Guía sobre cómo conducir un análisis de gestión del riesgo


Con esta guía de análisis de gestión del riesgo, proporcionamos instrucciones paso a paso para realizar un análisis de riesgos.

Un análisis de gestión del riesgo ayuda a integrar los objetivos del programa de seguridad con los objetivos y requisitos comerciales de la empresa.

Cuanto más alineados estén los objetivos comerciales y de seguridad, más exitosos serán los dos. El análisis también ayuda a la compañía a elaborar un presupuesto adecuado para un programa de seguridad y sus componentes de seguridad constituyentes.

El análisis de riesgos, que es una herramienta para la gestión de riesgos, es un método para identificar vulnerabilidades y amenazas, y evaluar el posible daño para determinar dónde implementar salvaguardas de seguridad.

 

El análisis de riesgos ayuda a las empresas a priorizar sus riesgos y muestra a la gerencia la cantidad de dinero que se debe aplicar para protegerse contra esos riesgos de manera sensata.


Un análisis de riesgos tiene cuatro objetivos principales:


  • Identificar activos y sus valores.
  • Identificar vulnerabilidades y amenazas.
  • Cuantifique la probabilidad y el impacto comercial de estas amenazas potenciales.
  • Proporcionar un equilibrio económico entre el impacto de la amenaza y el costo de la contramedida.

El proceso de conducir un análisis de riesgo es muy similar a identificar un nivel de riesgo aceptable. Esencialmente, se trata de hacer un análisis de riesgos en la organización como un todo para determinar el nivel de riesgo aceptable.


Paso uno: identifica los activos y sus valores

El valor asignado a los activos (incluida la información) es relativo a las partes involucradas, qué trabajo se requería para desarrollarlo, cuánto cuesta mantener, qué daño se produciría si se perdiera o destruyera, y qué beneficio obtendría otro si era para obtenerlo.


Si una empresa no conoce el valor de la información y los demás activos que intenta proteger, no sabe cuánto dinero y tiempo debe dedicar a su protección.


Comprender el valor de un activo es el primer paso para comprender qué mecanismos de seguridad se deben implementar y qué fondos se deben destinar a su protección. Una pregunta muy importante es cuánto le podría costar a la compañía no proteger el activo.

Debes saberlo: Así gestionamos el riesgo de Dulces La Americana.


Paso dos: identifica vulnerabilidades y amenazas

Dado que existe una gran cantidad de vulnerabilidades y amenazas que pueden afectar a los diferentes activos, es importante poder categorizarlos adecuadamente.


El objetivo es determinar qué amenazas y vulnerabilidades pueden causar el mayor daño para que los elementos más críticos puedan ser atendidos primero.


Paso tres: cuantifique la probabilidad y el impacto comercial de estas amenazas potenciales

El equipo que realiza la evaluación de riesgos debe determinar el impacto comercial para las amenazas identificadas.

Para estimar las pérdidas potenciales planteadas por las amenazas, responda las siguientes preguntas:


  • ¿Qué daño físico podría causar la amenaza y cuánto costaría?
  • ¿Cuánta pérdida de productividad podría causar la amenaza y cuánto costaría?
  • ¿Cuál es el valor perdido si se revela información confidencial?
  • ¿Cuál es el costo de recuperarse de un ataque de virus?
  • ¿Cuál es el costo de recuperarse de un ataque de piratas informáticos?
  • ¿Cuál es el valor perdido si los dispositivos críticos fallaran?

Esta es solo una pequeña lista de preguntas que deben ser respondidas. Las preguntas específicas dependerán de los tipos de amenazas que el equipo descubra.


Luego, el equipo necesita calcular la probabilidad y frecuencia de las vulnerabilidades identificadas que se explotan.


Paso cuatro: identificar las contramedidas y determinar el costo / beneficio

Luego, el equipo necesita identificar contramedidas y soluciones para reducir los daños potenciales de las amenazas identificadas.

Una contramedida de seguridad debe tener un buen sentido comercial, lo que significa que es rentable y que sus beneficios superan a su costo. Esto requiere otro tipo de análisis: un análisis de costo / beneficio.

Este informe se presenta a la alta gerencia, que se ocupará de posibles pérdidas monetarias y los costos necesarios para mitigar estos riesgos. Aunque los informes deben ser lo más detallados posible, debe haber resúmenes ejecutivos para que la alta dirección pueda comprender rápidamente los hallazgos generales del análisis.

¿Crees que necesitas ayuda adicional? Lee: ¿Cómo funciona un plan de gestión de riesgos?

 

¿Crees que después de leer este artículo necesitas guía? Descarga nuestra guía para saber cómo te ayudamos a que estos riesgos no te sucedan a ti.

Gestión del riesgo en Colombia

 



 

Gestión del riesgo Colombia

Artículos recientes

Nuevo llamado a la acción