El riesgo
viene derivado de la existencia de amenazas que en ocasiones y por diferentes
circunstancias aprovechan las vulnerabilidades de los procesos / activos para
producir una degradación de las actividades de negocio.
La principal
herramienta que utilizan las organizaciones para gestionar los riesgos y
mitigarlos hasta niveles aceptables es el Control
Interno, que es un proceso diseñado con el fin de proporcionar un grado de
seguridad "razonable" para la consecución de los objetivos
corporativos, garantizando la eficiencia y eficacia de la operatividad, la fiabilidad
de la información corporativa y el cumplimiento normativo.
El conjunto de
controles que conforman el “Control Interno” y su nivel de madurez hacen
evolucionar al riesgo intrínseco (riesgo existente por la propia naturaleza de
los procesos) hacia un riesgo residual resultante tras valorar la eficacia de los
mismos. Pero para que la gestión de riesgos sea óptima, completa y con
perspectiva es totalmente clave “atacar”
el riesgo desde dos caminos complementarios cuyo enfoque es distinto:
El Plan de Tratamiento de Riesgos y las
Estrategias de Recuperación
En primer
lugar “El Plan de Tratamiento de Riesgos” (o también conocido como Programa de
Gestión de Riesgos), el cual está enfocado
por y para el riesgo e incluye el conjunto de medidas a implantar para mitigar /transferir/ asumir el riesgo hasta
niveles aceptables por la organización, actuando sobre el impacto o sobre la
probabilidad de ocurrencia. Incluye medidas normalmente a corto y medio plazo y
combina controles preventivos, detectivos y correctivos.
Sin
embargo el Plan de Tratamiento solo es capaz de gestionar los riesgos desde la perspectiva del grado de exposición y
necesita de otra naturaleza de controles denominados “Estrategias de
Recuperación”, cuya perspectiva es la
continuidad, su ejecución es siempre
reactiva (una vez se ha materializado el desastre) y la cuales tienen por
objetivo dotar de una respuesta a la organización ante un desastre que
acontece, a fin de recuperar la operativa normal cumpliendo los requerimientos
de negocio (tiempos de recuperación, productividad, cumplimientos
regulatorio…). Las Estrategias de Recuperación suelen ser muy costosas, se
implantan en plazos largos y se deben aplicar a riesgos cuyo impacto es
catastrófico y que justifica claramente la alta inversión que supone.
De
esta manera la clave para conseguir una óptima
Gestión de Riesgos será la habilidad del Responsable de Seguridad para
diseñar un plan equilibrado de controles
con perspectiva global que escale a la Alta Dirección y consiga el respaldo
total por parte de la misma.
2 comentarios:
Sobre el tema de riesgos mencionado, es evidente que en cualquier organización habrá riesgos que tratar mediante el "Control interno".
Hay organizaciones en la que su nivel de madurez no les permite tener un proceso interno de tratamiento de riesgos, y por otra parte, otras tantas lo tienen de manera empírica y sin la debida documentación. Pero sea cual sea el nivel de riesgo y de tratamiento que este identificado o implementado en un proceso, el resultado es uno: "garantizar la eficiencia y eficacia de la operatividad, la fiabilidad de la información corporativa y el cumplimiento normativo".
Lo cierto es que para iniciar un proceso de "Gestión de Riesgos" por algo se ha de empezar... debe de haber una metodología como la familia de la ISO 27000 conjuntado con el expertise de un grupo de ingenieros en seguridad.
En la organización donde colaboro apenas si esta iniciando el proceso de Gestión de Riesgos a nivel documental e iniciando algunos flujos pequeños.
En tu experiencia, quisiera preguntarte, si la organización parte de cero para tener una gestión de riesgos, ¿qué harías para iniciar este proceso?, ¿cómo lo manejarías? y ¿cuál sería tu expectativa en tiempo para llevarlo a cabo?
Gracias por tu blog, es muy interesante.
Atte.
Felipe David Cruz Miranda
Hola Felipe
La gestión de riesgos en su estado más incipiente es lo que se denomina "Análisis de Riesgos".
En primer lugar la organización debe saber cuáles son los servicios críticos de los que depende el negocio y qué activos tecnológicos conforman esos servicios. En mi opinión si la organización tiene esa información clara y conoce exactamente la dependencia que tienen los servicios de los activos existirá la base necesaria para comenzar un análisis de este tipo.
Una vez conocido esto, se le aplicará un catalogo de amenazas y en función del impacto y la probabilidad (teniendo en cuenta las salvaguardas existentes) calcularemos el riesgo de cada activo y el resultante del servicio.
Pero para mi la clave es plantearse el análisis y gestión de riesgos como un conjunto de iteraciones, en las cuales, en cada una de ellas, se analice el escenario actual y se amplíe el nivel de detalle en función de las necesidades del negocio.
En ocasiones las organizaciones incurren en el error de plantear un análisis estático con un principio y un fin, al que no se le da continuidad en el futuro y donde se intenta analizar de golpe el todo. La clave en mi opinión, a la hora de abordar un proyecto de este tipo, es plantear el análisis en fases, en modo dinámico de gestión continua de tratamiento de riesgos, en la cual en las diferentes iteraciones del estudio se vayan incorporando nuevos servicios, aumentando el catálogo de amenazas, contando con nuevas salvaguardas. La gestión de riesgos consistirá en ir viendo cómo evoluciona el riesgo en cada iteración, implantando controles, actualizando el escenario tecnológico, garantizando que se toman decisiones para mitigar, transferir o asumir el riesgo hasta los niveles que la Alta Dirección considera como “aceptables”.
En cuanto al tiempo, depende del alcance del análisis y del nivel de detalle, yo he hecho análisis en 10 días y otros de hasta 3 meses.
En cualquier caso mi consejo para organizaciones que inician este tipo de proyectos es empezar por 2 o 3 servicios críticos para luego ampliar en posteriores iteraciones.
Espero haberte ayudado.
Un saludo.
Publicar un comentario