La importancia de la gestión de riesgos de seguridad de la información en la gestión integral de riesgos de las organizaciones
Enviado por Simon Vazquez • 22 de Mayo de 2022 • Documentos de Investigación • 761 Palabras (4 Páginas) • 66 Visitas
Universidad Internacional de la Rioja (UNIR) | Análisis de Riesgos Informáticos | Alumno Profesora: Maricarmen García de Ureña |
Actividad 1. Ensayo: La importancia de la gestión de riesgos de seguridad de la información en la gestión integral de riesgos de las organizaciones
Resumen.
El presente ensayo expone la importancia que tiene el desarrollo y la implementación de una la gestión de riesgos de seguridad de la información dentro de las organizaciones, la cual considere los objetivos propios de la organización y los impactos a estos en caso de que se materializará algún riesgo.
Introducción.
El avance de la tecnología en la actualidad a permitido muchos beneficios para las empresas, como ser más productivos al estar en comunicación entre diferentes sitios e interactuar con personas de otros países, lo cual puede ayudar a su crecimiento, sin embargo de la mano de estos beneficios se abren las puertas a nuevas amenazas, que sin los controles necesarios pueden ocasionar desde fallos en las operaciones hasta pérdidas millonarias.
Si bien no podemos hablar de un sistema totalmente seguro si podemos por medio de la gestión de riesgos tener una visión de cuales son amenazas a las que nos enfrentamos, poder clasificarlas y tomar la mejor decisión de cómo mitigarlas, cuidando así la integridad, confidencialidad y disponibilidad de la información. Respecto a riesgos hay una serie de estándares que dan la pauta para definir una metodología que nos permita por medio de una serie de pasos identificar, clasificar y tratar los riesgos.
Desarrollo.
Existen muchas definiciones para riesgo de acuerdo a su fuente, pero todas estas se basan en la definición que se puede encontrar en el estándar ISO/IEC 31000 Risk management que lo define como el efecto de la incertidumbre en los objetivos, básicamente se puede interpretar como que toda acción que pueda provocar un desvío en los objetivos de, por ejemplo, una empresa se puede considerar un riesgo.
En primer lugar dichos “desvíos” pueden ser positivos o negativos, en el caso de los positivos se consideran oportunidades y por otro lado los negativos son los que interpretamos como riesgos. De estos todavía es posible tener una clasificación más detallada de acuerdo a diferentes aspectos complementarios dando como resultado: riesgos financieros, riesgos de salud y seguridad, riesgos ambientales, etc. Los cuales son aplicados a diferentes niveles como: estratégico, organizacionales, productivos, operacionales, etc.
Es por todo lo anterior que las empresas deben tener muy presente la importancia de la gestión de riesgos así como una persona (o personas) dedicadas a esta tarea, ya que se encargaran de dirigir y controlar la empresa con respecto al riesgo.
Siguiendo los lineamientos establecidos en el estándar ISO/IEC 31000 Risk management, con apoyo de la alta dirección se deben cubrir las siguientes etapas para la gestión de riesgos:
- Diseño de un marco para la administración de riesgos, en esta fase se definirán cuales son los factores que propiciarían los riesgos, como factores internos y externos, además que es donde se definirán los tratamientos al riesgo (mitigar, delegar, aceptar o compartir).
- Implementación de la administración de riesgos, definir la estrategia adecuada para la implementación, asegurarse que las decisiones sobre los riesgos se alineen con los objetivos de negocio
- Monitoreo y revisión del marco, para asegurar la gestión de riesgos adecuada se deben medir periódicamente el marco y los indicadores definidos para tal efecto, reportando en tiempo y forma cualquier eventualidad.
- Mejora continua del marco, con los resultados obtenidos en el punto anterior es posible tomar decisiones sobre posibles mejoras al marco, política y plan de gestión del riesgo.
Las etapas anteriores sirven de base para crear un marco propio con el cual de acuerdo a cada empresa sea posible administrar los riesgos de la mejor manera. Los riesgos si bien los deben administrar un área específica, se requiere del apoyo de otra áreas y personas de interés como el Comité de dirección, auditoría interna y al menos un responsable por cada área que sea el dueño de sus respectivos riesgos.
...