Por ejemplo, el uso de autenticación multifactor (MFA),   Debido a la existencia de estos factores de incertidumbre,
               la  creación  de  copias  de  seguridad  periódicas  y  la   que afecta a la precisión de las predicciones asociadas con
               encriptación  de  información  sensible  son  medidas  que,   ellos,  la  planificación  y  la  justificación  de  la  seguridad
               aunque  básicas,  proporcionan  una  capa  adicional  de   pueden  ser  muy  complejas,  incluso  aunque  se  pueda
               defensa frente a ataques sofisticados.               determinar de forma aproximada el retorno de inversión
                                                                      en seguridad (ROSI).
               Por otro lado, las malas prácticas suelen derivarse de la
               falta de conocimiento, la negligencia o la comodidad del
               usuario.  Acciones  como  usar  contraseñas  débiles
               (“123456”,  “password”),  dejar  las  sesiones  abiertas  en
               computadoras compartidas o no cerrar correctamente los
               servicios  en  línea  son  errores  comunes  que  facilitan  el
               acceso  no  autorizado.  Estas  conductas  deben  ser
               identificadas  y  corregidas  mediante  campañas  de
               sensibilización,  normas  internas  claras  y  auditorías
               periódicas de seguridad.
                                                                            Figura 3: Componentes del proceso de riesgos
               Asimismo, la comparación evidencia que la seguridad de      La Fig. 3, representa las etapas fundamentales del
               la  información  no  depende  exclusivamente  del  área
               tecnológica, sino que involucra una dimensión humana y   proceso de gestión de riesgos en la seguridad de la
               organizacional.  Promover  la  colaboración  entre  los   información.
               departamentos técnicos y el personal operativo, establecer   En ella se observa la secuencia lógica que inicia con la
               protocolos  de  respuesta  ante  incidentes  y  evaluar
               continuamente los riesgos son pasos fundamentales para   identificación de amenazas y vulnerabilidades, seguida
                                                                    por la evaluación y análisis del riesgo, la implementación
               mantener una postura de seguridad sólida.
                                                                    de controles o salvaguardas, y finalmente la
                                                                    monitorización y revisión continua del sistema.
               Finalmente,  la  comprensión  y  aplicación  de  buenas
               prácticas debe concebirse como un proceso continuo, no      Este ciclo permite mantener un nivel de riesgo
               como  una  acción  puntual.  El  panorama  de  amenazas
               digitales  evoluciona  constantemente,  por  lo  que  las   aceptable, optimizando los recursos disponibles y
               estrategias  de  protección  también  deben  adaptarse  a   garantizando la protección de los activos críticos frente a
               nuevas  formas  de  ataque,  como  el  uso  de  inteligencia   posibles incidentes.
               artificial en cibercrimen o la ingeniería social avanzada.
                                                                    Los riesgos se atenúan con la implantación de
                                                                    salvaguardas, también conocidas como medidas,
               Solo  a  través  de  la  educación  digital  constante,  la
               responsabilidad  individual  y  la  implementación  de   controles o contramedidas. Las salvaguardas pueden
                                                                    actuar contra la amenaza, la vulnerabilidad, el impacto o
               políticas  de  seguridad  integrales,  las  organizaciones
               podrán garantizar la protección efectiva de su información      contra el propio riesgoFuente especificada no válida..
               en el entorno digital actual.
                                                                    Sin embargo, no es factible atenuar todos los riesgos de
                                                                    forma completa, debido, en gran parte, al elevado coste
                  2.4 Riesgos
                                                                    económico y a las incertidumbres asociadas. Por tanto,
                                                                    siempre debe aceptarse algún riesgo residual.
               En el nivel más simple, el proceso de gestión de riesgos   La gestión efectiva de riesgos requiere un enfoque
               identifica y prioriza los peligros inherentes al desarrollo   sistemático que combine la evaluación continua, la
               de  un  producto,  sistema  u  organización.  La gestión  del   implementación de controles y la revisión periódica de
               riesgo es una parte importante de la gestión de seguridad   las medidas adoptadas.
               y se define como el procesó que se encarga de identificar
               y  cuantificar  la  probabilidad  de  que  se  produzcan   Es fundamental comprender que los riesgos evolucionan
               amenazas y de establecer un nivel aceptable de riesgo para   con el tiempo, especialmente ante el surgimiento de
               la  organización,  considerando  el  impacto  potencial  de   nuevas tecnologías, amenazas informáticas y cambios en
               incidente  no  deseado.  La  valoración  de  riesgos  es  el   los entornos digitales.
               proceso consistente de identificar los problemas antes que
               aparezcan.                                           Por ello, las organizaciones deben adoptar metodologías
                                                                    dinámicas de gestión que les permitan anticiparse a los
               En la gestión de riesgos, existe un factor de incertidumbres   incidentes y mantener la resiliencia operativa.
               asociados  con  la  probabilidad  de  que  aparezcan  las   A continuación, se destacan algunos principios
               amenazas,  que  es  diferente,  dependiendo  de  cada   esenciales para una gestión de riesgos efectiva en el
               situación.  Esto  significa  que  la  amenaza  solo  se  puede   ámbito de la seguridad de la información:
               predecir  dentro  de  ciertos  límites.  Además,  el  impacto
               valorado para un riesgo concreto también tiene asociada   •   Identificación proactiva: reconocer los activos
               incertidumbre, debido a que el incidente no deseado puede    críticos y las posibles amenazas antes de que se
               no resultar tal y como se esperaba.                          materialicen incidentes.

                                                                31