viernes, 1 de julio de 2016

Niveles de abstracción en la gestión del riesgo en las Normas de alto nivel

La tendencia al alza es la realización de evaluaciones de riesgo. Todas las normas ISO de alto nivel (HLS) lo están estableciendo así, usando como marco la nueva ISO 31000. Comenzó por la ISO 22301 (Continuidad) y  la ISO 27001 (Seguridad de la Información); y ya sabemos que acaban de sumarse a este selecto club la ISO 9001 (Calidad),  la 14001 (Medioambiente) y en un futuro cercano la 45001 (Seguridad en el trabajo). 

Por: Beatriz Martínez Cándano

La pregunta que quiero trasladar aquí es ¿Cómo sabemos qué nivel de profundidad en la evaluación de riesgos es el suficiente?

Las evaluaciones del riesgo se pueden realizar con diferentes grados de abstracción. Los que venimos del mundo de la seguridad, estamos acostumbrados a llegar a nivel de activos, amenazas, vulnerabilidades… Pero lo que también sabemos es que este tipo de análisis de alto nivel habla un lenguaje demasiado profundo que, en ocasiones, no conecta con otras áreas de la empresa; esto hace que la tarea de analizar los riesgos y definir los umbrales de tratamiento sea compleja, mal comprendida y sus consecuencias, a veces, no respondan a la realidad del problema que se pretende atajar.

Y se trata entonces de un tremendo error y una gran pérdida de tiempo, puesto que, sin una comprensión de alto nivel de los riesgos, el Director General o el Presidente de una entidad no será capaz de proporcionar el necesario apoyo para su gestión y su alineación con los objetivos corporativos.

Independientemente de si estamos realizando un proceso de gestión del riesgo en base a las necesidades de compliance de nuestra empresa, o simplemente como la base para una adecuada gestión y seguimiento de los mismos, la pregunta sigue siendo: “¿Cuánto es suficiente?”. ¿Tengo que hacer participar a cada administrador de sistemas en la revisión de los riesgos que son su responsabilidad? Y, si esto es así, ¿Cómo podría afectar esto a nuestro perfil de riesgo? ¿Deben participar todas las áreas de la empresa? ¿Tan solo los jefes de departamento? O ¿Es el gestor del sistema el que se sienta delante de su aplicación de evaluación de riesgos y trata de evaluarlo todo él mismo?

Como tantas veces en la vida, la respuesta es: depende. Los métodos varían en función del tamaño, la complejidad y las capacidades de la organización.

Tomado de: http://www.krio.es/niveles-de-abstraccion-en-el-analisis-y-gestion-de-riesgos/