lunes, 21 de mayo de 2012

La importancia de la perspectiva múltiple en la Gestión de Riesgos

El riesgo viene derivado de la existencia de amenazas que en ocasiones y por diferentes circunstancias aprovechan las vulnerabilidades de los procesos / activos para producir una degradación de las actividades de negocio. 
La principal herramienta que utilizan las organizaciones para gestionar los riesgos y mitigarlos hasta niveles aceptables es el Control Interno, que es un proceso diseñado con el fin de proporcionar un grado de seguridad "razonable" para la consecución de los objetivos corporativos, garantizando la eficiencia y eficacia de la operatividad, la fiabilidad de la información corporativa y el cumplimiento normativo. 
El conjunto de controles que conforman el “Control Interno” y su nivel de madurez hacen evolucionar al riesgo intrínseco (riesgo existente por la propia naturaleza de los procesos) hacia un riesgo residual resultante tras valorar la eficacia de los mismos. Pero para que la gestión de riesgos sea óptima, completa y con perspectiva es totalmente clave “atacar” el riesgo desde dos caminos complementarios cuyo enfoque es distinto:


El Plan de Tratamiento de Riesgos y las Estrategias de Recuperación


En primer lugar “El Plan de Tratamiento de Riesgos” (o también conocido como Programa de Gestión de Riesgos), el cual está enfocado por y para el riesgo e incluye el conjunto de medidas a implantar para  mitigar /transferir/ asumir el riesgo hasta niveles aceptables por la organización, actuando sobre el impacto o sobre la probabilidad de ocurrencia. Incluye medidas normalmente a corto y medio plazo y combina controles preventivos, detectivos y correctivos.  

 

Sin embargo el Plan de Tratamiento solo es capaz de gestionar los riesgos desde la perspectiva del grado de exposición y necesita de otra naturaleza de controles denominados “Estrategias de Recuperación”, cuya perspectiva es la continuidad, su ejecución  es siempre reactiva (una vez se ha materializado el desastre) y la cuales tienen por objetivo dotar de una respuesta a la organización ante un desastre que acontece, a fin de recuperar la operativa normal cumpliendo los requerimientos de negocio (tiempos de recuperación, productividad, cumplimientos regulatorio…). Las Estrategias de Recuperación suelen ser muy costosas, se implantan en plazos largos y se deben aplicar a riesgos cuyo impacto es catastrófico y que justifica claramente la alta inversión que supone.
De esta manera la clave para conseguir una óptima Gestión de Riesgos será la habilidad del Responsable de Seguridad para diseñar un plan equilibrado de controles con perspectiva global que escale a la Alta Dirección y consiga el respaldo total por parte de la misma.

2 comentarios:

felipe cruz dijo...

Sobre el tema de riesgos mencionado, es evidente que en cualquier organización habrá riesgos que tratar mediante el "Control interno".



Hay organizaciones en la que su nivel de madurez no les permite tener un proceso interno de tratamiento de riesgos, y por otra parte, otras tantas lo tienen de manera empírica y sin la debida documentación. Pero sea cual sea el nivel de riesgo y de tratamiento que este identificado o implementado en un proceso, el resultado es uno: "garantizar la eficiencia y eficacia de la operatividad, la fiabilidad de la información corporativa y el cumplimiento normativo".



Lo cierto es que para iniciar un proceso de "Gestión de Riesgos" por algo se ha de empezar... debe de haber una metodología como la familia de la ISO 27000 conjuntado con el expertise de un grupo de ingenieros en seguridad.



En la organización donde colaboro apenas si esta iniciando el proceso de Gestión de Riesgos a nivel documental e iniciando algunos flujos pequeños.



En tu experiencia, quisiera preguntarte, si la organización parte de cero para tener una gestión de riesgos, ¿qué harías para iniciar este proceso?, ¿cómo lo manejarías? y ¿cuál sería tu expectativa en tiempo para llevarlo a cabo?

Gracias por tu blog, es muy interesante.



Atte.

Felipe David Cruz Miranda

Pedro Dégano dijo...

Hola Felipe

La gestión de riesgos en su estado más incipiente es lo que se denomina "Análisis de Riesgos".

En primer lugar la organización debe saber cuáles son los servicios críticos de los que depende el negocio y qué activos tecnológicos conforman esos servicios. En mi opinión si la organización tiene esa información clara y conoce exactamente la dependencia que tienen los servicios de los activos existirá la base necesaria para comenzar un análisis de este tipo.

Una vez conocido esto, se le aplicará un catalogo de amenazas y en función del impacto y la probabilidad (teniendo en cuenta las salvaguardas existentes) calcularemos el riesgo de cada activo y el resultante del servicio.

Pero para mi la clave es plantearse el análisis y gestión de riesgos como un conjunto de iteraciones, en las cuales, en cada una de ellas, se analice el escenario actual y se amplíe el nivel de detalle en función de las necesidades del negocio.

En ocasiones las organizaciones incurren en el error de plantear un análisis estático con un principio y un fin, al que no se le da continuidad en el futuro y donde se intenta analizar de golpe el todo. La clave en mi opinión, a la hora de abordar un proyecto de este tipo, es plantear el análisis en fases, en modo dinámico de gestión continua de tratamiento de riesgos, en la cual en las diferentes iteraciones del estudio se vayan incorporando nuevos servicios, aumentando el catálogo de amenazas, contando con nuevas salvaguardas. La gestión de riesgos consistirá en ir viendo cómo evoluciona el riesgo en cada iteración, implantando controles, actualizando el escenario tecnológico, garantizando que se toman decisiones para mitigar, transferir o asumir el riesgo hasta los niveles que la Alta Dirección considera como “aceptables”.

En cuanto al tiempo, depende del alcance del análisis y del nivel de detalle, yo he hecho análisis en 10 días y otros de hasta 3 meses.

En cualquier caso mi consejo para organizaciones que inician este tipo de proyectos es empezar por 2 o 3 servicios críticos para luego ampliar en posteriores iteraciones.

Espero haberte ayudado.

Un saludo.