Coyote: gestión de Inventario de riesgos
Actualmente, gran cantidad de empresas, tienen una gestión de riesgos manejada principalmente por planillas de cálculo y con muy diferentes enfoques que pueden ser muy disímiles entre si, destacándose ISO 27001 / 27005 / 31000, BASILEA, MAGERIT, COBIT y enfoques particulares.
Si bien existen estos estándares y normas para organizar adecuadamente la gestión de riesgos propios dentro de una compañía o grupo empresario, también es cierto que no es fácil organizar toda esa gestión y coordinar la misma adecuadamente a través de la empresa.
Muchas veces la gestión de riesgos se decanta en riesgos informáticos por exigencias de Auditorías, en otros casos hay mayor presión de lado de riesgos operacionales y en algunos casos existen riesgos no tratados. No es poco común que, dentro de una misma compañía, diferentes sectores se ocupen de distintos tipos de riesgos.
Si bien, con la ayuda de normas ISO (27001, 27005, 31000) y otros estándares como MAGERIT, COBIT, BASILEA se podría plasmar al detalle y en forma muy minuciosa toda la gestión necesaria, tampoco es menos cierto que es una tarea muchas veces muy dificultosa dentro de una empresa o grupo empresario.
Así es que, se puede plantear un enfoque abarcativo y ambicioso y sucumbir en el intento (o al menos necesitar mucho tiempo para concretarlo), o pensar en un enfoque más pragmático, tipo Pareto, por lo menos para comenzar.
Un abordaje posible, que se plantea en este artículo, es el enfoque en la gestión del inventario de riesgos, como punto de partida necesario para poder comenzar a gestionar adecuadamente los riesgos en sí mismos (Esto que parece un juego de palabras no lo es, ya que tener ordenado el Inventario de Riesgos es el punto de partida fundamental para una gestión posterior de los mismos).
Para que este abordaje sea efectivo, es necesario que en la compañía haya un organismo supremo con responsabilidad sobre los riesgos inventariados, ya que el o las áreas que gestionan los riesgos tienen que poder elevarlos a un organismo con facultad de toma de decisiones al más alto nivel empresario.
Existiendo este organismo, se debe comenzar a trabajar en camino a una gestión completa, pero dependiendo del estado de madurez de estos procesos en cada compañía, se puede sugerir un pequeño proceso que puede ayudar a dar los primeros pasos.
Este es el caso de la empresa Arduino Security que ha anunciado el lanzamiento de un nuevo producto Coyote, orientado al Inventario y Gestión Integral de riesgos, para todo tipo de empresas, incluyendo grupos empresarios, con varias compañìas. El proceso soportado por Coyote, Gestión de Inventario de Riesgos es el siguiente:
Se mencionan brevemente las etapas y sus principales objetivos, aún cuando el detalle de los mismos puede ser mucho mayor.
Fuente: Arduino Security
Si bien existen estos estándares y normas para organizar adecuadamente la gestión de riesgos propios dentro de una compañía o grupo empresario, también es cierto que no es fácil organizar toda esa gestión y coordinar la misma adecuadamente a través de la empresa.
Muchas veces la gestión de riesgos se decanta en riesgos informáticos por exigencias de Auditorías, en otros casos hay mayor presión de lado de riesgos operacionales y en algunos casos existen riesgos no tratados. No es poco común que, dentro de una misma compañía, diferentes sectores se ocupen de distintos tipos de riesgos.
Si bien, con la ayuda de normas ISO (27001, 27005, 31000) y otros estándares como MAGERIT, COBIT, BASILEA se podría plasmar al detalle y en forma muy minuciosa toda la gestión necesaria, tampoco es menos cierto que es una tarea muchas veces muy dificultosa dentro de una empresa o grupo empresario.
Así es que, se puede plantear un enfoque abarcativo y ambicioso y sucumbir en el intento (o al menos necesitar mucho tiempo para concretarlo), o pensar en un enfoque más pragmático, tipo Pareto, por lo menos para comenzar.
