Las Metodologías para análisis de riesgos se ven reflejadas en la información tratada en cada organización, debemos rescatar que algunas como OCTAVE, MEHARI, MAGERIT, CRAMM, EBIOS y NIST SP 800-30. Nos han permitido asegurar los sistemas de información de las organizaciones.
Así como otras Metodologías enfocadas a las ISO 9001:
- Identificar los riesgos: generalmente inicia con una sesión de lluvia de ideas, en las que participan personas de todas las áreas, que tienen un profundo conocimiento del funcionamiento del negocio. Se enumeran todos los agentes externos o internos que pueden, eventualmente, generar un riesgo por absurdo que parezca, o una nueva oportunidad.
- Determinar la criticidad de cada riesgo: los riesgos se evalúan comparándolos con un conjunto de factores y clasificándolos en una escala de acuerdo con su capacidad para impactar a la organización. Entre los factores que utilizamos para determinar que tan crítico es un riesgo, tenemos la probabilidad de ocurrencia y la facilidad o no para detectarlos.
- Clasificación de los riesgos: algunos riesgos resultan tolerables o aceptables para la organización, debido a su baja incidencia, su impacto leve o su escasa probabilidad de ocurrencia. Este tipo de riesgos, generalmente, no requieren emprender ninguna acción sobre ellos. Otros, por el contrario, deben ser eliminados o mitigados en su impacto. Algunos más pueden ser compartidos o tratados, de acuerdo con las acciones que describimos en el paso No.
- Determinar las acciones a seguir: finalmente, una vez la organización tiene una visión global de los riesgos a los que está expuesta, su capacidad de impacto y su probabilidad de ocurrencia, tiene todos los elementos necesarios para diseñar las acciones para el tratamiento de esos riesgos.
No hay comentarios:
Publicar un comentario