Gestión de riesgos es el proceso de identificación de
vulnerabilidades y amenazas a los recursos de información
utilizados por una organización en la consecución de los
objetivos del negocio y decidir qué contramedidas
(salvaguardias o controles), si alguno, a tomar para reducir el
riesgo a un nivel aceptable (es decir, riesgo residual), basada en
el valor de los recursos de información a la organización.
Una gestión de riesgos es eficaz si comienza con
una comprensión clara del apetito de la
organización para el riesgo. Esto conduce todos
los esfuerzos de gestión de riesgo y, en un
contexto IT, afecta a las futuras inversiones en
tecnología, en la medida en que los activos de ti
están protegidos y el nivel de seguridad
requerido.
Importancia en un negocio
Eliminar el riesgo mediante la
eliminación de la causa (por ejemplo,
siempre que sea factible, optar por no
implementar ciertas actividades o
procesos que incurrirían en riesgo).
Disminuir la probabilidad o el impacto
del riesgo mediante la definición,
implementación y monitoreo de los
controles adecuados.
Compartir riesgos con socios o
transferencia a través de cobertura
de seguro, de acuerdo contractual, o
por otros medios.
Formalmente reconocer la existencia
del riesgo y controlarla.
Desarrollo de un programa de
gestión de riesgos
Establecer el propósito del programa
de gestión de riesgo
Asignar la responsabilidad en el plan de manejo de riesgo
Proceso de gestión de riesgos
Para asegurarse de que la empresa
administra sus riesgos consistentemente y
de manera apropiada, una organización
debe identificar y establecer un proceso
repetible para administrar sus riesgos
Las prácticas de gestión de claves incluyen: 1. Recopilar datos. 2. Analizar
riesgo. 3. Mantener un perfil de riesgo. 4. Articular riesgo. 5. Definir una
cartera de acción de gestión de riesgo. 6. Responder a riesgo