La gestión de riesgo es un enfoque estructurado para manejar
la incertidumbre, es decir la posibilidad de que ocurra o no un riesgo, y
evitara que ocurran eventos no deseados. Dado el caso que el riesgo se haga
realidad, para ello se pueden llevar a cabo una secuencia de actividades para
evaluar el riesgo, mitigar el riesgo y estrategias para manejar el riesgo que
incluyen transferir el riesgo a otra parte, evadir el riesgo, reducir los
efectos negativos del riesgo y aceptar algunas o todas las consecuencias de un
riesgo particular de tal forma que las posibles pérdidas y la posibilidad que
se haga presente el riesgo se minimicen, en resumen la Gestión de Riesgo es un
método para determinar, analizar, valorar y clasificar el riesgo, para
posteriormente implementar mecanismos que permitan controlarlo.
Esta gestión en el campo informático busca sensibilizar en
las empresas el tema de la seguridad informática y la gestión de los riesgo
relacionados con el manejo de datos e información.
La gestión de riesgos tiene cuatro fases:
Análisis: en esta
fase lo que se busca es conocer el sistema que se desea proteger conociendo sus
vulnerabilidades y las amenazas a las que está expuesto con el objetivo de
revelar el grado de riesgo del sistema.
Clasificación:
Determina si los riesgos encontrados y los riesgos restantes son aceptables.
Reducción:
establece e implementa las medidas de protección para la reducción de los
riesgo encontrados en la fase del análisis, además capacita los usuarios conforme a las medidas.
Control: analiza
y evalúa el funcionamiento y efectividad de las medidas de protección
implementadas en la fase de reducción, con el fin de mejorar las medidas que
son ineficientes.
Estas fases están basadas en políticas de seguridad, normas
y reglas institucionales y tiene la finalidad de potencializar las capacidades
de una empresa disminuyendo las vulnerabilidades y limitando las amenazas con
la finalidad de reducir el riesgo.
Los sistemas de información son vulnerables a una diversidad
de amenazas y atentados por parte de personas que pueden o no pertenecer a la
institución, en la que se puede destacar:
Amenazas naturales:
Las instalaciones de procesos de datos se encuentran sometidas a todo tipo de
amenazas y catástrofes (terremotos, riadas, tormentas, incendios, etc.) que
pueden provocar la interrupción del
funcionamiento y, en muchos casos, la destrucción del sistema.
Problemas eléctricos
y electromagnéticos: Los fallos del suministro eléctricos y las radiaciones
electromagnéticas pueden alterar el funcionamiento de los equipos y los datos
almacenados de forma magnética.
Sabotajes y actos
terroristas: La concentración de la información y el control de numerosos
sistemas, (tráfico aéreo, ferroviario, comunicaciones, sistemas energéticos,
etc.) en los centros de proceso de datos los hace especialmente vulnerables a
este tipo de actos que buscan paralizar la sociedad.
Software
malintencionado: Abarca un conjunto diverso de programas (virus, gusanos,
caballos de Troya, etc.) cuyos objetivos es adueñarse del control del sistema operativo con el fin de
provocar, en la mayoría de los casos, la destrucción de la información u otros
tipos de daños a los sistemas informáticos.
Se deberían tener identificados y valorados los principales
riesgos que pueden afectar los activos de información de la empresa. Pero, ¿es
suficiente con saber que puede pasar? La
respuesta es no. Una vez identificadas las amenazas, lo más importante del análisis
de riesgos es la identificación de controles ya sea para mitigar la posibilidad
de ocurrencia de la amenaza o para mitigar su impacto.
Las medidas de control
que puede asumir una empresa van a estar relacionadas con el tipo de amenaza y
el nivel de exposición que represente para la información corporativa.
Por tanto los miembros de la organización se deben preocupar
por establecer normas de seguridad al interior de la empresa para proteger la
información, establecer una planificación formalizada para la seguridad
informática y gestionar los medios necesarios para administrar correctamente la
función de la seguridad informática.