Tener claramente identificadas en una empresa cuáles son las razones por las cuales se puede llegar a materializar un riesgo es importante para saber cuál es la mejor forma de hacerle frente. Veamos a continuación los conceptos sobre los que debe tenerse mayor claridad para identificar un riesgo.
[Más información: 8 pasos para hacer una evaluación de riesgos]
Uno de los aspectos más relevantes para lograr que la gestión de riesgos sea realmente efectiva, es tener claro cuáles son las situaciones que pueden llegar a tener alguna repercusión en el normal funcionamiento de los procesos de la empresa. La respuesta a la pregunta ¿qué es y por qué hacer un Análisis de Riesgos? está relacionada con la necesidad de conocer la información y recursos críticos para lograr determinar cuáles son los mecanismos de control que permitan evitar o minimizar los impactos negativos.
Pero dado que una empresa no es para nada estática, se deben entender cuáles son las características de algunos conceptos que están relacionados entre si y que puede hacer que la naturaleza de los riesgos vaya cambiando a lo largo del tiempo.
El primero de estos conceptos son las vulnerabilidades. De forma rápida se puede definir como una debilidad que puede tener una aplicación, un sistema operativo, algún elemento de hardware o incluso algún control utilizado para mitigar los riesgos. La característica principal de estas vulnerabilidades es que son las que aprovechan las amenazas para hacer el daño. Además lo particular de las vulnerabilidades es que pueden ir variando en función de las actualizaciones y cambios que se hagan sobre los sistemas de la empresa.
Por otra parte, se habla de las amenazas, que están más relacionadas con una situación que pudiera presentarse en un futuro y que además puede llegar a generar algún tipo de problema en los activos de información de la empresa. Determinar cuáles son las amenazas que pueden llegar a presentarse en el entorno organizacional requiere de un conocimiento de los procesos, para tener con algún grado de certeza el grado de probabilidad con el que una amenaza puede presentarse.
Dando un paso más adelante, lo que puede resultar más importante para cualquier empresa es determinar cuál es la fuente de esas amenazas para saber dónde se deben concentrar los esfuerzos. Las principales fuentes de amenazas están relacionadas con eventos naturales o las personas. Para el primer caso se deben tener planes de contingencia que garanticen la continuidad del negocio. Y en segundo caso debe tenerse en cuenta que pueden ser personas externas que busquen hacer daño o pueden estar relacionados con recursos humanos que dentro la empresa lleven alguna acción mal intencionada, o que por negligencia o falta de conocimiento lleve a cabo una acción que ponga en riesgo la seguridad de la información.
Dado el crecimiento en la apropiación de tecnologías como redes sociales, almacenamiento en línea y otras tecnologías que aparecen continuamente en el mercado y son utilizadas por parte del recurso humano en su actividades diarias se presenta un panorama cambiante y que presenta distintos escenarios para la gestión de la seguridad.
Finalmente, cuando se identifica una amenaza que puede presentarse a partir de una vulnerabilidad en los sistemas o infraestructura de una empresa se da lugar a un riesgo.
De esta forma todo el esquema de gestión de riesgos debe revisarse periódicamente dado que constantemente aparecen nuevas amenazas o se descubren nuevas vulnerabilidades que por la dinámica del negocio pueden afectar su normal funcionamiento. La invitación es entonces a mantener una revisión permanente de riesgos y controles para saber qué es lo que realmente necesita el negocio.
