Los 5 pasos para la gestión de riesgos it en tu empresa

Lo que necesitas saber sobre la gestión de riesgos y el ciclo de vida de los procesos IT

Visitas: 52

"La gestión de riesgos es la identificación, evaluación y priorización de los riesgos como el efecto de la incertidumbre en los objetivos, seguida de una aplicación económica y coordinada de los recursos para minimizar, monitorear y controlar la probabilidad y/o el impacto de los eventos”. 

Esta claro que la definición es lo mas parecido a hablar chino sin hablar chino.

Simplificando, la gestión de riesgos consiste en anticipar qué “cosas malas” podrían pasarle a los activos, luego mitigar el impacto de esas “cosas malas” o reducir la probabilidad de que esas “cosas malas” sucedan.

En el contexto de la seguridad de la información, la preocupación principal es garantizar la confidencialidad, integridad y disponibilidad de datos confidenciales, personales y de negocios.

Uno de los objetivos básicos de una estrategia de seguridad en cualquier organización es asegurar la gestión de riesgos con el ciclo de vida los procesos.

Dicha gestión de riesgos comprende las actividades de identificación, evaluación, tratamiento y vigilancia de dichos riesgos.

Debido a que la gestión de riesgos es un ciclo continuo, se considera que la misma gestión de riesgos tiene un ciclo de vida. Dicho ciclo de vida tiene unos “pasos lógicos” que se distribuyen de la siguiente manera:

1. Identificación

El mas obvio, no podemos administrar riesgos si no sabemos cuales son o ni siquiera sabemos si existen. El primer paso es descubrirlos y definirlos en un formato estructurado.

2. Evaluación

Una vez identificados, se examinan en términos de probabilidad e impacto. ¡Importante! Evaluar la probabilidad y las consecuencias en caso de ocurrir un riesgo para poder identificar realmente los prioritarios. Esto nos lleva al siguiente paso. 

3. Tratamiento

Una vez evaluado el riesgo, toca decidir que hacemos con el, es decir, es posible que algunos riesgos no requieran acciones, solo ser monitorizados, pero los que se consideren como “no aceptables” requerirán un plan para prevenir, reducir o transferir ese riesgo. Llegados a este punto, no paramos ahí, toca...

4. Vigilancia

Los riesgos son evolutivos y siempre pueden cambiar. De hecho, lo hacen constantemente, al igual que las amenazas en seguridad a las que nos enfrentamos. El proceso de vigilancia es esencial para la gestión productiva de riesgos y amenazas. Por ultimo, estaríamos “ciegos” sin unos buenos

5. Informes

De nada vale lo anterior sin reportes que nos indiquen el cumplimiento y funcionalidad de nuestra estrategia. Obviamente, este punto atañe a los cuatro anteriores y es básico para la toma de decisiones. La creación y presentación de dichos informes se define en la primera etapa del proceso de gestión de riesgos.

Evaluación de riesgos

A menudo escuchamos el término “evaluación de riesgos” usado de manera intercambiable con la administración de riesgos. Sin embargo, la evaluación de riesgos debe considerarse como una "pieza" de la gestión de riesgos, aunque sea muy importante.

La evaluación de riesgos es el análisis que se realiza para tomar decisiones de gestión de riesgos. Más específicamente, es el proceso en el que una organización identifica sus activos de información y tecnología y determina el impacto negativo que las amenazas tienen sobre activos específicos, lo que se está haciendo actualmente para mitigar el impacto o la probabilidad de que ocurra un suceso, y qué más podría hacerse para mitigar aún más el impacto o la probabilidad de que ocurra.

La gestión de riesgos también incluye la priorización y aplicación de controles prescritos, el monitoreo de la efectividad de estos controles y la garantía de que se realice una evaluación de riesgos adicional a medida que los activos y el panorama de amenazas cambien. 

Es importante tener en cuenta que existen numerosos estándares y modelos para la gestión y evaluación de riesgos. Algunos de los estándares o modelos más comunes incluyen el Marco de Gestión de Riesgos (RMF) del Instituto Nacional de Estándares y Tecnología (NIST) que respalda la Ley Federal de Gestión de Seguridad de la Información (FISMA) y la serie 31000 de la Organización Internacional de Normalización (ISO), que aborda la gestión de riesgos.

El marco de gestión de riesgos de NIST proporciona un proceso que integra la seguridad y la gestión de riesgos.

Según la publicación 800-30 de NIST (National Institute of Standards and Technology), “la minimización de un impacto negativo en una organización y la necesidad de una base solida en la toma de decisiones son las razones fundamentales por las cuales las organizaciones implementan un proceso de gestión para sus sistemas de TI”.

Los requisitos de gestión de GRC se vuelven cada vez más complejos con los nuevos escenarios y requisitos legales. Normalmente las empresas abordan la gestión de riesgos de forma aislada, lo que lleva a procesos ineficaces.

Como hemos comentado, el mejor enfoque para la gestos de procesos y riesgos es un ciclo de vida, donde cada paso lleve al siguiente de manera lógica. El riesgo es evolutivo, por ello, dichos pasos deben repetirse continuamente.

Obviamente, al ser conscientes de los riesgos, estamos en mejor posición para preparar una “estrategia de defensa” y para enfrentar dichos riesgos.

En cualquier caso, este articulo es un breve resumen de los pasos a seguir. Cada uno de estos pasos parece lógico, pero la importancia esta en el nivel de detalle y atención prestado a cada uno de ellos. Se puede seguir este proceso, pero solo será efectivo si se ejecuta adecuada y efectivamente.

Referencias y recursos

Autor

Imagen de Carlos Rodriguez Morales

Director Área Business Information Security

CAPTCHA
Esta pregunta es para comprobar si usted es un visitante humano y prevenir envíos de spam automatizado.