La Gestión de riesgos ¿para qué?

En la actualidad la revisión de algunas de las normas sobre riesgos, en particular las normas ISO, está incorporando nuevos conceptos más generales que los tradicionales, definiendo el riesgo como «incertidumbre en la consecución de los objetivos».

Conceptos acerca de gestión de riesgos

Además de la definición se indican los cambios para cada término afectado.

Activo

Cualquier recurso de la empresa necesario para desempeñar las actividades diarias y cuya no disponibilidad o deterioro supone un agravio o coste.

  • La naturaleza de los activos dependerá de la empresa, pero su protección es el fin último de la gestión de riesgos.
  • La valoración de los activos es importante para la evaluación de la magnitud del riesgo.
  • Los activos son fuente de riesgos, por la actividad que se realiza con ellos

Amenaza

Circunstancia desfavorable que puede ocurrir y que cuando sucede tiene consecuencias negativas sobre los activos provocando su indisponibilidad, funcionamiento incorrecto o pérdida de valor.

Vulnerabilidad

Debilidad que presentan los activos y que facilita la materialización de las amenazas.

  • Impacto o consecuencia de la materialización de una amenaza sobre un activo aprovechando una vulnerabilidad.
  • El impacto se suele estimar en porcentaje de degradación que afecta al valor del activo, el 100% sería la pérdida total del activo.

Probabilidad

Es la posibilidad de ocurrencia de un hecho, suceso o acontecimiento.

  • La frecuencia de ocurrencia implícita se corresponde con la amenaza.
  • Para estimar la frecuencia podemos basarnos en datos empíricos (datos objetivos) del histórico de la empresa, o en opiniones de expertos o del empresario (datos subjetivos). (suceso en lugar de a una amenaza).

Relaciones entre estos conceptos

Activo, amenaza, vulnerabilidad e impacto.

¿Cómo se mide el nivel de riesgo?

El impacto nos indica las consecuencias de la materialización de una amenaza. El nivel de riesgo es una estimación de lo que puede ocurrir y se valora, de forma cuantitativa, como el producto del impacto, (consecuencia), asociado a una amenaza (suceso), por la probabilidad de la misma.

El impacto, y por tanto el riesgo, se valoran en términos del coste derivado del valor de los activos afectados considerando, además de los daños producidos en el propio activo:

  • Daños personales,
  • Pérdidas financieras,
  • Interrupción del servicio,
  • Pérdida de imagen y reputación.

Disminución del rendimiento

Si bien es posible, y en ocasiones necesario, realizar un análisis cualitativo, trabajar con magnitudes económicas facilita a las organizaciones establecer el llamado umbral de riesgo, también llamado «apetito al riesgo»: el nivel máximo de riesgo que la empresa está dispuesta o «se atreve» a soportar.

La gestión de riesgos debe mantener el nivel de riesgo siempre por debajo del umbral.

Costo de protección

Por otro lado, se denomina costo de protección al costo que supone para las organizaciones los recursos y esfuerzos que dedican para mantener el nivel de riesgo por debajo del umbral deseado.

Las organizaciones deben vigilar de no emplear más recursos de los necesarios para cumplir ese objetivo.

En la siguiente gráfica podemos ver como ambos conceptos, riesgo y coste de protección, se relacionan.

Coste de equilibrio

El punto en el que el costo de protección es el adecuado para mantener los riesgos por debajo del umbral fijado de riesgo es el coste de equilibrio. Este punto dependerá del umbral de riesgo de acuerdo con los objetivos de la empresa.

¿Qué hacer con los riesgos?

Las actividades cuyo objetivo es mantener el riesgo por debajo del umbral fijado se engloban en lo que se denomina Gestión del riesgo. Las organizaciones que decidan gestionar el riesgo para su actividad deberán realizar dos grandes tareas:

Análisis de riesgo

Que consiste en averiguar el nivel de riesgo que la empresa está soportando. Para ello, tradicionalmente las metodologías proponen que se realice un inventario de activos, se determinen las amenazas, las probabilidades de que ocurran y los posibles impactos.

Tratamiento de los riesgos

Para aquellos riesgos cuyo nivel está por encima del umbral deseado la empresa debe decidir cuál es el mejor tratamiento que permita disminuirlos.

Esta decisión siempre ha de pasar un filtro económico donde el coste del tratamiento, o coste de protección, no supere el coste de riesgo disminuido.

Evitar o eliminar el riesgo

Por ejemplo, sustituyendo el activo por otro que no se vea afectado por la amenaza o eliminando la actividad que lo produce.

Reducirlo o mitigarlo

Tomando las medidas oportunas para que el nivel de riesgo se sitúe por debajo del umbral.

Gestión de riesgos

¿Cómo se mitiga el riesgo?

Mitigación del riesgo

El análisis de riesgos debe ser realizado de forma metódica impidiendo omisiones, improvisaciones o posibles criterios arbitrarios.

Opciones del tratamiento de riesgo

Principios

Estos son los principios básicos que debe cumplir la gestión de riesgos si queremos que cumpla su cometido:

Principios básicos que debe cumplir la gestión de riesgos

Compromiso de la dirección es básico

Como en toda actividad, el compromiso de la dirección es básico para llevarla a cabo con éxito. 

