Identificación de riesgos

¿Cómo se identifican los riesgos? ¿Caminas por la calle vigilando el tráfico y buscando charcos en el suelo? ¿Quizás ha notado cables sueltos en su escritorio o agua en el piso de la oficina? Si ya está atento a los riesgos, se pondrá en contacto con otros profesionales de la seguridad que saben que es necesario profundizar para encontrar posibles problemas. 

En el mundo de la cibernética, la identificación de riesgos no es una actividad única. Es un proceso recurrente de identificar diferentes riesgos posibles, caracterizarlos y luego estimar su potencial para perturbar la organización.

Implica observar su empresa única y analizar su situación única. Los profesionales de la seguridad conocen los planes estratégicos, tácticos y operativos de su organización.

Conclusiones para recordar sobre la identificación de riesgos:

• Identificar el riesgo para comunicarlo con claridad.
• Los empleados de todos los niveles de la organización son responsables de identificar el riesgo.
• Identifique el riesgo para protegerse contra él.

Como profesional de la seguridad, es probable que ayude en la evaluación de riesgos a nivel de sistema, centrándose en el proceso, el control, la supervisión o la respuesta a incidentes y las actividades de recuperación. Si está trabajando con una organización más pequeña, o una que carece de algún tipo de plan y programa de gestión y mitigación de riesgos, es posible que tenga la oportunidad de ayudar a llenar ese vacío de planificación.

Evaluación de riesgos

La evaluación de riesgos se define como el proceso de identificar, estimar y priorizar los riesgos para las operaciones de una organización (incluida su misión, funciones, imagen y reputación), activos, individuos, otras organizaciones e incluso la nación. La evaluación de riesgos debe dar como resultado la alineación (o asociación) de cada riesgo identificado que resulte de la operación de un sistema de información con las metas, objetivos, activos o procesos que utiliza la organización, lo que a su vez se alinea con el logro de las metas y objetivos de la organización o apoya directamente su logro.

Una actividad común de evaluación de riesgos identifica el riesgo de incendio de un edificio. Si bien hay muchas maneras de mitigar ese riesgo, el objetivo principal de una evaluación de riesgos es estimar y priorizar. Por ejemplo, las alarmas de incendio son las de menor costo y pueden alertar al personal para que evacue y reducir el riesgo de lesiones personales, pero no evitarán que un incendio se propague o cause más daños. Los sistemas de rociadores no evitarán un incendio, pero pueden minimizar la cantidad de daño causado. Sin embargo, aunque los rociadores de un centro de datos limitan la propagación del fuego, es probable que destruyan todos los sistemas y datos que contienen. Un sistema a base de gas puede ser la mejor solución para proteger los sistemas, pero puede tener un costo prohibitivo. Una evaluación de riesgos puede priorizar estos elementos para que la gerencia determine el método de mitigación que mejor se adapte a los activos que se protegen.

El resultado del proceso de evaluación de riesgos a menudo se documenta como un informe o una presentación que se entrega a la gerencia para su uso en la priorización de los riesgos identificados. Este informe se proporciona a la gerencia para su revisión y aprobación. En algunos casos, la gerencia puede indicar la necesidad de una evaluación de riesgos más profunda o detallada realizada por recursos internos o externos.

Tratamiento de riesgos

El tratamiento del riesgo se relaciona con la toma de decisiones sobre las mejores acciones a tomar con respecto al riesgo identificado y priorizado. Las decisiones que se toman dependen de la actitud de la gerencia hacia el riesgo y de la disponibilidad —y el costo— de la mitigación del riesgo. Las opciones comúnmente utilizadas para responder al riesgo son:

Evitación: La evitación de riesgos es la decisión de intentar eliminar el riesgo por completo. Esto podría incluir el cese de la operación para algunas o todas las actividades de la organización que están expuestas a un riesgo particular. El liderazgo de la organización puede optar por evitar el riesgo cuando el impacto potencial de un riesgo determinado es demasiado alto o si la probabilidad de que el riesgo se materialice es simplemente demasiado grande.

Aceptación: La aceptación del riesgo es no tomar ninguna medida para reducir la probabilidad de que ocurra un riesgo. La gerencia puede optar por llevar a cabo la función de negocio que está asociada con el riesgo sin ninguna acción adicional por parte de la organización, ya sea porque el impacto o la probabilidad de ocurrencia es insignificante, o porque el beneficio es más que suficiente para compensar ese riesgo.

Mitigación: La mitigación de riesgos es el tipo más común de gestión de riesgos e incluye la adopción de medidas para prevenir o reducir la posibilidad de un evento de riesgo o su impacto. La mitigación puede implicar medidas correctivas o controles, como controles de seguridad, el establecimiento de políticas, procedimientos y estándares para minimizar el riesgo adverso. El riesgo no siempre se puede mitigar, pero siempre se deben implementar mitigaciones, como medidas de seguridad.

