¿Qué es un marco de administración de riesgos?

Un marco de administración de riesgos es un enfoque estructurado secuencialmente, basado en reglas y documentado para ayudar a examinar, reducir y supervisar el riesgo dentro de una organización. Las organizaciones eligen marcos estandarizados o crean los suyos propios, en lugar de abordar el riesgo con procesos ad hoc. Al usar un marco, puede tener más confianza en lograr mejores resultados y respuestas más rápidas en caso de que ocurra algo inesperado.

La administración de riesgos es una función del área empresarial de gobernanza, riesgo y cumplimiento (GRC) y, a menudo, pertenece al departamento de ciberseguridad o cumplimiento. La forma en que la organización gestiona los riesgos puede ser fundamental para la continuidad de la empresa, las operaciones, el cumplimiento normativo y la reputación. Los marcos de administración de riesgos ayudan a identificar, evaluar, mitigar y realizar un seguimiento de los riesgos en toda la organización. 

Los riesgos pueden afectar a la organización, las líneas de negocio y los activos empresariales. Aquí se incluyen los riesgos operativos, empresariales, de cumplimiento, de ciberseguridad, legales, de fusiones y adquisiciones, de privacidad, de hardware, de software y contractuales. Si bien las empresas suelen centrarse en el riesgo cibernético, también es importante no pasar por alto otros tipos de riesgos. Este documento cubrirá principalmente los riesgos operativos, empresariales y de cumplimiento en lo que respecta a la nube.

El riesgo operativo está relacionado con la disponibilidad, la fiabilidad, el rendimiento y la seguridad de la infraestructura. Esta categoría de riesgo es la más importante para las operaciones diarias.

El riesgo empresarial está relacionado con la reputación, la competitividad y las condiciones del mercado. Este tipo de riesgo tiene un alcance más amplio que el riesgo operativo y puede tener un impacto general más significativo en la empresa.

El riesgo de cumplimiento hace referencia a la probabilidad de que las operaciones comerciales no cumplan con un estándar de cumplimiento normativo requerido. Este tipo de riesgo puede resultar en multas, sanciones, implicaciones legales o un aumento de los niveles de auditoría e informes. Los objetivos de cumplimiento provienen de los estándares del sector, las agencias federales y otros organismos reguladores.

A continuación, se indican los marcos comunes de administración de riesgos:

• Marco de administración de riesgos (RMF) del Instituto Nacional de Estándares y Tecnología (NIST) para sistemas y organizaciones de información
• COBIT
• ISO/IEC 31000 Administración de riesgos: directrices
• ISO/IEC 27005:2022 Seguridad de la información, ciberseguridad y protección de la privacidad: orientación sobre la administración de los riesgos de seguridad de la información
• Análisis factorial del riesgo de la información

Es recomendable utilizar un marco de administración de riesgos que sea conocido y se actualice periódicamente para mantenerse al día con las prácticas recomendadas para administrar el riesgo.

Un marco de administración de riesgos sólido ayuda a administrar los riesgos de cualquier tipo en toda la organización.

Identificación de riesgos

Identifique todos los activos, amenazas y vulnerabilidades de la arquitectura de la organización. Un riesgo es una amenaza para un activo que surge de una vulnerabilidad. La identificación de los riesgos potenciales puede ser un proceso largo que abarca varios vectores de la organización y objetivos de la empresa.

Puede clasificar los riesgos en áreas como la técnica, la personal, la de procesos, la financiera o las áreas de terceros. También puede subdividir cada una de estas categorías más amplias; por ejemplo, puede desglosar la categoría “personas” en silos de habilidades, errores manuales y conocimientos.

Análisis de impacto

Al analizar sus activos, amenazas y vulnerabilidades, puede determinar la probabilidad de que se produzca un riesgo potencial y el tamaño del impacto. El análisis y la evaluación de riesgos conllevan medidas cualitativas y cuantitativas. Por ejemplo, puede recopilar todos los detalles sobre un tipo específico de riesgo o desarrollar matrices de puntuación de riesgos para clasificar los riesgos, lo que determinará las consecuencias y las estrategias de mitigación. Estas categorías pueden incluir puntuaciones de riesgo bajas, medias, altas y muy altas, según la probabilidad de que se produzca un evento y su impacto esperado.

