En algunas organizaciones se ha buscado solucionar el problema de la seguridad de la información desde dos enfoques diferentes. El primero de éstos, se orienta hacia el cumplimiento estricto de mejores prácticas, modelos de la industria, estándares internacionales especializados, y recomendaciones de proveedores. El segundo de los enfoques considera la implementación de herramientas y soluciones tecnológicas con base en la experiencia de un área responsable y configuraciones generales de las soluciones.
Sin embargo, el problema de la seguridad es variable en cada organización, puesto que atiende a un gran grupo de factores tales como: el tipo y la forma de realizar sus funciones sustantivas, su operación, la cultura organizacional y el entendimiento del problema, entre otros.
En este sentido, la forma más asertiva para manejar el problema de la seguridad en todas las organizaciones, debe basarse en un reconocimiento de la propia seguridad de la información como un factor crítico en el logro de la misión y los objetivos de la organización, rebasando las soluciones puntuales y el contexto tecnológico.
De esta forma, la seguridad de la información debe iniciarse en la identificación y jerarquización de los riesgos de seguridad  a los que está expuesto el negocio, y la creación de una estrategia de seguridad para el tratamiento de los mismos, hasta lograr un nivel aceptable del riesgo para la organización, que corresponda a sus necesidades reales de operación y seguridad, así como el nivel actual de vulnerabilidad.
En el caso de la estrategia de seguridad de la información, se requiere la priorización de los riesgos, que se obtiene como resultado de un ejercicio de análisis; y la definición de categorías de controles de seguridad, los cuales son evaluados en términos de sus niveles de contribución para la mitigación de los riesgos. De esta forma, se desarrollaron actividades relativas a la definición y agrupación de controles de seguridad implementados y funcionales.
Un proyecto de análisis de riesgos no proporciona una estrategia de seguridad de la información, con base en sus resultados solamente, como lo dicen las Best Practices debido a que se requieren de otros elementos para realizar una toma de decisiones relativa a la inversión de los recursos para solucionar el problema de seguridad.
Adicionalmente, se debe considerar que este ejercicio de análisis de riesgos no indica en qué medida se están mitigando los mismos, ni cuales son los controles más apropiados e importantes que se deben implementar y mejorar. Por esta razón, el estado de la seguridad de la información en términos de operación y solución del problema no ha cambiado sustancialmente.
Debe tenerse en cuenta que la estrategia de seguridad no se puede integrar solamente con los costos de los controles y una valoración general de su costo beneficio, puesto que un control mitiga más de un riesgo y un riesgo puede ser mitigado por varios controles. Por lo que, se debe realizar una consolidación de información suficiente para construir la estrategia de seguridad con un enfoque costo-riesgo, concepto acuñado por un servidor, basado en el nivel de contribución y costo de los diferentes controles, para mitigar el nivel hipotético (porque no hay ningún control que mitigue un riesgo al 100%) total de riesgo identificado.
A continuación les explico una metodología  para desarrollar una estrategia real (porque lo hemos hecho en más de 8 empresas a nivel organizacional) y practica porque ha funcionado y dado los resultados deseados y esperados, quiero hacer mención que esta metodología se desarrollo por un requerimiento de un cliente, es decir, hasta ese momento desarrollábamos la estrategia sólo basada en un análisis costo beneficio de los controles como lo dicen todas las metodologías, métodos y modelos de  análisis de riesgos, hasta que el Director General de la empresa me comentó que ese análisis costo beneficio no le decía mucho y, a partir de ahí desarrollamos el enfoque de realizar otra estrategia, pero basada en un costo riesgo.
Determinación de la estrategia de seguridad informática basada en la ponderación de controles y la contribución de los mismos para mitigar los riesgos prioritarios de una organización. (Costo Riesgo)
La ponderación de los riesgos a los que se encuentra expuesta una organización no provee en sí cuales serán los pasos a seguir para establecer una estrategia de seguridad asertiva, es de conocimiento general que cualquier control, por simple que parezca, contribuye a mitigar invariablemente mas de un riesgo, y que el grado de contribución que cada control aporta para mitigar uno o más riesgos varia de un control a otro.
El problema se complica cuando deseamos incorporar costos a nuestra estrategia de seguridad, y pretendemos ver de forma clara una relación costo – riesgo, que en la mayoría de los casos es obtenida de forma subjetiva. Con frecuencia no se tiene una justificación clara de los costos, debido a que los asociamos con los riesgos y no con los controles que son en sí la inversión que vamos a realizar.
Para establecer una estrategia de seguridad basada en costos – riesgos, tenemos que partir de riesgos que han sido priorizados y de una relación aceptable de controles que pueden mitigarlos, sin tener hasta el momento que decidir cuales son mas importantes o de mayor peso.
Una vez que se ha determinado la prioridad de los riesgos construimos una Matriz de Contribución de la siguiente manera:

