Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Realm<strong>en</strong>te, los objetivos fundam<strong>en</strong>tales <strong>de</strong> un análisis <strong>de</strong> riesgos son conocer<br />
mejor los sistemas <strong>de</strong> información y sus <strong>de</strong>p<strong>en</strong><strong>de</strong>ncias con el negocio, y<br />
po<strong>de</strong>r establecer <strong>la</strong>s contramedidas apropiadas acor<strong>de</strong> al nivel <strong>de</strong> riesgo que<br />
se está dispuesto a aceptar.<br />
En consecu<strong>en</strong>cia, <strong>la</strong> <strong>Gestión</strong> <strong>de</strong>l Riesgo <strong>de</strong>berá incluir por un <strong>la</strong>do el propio<br />
análisis <strong>de</strong> riesgos, i<strong>de</strong>alm<strong>en</strong>te actualizado, y por otro una p<strong>la</strong>nificación <strong>de</strong><br />
acciones, tareas y proyectos que permitan a <strong>la</strong> Entidad alcanzar y mant<strong>en</strong>er el<br />
nivel <strong>de</strong> riesgo que está dispuesto a asumir.<br />
De este modo, se parte <strong>de</strong>l riesgo intrínseco, que equivale al riesgo <strong>de</strong> una<br />
<strong>en</strong>tidad sin <strong>la</strong> imp<strong>la</strong>ntación <strong>de</strong> contramedidas, y, conforme se van aplicando<br />
<strong>la</strong>s contramedidas se podrá ir vi<strong>en</strong>do cómo el riesgo efectivo disminuye.<br />
Obviam<strong>en</strong>te, para gestionar el riesgo se imp<strong>la</strong>ntarán distintos tipos <strong>de</strong> medidas<br />
que <strong>de</strong>bieran disminuirlo. De este modo, existirán medidas técnicas,<br />
docum<strong>en</strong>tales, procedim<strong>en</strong>tales, funcionales, etc.<br />
Al final, lo importante es s<strong>en</strong>tirse razonablem<strong>en</strong>te a gusto con el resultado <strong>de</strong>l<br />
análisis <strong>de</strong> riesgos. Dicho análisis siempre será mejorable, se podrá <strong>en</strong>trar <strong>en</strong><br />
mayor <strong>de</strong>talle. Se podrán incluir nuevas funcionalida<strong>de</strong>s e incluso valoraciones<br />
económicas. Sin embargo, <strong>en</strong> <strong>la</strong> e<strong>la</strong>boración <strong>de</strong>l primer análisis <strong>de</strong> riesgos<br />
es aconsejable <strong>de</strong>limitar el alcance y evitar <strong>en</strong> gran medida el <strong>de</strong>talle.<br />
De hecho, el propio análisis nos indicará aquellos aspectos sobre los que se<br />
<strong>de</strong>berá profundizar. Del mismo modo, si a <strong>la</strong> hora <strong>de</strong> realizar el análisis <strong>de</strong><br />
riesgos no se <strong>en</strong>cu<strong>en</strong>tra algo sorpr<strong>en</strong><strong>de</strong>nte, pue<strong>de</strong> ser porque se conozca<br />
<strong>de</strong>masiado bi<strong>en</strong> el negocio o porque no se haya realizado con <strong>la</strong> rigurosidad<br />
oportuna.<br />
Si por el contrario, uno se <strong>en</strong>cu<strong>en</strong>tra con que <strong>la</strong> práctica totalidad <strong>de</strong> activos<br />
<strong>de</strong> los sistemas <strong>de</strong> información ti<strong>en</strong><strong>en</strong> consi<strong>de</strong>ración muy crítica para <strong>la</strong>s tres<br />
dim<strong>en</strong>siones <strong>de</strong> <strong>seguridad</strong>, es que no se ha <strong>en</strong>t<strong>en</strong>dido correctam<strong>en</strong>te el espíritu<br />
<strong>de</strong>l propio análisis o que se ti<strong>en</strong>e un gran <strong>de</strong>sconocimi<strong>en</strong>to <strong>de</strong>l negocio.<br />
En sí, abordar <strong>la</strong> realización <strong>de</strong> un análisis <strong>de</strong> riesgos es una experi<strong>en</strong>cia <strong>en</strong>riquecedora<br />
y si hay una participación g<strong>en</strong>eralizada por parte <strong>de</strong> <strong>la</strong> <strong>en</strong>tidad<br />
pue<strong>de</strong> ser una actividad divertida. En cualquiera <strong>de</strong> los casos, el resultado <strong>de</strong><br />
41