Estrategias de mitigación

Las siguientes son las cuatro estrategias de mitigación de riesgos para abordar cada riesgo específico:

• Mitigación: implemente controles para eliminar o reducir el riesgo
• Aceptación: acepte el riesgo tal cual mientras supervisa cuidadosamente los cambios en la probabilidad o la gravedad del riesgo
• Evitación: elimine el riesgo y vuelva a configurar los sistemas
• Transferencia: externalice la función relacionada con el riesgo, cree mitigaciones contractuales o asegúrese contra el evento

Además de la criticidad y la probabilidad del riesgo, el interés por el riesgo de la organización también puede ayudar a determinar la estrategia adecuada.

Implementación de la solución

Según la estrategia de mitigación elegida, puede aplicar los controles, realizar cambios en el sistema, introducir soluciones de supervisión y externalizar el riesgo. Los controles pueden ser administrativos, físicos o técnicos. Esta etapa puede incluir varios sistemas, unidades de negocio, partes interesadas y pasos para lograr el resultado deseado.

Una solución de mitigación de riesgos puede incluir procesos de derivación de los riesgos, propietarios de los riesgos y colaboración con los equipos de respuesta a incidentes para desarrollar planes posteriores al incidente.

Tras implementar la solución, debe calcular el riesgo residual. La mayoría de las soluciones no pueden erradicar por completo el riesgo, por lo que existe un riesgo residual. Este riesgo residual puede fluctuar a medida que cambian las condiciones.

Gobernanza y supervisión continua

Tras la implementación de la solución de mitigación de riesgos, debe supervisar, seguir, analizar y auditar los riesgos cuando sea necesario. Debe incorporar la creación de informes en el proceso de seguimiento de riesgos para los propietarios de los riesgos, los equipos de GRC y el equipo de liderazgo.

Dentro del marco de gobernanza, debe haber un proceso bajo demanda que se programe periódicamente para identificar los riesgos nuevos y crecientes para la empresa. Debe establecer políticas en torno a la administración de riesgos y la frecuencia de reevaluación del proceso actual y brindar formación a los miembros del equipo apropiados. Implemente barreras de protección para ayudar a evitar automáticamente que se repitan los mismos tipos de riesgo.

En esta guía se muestra cómo implementar una canalización de AWS que se ajuste a las fases de un marco de administración de riesgos típico.

En cada fase del proceso de administración de riesgos se utilizan tres servicios clave de AWS para brindar asistencia:

• AWS Audit Manager para auditar su uso de AWS de forma continua y simplificar la forma en que evalúa el riesgo y el cumplimiento.
• AWS Config para analizar, auditar y evaluar las configuraciones de sus recursos.
• AWS Security Hub para priorizar sus problemas de seguridad críticos mediante una correlación automatizada y un contexto de riesgo mejorado, además de informes sobre la postura de seguridad y más.

1. Planificación

La fase de planificación garantiza que la organización tenga una base sólida para crear procesos de administración de riesgos basados en las prácticas recomendadas.

Planifique la realización de actividades de administración de riesgos basadas en las prácticas recomendadas con los siguientes servicios:

• AWS CloudTrail para rastrear la actividad de los usuarios y el uso de las API.
• AWS Control Tower para configurar y gobernar su entorno de AWS seguro y con varias cuentas.
• AWS Identity and Access Management para administrar de forma segura las identidades y el acceso a los servicios y recursos de AWS.
• El Analizador de acceso de AWS IAM para identificar el acceso externo, interno y no utilizado a sus recursos de AWS.
• AWS Organizations para una administración basada en políticas en varias cuentas de AWS.
• AWS Secrets Manager para administrar el acceso a los secretos en toda la organización-
• AWS Systems Manager para la aplicación automática de parches y el cumplimiento.

2. Detección

En la fase de detección se detectan y etiquetan los activos, recursos y servicios.

Para detectar y clasificar los activos, utilice los siguientes servicios de AWS:

• Amazon Macie para detectar y proteger la información confidencial.
• AWS CloudFormation para introducir la infraestructura como código (IaC).
• AWS Resource Explorer para buscar y detectar recursos relevantes en AWS.
• El Inventario de AWS Systems Manager para proporcionar visibilidad de su entorno de computación de AWS.
• La Herramienta de AWS Well-Architected para evaluar la arquitectura en la nube en función de las prácticas recomendadas.

3. Selección de controles y reglas

En la fase de selección se introducen controles y reglas para protegerse contra los riesgos identificados.

