14 ene 2009

¿Funcionan los analisis de riesgos?

Desde hace algún tiempo tenía marcado este link, ya que una lectura rápida lo había catalogado como interesante, aunque todavía no había tenido tiempo de leerlo. Un artículo en cuatro partes donde se cuestiona la validez real de los análisis de riesgos que tanto defendemos en foros como éste.

Al final, el artículo no es tan "transgresor" como parece. Realmente, bajo la premisa de que un análisis de riesgos "bien hecho" sí que es útil, lleva a cabo una explicación completa y con ejemplos de cómo se realiza uno de esos análisis de riesgos. No obstante, sí que hace algunas puntualizaciones que me han gustado mucho, y que paso a enunciar por si en una primera lectura del artículo pueden pasar algo desapercibidas:
  • El objetivo del análisis de riesgos es conocer realmente el nivel de riesgo aceptable con el cual puede vivir una organización, y el de la gestión de riesgos consiste en conocer los riesgos y las alternativas para poder manejarlos.
  • La alta dirección de cualquier empresa tiene la responsabilidad de atender y facilitar lo necesario para llevar a cabo un análisis y evaluación de riesgos (“Due Diligence”).
  • La causa principal por la que fallan los análisis de riesgos es porque su alcance está limitado a las áreas de sistemas y no se extiende a las áreas de negocio o funcionales.
  • Un análisis y evaluación de riesgos debe completarse en semanas, no en meses o años.
  • Un proceso de análisis y evaluación de riesgos efectivo buscará atender las necesidades reales de la organización, e involucrará a los dueños de la información.
  • Después de identificar todos los controles posibles y evaluar su viabilidad y efectividad se debe realizar un análisis coste-beneficio. Este proceso debe ser realizado para cada control, para determinar si el control recomendado es apropiado para la organización.
  • Será necesario crear una lista de definiciones de amenazas, con el fin de que todos los integrantes del equipo estén totalmente homogenizados en la definición de las amenazas.
  • El equipo analizará las amenazas identificadas con un factor de riesgo alto y seleccionará los controles técnicos, administrativos, y operacionales que ofrecerán un nivel rentable y aceptable de protección a los activos.
  • Es importante listar todos los controles considerados y clasificarlos, ya que esto permitirá a la dirección ver lo que fue considerado y lo que el equipo está recomendando como un control adecuado y rentable. También es importante conocer que un control puede reducir la exposición de riesgo de más de una amenaza, aumentando así su costo-beneficio.

Son sólo una serie de pequeños consejos a la hora de realizar un análisis de riesgos, pero si se siguen seguro que es más fácil obtener el éxito en una tarea a veces tan poco agradecida como puede llegar a ser un análisis de riesgos "bien hecho". Eso sí, el resultado merecerá la pena.

Fuente: http://secugest.blogspot.com/2009/01/funcionan-los-analisis-de-riesgos.html

No hay comentarios.:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!