Correduría de Seguros Besada-Ramos
admin Información de Interés, Seguros Profesionales 0

Gestión de Riesgos para empresas

La gestión de riesgos está presente, con mayor o menor protagonismo, en distintos ámbitos de la sociedad y la empresa.

Para maximizar los beneficios de dicha gestión y contar con garantías de éxito, los esfuerzos han de ser empleados de forma metódica, estructurada y, sobre todo, siguiendo un proceso de evaluación y mejora continua.

Activo, amenaza, vulnerabilidad, impacto y probabilidad
Activo

Cualquier recurso de la empresa necesario para desempeñar las actividades diarias y cuya no disponibilidad o deterioro supone un agravio o coste. La naturaleza de los activos dependerá de la empresa, pero su protección es el fin último de la gestión de riesgos. La valoración de los activos es importante para la evaluación de la magnitud del riesgo.

Este término en las nuevas normas se generaliza para denominarse «fuente de riesgo» siendo el elemento que sólo o con otros puede originar un riesgo.

Amenaza
Circunstancia desfavorable que puede ocurrir y que cuando sucede tiene consecuencias negativas sobre los activos provocando su indisponibilidad, funcionamiento incorrecto o pérdida de valor.

En la evolución de las normas este concepto se amplia para denominarse «suceso»

Vulnerabilidad
Debilidad que presentan los activos y que facilita la materialización de las amenazas.

Impacto o consecuencia de la materialización de una amenaza sobre un activo aprovechando una vulnerabilidad. El impacto se suele estimar en porcentaje de degradación que afecta al valor del activo, el 100% sería la pérdida total del activo. La consecuencia en las nuevas normas es el resultado de un suceso que afecta a los objetivos.

Probabilidad
Es la posibilidad de ocurrencia de un hecho, suceso o acontecimiento. La frecuencia de ocurrencia implícita se corresponde con la amenaza. Para estimar la frecuencia podemos basarnos en datos empíricos (datos objetivos) del histórico de la empresa, o en opiniones de expertos o del empresario (datos subjetivos). Este término permanece en la evolución de las normas ISO refiriéndose a un suceso en lugar de a una amenaza.

El análisis de riesgos debe ser realizado de forma metódica impidiendo omisiones, improvisaciones o posibles criterios arbitrarios. En la actualidad existen diversas metodologías y guías de buenas prácticas, tanto generalistas como especializadas, que pueden ser utilizadas para realizar este análisis

  • Específicas para gestión de riesgos de seguridad de la información:
    MAGERIT, Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información [3] creada por el Ministerio de Administraciones Públicas español.
  • ISO / IEC 27005: 2008 (E) [11] norma que aporta directrices para la gestión de riesgos de seguridad de la información.
  • NIST SP – 800-30 [4], metodología creada en este caso por el gobierno norteamericano

Diseño JerezWebs. © aico Jerez