Seleccione los controles de las reglas predefinidas de las prácticas recomendadas en los siguientes servicios de AWS:

• Las reglas administradas de AWS Config para las reglas predefinidas y personalizables que AWS Config utiliza para evaluar si sus recursos de AWS cumplen con las prácticas recomendadas comunes.
• AWS Control Tower y AWS Security Hub para el control de la seguridad y AWS Audit Manager para los controles de cumplimiento de políticas.
• Conformidad de AWS Systems Manager es una herramienta de AWS Systems Manager con la que puede crear sus propios tipos y definiciones de cumplimiento en función de los requisitos empresariales o de TI.

4. Implementación

La implementación garantiza que los controles se apliquen de manera uniforme en todos los activos y entornos deseados.

Puede utilizar las siguientes herramientas de implementación de controles en todos los servicios de AWS:

• AWS CloudFormation para realizar implementaciones de controles integrados en combinación con AWS Service Catalog para crear, compartir, organizar y gobernar sus plantillas de IaC seleccionadas.
• AWS Config para las reglas de control y los pasos siguientes.
• AWS Security Hub para la implementación de reglas de seguridad.
• AWS Systems Manager para el cumplimiento de las políticas en todos los recursos y servicios.

5. Evaluación

La evaluación mide el rendimiento de los controles aplicados en la práctica.

Puede evaluar la eficacia con la que su organización administra los riesgos con la siguiente combinación de servicios de AWS:

• AWS Audit Manager para realizar evaluaciones rastreables.
• AWS Config para comprobar el cumplimiento de las normas.
• Amazon Detective para analizar y visualizar los datos de seguridad para investigar los problemas de seguridad posibles.
• Amazon GuardDuty para realizar una supervisión continua de las amenazas en las cuentas, cargas de trabajo y datos de AWS.
• AWS Inspector para realizar evaluaciones automatizadas de los riesgos de vulnerabilidad.
• AWS Security Hub para realizar una evaluación permanente de los riesgos de seguridad.

AWS Trusted Advisor es otra opción para las organizaciones que configuran un marco de administración de riesgos. El servicio de AWS Trusted Advisor permite comprobar la optimización de costos, el rendimiento, la seguridad, la tolerancia a errores, los límites del servicio y la excelencia operativa. Puede ver las alertas, las acciones recomendadas y los recursos adicionales a través del panel de control. Los clientes de AWS pueden acceder a la herramienta en​https://console.aws.amazon.com/trustedadvisor/home.

6. Autorización

La función de autorización formaliza el enfoque, los pasos anteriores y la aceptación del riesgo residual y la supervisión.

Conceda autorizaciones con confianza mediante el uso de los siguientes servicios de AWS:

• AWS Artifact produce informes de seguridad y cumplimiento de AWS e ISV.
• AWS Audit Manager proporciona informes a los responsables de la toma de decisiones.
• AWS Config detalla los informes de cumplimiento y el seguimiento.
• AWS Security Hub ofrece una visión en tiempo real del estado de la seguridad del sistema y de los informes.

7. Supervisión

La supervisión continua garantiza que el proceso de administración de riesgos se mantenga actualizado e incorpore riesgos nuevos y cambiantes.

Obtenga una supervisión continua con los siguientes servicios de AWS:

• AWS CloudWatch para supervisar las aplicaciones, alertar sobre anomalías y proporcionar información sobre el estado operativo para garantizar el cumplimiento.
• AWS Config para la supervisión continua del cumplimiento.
• Amazon EventBridge para crear respuestas automáticas basadas en los activadores de otros servicios de AWS.
•  AWS Security Hub para la supervisión continua de la seguridad.
• AWS Systems Manager para la supervisión de parches y configuraciones.

Las organizaciones que desean mejorar la resiliencia y el rendimiento de la organización deben implementar un marco de administración de riesgos. Los marcos de administración de riesgos ayudan a reducir y comprender los riesgos para la empresa, lo que hace que estas incógnitas sean mucho más manejables.

Elegir un marco estandarizado y basarse en él es una buena manera de empezar, y AWS ofrece servicios que facilitan la implementación del marco. En combinación con el Marco de AWS Well-Architected, puede crear una base sólida para la gobernanza, el riesgo y el cumplimiento en AWS.

Cree una cuenta gratuita hoy mismo para comenzar a crear sus procesos de administración de riesgos en AWS.