1. Definición de la estructura:
En las Columnas se incluyen los “outcomes�, o bien, “lo que quiero obtener�. La información que aquí se incluye son los riesgos que quiero mitigar, ordenados en función de su importancia.
En las Filas se incluyen la relación de controles que me permitirá mitigar los riesgos de las columnas.

2. Grado de contribución de los controles.
Por cada riesgo existente en la organización, identificaremos el nivel de contribución que le proporcionan los controles para que sea mitigado. Este proceso debe ser realizado con la participación de expertos en tecnología y seguridad de la organización.
El nivel de contribución será determinado mediante un proceso de votación en el que se analiza el grado de consenso de los participantes y si éste es bajo, aparece un histograma que permite guiar la discusión para generar y compartir información relevante entre los participantes, y se procede a una segunda votación, hasta que el grado de dispersión en las respuestas es reducido.
Al final del proceso de votación, es posible determinar cual es el grado de contribución que el control tiene para mitigar cada uno de los riesgos en particular, y eso le asigna en automático una importancia con respecto a los demás.
La Matriz de Contribución es expresada en números absolutos o sencillos, tal como resultaron los promedios de cada votación en la escala del 1 al 9; y en números ponderados – normalizados a 100, los cuales toman en cuenta el peso de los riesgos identificados. No es lo mismo la contribución que realiza un control para mitigar un riesgo de alta importancia relativa, al que requiere riesgo no prioritario, no obstante tengan el mismo nivel de contribución numéricamente hablando.

En la columna de TOTAL es posible ver como el control específico contribuye a mitigar el nivel de riesgo total de la organización, considerando siempre que un control ayuda a mitigar más de un riesgo. Este resultado no es un promedio, sino un ponderado que considera también la importancia que los riesgos tienen para el negocio.
Este TOTAL también  indica el beneficio que el control aportará a la organización en función de cuánto contribuye a mitigar los riesgos, y a su vez le otorga de forma individual un peso versus los demás controles.
En el renglón de TOTAL es posible identificar el acumulado de todos los controles requeridos para mitigar el riesgo específico de cada columna.

3. Análisis de costos y estrategia de seguridad.
Considerando que el presupuesto de seguridad tiene que ser invertido de la mejor manera procedemos a analizar el costo de cada control vs. el beneficio que me provee en función de su contribución para mitigar los riesgos.

Por cada control autorizado, podremos ver como el nivel de riesgo específico y global de la organización es reducido y en que porcentaje, por el contrario por cada control de autorizado, podremos ver el efecto inverso.
Es importante mencionar que la estrategia debe ser enfocada a la implementación de aquellos controles que tengan un mayor peso en la mitigación de los riesgos a un costo razonable.

Para conocer la versión completa consulte nuestra versión digital www.bsecure.com.mx

Artículos relacionados

1. CEO y CIO desconectados en temas de seguridad
2. Ven valor en adoptar enfoque basado en riesgos
3. ¿es una falacia, un fenómeno en cierne o ya es una realidad?[parte uno]