gestión de riesgo

¿Cuáles son las metodologías para la gestión de riesgo?

gestión de riesgo

Gestión de riesgo

Hoy en día la gestión de riesgos, es necesario que se inserte dentro del proceso conocido como control interno. El control interno es un concepto conocido que ha carecido por mucho tiempo el marco referencial común. Los sistemas de control interno limitan todas las actividades de las áreas de contabilidad y finanzas que no tienen unas relaciones establecidas, no se considera el control interno como un instrumento de gestión capaz de conseguir la eficiencia y eficacia de todas las operaciones que se realizan.

Es necesario realizar una gestión de riesgo eficiente, ya que constituye hoy en día una preocupación de la gerencia. La gestión de riesgos se facilita cuando las organizaciones llevan a cabo sus actividades a base de sistemas de control interno que se encuentren acordes con las exigencias actuales.

Metodologías de gestión de riesgo

Se define el riesgo como la estimación del grado de exposición en el que una amenaza se materializa sobre uno o más activos generando daños o perjuicios en la empresa.

El riesgo indica lo que le podría pasar a los activos sino se protegen de forma adecuada. Es muy importante saber qué características son de interés para cada activo, además es necesario saber en qué medida las características se encuentran en peligro, es decir, analizar el sistema.

El análisis de riesgos se define como un proceso sistemático para estimar la magnitud de los riesgos a los que se encuentran expuestos una empresa.

La gestión de riesgo es la selección e implementación de salvaguardar para conocer, prevenir, impedir, reducir o controlar todos los riesgos que han sido identificados.

El análisis y gestión de riesgos en su contexto

Las tareas de análisis y gestión de riesgo no son un fin en sí mismas sino que se encajan en las actividades continuas de gestión de la seguridad.

El análisis de riesgos permite determinar cómo es, cuánto vale y cómo de protegidos se encuentran todos los activos. En coordinación con los objetivos, la estrategia y la política de la empresa, las actividades de gestión de riesgos permiten elaborar un plan de seguridad que, implantando y operando, satisfaga todos los objetivos propuestos con el nivel de riesgo que se acepta por la dirección.

Para la implementación de todos los controles de seguridad, es necesario que una empresa sea gestionada y que también se encuentre informado el personal que trabaja con el sistema de información. Este personal es responsable de la operación diaria, de la reacción ante incidencias y la monitorización en general del sistema para determinar si satisface con eficiencia y eficacia los objetivos propuestos.

El análisis de riesgos se define como un proceso sistemático para estimar los #riesgos

Click To Tweet

El esquema de trabajo tiene que ser repetitivo, ya que los sistemas de información rara vez son inmutables, se encuentran sometidos a la evolución continua, ya sea propia como el entorno, lo que exige una revisión periódica en la que se aprende de la experiencia y se adapta al nuevo contexto.

El análisis de riesgos proporciona un modelo del sistema en términos de activos, amenazas y salvaguardas, y es la piedra angular para controlar todas las actividades con fundamento. La gestión de riesgos es la estructuración de las diferentes acciones de seguridad para satisfacer las necesidades detectadas por el análisis.

Incidencias y recuperación

Todas las personas involucradas tienen que ser conscientes de su papel y su relevancia continua para prevenir problemas y reaccionar cuando se produzcan. Es muy importante generar una cultura de responsabilidad donde los potenciales problemas, detectados por los que se encuentran cercanos a los activos afectados, puedan ser canalizados hacia los puntos de decisión. De esta manera el sistema de salvaguardas responderá según la realidad.

En el momento que se produce una incidencia, el tiempo comienza a correr en contra del sistema, su supervivencia depende de la corrección de las actividades de reporte y reacción. Es posible que suceda un error, una imprecisión o ambigüedad en estos momentos críticos, por lo que se amplifica convirtiendo lo que podía ser un mero incidente en un desastre.

De los éxitos y los fracasos es necesario aprender para incorporarlo al proceso de análisis y gestión de riesgo. La madurez de una empresa se refleja en la pulcritud y en el realismo de su modelo de valor, además de la idoneidad de las salvaguardas en todo tipo desde que se producen medidas técnicas hasta una óptima organización.

OCTAVE

La realización de una evaluación efectiva de riesgos en la seguridad de la información se considera tanto en los temas organizacionales como en los técnicos, por lo que es necesario examinar cómo la gente emplea la infraestructura de forma diaria. La evaluación es de vital importancia para cualquier iniciativa de mejora en seguridad, por esto se genera un visión a lo ancho de la empresa de los riesgos de seguridad de la información, se provee de una base para mejorar.

Para que las organizaciones comprendan cuáles son las necesidades de seguridad de la información, OCTAVE es una técnica de planificación y consultoría estratégica en seguridad basada en el riesgo.

El objetivo de OCTAVE es el riesgo organizacional y el foco son los temas relativos a la estrategia y a la práctica.

Cuando se aplica OCTAVE, un pequeño equipo de gente desde los sectores operativos o de negocios hasta los departamentos de tecnología de la información, trabajan juntos dirigidos a las necesidades de seguridad, balanceando tres aspectos:

  • Riesgos operativos
  • Prácticas de seguridad
  • Tecnología

Automatiza la gestión de riesgos con ISOTools

Identificar, analizar y evaluar los posibles riesgos que pueden poner en peligro la salud de los ciudadanos en general, y buscar y poner en marcha medidas preventivas y corrctivas que minimicen la aparición de estos riesgos, es más eficaz si se cuenta con los recursos apropiados.

ISOTools es una herramienta  que optimiza los sistemas de gestión basados en la normativa ISO, como la norma ISO 9001 o la norma ISO 31000 de Gestión de Riesgos. Además, está diseñada para mejorar los procesos e integra funcionalidades que facilitan la identificación y prevención de los riesgos.

NEWSLETTER sidebar BLOG
Suscríbete al newsletter

Recibe semanalmente artículos y recursos exclusivos que te ayudarán en la gestión de tu organización

CTA SIDEBAR OHSAS
E-book gratuito: OHSAS 18001

¿Desea saber más?

Entradas relacionadas

IATF 16949 2016
IATF 16949:2016 Sistemas de Gestión de la Calidad en la Industria del Automóvil
28 diciembre, 2017

IATF 16949:2016 La IATF 16949:2016 es la norma de Sistemas de Gestión de Calidad (SGC) específica para la…

Ver más
Normas ISO
Comité Mexicano para atender a las normas ISO
21 diciembre, 2017

Normas ISO La ISO (Organización Internacional para la Estandarización) es una organización no gubernamental independiente y el mayor…

Ver más
ISO 9001
ISO 9001 ¿Por qué automatizar un Sistema de Gestión de Calidad?
14 diciembre, 2017

ISO 9001 Las empresas que desean automatizar la gestión de la calidad ISO 9001, deben tener en cuenta…

Ver más
OHSAS 18001
OHSAS 18001 ¿Cómo se puede cumplir con los requisitos que establece la norma?
7 diciembre, 2017

OHSAS 18001 En los diferentes negocios se establece que la obtención de la certificación en OHSAS 18001 puede…

Ver más
Volver arriba