Transferencia: La transferencia de riesgo es la práctica de transferir el riesgo a otra parte, quien aceptará el impacto financiero del daño resultante de la realización de un riesgo a cambio de un pago. Por lo general, se trata de una póliza de seguro.

Prioridades de riesgo

Una vez identificados los riesgos, es el momento de priorizar y analizar los riesgos principales a través de un análisis cualitativo y/o cuantitativo de riesgos, lo cual es necesario para determinar la causa raíz y reducir los riesgos aparentes y los riesgos principales. Los profesionales de la seguridad trabajan con sus equipos para realizar análisis cualitativos y cuantitativos.

Comprender la misión general de la organización y las funciones que la respaldan ayuda a situar los riesgos en su contexto, determinar las causas raíz y priorizar la evaluación y el análisis de estos elementos. En la mayoría de los casos, la gerencia proporcionará instrucciones para utilizar los hallazgos de la evaluación de riesgos para determinar un conjunto priorizado de acciones de respuesta al riesgo.

Un método eficaz para priorizar el riesgo es utilizar una matriz de riesgos, que ayuda a identificar la prioridad como la intersección de la probabilidad de ocurrencia y el impacto. También proporciona al equipo un lenguaje común para utilizar con la dirección a la hora de determinar las prioridades finales. Por ejemplo, una probabilidad baja y un impacto bajo pueden dar lugar a una prioridad baja, mientras que un incidente con una alta probabilidad y un impacto alto dará lugar a una prioridad alta. La asignación de prioridad puede estar relacionada con las prioridades del negocio, el costo de mitigar un riesgo o el potencial de pérdida si ocurre un incidente.

Tolerancia al riesgo

La percepción que la gerencia tiene hacia el riesgo a menudo se compara con el apetito de la entidad por el riesgo. ¿Cuánto riesgo están dispuestos a asumir? ¿La gerencia da la bienvenida al riesgo o quiere evitarlo? El nivel de tolerancia al riesgo varía de una organización a otra, e incluso internamente: los diferentes departamentos pueden tener diferentes actitudes hacia lo que es un riesgo aceptable o inaceptable. Comprender la actitud de la organización y de la alta dirección hacia el riesgo suele ser el punto de partida para que la dirección actúe con respecto a los riesgos.

La gerencia ejecutiva y/o la Junta Directiva determinan cuál es un nivel aceptable de riesgo para la organización. Los profesionales de la seguridad tienen como objetivo mantener los niveles de riesgo dentro del límite de tolerancia al riesgo de la gerencia.

 A menudo, la tolerancia al riesgo está dictada por la ubicación geográfica. Por ejemplo, las empresas de Islandia planifican los riesgos que los volcanes cercanos imponen a su negocio. Las empresas que se encuentran fuera de la trayectoria proyectada de un flujo de lava tendrán un riesgo menor que las que se encuentran directamente en el flujo del camino. Del mismo modo, la probabilidad de que un corte de energía afecte al centro de datos es una amenaza real en todas las áreas del mundo. En áreas donde las tormentas eléctricas son comunes, los cortes de energía pueden ocurrir más de una vez al mes, mientras que otras áreas solo pueden experimentar uno o dos cortes de energía al año. Calcular el tiempo de inactividad que es probable que ocurra con diferentes duraciones de tiempo de inactividad ayudará a definir la tolerancia al riesgo de una empresa. Si una empresa tiene una baja tolerancia al riesgo de tiempo de inactividad, es más probable que invierta en un generador para alimentar sistemas críticos. Una empresa con una tolerancia aún menor para el tiempo de inactividad invertirá en múltiples generadores con múltiples fuentes de combustible para proporcionar un mayor nivel de seguridad de que la energía no fallará.

¡ESTAMOS AQUÍ PARA AYUDAR!

¡CLIC AQUÍ para una prueba de Dogma C3X en tu compañía totalmente gratis!

Dogma C3X es una Plataforma Inteligente de Consultoría de Negocios inspirada en el modelo de industria de las 3Cs, que ofrece una mirada estratégica a los pilares que toda empresa necesita para el éxito: Clientes – Compañía – Competidores. "Inteligente" porque mediante el uso de inteligencia artificial (IA) y aprendizaje automático (ML) puede recopilar, procesar y analizar el creciente tsunami de datos (estructurados y no estructurados) relacionados con las 3Cs, los cuales son increíblemente valiosos. Solo fortaleciendo, posicionando e integrando estos tres pilares (Clientes – Compañía – Competidores) podrás construir una ventaja competitiva sostenible.