La gestión de riesgo es un enfoque estructurado para manejar la incertidumbre, es decir la posibilidad de que ocurra o no un riesgo, para evitar que ocurran consecuencias no deseadas dado el caso que el riesgo se haga realidad, para ello se pueden llevar a cabo una secuencia de actividades para evaluar el riesgo, mitigar el riesgo y estrategias para manejar el riesgo que incluyen transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas las consecuencias de un riesgo particular de tal forma que las posibles perdidas y la posibilidad que se haga presente el riesgo se minimicen, en resumen la Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlarlo..
La gestión de riesgo en el campo de la información busca sensibilizar en las empresas el tema de la seguridad informática y la gestión de los riesgo relacionados con el manejo de datos e información.
Como se menciono anteriormente la gestión de riesgos tiene cuatro fases:
- Análisis: en esta fase lo que se busca es conocer el sistema que se desea proteger conociendo sus vulnerabilidades y las amenazas a las que esta expuesto con el objetivo de revelar el grado de riesgo del sistema.
- Clasificación: Determina si los riesgos encontrados y los riesgos restantes son aceptables.
- Reducción: establece e implementa las medidas de protección para la reducción de los riesgo encontrados en la fase del análisis, además capacita los usuarios conforme a las medidas.
- Control: analiza y evalúa el funcionamiento y efectividad de las medidas de protección implementadas en la fase de reducción, con el fin de mejorar las medidas que son ineficientes.
Estas fases están basadas en políticas de seguridad, normas y reglas institucionales y tiene la finalidad de potencializar las capacidades de una empresa disminuyendo las vulnerabilidades y limitando las amenazas con el resultado de reducir el riesgo.
Los sistemas de información son vulnerables a una diversidad de amenazas y atentados por parte de personas que pueden o no pertenecer a la institución, por desastres naturales, por el desastre a causa de intromisión, robo, fraude, sabotaje o interrupción de las actividades de cómputos.
Por tanto los miembros de la organización se deben preocupar por establecer normas de seguridad al interior de la empresa para proteger la información, establecer una planificación formalizada para la seguridad informática y gestionar los medios necesarios para administrar correctamente la función de la seguridad informática.
Bibliografía
Basc, “Riesgos informáticos” , en línea, ultima consulta: 30-enero/2011 Disponible en: http://www.basc-costarica.com/documentos/riesgosinformatica.pdf
“Gestión de riesgos en la seguridad informática”, en línea, ultima consulta: 30-enero/2011 Disponible en: http://protejete.wordpress.com/gdr_principal/gestion_riesgo_si/
Wikipedia La enciclopedia libre, “Gestión de riesgos”, en línea, modificado: 1- febrero/ 2011 ultima consulta: 1-febrero/2011 Disponible en:
No hay comentarios:
Publicar un comentario