La gestión de riesgos: un enfoque tradicional
La gestión de riesgos comienza con la identificación y estimación de probabilidades de impacto ante determinada amenaza, y aunque parece simple, las organizaciones tropiezan durante este proceso.
Aunque cada vez existe una mayor comprensión en el tema, el panorama de riesgos en rápida evolución exige la capacidad de enfrentar riesgos más complejos. Una perspectiva crítica puede mostrarnos no sólo las amenazas que enfrentamos, sino también las oportunidades.
GESTIÓN DE RIESGOS ¿CÓMO APOYAMOS A LAS ORGANIZACIONES?
Este tipo de proyectos se orienta a realizar una identificación y evaluación de los riesgos más relevantes relacionados con la Tecnología de Información de las empresas. Los riesgos son calificados en función de su probabilidad de ocurrencia y de su impacto para los objetivos de la organización.
El proceso puede incluir la definición de acciones de tratamiento para los riesgos e inclusive, la identificación de controles asociados a los riesgos y la evaluación de los mismos para determinar su nivel de efectividad en la mitigación de los riesgos. Este tipo de proyectos pueden orientarse en forma integral a todo el riesgo tecnológico o a aspectos más específicos.
El riesgo operativo o riesgo operacional se refiere a la posibilidad de que ocurran pérdidas financieras en una organización originadas por debilidades en procesos, personas, sistemas, tecnología, incumplimiento normativo o eventos externos que afecten la operación.
Nuestros servicios de implementación de la función y proceso de riesgo operativo están orientados a apoyar a las organizaciones a alcanzar sus objetivos institucionales a través de la prevención y administración de los riesgos operacionales, a través de una adecuada identificación, análisis y valoración de sus riesgos, con el fin de establecer las medidas de mitigación y fortalecimiento de los controles para disminuir la posibilidad de materialización de los riesgos y en su caso, asegurar una adecuada administración y monitoreo en caso de presentarse.
Este servicio se complementa comúnmente con servicios de capacitación especializada en la gestión de riesgos y con la implementación de herramientas tecnológicas que permiten automatizar los procesos y reportes de la gestión del riesgo operativo. Así mismo este servicio está alineado con las buenas prácticas nacionales e internacionales en la materia, así como con los requerimientos normativos establecidos por autorizadas como la CNBV, la Bolsa Mexicana de Valores, la CNSF, Banxico, etc.,
Este tipo de servicios específicos de riesgos de seguridad de la información pueden realizarse como parte del servicio de gestión del riesgo tecnológico, como parte de un proyecto de cumplimiento normativo de seguridad o privacidad de datos o también puede realizarse de manera independiente, cuando el objetivo sea identificar específicamente aquellos riesgos que pudieran afectar directamente la confidencialidad, integridad y disponibilidad de la información crítica de la organización.
En estos proyectos se analiza el impacto en el negocio de un fallo de control que comprometa la seguridad de la información, evaluando la probabilidad de ocurrencia de un fallo de seguridad en relación con las amenazas y vulnerabilidades en los activos y sus controles.
Con base en estos resultados se diseñan estrategias específicas de seguridad e la información y seguridad tecnológica con el fin prevenir y mitigar los riesgos identificados y así como asegurar una adecuada administración de incidentes de seguridad que eviten un mayor impacto a la organización.
Comúnmente la gestión de riesgos de continuidad el negocio forma parte de un proyecto integral de Continuidad del Negocio, pero también puede realizarse de manera independiente principalmente cuando las organizaciones no tienes claros los riesgos específicos a los que están expuestos y que pudieran interrumpir la operación de sus procesos críticos de negocio, así cuando desconocen sus capacidades para responder de manera eficiente, organizada y oportuna a eventos que pudieran afectar su operación.
Los proyectos de gestión de riesgos de continuidad del negocio se realizan comúnmente alineados con la norma ISO 31000. La diferencia con el resto de los análisis de riesgos es que en este caso nos enfocamos en identificar la probabilidad de ocurrencia de eventos que nos pudieran llevar a una interrupción como pueden ser comúnmente desastres naturales, disturbios sociales, pandemias, pero también riesgos relacionados con la falta de disponibilidad de sistemas e infraestructura, por lo que una parte de estos riesgos podría ser un subconjunto del riesgo tecnológico y por consiguiente operativo.
El fortalecimiento de los controles y acciones de mitigación de los riesgos van orientados a estrategias de continuidad del negocio y resiliencia organizacional, orientadas tanto a prevenir la interrupción de los servicios como a la pronta recuperación y continuidad de la operación crítica en caso de que la interrupción por la materialización de un riesgo sea inevitable.
SOLUCIONES RELACIONADAS
¿CÓMO PODEMOS APOYARTE?
CUÉNTANOS MÁS
Nos agradará saber más de ti y de tus proyectos. Completa el siguiente formulario y muy pronto nos pondremos en contacto contigo.