Artículo interesante sobre la validez y aplicación de Análisis de Riesgos en cuatro partes (I, II, III y IV).
Las conclusiones en el blog de Seguridad y Gestión:
- El objetivo del análisis de riesgos es conocer realmente el nivel de riesgo aceptable con el cual puede vivir una organización, y el de la gestión de riesgos consiste en conocer los riesgos y las alternativas para poder manejarlos.
- La alta dirección de cualquier empresa tiene la responsabilidad de atender y facilitar lo necesario para llevar a cabo un análisis y evaluación de riesgos (“Due Diligence”).
- La causa principal por la que fallan los análisis de riesgos es porque su alcance está limitado a las áreas de sistemas y no se extiende a las áreas de negocio o funcionales.
- Un análisis y evaluación de riesgos debe completarse en semanas, no en meses o años.
- Un proceso de análisis y evaluación de riesgos efectivo buscará atender las necesidades reales de la organización, e involucrará a los dueños de la información.
- Después de identificar todos los controles posibles y evaluar su viabilidad y efectividad se debe realizar un análisis coste-beneficio. Este proceso debe ser realizado para cada control, para determinar si el control recomendado es apropiado para la organización.
- Será necesario crear una lista de definiciones de amenazas, con el fin de que todos los integrantes del equipo estén totalmente homogenizados en la definición de las amenazas.
- El equipo analizará las amenazas identificadas con un factor de riesgo alto y seleccionará los controles técnicos, administrativos, y operacionales que ofrecerán un nivel rentable y aceptable de protección a los activos.
- Es importante listar todos los controles considerados y clasificarlos, ya que esto permitirá a la dirección ver lo que fue considerado y lo que el equipo está recomendando como un control adecuado y rentable. También es importante conocer que un control puede reducir la exposición de riesgo de más de una amenaza, aumentando así su costo-beneficio.
