Gestión de Riesgos en un SGSI.
La implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) requiere de un conocimiento profundo de la Gestión de Riesgos. Tras haber determinado los riesgos existentes en una organización, se han de tomar las medidas adecuadas para hacerles frente.
El Risk Management es el proceso por el que se gestionan, minimizan, transfieren o eliminan los riesgos que afectan a los activos de información de la empresa. Para afrontar los riesgos se disponen de las siguientes opciones:
- Eliminar el riesgo. Consiste en eliminar los activos a los que el riesgo está asociado. Suele ser costoso. Al tratarse de una medida drástica, se suelen buscar opciones alternativas.
- Transferir el riesgo. Se valora la subcontratación de un servicio externo o de un seguro que cubra los gastos en el caso de que ocurra una incidencia. Hay casos en los que el valor del activo y el tipo de riesgo asociado no hacen viable la subcontratación. Cuando se opta por la contratación de un seguro, hay que asegurarse de que el valor del activo es superior al del propio seguro.
- Asumir al riesgo. Esto implica que no se van a tomar medida de protección con respecto a ese riesgo. La decisión es tomada por la alta dirección y solamente es viable en el caso de que la organización controle el riesgo y vigile que no aumenta.
- Mitigar el riesgo. La empresa debe implantar una serie de medidas que actúen de salvaguarda para los activos. Todas las medidas implantadas han de ser documentadas y gestionadas por la empresa.
Una vez decididas las medidas a adoptar para aplicar a los riesgos identificados, se procede a la realización de un análisis. Éste tiene como resultado el riesgo residual y el nivel de riesgo aceptable por la empresa.