta gestionada (24/7) con SOAR/SIEM.
• EDR avanzado con detección basada en comportamiento.
• Redundancia y recuperación automática en infraestructuras críticas.
• Evaluación continua de la cadena de suministro y scoring de proveedores.
• Simulaciones de respuesta a incidentes y ejercicios de mesa con la dirección.

Gestión de riesgos de proveedores (third-party risk)

Los proveedores son vectores frecuentes de compromisos. Un programa práctico incluye:

1. Inventario de proveedores y nivel de acceso: quién tiene acceso a qué datos o sistemas.
2. Clasificación de riesgo por criticidad y exposición externa.
3. Cláusulas contractuales de seguridad, auditoría y notificación de incidentes.
4. Evaluaciones iniciales y periódicas: cuestionarios, auditorías o pruebas de seguridad.
5. Plan de contingencia si un proveedor falla: alternativas y recuperación.

Respuesta ante incidentes y continuidad de negocio

Preparar y ensayar la respuesta reduce daños y tiempo de recuperación:

• Plan de respuesta a incidentes (IRP) con roles, canales de comunicación y playbooks.
• Equipo de respuesta (CSIRT/SOC) definido con responsables de comunicación, legal, operaciones y dirección.
• Procedimientos de comunicación interna y externa, incluidas obligaciones regulatorias.
• Pruebas y simulacros regulares de continuidad (BCP) y recuperación (DRP).
• Registro y lecciones aprendidas para mejorar políticas y controles.

Sectores más expuestos y motivaciones de los atacantes

Al planificar, conviene conocer quiénes suelen ser objetivo y por qué:

• Sector financiero: robo de fondos, fraude y datos personales. Alto interés por tesorería y sistemas de pago.
• Servicios básicos y energía: atacantes motivados por activismo o daño infraestructural.
• Minería e industria: impacto operativo y económico; riesgo de interrupciones en cadenas de suministro.
• Salud y seguros: datos sensibles y regulaciones estrictas.

Checklist rápido para ejecutar hoy (PYMES y medianas empresas)

• 1. Inventario mínimo: identifica 10 activos críticos (servicios, bases de datos, cuentas privilegiadas).
• 2. Habilita MFA en correo corporativo y accesos remotos.
• 3. Configura backups automáticos y prueba una restauración.
• 4. Aplica parches prioritarios y actualiza antivirus/EDR.
• 5. Revisa proveedores con acceso a datos sensibles y exige cláusulas de seguridad.
• 6. Define responsable de seguridad y un plan de comunicación ante incidentes.

Errores comunes y cómo evitarlos

• Solo tecnología: ignorar procesos y personas. Invertir en formación y procedimientos.
• No alinear con objetivos de negocio: controles que no protegen lo que importa. Mapear activos a objetivos.
• Falsas sensaciones de seguridad: confiar en herramientas sin validar su efectividad. Medir con indicadores y ejercicios.
• Ignorar terceros: subestimar el acceso de proveedores. Inventario y evaluación continua.
• No probar planes: planes escritos que nunca se ensayan. Simulacros periódicos obligatorios.

Indicadores útiles para la dirección

Presentar métricas claras ayuda a priorizar inversión:

• Tiempo medio de detección (MTTD) y tiempo medio de respuesta (MTTR).
• % de activos con parches críticos aplicados.
• Número de incidentes por trimestre y su impacto económico estimado.
• Porcentaje de proveedores con evaluación de seguridad actualizada.
• Resultados de ejercicios de continuidad (recuperación en X horas vs objetivo).

Formato práctico para documentar un riesgo

Usa una redacción uniforme para facilitar seguimiento:

Riesgo: [Evento que puede ocurrir] — Impacto: [pérdida estimada o efecto en negocio] — Probabilidad: [Alta/Media/Baja] — Dueño: [Rol responsable] — Medidas: [Controles actuales y plan de mitigación con plazos]

Resumen y recomendaciones clave

Para convertir la ciberseguridad en una ventaja competitiva:

• Integra la gestión de riesgos con los objetivos del negocio y con la gobernanza de la organización.
• Aplica controles por capas y prioriza según impacto y exposición.
• Gestiona la cadena de suministro como parte central del programa de seguridad.
• Ensaya y mide con métricas relevantes y simulacros regulares.
• Apóyate en normas como ISO 27001 y ISO 22301 para estructurar procesos y evidencias.

Preguntas frecuentes (rápidas)

¿Por dónde empezar si no tenemos presupuesto?

Con controles básicos de bajo coste: inventoría de activos, MFA, backups y formación anti-phishing. Prioriza activos críticos.

¿Cuándo es imprescindible certificarse en ISO 27001?

Cuando se necesita demostrar cumplimiento a clientes o reguladores, o cuando la gestión de la información es crítica para el negocio. Antes de certificar, asegúrate de cumplir los requisitos y tener procesos estables.

¿La ciberseguridad es solo cosa del departamento de TI?

No. Es transversal: dirección, legal, operaciones, compras y RR.HH. deben participar en decisiones y respuesta a incidentes.

La gestión de riesgos en ciberseguridad es una inversión en continuidad, reputación y confianza. Empezar por controles básicos, documentar riesgos y vincular las decisiones a objetivos de negocio permite avanzar de forma ordenada y eficaz.

Escrito por: Michel Carvajal

Más información en: AREA XXI