Inicio              Compañía              Productos              Proyectos              Especialización              Casos de Éxito              Únete              Contáctenos
 
 

Evaluaciones técnicas de Seguridad Informática

LA PROBLEMÁTICA

En la mayoría de las Empresas de nuestro medio, se reconoce la necesidad de contar con recursos de TI (Tecnologías de Información) que brinden servicios  alineados a los objetivos del negocio. Esta demanda continua dispara un proceso de cambio constante, y los impactos y riegos de muchos de esos cambios no son analizados y validados adecuadamente.

Constantemente se menciona el término  “Riesgo” sin comprender completamente el alcance del mismo. Los equipos de IT por iniciativa propia encaran evaluaciones esporádicas de riesgo sin comprender los resultados que estas arrojan y como pueden estas evaluaciones beneficiar a la compañía.

LA GESTION DE RIESGO

La Gestión de Riesgo la definiremos como “un proceso continuo donde se analizan los riesgos presentes y como mitigarlos”.  Debemos tener en cuenta que no todos los riesgos se pueden mitigar y se debe asumir que los mismos se pueden reducir hasta un nivel aceptable.

Es un proceso continuo debido a que se deben realizar evaluaciones con cierta frecuencia, sobre todo cuando ya se han llevado a cabo acciones para mitigar ciertos riesgos. Las preguntas que uno debe hacerse es “¿Realmente hemos mitigado el riesgo?”, “¿Qué tan efectiva es la mitigación?”. Estos resultados solo pueden evaluarse en un proceso continuo de gestión.

El modelo utilizado por nuestra Compañía se basa en:

  1. Evaluación de riesgo: es el proceso de examinar e identificar los potenciales riesgos en las distintas áreas.

  2. Identificación de riesgo: puede facilitar el armado de un check list o lista de posibles riesgos para su posterior análisis.

  3. Análisis de riesgo: consiste en examinar las diferentes alternativas del riesgo, escenario y ámbitos.

  4. Priorización de riesgo: dar prioridad a aquellos con mayor nivel de riesgo de exposición. Debemos recordar que el riesgo está supeditado a la exposición y la probabilidad de que se aproveche la misma. Normalmente se usa una escala de Alto, Medio o Bajo Impacto y en base a este orden efectuamos la intervención, con el objetivo de mitigarlos.

  5. Eliminación del riesgo: realizar tareas para disminuir o anular el riesgo (mitigar).

  6. Control de riesgo: verificar que las tareas realizadas sean efectivas y mediante controles planificados volver a realizar el proceso nuevamente.

Se recuerda que la diferencia entre administrar riesgo y evaluar riesgo, es que en la primera existe un proceso de gestión y la segunda es una iniciativa para verificar los niveles de riesgos sin realizar ninguna tarea correctiva. Se puede denominar también monitoreo de riesgo.

 
 
Dirección: Calle Hermanos Catari 110, San Miguel (Lima 32 - Perú) - Teléfonos: (51-1) 578-2690 / 578-3459
Fax: (51-1) 578-0109 / Claro: (51-1) 99-811-6280 / Nextel: 1000*79
Email: consultas@osisonline.com - ® Derechos Reservados, Organizations and Systems Integral Solution S.A.C.