Para nadie es un secreto que la administración de los riesgos es de vital importancia para los negocios. Pero, en el mundo de la Seguridad de la Información cobra mayor importancia, ya que nuestra gestión está basada en el tratamiento que se le den a los riesgos, además, en nuestra área laboral, es complicado (para la gran mayoría) el poder especificar el Retorno de la Inversión sobre Seguridad (ROSI) y a través de una correcta administración de los riesgo podríamos demostrarle a la alta gerencia los costos de un incidente si no se asumen determinados controles.
La administración de riesgos implica:
- Un sistema formal para:
- Identificar y/o anticipar, medir y controlar riesgos
- Registrar información
- Monitorear resultados
- Administración económica: Adoptar medidas cuyo costo sea inferior a sus beneficios por medio de la reducción del costo de las pérdidas o la evitación de pérdidas catastróficas.
- Establecer responsabilidades para la administración de los riesgos para proveer una defensa contra su eventual materialización.
Importancia de la medición de riesgos
Son varias las razones para emprender la medición de riesgos:
- PARA TOMA DE DECISIONES DE ASUMIR RIESGOS:
- ¿Es el riesgo muy grande en relación con su probable beneficio?
- ¿Involucra demasiada incertidumbre como para aceptar su manejo?
- PARA TOMA DE DECISIONES DE CONTROL DE PÉRDIDAS:
- ¿Cómo puede ser controlado el riesgo?
- ¿Cuánto puede costar su control?
- ¿De qué manera puede afectar la actividad de control de pérdidas el costo probable de una pérdida?
- PARA TOMA DE DECISIONES FINANCIERAS:
- ¿Cuánto puede costar una pérdida determinada?
- ¿Cuál es la mejor manera de asumir el costo financiero de una pérdida?
- ¿Para aquellos riesgos asegurables, como se compara el costo del seguro con el costo estimado de la pérdida?
- ¿Cuánta cobertura de seguros necesito?
¿Qué otra razón se les ocurre por la que debamos medir los riesgos? Déjenlo en los comentarios…