LOS 6 ELEMENTOS BÁSICOS EN LA GESTIÓN DE RIESGOS.

¿qué es un riesgo?

De acuerdo a la norma iso 31000:2018 un riesgo es el efecto de la incertidumbre

sobre los objetivos. en una nota se aclara que un efecto es una desviación
respecto a lo previsto. puede ser positivo, negativo o ambos, y puede abordar,
crear o resultar en oportunidades y amenazas.

¿qué es gestión del riesgo?

Son actividades coordinadas para dirigir y controlar la organización con relación al

riesgo.
La gestión de administración de riesgo nos podría ayudar a aumentar la eficiencia
operativa y la confianza de las partes interesadas y minimiza pérdidas.

6 elementos básicos en la gestión de riesgos:

1. Comunicación y consulta

la comunicación busca promover la toma de conciencia y la comprensión del

riesgo, mientras que la consulta implica obtener retroalimentación e información
para apoyar la toma de decisiones. el propósito de la comunicación y consulta es
ayudar a las partes interesadas pertinentes a comprender y manejar el riesgo.

2. Alcance, contexto y criterios

el propósito del establecimiento del alcance, contexto y criterios es adaptar el

proceso de la gestión del riesgo, para permitir una evaluación del riesgo eficaz y
un tratamiento apropiado del riesgo. el alcance, el contexto y los criterios implican
definir el alcance del proceso, y comprender los contextos externo e interno.

3. Evaluación del riesgo

La evaluación del riesgo es el proceso global de identificación del riesgo, análisis

del riesgo y valoración del riesgo.

4. Identificación del riesgo

El propósito de la identificación del riesgo es encontrar, reconocer y describir los

riesgos que pueden ayudar o impedir a una organización lograr sus objetivos.

5. Análisis del riesgo

El propósito del análisis del riesgo es comprender la naturaleza del riesgo y sus
características incluyendo, cuando sea apropiado, el nivel del riesgo.

6. Valoración del riesgo

el propósito de la valoración del riesgo es apoyar a la toma de decisiones. los

resultados de la valoración del riesgo se deberían registrar, comunicar y luego
validar a los niveles apropiados de la organización.

a) Tratamiento del riesgo

el propósito del tratamiento del riesgo es seleccionar e implementar

opciones para abordar el riesgo

b) seguimiento y revisión
 el propósito del seguimiento y la revisión es asegurar y mejorar la calidad y
la eficacia del diseño, la implementación y los resultados del proceso.

c) Registro e informe

El proceso de la gestión del riesgo y sus resultados se deberían

documentar e informar a través de los mecanismos apropiados.

IMPORTANCIA DE LA SEGURIDAD DE LA INFORMACIÓN

Las organizaciones y sus activos de información, sean estos físicos o digitales, se

enfrentan de forma creciente a amenazas como: fraude asistido por computadora,
espionaje, sabotaje, vandalismo, fenómenos naturales, descuido, desconocimiento
o mal uso del tratamiento de la información por parte del recurso humano. Muchas
de esas amenazas provienen de ingenieros sociales, hackers, empleados
negligentes, errores, entre otros, que buscan dañar la integridad de una
organización.

Existen dos factores importantes de la seguridad de la información:

a. La importancia o valor de los datos de acuerdo con los intereses y

necesidades de cada persona o institución;
b. La difusión o acceso, autorizado o no, de los mismos.

Componentes del riesgo de seguridad de la información

El riesgo de seguridad de la información tiene varios componentes importantes:

 Agente de amenaza: Entidad humana o no humana que explota una

vulnerabilidad;

 Vulnerabilidad: Lo que explota el actor de la amenaza;

 Resultados: El resultado de la explotación de una vulnerabilidad; e

 Impacto: Consecuencias de los resultados no deseados. No confunda los

resultados con los impactos.

Identificación de activos de información

El primer paso en la gestión de los riesgos es la definición del alcance que tendrá
el estudio. En este paso se definen los límites del sistema en estudio a la vez que
se detallan los recursos y la información que constituyen el sistema, que se
denominarán activos de información, algo esencial para posteriormente definir el
riesgo. Desde ya, es necesario un amplio conocimiento del ambiente en cuestión.
El primer concepto a contemplar es el de activo de información. Se denominan
Activos de Información a todos aquellos recursos de valor para una organización
que generan, procesan, almacenan o transmiten información.
Esto comprende:
• funciones de la organización,
• información y datos,
• recursos físicos (equipamiento, edificios),
• recursos humanos,
• recursos de software,
• servicios, etc.
Asociado al concepto de activo está el rol de Propietario de Información, quién es
responsable de clasificar al activo de información de acuerdo con su grado de
criticidad y de definir qué usuarios podrán acceder al mismo.

Clasificación de activos de información

Se define la criticidad de un activo en función de cuán necesario resulta para las

actividades de un área o la misión de la organización. Dado que en una
organización no todos los activos de información poseen el mismo valor, a la vez
que un mismo activo puede poseer un valor diferente para distintas áreas, se
establece una valoración estandarizada donde el propietario de la información
clasifica cada activo según las tres características básicas de la seguridad de la
información: la confidencialidad, la integridad, y la disponibilidad a la que debe
estar sometido.
Indicador Descripción del Mapa de riesgos
Riesgo: posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de
sus objetivos.
Impacto: consecuencias que puede ocasionar a la organización la materialización del riesgo.
Probabilidad: entendida como la posibilidad de ocurrencia del riesgo; ésta puede ser medida con criterios de Frecuencia, si se ha materializado
(por ejemplo: No. de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que
pueden propiciar el riesgo, aunque éste no se haya materializado.
Evaluación del Riesgo: Resultado obtenido en la matriz de calificación, evaluación y respuesta a los riesgos. Controles existentes: especificar cuál
es el control que la entidad tiene implementado para combatir, minimizar o prevenir el riesgo.
Valoración del Riesgo: es el resultado de determinar la vulnerabilidad de la entidad al riesgo, luego de confrontar la evaluación del riesgo con los
controles existentes.
Opciones de Manejo: opciones de respuesta ante los riesgos tendientes a evitar, reducir, dispersar o transferir el riesgo; o asumir el riesgo
residual Acciones: es la aplicación concreta de las opciones de manejo del riesgo que entrarán a prevenir o a reducir el riesgo y harán parte del
plan de manejo del riesgo.
Responsables: son las dependencias o áreas encargadas de adelantar las acciones propuestas.
Cronograma: son las fechas establecidas para implementar las acciones por parte del grupo de trabajo. Indicadores: se consignan los indicadores
diseñados para evaluar el desarrollo de las acciones implementadas.