Un abordaje posible, que se plantea en este artículo, es el enfoque en la gestión del inventario de riesgos, como punto de partida necesario para poder comenzar a gestionar adecuadamente los riesgos en sí mismos (Esto que parece un juego de palabras no lo es, ya que tener ordenado el Inventario de Riesgos es el punto de partida fundamental para una gestión posterior de los mismos).
Para que este abordaje sea efectivo, es necesario que en la compañía haya un organismo supremo con responsabilidad sobre los riesgos inventariados, ya que el o las áreas que gestionan los riesgos tienen que poder elevarlos a un organismo con facultad de toma de decisiones al más alto nivel empresario.
Existiendo este organismo, se debe comenzar a trabajar en camino a una gestión completa, pero dependiendo del estado de madurez de estos procesos en cada compañía, se puede sugerir un pequeño proceso que puede ayudar a dar los primeros pasos.
Este es el caso de la empresa Arduino Security que ha anunciado el lanzamiento de un nuevo producto Coyote, orientado al Inventario y Gestión Integral de riesgos, para todo tipo de empresas, incluyendo grupos empresarios, con varias compañìas. El proceso soportado por Coyote, Gestión de Inventario de Riesgos es el siguiente:
Se mencionan brevemente las etapas y sus principales objetivos, aún cuando el detalle de los mismos puede ser mucho mayor.
- Identificación: La identificación de riesgos es muy difícil de procedimentar ya que, si bien existen algunos lineamiento y opciones como auditorías o relevamientos internos, lo ideal es que los riesgos que existen en las diferentes áreas de actividad se puedan identificar de forma temprana, para dar una mayor oportunidad de mitigarlos o eliminarlos.
- Registración: Esta es una etapa muy importante del proceso, ya que es la que permite concentrar en un registro único todos los riesgos, y los estados por los que cada uno va pasando desde su identificación hasta su desaparición total o mitigación, según corresponda.
- Análisis y Evaluación: Son las etapas de trabajo necesarias para determinar la criticidad del riesgo, su probabilidad de ocurrencia, el impacto en los activos que afecte y las acciones que se sugieren realizar para mitigarlo o eliminarlo (tratamiento sugerido del riesgo). Se muestran como dos etapas separadas porque, en ocasiones, intervienen distintos equipos de trabajo.
- Notificación: Esta es otra etapa muy importante, fundamental, ya que riesgos identificados pero no notificados a los responsables y al organismo de control de riesgos de la compañía (mencionado más arriba), quedan ignorados y, en caso de materializarse, generan una responsabilidad directa del Area de Riesgos.
- Notificación al responsable del activo que presenta el riesgo: ya que es quien deberá trabajar en su mitigación o eliminación, de acuerdo al tratamiento acordado con el Área de Riesgos.
- Dependiendo de la criticidad y valoración asignadas al riesgo identificado y, ante un desacuerdo con el responsable del activo afectado (por ejemplo una necesidad de salir a producción con un sistema inseguro), es una buena práctica generar un informe de riesgos, con las decisiones de ambas partes, el cual se eleva al organismo de contralor de riesgos dentro de la empresa. De esta manera, el negocio puede aceptar el riesgo, y el Área de Riesgos cumple con su cometido, quedando la decisión final en manos del máximo organismo que dirime estos temas dentro de la compañía.
- Tratamiento: El responsable del activo afectado por el riesgo describe las acciones realizadas, que pueden ser o no coincidentes con las sugeridas por el Área de Riesgos. Cuando los plazos lo permiten, se itera en este ciclo, para volver a analizar el riesgo, una vez que se ha aplicado el tratamiento al mismo.
- Riesgos por criticidad inherente
- Riesgos por criticidad residual
- Riesgos por tipos de riesgos
- Riesgos por empresa (para grupos multicompañía)
- Riesgos por tipo de tratamiento
- etc.
Fuente: Arduino Security
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!