Riesgo, gestión y análisis

Son muchas las metodologías utilizadas hoy en día para la gestión de riesgos, pero todas ella tienen algo en común, que es identificar los activos de información, es decir, todos aquellos recursos involucrados en la gestión de la información: datos, hardware, documentos escritos, recursos humanos, etc.

A partir del reconocimiento de estos activos, se puede identificar las vulnerabilidades, amenazas y riesgos del negocio asociados a ellos. 

• Riesgo. Se basa en la identificación de un incidente que puede llegar a irrumpir en el negocio y afectar el funcionamiento del mismo, lo que podría provocar pérdidas económicas, pérdidas de ventajas competitivas, daño a la imagen corporativa o marca, e incluso en algunas ocasiones, el cierre del negocio.
• Vulnerabilidad. Es una característica de un activo de información, que representa un riesgo para la seguridad de la información. Cuando una amenaza se materializa y existe una vulnerabilidad que pueda ser aprovechada, existe exposición a experimentar algún tipo de incidente.

Para que una organización pueda tomar la decisión sobre cómo actuar ante los diferentes riesgos, es necesario hacer una valoración del impacto para determinar cuáles son los más críticos y por consiguiente deben ser atendidos lo antes posible.

La medición del impacto puede realizarse en función de distintos factores:

1. Pérdida económica. Esto si es posible identificar el dinero que perdería el negocio.
2. Reputación del negocio. Depende si el riesgo puede afectar la imagen corporativa en el mercado.
3. Nivel de afectación. Se refiere al daño de la información

Por supuesto que existen muchos más factores, pero en este caso solo planteamos los más básicos para que puedas darte una idea de como funciona. 

¿Qué podemos hacer cuando existe un riesgo de seguridad?

Los riesgos pueden enfrentarse de distintas maneras, entre ellas las siguientes:

• Aceptarlo. Si no es suficientemente crítico para la organización, podemos aceptarlo, es decir, ser conscientes de que existe y realizar el monitoreo de él.
• Transferirlo o mitigarlo. Si es una amenaza importante, se puede tomar la decisión de transferirlo o mitigarlo. La primera opción se relaciona con tomar algún tipo de seguro que reduzca el monto de una pérdida. La segunda tiene que ver con la implementación de medidas preventivas o correctivas para reducir la posibilidad de ocurrencia.
• Evitarlo. Si el nivel de riesgo es demasiado alto para que la empresa lo asuma, puede optar por evitarlo, eliminando los activos de información o la actividad asociada.

Para concluir, la identificación de un riesgo depende de dos condiciones:

1. La existencia de una vulnerabilidad.
2. La existencia de una amenaza que puede tomar provecho de esa vulnerabilidad.

Es importante realizar esta actividad en las organizaciones, ya que podemos reducir el riesgo de sufrir un incidente que pueda poner en peligro el negocio.