Existen varias formas de definir la gestión de riesgos, y quizá la más sencilla está vinculada a aquello que surge a partir de amenazas y vulnerabilidades presentes en la red corporativa. Según la Organización Internacional para la Estandarización (ISO, por sus siglas en inglés), puede definirse como un proceso dinámico, continuo y esencial para la buena administración de cualquier organización. De un modo más práctico, podemos afirmar que es la aplicación de sistemas, políticas, metodologías, procedimientos y buenas prácticas en la tarea de Identificar, analizar, evaluar, y monitorear posibles incidentes vinculados con la información, con el fin de alcanzar los objetivos del negocio.

Con esto en mente, a lo largo del post profundizaremos en algunos valiosos consejos para mejorar tu gestión de riesgos:

  • Determinar objetivos y poner prioridades claras

Esta acción es clave y esencial para el programa de gestión. Si bien en muchos casos se intentará mitigar todo riesgo, en la práctica, existe un espectro de impedimentos variables, como por ejemplo la limitación de recursos, que lo hará muy poco probable. Por este motivo, será necesario establecer un orden de prioridades en el programa de riesgo. Naturalmente hay riesgos que deberán aceptarse sin poder tratarse, algunos otros tendrán un tiempo para poder atenderse y por último habrá otros que deberían ser ejecutados con mayor urgencia. El resultado de esta ponderación deberá tener en cuenta variables tales como la posibilidad de que un riesgo se materialice y el impacto de ello.

  • Identificar y clasificar activos de la información

Es imposible determinar el alcance de un riesgo y, en consecuencia, priorizar la gestión que comentamos en el punto anterior si no existe un registro preciso de todos los activos de información. Si bien es una actividad engorrosa, es de vital importancia. Para realizarlo de un modo estructurado y eficiente se deberán tener en cuenta la criticidad que un riesgo representa para la organización. Tener en cuenta propietarios, sensibilidad y valor en el negocio, será valioso a la hora de identificar los activos. Para complementar, también es muy ventajosa la aplicación de políticas de la propiedad de los activos con el fin de fomentar la responsabilidad y compromiso sobre esta información.

  • Definir Responsables

Ante un evento imprevisto, perder el tiempo en designar a una autoridad o inclusive en la incertidumbre de no saber qué área debe actuar llevará a que el incidente genere un mayor impacto. En este sentido, una estructura organizacional bien definida en términos jerárquicos y la designación de responsables en cada una de las áreas, tendrán un impacto positivo en la capacidad de respuesta ante un incidente. Un programa exitoso requiere la integración de la gestión de riesgos dentro de todos los niveles de la organización.

  • Determinar la metodología

Si bien existen muchas metodologías con las cuales se puede evaluar, analizar y mitigar los riesgos, es necesario salirse del formato estándar y aplicarlas adecuadamente con el propósito de no entorpecer el negocio. Por tal motivo, el responsable del área de seguridad deberá ser el encargado de evaluar la disponibilidad de opciones, seleccionando las que mejor se puedan implementar en la organización. En este punto, es interesante destacar el uso de métricas efectivas que servirán para una mejor toma de decisiones.

Para finalizar es transcendental enfatizar sobre la necesidad de que el programa de gestión de riesgos este alineado adecuadamente con la estrategia y la dirección del negocio, por lo cual, la participación de todos los coordinadores en las unidades críticas del negocio también resulta muy importante.

 

Créditos Imagen: © Ivanacoi/pixabay.com