En estos tiempos, es necesario que las empresas que procesan su información a través tecnologías de la información cuenten con una metodología de gestión de riesgos de tecnologías de la información, es ahí dónde nace la pregunta ¿Cuál es el primer paso?, veamos en primer lugar el tamaño de la empresa a la que le vamos a implementar la metodología y enteder el contexto de su giro de negocio. Posterior a ello, continuan estos pasos generales.

Construyengo una metodología

Todo lo que utilizamos en el día a día, como, aplicativos de la organización, equipos de cómputo, dispositivos móviles asignados, ambientes de trabajo, accesos, bases de datos, códigos fuentes, etc. que se encuentran directamente relacionados con los procesos core de negocio, deben ser considerados en una lista de activos de tu metodología de riesgos, dicha lista tendrá dos columnas, una con el puntaje de probabilidad que suceda este riesgo y otra con el impacto que ocasione dicho riesgo, se recomienda manejar una table de asignación de puntajes, es decir por ejemplo: 0 para poca probabilidad, 1 para probabilidad regular, 2 para muy probable. Al tener los parámetros de asignación de puntajes claro, se deberá establecer la fórmula que la empresa cree conveniente para decir que según un puntaje para el impacto el riesgo y puntaje para la probabilidad se considera un riesgo a tratar con urgencia. Profundizaremos en otro artículo las diversas fórmular que se pueden aplicar para ello.

Plan de tratamiento de riesgos

En este documento se deberá especificar un tratamiento a aplicar por cada riesgo detectado, los posibles tratamientos se sugiere asignarlo en base al siguiente orden: Reducir, Evitar, Aceptar y Transferir. Para reducir un riesgo podemos contar con controles ya especificados en marcos o normas referentes en la Gestión de Riesgos, tales como ITIL, ISO 27001, COBIT etc. Por ejemplo, reforzar una política de contraseñas seguras, documento de las operaciones de la empresa. Para evitar un riesgo hemos debido agotar toda opción de reducción de riesgo o evaluar el costo/beneficio de implementación de controles, por ejemplo, el área de producción tiene un cargo de Asistente de Producción que se encarga de mantener información confidencial de los accesos a los servidores, su jefe directo también gestiona los mismos accesos, por lo tanto para evitar que haya alguna vulnerabilidad latente por parte del asistente de producción con menor jerarquía, podría determinarse en la eliminación de gestión de acceso dentro de sus funcionalidades. Para aceptar un riesgo debemos asegurarnos que su impacto y probabilidad son muy bajos, por ejemplo los riesgos residuales como consecuencias de crisis económicas del país, nuevas leyes, etc. Para transferir es necesario saber si el riesgo no agravará más al derivarlo a otra persona (natural o jurídica) que no pertenece a la organiziación, generalmente a personas con mucha experiencia y sobretodo en relación a las primas de seguro.

Informe de evaluación de riesgos

Es importante informar a la alta dirección los riesgos encontrados y las sugerencias en los tipos de controles. Para ello el implementador de la metodología podrá utilizar sus propios formatos o regirse a los documentos que gestiona la organización. Generalmente en este documento deben especificarse datos como el objetivo, alcance y usuarios a los que está sujeto, continuamente se especifican las tareas que se aplicaron y documentos anexos que se hayan utilizado, como la lista de activos, puntajes asignados, etc.

Consejo audit

Las empresas cada vez más están sufriendo ciberataques, y uno de los primeros pasos para evitar ello es la gestión de riesgos que considere un inventario de activos, y análisis periódicos de ciberataques. En audit contamos con profesionales en implementar la norma ISO 27001 el cual contiene la consideración de una metodología de riesgos, muy importantes para empresas de estas épocas.