Gestión de Riesgos Empresariales: Evolución, Procesos y Metodologías Clave

Bernens (1997) afirma: «La grieta pequeña más grande en la armadura corporativa es la dirección de riesgos». La gestión de riesgos se facilita cuando las entidades desarrollan sus actividades sobre la base de sistemas de control interno acorde con las exigencias actuales.

Evolución del Concepto de Riesgo

Durante el siglo XVIII, el riesgo fue visto como un concepto neutral, considerando las pérdidas y ganancias, y fue empleado en la marina. En el siglo XIX, el riesgo surgió en el estudio de la economía. En el siglo XX se hizo una connotación negativa al referirse a los peligros en la ciencia y tecnología.

Definición de Riesgo (ISO)

La definición estandarizada de riesgo proviene de la Organización Internacional de Normalización (ISO), definiéndolo como “la posibilidad de que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos y por lo tanto cause daño a la organización”.

Procesos de la Gestión del Riesgo

La gestión del riesgo consiste en seis procesos:

  1. Establecimiento del contexto.
  2. Evaluación del riesgo: identificación de riesgos, análisis de riesgo y evaluación de riesgos.
  3. Tratamiento del riesgo: medidas para reducir el riesgo.
  4. Aceptación de riesgos.
  5. Comunicación y consulta de riesgos.
  6. Revisión y seguimiento del riesgo.

Análisis de Gestión de Riesgos: Desarrollar el entendimiento del mismo. Cualitativo, semicuantitativo, cuantitativo.

PRINCIPIOS: Riesgo = Impacto X Probabilidad

Recursos y Técnicas para la Gestión de Riesgos

a) Registros pasados
b) Experiencia pertinente
c) Práctica y experiencia industrial
d) Literatura publicada pertinente
e) Marketing de ensayo e investigación de mercado
f) Experimentos y prototipos
g) Modelos económicos, de ingeniería y otros
h) Juicios de especialidades y expertos (modelos)

Métodos de Análisis Cuantitativo

  • Listas de chequeo.
  • Análisis histórico de riesgos
  • Análisis de árbol de fallas y de árbol de eventos.
  • Análisis de causas y consecuencias.

Métodos de Análisis Cualitativo

  • Análisis cuantitativo mediante árboles de fallo.
  • Análisis cuantitativo mediante árbol de eventos.
  • Análisis de costo del ciclo de vida.
  • Análisis estadístico y numérico.

Evaluación del Riesgo

Decisiones según análisis de riesgo:

  • El contexto de gestión del riesgo definido (interno y externo).
  • Objetivos de la organización.
  • Puntos de vista de las partes involucradas.

Pueden estar basadas en:

  • Consecuencias específicas.
  • La posibilidad de eventos o resultados especificados.
  • El efecto acumulativo de muchos eventos.
  • El rango de incertidumbre para los niveles de riesgo.

Tratamiento del Riesgo: Beneficios

  • Planificación estratégica más efectiva
  • Sorpresas sin mayor costo
  • Efectividad y eficiencia de programas
  • Transparencia en su toma de decisiones
  • Preparación y la facilitación de resultados positivos

Monitoreo y Revisión

Monitorear la eficacia y la conveniencia de las estrategias e implementar los tratamientos de riesgos y el plan de gestión.

OCTAVE (Evaluación Operacionalmente Crítica de Amenaza, Activos y Vulnerabilidad)

Tiene como objetivo facilitar la evaluación de riesgos en una organización. Desarrollada por Computer Emergency Response Team (CERT)

Pasos de Análisis de Riesgos de TI

  • Determinar los activos relevantes para la organización.
  • Determinar a qué amenazas están expuestos aquellos activos.
  • Estimar el impacto, definido como daño sobre el activo derivado de la materialización de la amenaza.
  • Determinar qué controles hay dispuestos y qué tan eficaces son frente al riesgo.
  • Estimar el riesgo, definido como el impacto ponderando con la probabilidad de ocurrencia de la amenaza.

Activos de OCTAVE y Métodos

ActivosMétodo
Las personasOctave Original
El hardwareOctaves-S (MYPES)
La informaciónOctave-allegro (activos de inf)
Los sistemas

OCTAVE-ALLEGRO

F1: Evaluar los participantes con criterios de medición del riesgo con las directrices de la organización.

F2: Cada participante crea un perfil con activos críticos de información.

F3: Los participantes identifican amenazas de información.

F4: Cada participante identifica y analiza los riesgos para activos de información.

Procesos de OCTAVE

Planificación

F1: Visión Organizacional

Identificar información gerencial, identificar información operativa, identificar conocimiento del personal, y crear perfiles de amenaza.

F2: Visión Tecnológica

Identificar componentes clave, evaluar componentes seleccionados.

F3: Estrategias y Plan de desarrollo

Realizar análisis de riesgos, desarrollar estrategias de protección.

MAGERIT: Metodología de Análisis y Gestión de Riesgos

Metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, y evalúa cómo la sociedad depende de forma creciente de las tecnologías de la información para el cumplimiento de su misión.

Metodología MAGERIT

ISO 31000, Magerit responde a lo que se denomina “Proceso de Gestión de los Riesgos”, sección 4.4 (“Implementación de la Gestión de los Riesgos”) dentro del “Marco de Gestión de Riesgos”.

Objetivos de MAGERIT

  • Concientizar a los responsables de los sistemas de información de la existencia de riesgos.
  • Ofrecer un método sistemático para analizar tales riesgos.
  • Descubrir y planificar las medidas para controlar los riesgos.
  • Preparar a la organización en evaluación, auditoría, certificación.

Elementos de MAGERIT

  • Activos: Recursos de Sistemas de Información.
  • Amenazas: Eventos de incidencia.
  • Vulnerabilidad del activo: Potencial ocurrencia de materializarse.
  • Impacto en un activo: Consecuencia al materializarse la amenaza.