¿Cómo llevas a cabo una evaluación de riesgos?
Respuesta breve
Una evaluación de riesgos identifica los activos y su valor, las amenazas y vulnerabilidades que podrían afectarlos, y luego estima el riesgo como función de la probabilidad y el impacto. Puedes hacerla cualitativamente (alto/medio/bajo, rápido y subjetivo) o cuantitativamente (SLE × ARO = ALE, basado en datos pero más difícil). Marcos como NIST RMF e ISO 27005 le dan estructura, y el resultado alimenta el tratamiento del riesgo: mitigar, transferir, evitar o aceptar.
La evaluación de riesgos es el motor de un programa de seguridad: decide adónde va un presupuesto finito. Los entrevistadores — sobre todo en niveles senior y de dirección — preguntan sobre ella para confirmar que sabes razonar sobre el riesgo en términos que el negocio entiende, no solo en gravedad técnica.
El proceso
- Establecer el contexto y el alcance. ¿Qué sistema, unidad de negocio o proceso estás evaluando, y frente a qué tolerancia al riesgo?
- Identificar los activos. Catalogar lo que importa — datos, sistemas, personas, procesos — y su valor para el negocio.
- Identificar amenazas y vulnerabilidades. Emparejar fuentes de amenaza plausibles (criminales, internos, naturaleza) con las debilidades que podrían explotar.
- Analizar el riesgo. Estimar la probabilidad y el impacto de cada par amenaza/vulnerabilidad para derivar un nivel de riesgo.
- Evaluar y tratar. Comparar el riesgo con la tolerancia y elegir un tratamiento para cada elemento.
Cualitativo frente a cuantitativo
El análisis cualitativo califica el riesgo en escalas — alto/medio/bajo o una matriz de 1 a 5. Es rápido, comunica bien a las partes interesadas no técnicas, pero es subjetivo. El análisis cuantitativo le pone dinero: Single Loss Expectancy × Annualized Rate of Occurrence = Annualized Loss Expectancy (SLE × ARO = ALE). El ALE permite justificar un control comparándolo con la pérdida que evita, pero depende de datos que a menudo son difíciles de obtener. Los programas maduros combinan ambos — cualitativo para el triaje, cuantitativo para los riesgos principales y las grandes decisiones de gasto.
Marcos
NIST RMF (SP 800-37) envuelve la evaluación en un ciclo de vida completo — categorizar, seleccionar, implementar, evaluar, autorizar, monitorizar. ISO 27005 proporciona el proceso de gestión del riesgo de seguridad de la información dentro de un SGSI ISO 27001. Ambos imponen repetibilidad y auditabilidad.
Tratamiento del riesgo
La evaluación alimenta una decisión por riesgo: mitigar (añadir controles), transferir (seguro, externalización), evitar (detener la actividad) o aceptar (firmar formalmente el riesgo residual). La aceptación debe ser una decisión de negocio documentada, no algo por defecto.
Qué buscan los entrevistadores
Quieren el razonamiento probabilidad por impacto, fluidez con SLE/ARO/ALE, saber cuándo lo cualitativo supera a lo cuantitativo, un marco reconocido, y las cuatro opciones de tratamiento con la aceptación del riesgo como una decisión explícita y asumida.
Posibles preguntas de seguimiento
- ¿Cuál es la diferencia entre el análisis de riesgo cualitativo y cuantitativo, y cuándo usas cada uno?
- Define SLE, ARO y ALE y cómo se relacionan.
- ¿Cuáles son las cuatro opciones de tratamiento del riesgo tras la evaluación?