---

---

Definición de la gestión de riesgos: ¿Qué es la gestión de riesgos?

¿Quieres una breve definición de la gestión de riesgos? La tendrás: La gestión de riesgos identifica, reconoce, supervisa y evalúa los riesgos que existen para las TI a lo largo de todo su ciclo de vida. Pero esto es sólo el primer paso, porque en el segundo paso la gestión de riesgos, también conocida como risk management, afronta estos riesgos con planes de emergencia adecuados y medidas eficaces. La aplicación de todas estas medidas puede denominarse entonces proceso de gestión de riesgos.

El proceso de gestión de riesgos informáticos debe formar parte de los objetivos empresariales

Gestión de riesgos informáticos debe formar parte de los objetivos empresariales e implementarse como un proceso holístico de gestión de riesgos. Esto significa que la gestión de riesgos debe ser asumida por la dirección a nivel operativo. Al mismo tiempo, se nombran comités y responsables adicionales para supervisar las medidas de gestión de riesgos informáticos, que asumen así la tarea del trabajo estratégico. Por lo tanto, los gestores de riesgos deben ser activos en ambos niveles y todas las medidas necesarias deben organizarse como un sistema de gestión de riesgos holístico.

Objetivos de la gestión de riesgos - definición

No hay duda: Hoy en día, muchos procesos empresariales se basan en el funcionamiento de las TI. En consecuencia, las TI son cada vez más complejas y, por tanto, más frágiles, por lo que deben ser protegidas. Muchos componentes de TI están conectados como sistemas de TI completos, que a su vez son esenciales para mantener procesos empresariales importantes. En caso de fallo, la empresa en cuestión se ve amenazada por un daño masivo. Aquí es precisamente donde entra en juego la gestión de riesgos informáticos con su objetivo principal: Identifica los riesgos, evalúa su importancia y evita que se produzcan.

Es importante que los gestores de riesgos sepan: ¿Cuáles son los riesgos?

Esto incluye todo lo que puede suceder a la TI y, por tanto, a los procesos de negocio asociados a ella. Hoy en día, muchos riesgos se derivan de Internet y también del hecho de que muchas cosas ya tienen lugar exclusivamente de forma digital. Por ejemplo, los ataques de piratas informáticos son un peligro real, así como el espionaje, el robo de datos, la pérdida y el mal uso. Los fallos de hardware y los errores de software también deben considerarse riesgos graves.

Proceso de gestión de riesgos

Existen, por tanto, numerosos escenarios de posibles daños. En este punto del proceso de gestión de riesgos, se desarrollan medidas para evitar dichos escenarios de daños, identificando y controlando los riesgos por adelantado. Es importante incluir todos los elementos de TI, desde el minuto uno, ya que están integrados en el proceso de negocio y actúan. Así, desde el momento en que se implanta un elemento informático, comienza su gestión de riesgos y continúa mientras ese elemento esté en funcionamiento y hasta que finalmente sea retirado y puesto fuera de servicio.

El sistema de gestión de riesgos también se aplica a la seguridad física

El aspecto de la seguridad física no debe descuidarse como parte de la gestión de riesgos informáticos. El acceso no autorizado, así como las amenazas externas de incendios y similares, también suponen un riesgo para los sistemas de TI. Para contrarrestar este riesgo, los componentes informáticos deben alojarse primero en un lugar adecuado, y esto significa literalmente un lugar seguro. Así se puede contrarrestar el peligro de acceso no autorizado. Además, se pueden utilizar procedimientos criptográficos de seguridad informática (encriptación), por ejemplo.

También hay riesgos para la seguridad informática física, que también se evalúan en el contexto de la gestión de riesgos informáticos.

Gestión de riesgos - Internet como punto de peligro: Internet es una fuente de peligro importante y al rojo vivo, por ejemplo debido a la amenaza de virus informáticos, etc., así como a los ataques aleatorios desde el exterior. Los ataques de piratas informáticos representan siempre una gran amenaza para los sistemas informáticos, ya que albergan el peligro de robo, manipulación y uso indebido de los datos. Por lo tanto, la gestión holística de los riesgos comienza naturalmente también aquí: los riesgos se limitan también en este ámbito y los posibles efectos negativos son limitados. Una gestión óptima de los riesgos informáticos cuenta con medidas y planes de emergencia adaptados a las áreas de riesgo relevantes en caso de emergencia.

Pasos de la gestión de riesgos

El proceso de gestión de riesgos puede implementarse en los siguientes pasos, por ejemplo:

• Identificar/reconocer las áreas de riesgo informático: ¿Qué sistemas están amenazados? En este paso se identifican los sistemas informáticos sensibles y luego se responde a la pregunta: ¿Qué importancia tienen estos sistemas?
• Riesgos: ¿Qué puede ocurrirle a estos sistemas? A qué riesgos se enfrentan? Ahora identificamos con la mayor precisión posible lo que puede ocurrirle a cada uno de estos sistemas de forma detallada.
• Análisis y evaluación de riesgos: A continuación, se evalúan todos los riesgos identificados (según la probabilidad de que se produzcan, el impacto, etc.); esto puede hacerse, por ejemplo, con la ayuda de una matriz de varios niveles.
• Gestión de riesgos: ¿Qué medidas se pueden tomar para minimizar el riesgo? Qué se puede hacer para gestionar las posibles consecuencias de la mejor manera posible? ¿Con qué presupuesto?
• Seguimiento de los riesgos: ¿Cómo evolucionan los riesgos? Qué nuevos se están añadiendo? Los informes y el seguimiento de la planificación y la evolución correspondientes se documentan y rastrean de forma precisa.

Normas reconocidas como guía para la gestión de riesgos

Las normas resumen las mejores prácticas y son una guía útil para desarrollar e implementar una gestión de riesgos exitosa. El estado del arte se mantiene y se asegura siguiendo los estándares. Además, los sistemas informáticos que están en riesgo pueden optimizarse con la ayuda de las directrices de estas normas. Incluso en caso de emergencia, se pueden cumplir los requisitos técnicos relevantes para la empresa y absolutamente necesarios.

Las normas generales de seguridad y gestión de riesgos son: IT-GS (IT-Grundschutz), ISO/IEC 18028 (seguridad de la red informática), ISO/IEC 27005 (gestión de riesgos de la seguridad de la información), ISO/IEC 15816 (objetos de seguridad para el control de acceso), ISO/IEC 27001 (seguridad de la información en las organizaciones).