En la gestión de riesgos no es diferente, ha de estar plenamente integrada en los procesos de la empresa y requiere un compromiso fuerte y sostenido de la dirección, así como del establecimiento de una rigurosa planificación estratégica, un marco de trabajo.

Este «marco de trabajo» ha de ser objeto de seguimiento y revisión periódica que permitan medir el progreso y adaptarse a los cambios del entorno, tomando las decisiones oportunas para la mejora continua.

Para conseguir una buena gestión del riesgo el marco de trabajo definido debe:

Gestión del riesgo el marco de trabajo definido

Este marco de trabajo se implementará definiendo un calendario y estrategia de implementación y revisión que permita:

  • Establecer y desarrollar los objetivos
  • Aplicar la política y el proceso
  • Cumplir con la legislación y normativa
  • Organizar la formación y la comunicación y consulta a los interesados.

Política de gestión de riesgos

El establecimiento de una política de gestión de riesgos en la que se indiquen con claridad los objetivos y se materialice el compromiso de toda la empresa va a ser clave para una gestión de riesgos eficaz.

La política tratará estas cuestiones:

Motivos para llevar a cabo la gestión de riesgos

  • Relación con otras políticas de la empresa
  • Responsabilidades y rendición de cuentas en el proceso de gestión de riesgos
  • Recursos disponibles
  • Medición del desempeño
  • Compromiso de revisión del marco de trabajo y de la política.

Comunicación y consulta

Esta actividad es la primera y abarca todas las siguientes pues se ha de realizar en todas las etapas.

En ella se fomenta la participación y se coordinan las actuaciones de todas las partes implicadas, tanto internas como externas, en la gestión de riesgos.

Determinar el contexto

Es esencial que la gestión de riesgos se integre tanto con el resto de áreas de la empresa como con su entorno externo. Por tanto, hay que determinar los condicionantes tanto internos como externos que definen el marco de trabajo.

A nivel interno se tendrán en cuenta: la cultura, recursos, procesos y objetivos del negocio. A nivel externo se consideran diferentes aspectos relativos al entorno social, económico o legislativo.

Como resultado de esta fase se establecen:

  • Los objetivos de la gestión de riesgo,
  • Los criterios que se emplearán para la evaluación de los riesgos, el método a utilizar en el establecimiento de probabilidades, así como las magnitudes de los impactos,
  • el alcance de la gestión de riesgos, los roles y la asignación de responsabilidades.

Valoración o apreciación de riesgos

Una vez definido el contexto se han de valorar los riesgos. En esta etapa se determinan los riesgos que van a ser controlados por medio de su identificación, análisis y evaluación. Todos aquellos riesgos que no sean identificados quedarán como riesgos ocultos o no controlados.

Se realizan en esta fase las siguientes actividades:

  • Identificación del riesgo, cuyo objetivo es búsqueda, reconocimiento y descripción de todos los posibles puntos de peligro tanto internos como externos; para cada uno de ellos se determinará su impacto y probabilidad.
  • Preguntas para la identificación del riesgo:
    • ¿Qué puede pasar?
    • ¿Cuándo y dónde?
    • ¿Cómo y por qué?

Análisis del riesgo

Es la etapa en la cual se califican cada uno de los riesgos identificados tanto de forma cuantitativa (valorando su impacto) como cualitativa (importancia relativa) para priorizar nuestros esfuerzos de forma no arbitraria.

En esta actividad también se persigue comprender cómo se desarrollan los riesgos, estudiando sus causas y consecuencias, así como evaluando la eficacia de los diferentes medios de control implantados en la empresa.

Se mide el nivel de riesgo según la fórmula Riesgo = Impacto x Probabilidad, valorando las consecuencias y la probabilidad de cada riesgo.

Evaluación del riesgo

Cuyo objetivo es determinar prioridades en el uso de los recursos a emplear en la gestión de riesgos. En esta fase se amplía la calificación del análisis anterior incluyendo valoraciones en términos de estrategia de negocio que permitan establecer qué riesgos son aceptables y cuáles no.

Tratamiento del riesgo

A continuación, se identifican y evalúan las opciones existentes de tratamiento de cada uno de los riesgos que sea necesario tratar según se determinó en la fase anterior. Algunas de las opciones de tratamiento son, como vimos en apartados anteriores (apartado de riesgos): evitarlo, reducirlo o mitigarlo, transferirlo o compartirlo y aceptarlo.

Seguimiento y revisión

Para conseguir una mejora continua se supervisa «lo que está ocurriendo» en la práctica y se realizan las correcciones que fuera preciso. También se ha de evaluar el propio sistema de gestión, detectando posibles deficiencias y oportunidades de mejora.

La revisión de los cambios del entorno está incluida en esta etapa, realimentando la fase de determinación del contexto.

Gestión de riesgos de seguridad de la información

En la sociedad actual, inmersa en la llamada revolución digital, las compañías son conscientes del protagonismo de la información en sus procesos productivos.

Esta revolución ha cambiado también las relaciones con clientes, proveedores, organismos oficiales, donde Internet juega un importante papel como medio de comunicación. Este medio, por su naturaleza libre y de bajo coste, ha permitido interconectar a las personas y a las empresas entre sí rompiendo las barreras geográficas y habilitando en gran medida la llamada globalización de la economía y de la sociedad.

Las empresas acostumbradas a dedicar recursos para gestionar los riesgos de sus procesos productivos, deben también preocuparse y asignar recursos para la gestión de los riesgos asociados a su información y a las infraestructuras que la soportan.

Conceptos

En términos de gestión de riesgos de seguridad de la información, el activo a proteger es la información de la compañía. Hablamos tanto de información «digital» contenida en nuestros sistemas de información como aquella contenida en cualquier otro soporte como por ejemplo el papel.

También tenemos que tener presente que la gestión debe ocuparse de todo el ciclo de vida de la información y no sólo de su explotación, considerando etapas como la de captura o destrucción de la información.

La información es el activo principal pero también infraestructura informática, equipos auxiliares, redes instalaciones y personas.

Cuando hablamos de seguridad de la información hablamos de protegerla de riesgos que puedan afectar a una o varias de sus tres principales propiedades:

Confidencialidad

La información solo tiene que ser accesible o divulgada a aquellos que están autorizados.

Integridad

La información debe permanecer correcta (integridad de datos) y como el emisor la originó (integridad de fuente) sin manipulaciones por terceros.

Disponibilidad

La información debe estar siempre accesible para aquellos que estén autorizados.

Amenazas

Las amenazas a las que se enfrenta la información de nuestras organizaciones pueden ser muy variadas, a modo de ejemplo:

De origen natural

Inundaciones, terremotos, incendios, rayos fallos de la infraestructura auxiliar: fallos de suministro eléctrico, refrigeración, contaminación

Fallos de los sistemas informáticos y de comunicaciones

Fallos en las aplicaciones, hardware o equipos de transmisiones Error humano: errores accidentales o deliberados de las personas que interactúan con la información.

Acciones no autorizadas

Como uso de software o hardware no autorizados o funcionamiento incorrecto por abuso o robo de derechos de acceso o errores en el uso, falta de disponibilidad, etc. O información comprometida por robo de equipos

Vulnerabilidades

Las vulnerabilidades frente a las cuales se debe proteger a los sistemas de información y a la información que tratan, dependen en gran medida de la naturaleza de los mismos; podemos decir que es un factor intrínseco a nuestros activos. Estas pueden depender del hardware, del software, las redes, el personal, el edificio o las infraestructuras o la organización:

  • Equipamiento informático susceptible a humedad Variaciones de temperatura
  • Sistemas operativos que por su estructura, configuración o mantenimiento son más vulnerables a algunos ataques.
  • Localizaciones que son más propensas a desastres naturales como por ejemplo inundaciones o que están en lugares con variaciones de suministro eléctrico.

¿Qué hacer con los riesgos?

Ahora debemos elegir qué hacer con cada uno de ellos en virtud de su valoración y de los criterios establecidos. Es decir, tendremos que situar la «línea roja» de nuestro umbral o nivel de tolerancia al riesgo.

En esta fase se seleccionarán la opción de tratamiento adecuada (evitar, reducir o mitigar, transferir o aceptar) para cada uno de los riesgos de la lista. Para elegir las opciones, o una combinación de ellas, se considerará no sólo la valoración obtenida para cada riesgo sino también el costo del tratamiento. Por ejemplo será mejor evitar algún riesgo que mitigarlo si el costo es muy alto. Se preferirán las opciones que aporten una reducción considerable del riesgo de la forma más económica. El nivel de tolerancia de riesgo se establece en base a criterios de costo-beneficio.

Monitorizando los riesgos de seguridad de la información

Periódicamente se revisará el valor de los activos, impactos, amenazas, vulnerabilidades y probabilidades en busca de posibles cambios.

Los riesgos no son estáticos y pueden cambiar de forma radical sin previo aviso. Por ello es necesaria una supervisión continua que detecte:

Nuevos activos o modificaciones en el valor de los activos, nuevas amenazas, cambios o aparición de nuevas vulnerabilidades, aumento de las consecuencias o impactos, incidentes de seguridad de la información. Monitorizando los riesgos de seguridad de la información

•Como resultado de la gestión de riesgos tenemos identificados los riesgos y su forma de tratarlos. Este es un buen punto de partida para gestionar la seguridad de la información en la empresa de forma amplia, planificando las distintas actuaciones de forma que estén organizadas en el tiempo y alineadas con la estrategia del negocio.

•En un plan de seguridad de información se definen y priorizan, basados en una evaluación de riesgos, los proyectos que se hayan de implantar para reducir los riesgos a que está expuesta la empresa.

Conclusión

La gestión de riesgos es fundamental para las empresas; les permite conocer sus fortalezas, debilidades, riesgos y oportunidades.

Así también cuantificar estas características reviste gran importancia para monitorizar y calificar los riesgos a los cuales se enfrentan las empresas.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *