Tratamiento de Riesgos

Cuando hacemos referencia a la gestión de servicios siempre escuchamos que lo que no se mide no se puede mejorar. Las organizaciones más preocupadas por la entrega de servicios de calidad ponen en marcha distintos procesos de gestión de servicios como el proceso de gestión de cambios, gestión de la capacidad o gestión de niveles de servicios, haciendo un gran esfuerzo para medir la calidad de los servicios entregados a los clientes con el fin de mejorar, optimizar los recursos y en definitiva aumentar el ROI en la entrega de servicios. Sin embargo, cuando hablamos de la gestión de la seguridad no hay ROI que valga, una consultoría para desarrollar el Plan de Continuidad del Negocio (BCP), elaborar el Plan de Recuperación ante Desastres (DRP), comprar un cortafuegos o comprar un SIEM, casi siempre es visto como un gasto por Dirección.

Está claro que ahorraremos dinero si no implantamos ningún control en la organización, implantar un BCP/DRP tiene un coste pero ¿cuánto cuesta no implantarlo? Es decir, ¿cuánto cuesta no poder recuperar los datos ante un descuido que ha borrado una base de datos completa? ¿cuánto tiempo podemos estar con los sistemas apagados ante un corte del suministro eléctrico? Para responder a estas preguntas es necesario realizar un Análisis de Riesgos que identifique las vulnerabilidades y amenazas de los activos que utiliza una organización para lograr los objetivos de negocio. Una vez identificado los riesgos y definido el nivel aceptable o valor residual será necesario que Dirección tome medidas para :

• Evitar el riesgo: Eliminar el riesgo eliminando la causa que lo provoca, para ello no se permitirá realizar ciertas acciones que provocarían que los riesgos apareciesen de nuevo. Evitar el riesgo tiene el coste de modificar nuestra manera habitual de realizar ciertas acciones por otras alternativas que no acarreen riesgo.
• Mitigar el riesgo: Reducir la probabilidad o impacto del riesgo definiendo, implementando y monitorizando adecuadamente los riesgos mediante controles internos. Mitigar el riesgo tiene el coste de definir, implementar y monitorizar los controles.
• Transferir el riesgo: Desviando o asignando el riesgo a un socio, o traspasándolo a una entidad aseguradora mediante un acuerdo contractual. No olvidemos que en este caso el riesgo no es transferido al 100% sino que es compartido por ambas partes. Transferir el riesgo tiene el coste que acordemos con el socio o entidad aseguradora.
• Aceptar el riesgo: Consiste en aceptar formalmente la existencia del riesgo, esto no quiere decir que nos podemos olvidar de él, sino que deberemos monitorizarlo. Aceptar el riesgo tiene el coste de monitorizarlo.

Como vemos, los riesgos se pueden evitar, reducir, transferir o aceptar. Si una organización no está realizando ninguna de estas opciones con sus riesgos es que los está ignorando o directamente nunca a realizado un análisis de riesgos, por tanto será difícil que haya realizado una evaluación y tratamiento de riesgos. Independientemente de la opción que Dirección escoja para tratar los riesgos, todas ellas tienen un coste al que no le verán el ROI debido a que es una inversión que no genera riqueza, sin embargo si lo pensamos y lo trasladamos a Dirección como una inversión que nos protege ante un robo de información o ante una parada no planificada de la producción estamos ante un Retorno sobre la Inversión de Seguridad o también llamado ROSI.