Plan de Tratamiento de Riesgos: Metodología para la Clasificación y Priorización de Amenazas Digitales (Conforme a la PGD).
Amenazas digitales
El Riesgo como Variable de Diseño en TI
El Plan de Tratamiento de Riesgos de Seguridad y Privacidad es la espina dorsal del MSPI y del ejercicio de gobernanza del CIO. No se trata de listar posibles fallas, sino de implementar una metodología estructurada que permita a la Alta Dirección tomar decisiones informadas sobre la asignación de recursos y la mitigación de amenazas. Un plan de riesgos débil o genérico invalida cualquier esfuerzo de cumplimiento ante la Política de Gobierno Digital (PGD).
Este artículo se centra en la metodología para clasificar y priorizar las amenazas, transformando el riesgo inherente en un elemento gestionable.
1. La Taxonomía de Riesgos: Más Allá de la Ciberseguridad
El riesgo en el sector público se clasifica de forma distinta a la empresa privada. Para el Enlace TIC, la gestión debe cubrir:
Riesgos de Continuidad Operativa: Fallas de infraestructura, desastres naturales.
Riesgos de Cumplimiento Normativo: Incumplimiento de la Ley 1581 (Habeas Data), Ley de Transparencia, o el MRAE.
Riesgos de Ciberseguridad: Ataques dirigidos, ransomware, y phishing.
La PGD exige que la metodología de riesgos sea consistente. Una matriz funcional debe usar variables medibles: Probabilidad (P) x Impacto (I) = Nivel de Riesgo (NR). Solo así se puede justificar la inversión.
2. La Clasificación Técnica y la Priorización Estratégica
El desafío técnico es evitar la paralización por intentar mitigar todos los riesgos a la vez.
El Plan debe diferenciar los riesgos que persisten después de aplicar controles (residuales) de aquellos que existen sin controles (inherentes). Esto permite monitorear la efectividad de las medidas de seguridad.
| Los riesgos deben ser priorizados basándose en los servicios que afectaría su materialización. Un riesgo que detiene el pago de nómina o la emisión de certificados es de mayor prioridad que una falla en un sistema secundario. Esta priorización es clave para el DRP. |
3. Estrategias de Tratamiento: Inversión Justificada
El Plan de Tratamiento de Riesgos debe culminar en estrategias claras, no en deseos:
1. Mitigar (Reducir)
Se implementan controles para reducir P o I. Ej: Inversión en firewall, capacitación.
2. Transferir
Se traslada el riesgo a un tercero. Ej: Contratación de seguros o servicios de nube especializados.
3. Aceptar
La Alcaldía asume el riesgo porque el costo de mitigación es mayor que el impacto potencial. (Debe ser una decisión documentada de la Alta Dirección).
4. Evitar
Se elimina la fuente del riesgo. Ej: Desconexión de un sistema obsoleto e inseguro.
El valor de este Plan es que transforma las necesidades de compra en requisitos de mitigación de riesgo, facilitando la aprobación presupuestal.
El Plan de Tratamiento de Riesgos es el mapa de batalla del CIO. Un documento bien formulado asegura que la inversión en TI esté blindada y que la entidad pueda demostrar su diligencia técnica ante cualquier evento crítico.
¿Su Plan de Riesgos es una matriz de Excel o un motor estratégico de decisión?
Agende aquí una consulta de 15 minutos. Recibirá una evaluación técnica de su matriz actual y la metodología certificada para su completa reformulación bajo el marco de la PGD.