En la gestión de riesgos de seguridad de la información, el tratamiento de riesgo y la aceptación de riesgos son actividades en la que particularmente la gerencia toma decisiones. En otras palabras, la gerencia toma decisiones sobre qué riesgos tratar, a qué nivel y con qué presupuesto. Cómo podría esto analizarse.

El alcance puede ayudar

Los riesgos pueden ser varios en la organización, sin embargo, todos los riesgos deben ser comprendidos por la gerencia, con el objetivo de buscar la manera de reducir el valor de riesgo hasta un nivel aceptable de riesgo con los recursos limitados en el proceso de tratamiento de riesgos. Entonces, regresando al punto de partida de la gestión de riesgos, es decir la definición del alcance, este nos puede dejar el camino de tratamiento de riesgos menos complicado, no muy difícil, porque permite una evaluación profunda del riesgo obteniendo detalles más precisos para facilitar la toma de decisiones. Caso contrario lo que sucede con un alcance a toda la empresa, donde la coordinación con todas las partes conlleva a conflictos y retraso.

¿En qué consiste?

El tratamiento de riesgos involucra tratar los riesgos seleccionando e implementando medidas de control. Para lograr un tratamiento de riesgos efectivo es necesario tener una buena lista de medidas de control candidatos. Y si nos podemos a calcular, los riesgos en la organización son varios, las medidas de control para cada uno son varias, por ende los objetivos de cada medida de control también son varios. Esto significa que el enfoque de los tratamiento de riesgos involucra muchos objetivos y algunos de ellos pueden presentar conflictos. Por ejemplo, una de las medidas es el control de acceso a la red, cuyo objetivo es controlar adecuadamente el acceso a la red. La aplicación de esto ayuda a la confidencialidad, que es un de los aspectos de seguridad de la información; sin embargo, esto podría violar la disponibilidad que es otro aspecto de la seguridad de la información. Por lo tanto es importante que se consideren métodos de optimización para múltiples objetivos.

¿Qué hacer?

Por las razones anteriores cada empresa debe presentar una forma de preparar una lista de medidas de control y un mecanismo de cómo cuantificar la relación entre cada riesgo y sus medidas de control. Conforme las organizaciones presenten cierto nivel de madures, esto apoyará a que se optimicen las soluciones de selección de medidas y los recursos involucrados.

Consejo audit

La construcción adecuada de su plan de tratamientos de riesgos es un factor útil para lograr el nivel aceptable de los mismos, sin embargo, ejecutado bajo un enfoque incorrecto, conlleva a pérdida a largo plazo. En audit te apoyamos a través de la norma ISO 27005 para una correcta gestión de los riesgos en su organización, bajo el soporte de nuestra plataforma aValue.