Análisis y gestión de riesgos IT. Equilibrio entre ambas actividades

El Instituto SANS ha realizado una encuesta del estado de la seguridad de la información 2017 a 214 profesionales de IT que concluye la necesidad de encontrar un equilibrio entre rapidez en la gestión de los riesgos IT, y su análisis y detección previa.

¿Cómo se ve la seguridad de la información en un mundo en cambio continuo? ¿Cómo pueden los equipos de seguridad comprender y gestionar los riesgos IT? ¿Qué procedimientos de seguridad, herramientas y prácticas funcionan mejor? ¿Puede usarse un enfoque ágil para mejorar la gestión de la seguridad? Éstas son las preguntas a las que trata de responder este estudio.

Las organizaciones que gestionan sus riesgos IT y de otro tipo de forma eficaz tienen más posibilidades de protegerse y tener éxito.

La ISO 31000 es la norma internacional para el análisis y gestión de riesgos.

Mediante la implantación de los principios y guía de la norma ISO 31000 una organización podrá mejorar su eficacia operativa, su gobernanza y la confianza de las partes interesadas (clientes, personas, proveedores, propietarios y Sociedad), al mismo tiempo que minimiza cualquier posible pérdida. Esta norma internacional también ayuda a fomentar el desempeño de la continuidad de negocio, establecer una base sólida para la toma de decisiones y fomentar una gestión proactiva en todas las áreas.

Aunque como en cualquier campo de conocimiento existen diferentes definiciones, la gestión del riesgo se puede definir como un proceso estructurado y secuencial, de identificación, análisis y cuantificación de las probabilidades de ocurrencia de una determinada amenaza, cuya materialización provoca pérdidas o deterioros, además de efectos secundarios.

La gestión del riesgo comprende las acciones preventivas, correctivas y mitigadoras correspondientes, que se deben utilizar para eliminar o controlar la amenaza o para disminuir los efectos negativos que se encuentran materializados.

El análisis y gestión de riesgos debe cubrir las siguientes actividades:

  • Establecer el contexto estratégico
  • Identificar los riesgos
  • Analizar el riesgo
  • Valoración de los riesgos
  • Políticas de administración de riesgos
  • Monitorización y revisión

Haga click, si desea información del análisis y gestión de riesgos según ISO 31000.

Sobre el Autor: