Introducción a la gestión de riesgos
En el siguiente artículo se podrá observar la importancia de la gestión de riesgos de seguridad de la información en una organización e integrar esta gestión del riesgos a la gestión integral de la empresa. Para poder minimizar el riesgo en una empresa es importante primeramente realizar una evaluación, estudiar el impacto y tratar con el riesgo, todo con la finalidad de que la empresa continúe a través del tiempo.
En los proyectos empresariales se utilizan diversas métricas para evaluar la situación actual de la empresa y poder realizar una proyección a futuro, métricas administrativas, de marketing, cuadrantes FODA y muchas más, aquí entra en acción el análisis de riesgos general de la empresa para asegurar que la empresa sobreviva a través del tiempo. Al ser la información uno de los activos más valiosos de las empresas del sigo XXI, la gestión de riesgos de la información es fundamental que se integre a la gestión de riesgos integral de la empresa.
En el siguiente artículo se podrá visualizar de manera general que es la gestión de riesgos, la importancia de integrar esta práctica en las empresas y el impacto que un riesgo no tratado pudiera ocasionar en caso de llegar a convertirse en un incidente (incidente es cuando un riesgo es materializa).
Importancia de la gestión de riesgos para las organizaciones
Antes de desarrollar el tema es necesario definir lo que es un riesgo, según la UNE-ISO-3100 (2018, Cap. 3 .1) “Riesgo: Efecto de la incertidumbre sobre los objetivos”, por lo tanto, podemos definir que el riesgo informático es la probabilidad de un evento que puede causar un impacto en la continuidad de la empresa. Es imposible que en la actividad empresarial como cualquier otra actividad humana no exista el riesgo, como tampoco un método que pueda eliminarlo por completo, pero, si es posible mantenerlo a un nivel que la empresa tenga la capacidad de asumir, a esto se le conoce como “apetito de riesgo”.
Uno de los objetivos principales de la empresa es mantenerse a través del tiempo, para poder cumplir con este cometido es necesario aplicar la gobernanza corporativa, según Consejo Coordinador Empresarial (2018, Cap. 3) “El gobierno corporativo es el sistema bajo el cual las sociedades son dirigidas y controladas”. Al ser la información uno de los activos más valiosos de las empresas, la gobernanza de tecnología de la información (TI) dentro de la cual forma parte la gestión de la seguridad de la información debe de tener el mismo objetivo del gobierno corporativo, el cual está acorde con la misión y visión de la empresa.
En el área de TI, el activo principal es la información y su ciclo de vida, por lo tanto, la seguridad informática refiere a la protección de la información y los dispositivos que la procesan, transmiten y almacenan. Para poder lograr esta práctica primeramente es importante realizar un análisis y posteriormente la gestión del riesgo, con la finalidad de identificar, clasificar, tratar y proteger los activos informáticos y el ciclo de vida de la información.
La seguridad informática tiene 3 pilares fundamentales: Confidencialidad, Integridad, Disponibilidad. Aunque los 3 conceptos son muy importantes para la empresa, dependiendo cada caso particular posiblemente uno de ellos tenga aún más importancia que los otros 2, por lo tanto, este pilar crítico tendrá mayor énfasis al momento de aplicar políticas y controles para gestionar el riesgo que impacte directamente en él.
La gestión de riesgos de la información permite crear un escenario para cada uno de los activos enumerando diferentes tipos de amenazas y posibles riesgos, evaluando su probabilidad y cuantificando de manera monetaria el impacto que este pudiera generar en la empresa en caso de que el riesgo se materialice en un evento. De esta manera el gobierno empresarial y de TI podrá tomar la decisión adecuada para cada uno de los escenarios, ya sea para aceptar, transferir o tratar el riesgo aplicando controles o salvaguardas para minimizarlo.
La seguridad de la información es una práctica iterativa que requiere personal capacitado que pueda estar realizando análisis de manera persistente, ya que los ataques informáticos crecen cada día y son más sofisticados. En algunos casos los controles aplicados pueden ser obsoletos en tiempo muy corto, por lo tanto, es necesario que el gobierno de TI haga énfasis en la importancia de estas prácticas en la empresa de manera continua.
Cuando la empresa adquiere conciencia del impacto cuantitativo que puede generar en caso de que el riesgo se materialice podrá determinar un recurso para gestionar el riesgo de la información. Por lo tanto, es muy importante que el documento de gestión de riesgos sea claro y en un lenguaje que pueda ser entendido por una persona que no es especialista en la materia de TI. Si la empresa no tiene conciencia de la necesidad de tratar con el riesgo posiblemente no le de la importancia suficiente para poder aplicar políticas y salvaguardas para gestionarlo.
Cuando se adoptan referencias y principios de normas y modelos especializados en la gestión de riesgos como por ejemplo ISO, NIST, COSO, etc. Esta práctica puede llegar a ser muy efectiva siempre y cuando se implementen en todos los niveles de la empresa. Los principios básicos de la gestión de riesgos tienen como propósito la creación y protección del valor, los cuales son:
- Integrada: Debe formar parte de todos los procesos de la empresa
- Estructurada y exhaustiva: La aplicación sistemática y meticulosa nos arroja resultados fiables.
- Adaptada: Las políticas y principios de las normas y modelos especializados se adaptan a cualquier organización.
- Inclusiva: Involucra a todas las partes interesadas de la empresa involucrando a cada una de ellas en la participación.
- Dinámica: Los riesgos pueden cambiar o modificarse, por lo tanto, es necesario responder a los cambios que se puedan presentar.
- Mejor información disponible: Es necesaria toda la información tanto histórica como actual se encuentre a la mano, documentar de manera clara y oportuna.
- Factores humanos y culturales: Las personas y la cultura organizacional es un factor muy importante para aplicar la gestión de riesgos de forma efectiva.
- Mejora continua: Aprender y mejorar con el paso del tiempo para que la gestión del riesgo pueda ser cada vez más efectiva.
Concientización empresarial de la gestión de riesgos
Cuando una empresa toma conciencia de la necesidad de implementar una gestión de riesgos para salvaguardar la seguridad de la información, esta empresa aumenta su posibilidad de generar valor y sobrevivir a través del tiempo. La gestión de riesgos es una herramienta para dar luz ante los efectos de incertidumbre en los objetivos de la empresa.
La información es uno de los activos más valiosos de la empresa, por lo tanto, un evento o incidente de seguridad puede generar un impacto directo en la economía o continuidad del negocio. Es importante que se implementen medidas para gestionar el riesgo y poder minimizar el máximo posible el riesgo informático, y así, la empresa pueda lograr sus objetivos generales.
La seguridad de la información tiene como objetivo primordial la protección de la información, la gestión del riesgo nos permite conocer, “que”, “donde”, “como” y “cuando” aplicar las salvaguardas a los activos que forman parte del ciclo de vida de la información, tomando en cuenta en todo momento los principios de “confidencialidad”, “integridad” y “disponibilidad”.
Referencias
Committee of Sponsoring Organizations of the Treadway Commission. (2018). Gestión del riesgo empresarial. Aplicación de la gestión del riesgo empresarial a los riesgos. España: WBCSD.
Deloitte. (2018). Apetito al riesgo. Boletín de verano, 1-6.
Instituto Nacional de Ciberseguridad. (2016). Gestión de riesgos. Una guía de aproximación. España.
Normalización Española. (2018). UNE ISO 31000. Gestión del riesgo. España.
