Análisis y gestión de riesgos IT. Equilibrio entre ambas actividades
El Instituto SANS ha realizado una encuesta del estado de la seguridad de la información 2017 a 214 profesionales de IT que concluye la necesidad de encontrar un equilibrio entre rapidez en la gestión de los riesgos IT, y su análisis y detección previa.
¿Cómo se ve la seguridad de la información en un mundo en cambio continuo? ¿Cómo pueden los equipos de seguridad comprender y gestionar los riesgos IT? ¿Qué procedimientos de seguridad, herramientas y prácticas funcionan mejor? ¿Puede usarse un enfoque ágil para mejorar la gestión de la seguridad? Éstas son las preguntas a las que trata de responder este estudio.
Las organizaciones que gestionan sus riesgos IT y de otro tipo de forma eficaz tienen más posibilidades de protegerse y tener éxito.
La ISO 31000 es la norma internacional para el análisis y gestión de riesgos.
Mediante la implantación de los principios y guía de la norma ISO 31000 una organización podrá mejorar su eficacia operativa, su gobernanza y la confianza de las partes interesadas (clientes, personas, proveedores, propietarios y Sociedad), al mismo tiempo que minimiza cualquier posible pérdida. Esta norma internacional también ayuda a fomentar el desempeño de la continuidad de negocio, establecer una base sólida para la toma de decisiones y fomentar una gestión proactiva en todas las áreas.
Aunque como en cualquier campo de conocimiento existen diferentes definiciones, la gestión del riesgo se puede definir como un proceso estructurado y secuencial, de identificación, análisis y cuantificación de las probabilidades de ocurrencia de una determinada amenaza, cuya materialización provoca pérdidas o deterioros, además de efectos secundarios.
La gestión del riesgo comprende las acciones preventivas, correctivas y mitigadoras correspondientes, que se deben utilizar para eliminar o controlar la amenaza o para disminuir los efectos negativos que se encuentran materializados.
El análisis y gestión de riesgos debe cubrir las siguientes actividades:
- Establecer el contexto estratégico
- Identificar los riesgos
- Analizar el riesgo
- Valoración de los riesgos
- Políticas de administración de riesgos
- Monitorización y revisión
Haga click, si desea información del análisis y gestión de riesgos según ISO 31000.