Análisis de riesgos orientado a procesos
Todos los involucrados en seguridad nos topamos con algún tipo de análisis de riesgos tarde o temprano, y a pesar de que hay muchas metodologías disponibles sigue siendo una de las tareas más difíciles de realizar.
La principal dificultad radica en la naturaleza subjetiva de este tipo de análisis, pero hoy en día me parece que tenemos las herramientas necesarias para modificar nuestros procesos y producir resultados razonablemente precisos, que puedan ser utilizados por el negocio para la toma de decisiones.
Tipos de análisis
Tradicionalmente se habla de 2 tipos de análisis de riesgos: cuantitativos y cualitativos. En un principio las metodologías que surgieron trataron de ser cuantitativas (es decir, calificaban el impacto de los riesgos con un número, típicamente dinero). Sin embargo, pronto las empresas y los profesionales de seguridad se dieron cuenta que no todo es cuantificable y la asignación de valores era asignada en muchos casos de forma totalmente arbitraria.
Surge entonces el análisis cualitativo, que básicamente califica dentro de una escala el riesgo (ej. alto, medio, bajo). Este enfoque acepta la naturaleza subjetiva de algunas amenazas y logra establecer prioridades con base en la opinión de un especialista y la aplicación de algunos criterios generales. Sin embargo, el problema de la falta de información de costo/beneficio en inversiones de seguridad para la toma de decisiones aún persiste; una calificación cualitativa no es suficiente en estos casos. ¿Cuánto es aceptable invertir para mitigar un riesgo medio o uno alto? ¿Todos los riesgos calificados de la misma manera cuestan lo mismo a la empresa?
Por esta razón existe en la actualidad una tendencia en buscar algún tipo de análisis de riesgos que cuantitativo que de alguna manera cubra estas necesidades. Para lograr este objetivo podemos aprovechar un recurso que hoy en día es más fácil de obtener: la información histórica de eventos en el negocio y/o el aprendizaje que ha resultado de dichos eventos.
Seguir leyendo
La principal dificultad radica en la naturaleza subjetiva de este tipo de análisis, pero hoy en día me parece que tenemos las herramientas necesarias para modificar nuestros procesos y producir resultados razonablemente precisos, que puedan ser utilizados por el negocio para la toma de decisiones.
Tipos de análisis
Tradicionalmente se habla de 2 tipos de análisis de riesgos: cuantitativos y cualitativos. En un principio las metodologías que surgieron trataron de ser cuantitativas (es decir, calificaban el impacto de los riesgos con un número, típicamente dinero). Sin embargo, pronto las empresas y los profesionales de seguridad se dieron cuenta que no todo es cuantificable y la asignación de valores era asignada en muchos casos de forma totalmente arbitraria.
Surge entonces el análisis cualitativo, que básicamente califica dentro de una escala el riesgo (ej. alto, medio, bajo). Este enfoque acepta la naturaleza subjetiva de algunas amenazas y logra establecer prioridades con base en la opinión de un especialista y la aplicación de algunos criterios generales. Sin embargo, el problema de la falta de información de costo/beneficio en inversiones de seguridad para la toma de decisiones aún persiste; una calificación cualitativa no es suficiente en estos casos. ¿Cuánto es aceptable invertir para mitigar un riesgo medio o uno alto? ¿Todos los riesgos calificados de la misma manera cuestan lo mismo a la empresa?
Por esta razón existe en la actualidad una tendencia en buscar algún tipo de análisis de riesgos que cuantitativo que de alguna manera cubra estas necesidades. Para lograr este objetivo podemos aprovechar un recurso que hoy en día es más fácil de obtener: la información histórica de eventos en el negocio y/o el aprendizaje que ha resultado de dichos eventos.
Seguir leyendo
-
Posts Relacionados:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.
Gracias por comentar!