¿Evaluación de riesgos? No gracias, prefiero ver a donde me lleva el viento (II) – Hagamos el tratamiento a los riesgos

Una vez que logramos valorar nuestros riesgos, vamos a la siguiente etapa, la cual es la gestión del riesgo en sí… que consiste es establecer cual es el curso de acción que se tomará para cada uno de los riesgos, los cuales son lo siguientes:

<

ul>

  • Mitigar el riesgo: No es más que establecer controles y salvaguardas para reducir el riesgo hasta un nivel aceptable. Cabe destacar que estos controles no necesariamente serán tecnológicos, pudieran ser actividades que se les asignes a las personas o sólo modificar alguna parte del proceso de la organización.

  • Transferir el riesgo: cuando se decide esta medida, lo que se hace es darle la gestión del riesgo en cuestión a un tercero, por ejemplo, pudiera ser a través de una póliza de seguro si tenemos el riesgo de robo; la activación de los famosos Care Pack de los servidores para transferir las fallas de hardware a la marca; o si tienes problemas con el personal de seguridad física pues contratas a una empresa que se encargue de esa actividad, así transfieres la responsabilidad contractual de los vigilantes y a la empresa que contrataste. Algo importante a destacar es que

    la responsabilidad sobre el activo afectado no se delega, sólo se transfiere la gestión del riesgo de este.

  • Evitar el riesgo: con esta acción se busca de que ni siquiera exista una vulnerabilidad que explotar, por ejemplo, quieres evitar el riesgo de que un terremoto destruya tus instalaciones, pues las colocas en una área antisísmica.
  • Aceptar el riesgo: cuando se decide realizar esta opción, pues no se realiza ninguna actividad sobre el riesgo, como he escuchado «el no tomar una decisión es una decisión» entonces debemos dejar constancia de porque no se hizo nada en relación a ese riesgo. Nota importante,

    Si la gestión de un riesgo es más costosa que dejar que se materialice el mismo, entonces lo aceptamos tal y como es.

    Otro entregable relevante que se hace durante la evaluación de riesgos es que logras tener una panorama general del funcionamiento de la organización y obtienes un listado de todos los procesos existentes en la organización, los cuales nos servirán, para poder realizar un análisis de impacto de negocio (BIA) el cual veremos en la siguiente entrega del blog.

    Entonces, ya tenemos lo siguiente:

    Y tú ¿dejas a tu organización a merced del viento? ¿qué otras razones se te ocurren de por qué no se usan las evaluaciones de riesgos?

  • Deja un comentario

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *