Índice de contenidos
ToggleCálculo del Riesgo Residual
Las empresas son constantemente acechadas por riesgos. Son tantos y tan distintos entre sí, que es imposible que nos preparemos para todos los riesgos existentes. Necesitamos reparar en ellos de manera concienzuda para prevenirlos y gestionarlos, para eso contamos con herramientas como el análisis de riesgos, el plan de continuidad del negocio, el análisis de impacto empresarial, entre otros.
Por ahora nos afianzaremos en estos tres últimos, puesto que son más relevantes para este tema, y los definiremos así:
Análisis de Riesgos:
Es una parte fundamental en la administración de la seguridad, que nos permite identificar los puntos más débiles que dan soporte a los procesos críticos de la organización.
Sirve como guía de selección de medidas de protección de costos adecuados, determina dónde es necesario contar con esquemas de recuperación de desastres y continuidad del negocio, ayuda a crear políticas de seguridad mejor adaptadas a las necesidades de la organización, apoya en la planificación de la reducción de riesgos, prevención de accidentes, visualización y detección de las debilidades existentes en los sistemas y ayuda en la toma de las mejores decisiones.
Un análisis de riesgos, de acuerdo con ISO 31000 – Sistema de gestión de riesgos:
- es útil para crear y proteger el valor,
- es una parte integral de todos los procesos de la organización,
- trata explícitamente la incertidumbre,
- es sistémico, estructurado y oportuno,
- se basa en la mejor información disponible,
- es adaptable,
- integra los factores humanos y culturales,
- es transparente y participativo,
- es dinámico, iterativo,
- responde a los cambios y facilita la mejora continua de la organización.
Plan de continuidad del negocio (BCP):
Se enfoca en sostener la misión/procesos comerciales de una organización durante y después de una ruptura. Un ejemplo de una misión/proceso comercial puede ser el proceso de nómina de una organización o un proceso de servicio al cliente. Se puede crear un BCP para procesos de misión/negocio dentro de un solo negocio. También puede tener un alcance para abordar solo funciones consideradas prioritarias.
Análisis de impacto empresarial (BIA):
Es un paso clave en la implementación de los controles de continuidad de los procesos. Tiene como propósito correlacionar el sistema con la misión/procesos comerciales y servicios críticos. Con base en esa información, caracteriza las consecuencias de la interrupción y determina los requisitos de planificación, contingencia y prioridades.
Los resultados del BIA deben ser adecuadamente incorporados en el análisis y desarrollo de la estrategia, BCP y DRP (disaster recovery plan) de la organización.
A medida que el diseño del sistema evoluciona y los componentes cambian, es posible que sea necesario volver a realizar el BIA. Generalmente, se involucran tres pasos para lograr el BIA:
- Determinar los procesos de misión/negocios y la criticidad de la recuperación. Podemos calcularlo determinando los impactos de la interrupción y el tiempo de inactividad estimado. El tiempo de inactividad debe reflejar el tiempo máximo que una organización puede tolerar sin dejar de mantener la misión.
- Identificar recursos disponibles. Los esfuerzos realistas de recuperación requieren una evaluación exhaustiva de los recursos necesarios para reanudar la misión/procesos comerciales y las interdependencias lo más rápido posible. Ejemplos de recursos que deben identificarse incluyen instalaciones, personal, equipo, software, archivos de datos, componentes del sistema y registros vitales.
- Identificar las prioridades de recuperación de los recursos del sistema. Con base en los resultados de las actividades anteriores, los recursos del sistema se pueden vincular más claramente a la misión crítica/procesos comerciales y funciones. Se pueden establecer niveles de prioridad para secuenciar las actividades y los recursos de recuperación. Es decir, sumar las características del proceso para definir cuál es el mayor impacto, cuál es el de menor impacto y cuáles son las características de esos procesos. Así podemos enfrentar los eventos disruptivos.
El BCP se alimenta del análisis de riesgo y del BIA. Gracias a ellos podemos implementar estrategias de recuperación, que incluyen planes de tratamientos de riesgos, para poder tratar los riesgos inherentes y los residuales.
Los inherentes son parte de los procesos, por lo tanto, no se pueden eliminar, sino que hay que identificarlos y tratarlos.
Los residuales, por su parte, son aquellos que persisten incluso aún después de tomar las medidas necesarias para tratar los riesgos inherentes.
Si tenemos una estrategia de recuperación, plan de tratamiento de riesgos y plan de continuidad del negocio, podemos crear un calendario de servicios. Al disponer de todos los elementos citados, deberíamos volver a hacer un análisis de riesgos.
Seguramente nos percataremos de que la probabilidad de que ocurra un evento disruptivo será la misma (maremotos, terremotos, inundaciones, manifestaciones violentas que amenacen la infraestructura de la organización, enfermedades de los colaboradores, entre otros), pero el impacto disminuirá considerablemente porque sabremos cómo actuar y conservar las instalaciones, equipos, se entrenará al personal para que pueda estar a salvo, se dispondrán de puntos alternos para volver a las labores…
Los sistemas de gestión y BCP nos ayudan a gestionar los riesgos residuales porque si conocemos a qué eventos disruptivos nos enfrentamos y ejecutamos los elementos del BCP, desde el punto de vista preventivo, el riesgo residual disminuye porque ya no seremos tomados por sorpresa. La capacidad que desarrolla la organización cuando hace un BCP es la de anticiparse a condiciones adversas que no puede controlar.
Sistema de Gestión de Riesgo Residual
Como se ha mencionado, todas las organizaciones pueden sufrir este tipo de afectaciones por un riesgo residual que pueda llegar a producirse y, es por esto que la mejor decisión es implementar un sistema de gestión de riesgos para aminorar las pérdidas que pueden generar.
La implementación de un Sistema de Gestión de Riesgos Corporativos permite que con una serie de pasos se realicen tareas de identificar los riesgos. Para ello se deben tener en cuenta la estructura organizacional, la actividad económica, los recursos, actualizaciones internas, los agentes externos como los tecnológicos, etc.
Determinado esto se debe hacer la evaluación de los riesgos, para ello, el Software de Gestión de Riesgos Corporativos de GRCTools es especialmente indicado, ya que facilita la configuración de las matrices y la alineación con toda la organización. Los recursos empleados para llevar a cabo una gestión de riesgos eficiente se verán reducidos al mínimo, mejorando además el rendimiento del sistema.
- Implementando el Marco de Riesgo NIST: Estrategias para una Protección Efectiva
- Gestión de riesgos de ciberseguridad: clave para proteger tu empresa
- Comparativa: Software GRC vs. métodos tradicionales de gestión de riesgos
- Impacto del Software GRC en la Reducción de Riesgos Operativos
- Claves para gestionar los riesgos de terceros en tu empresa
¿Desea saber más?
Entradas relacionadas
Implementando el Marco de Riesgo NIST: Estrategias para una Protección Efectiva
El Marco de Riesgo NIST (National Institute of Standards and Technology Risk Management Framework) es un conjunto de lineamientos...