Según ISO 27001 y 27004 en ciberseguridad la clave es medir, medir y medir
El objetivo del presente artículo es sobrevolar sobre la familia ISO 27000, que contiene un amplio...
El objetivo de este artículo es poner sobre la mesa algunos aspectos relacionados con la gestión de riesgos y con términos que habitualmente se manejan como "apetito al riesgo", riesgo inherente, riesgo residual, riesgo residual contrastado, mitigación, eficacia de los controles,… especialmente pensado para las personas que de alguna u otra forma realizan alguna tarea relacionada con ellos.
La gestión de riesgos es en sí una gran oportunidad para mejorar la compañía y mejorar la identificación y gestión de la incertidumbre al requerir que la organización no se posicione simplemente para evitarlos, sino para poder anticiparse y, llegado el momento, disponer de las respuestas adecuadas. Toda esta dinámica debe estar regida por el “apetito al riesgo”, es decir el nivel de riesgo que la entidad quiere asumir en cada momento, porque no es una situación estática. Si se tratase de entidades públicas, para establecer el valor del apetito al riesgo no sólo deben contemplarse las posibles pérdidas económicas, sino que debe conciliar también su naturaleza social en función de los servicios públicos que presta.
Por ello, hay que contemplar las características propias de cada organización, su naturaleza, sector, área geográfica, su cultura, su tipo de gobierno corporativo,… porque la gestión de riesgos no deja de ser un traje a medida para cada organización. Lo que aplican las demás no siempre es válido aunque se encuentren en el mismo sector y sean del mismo tamaño. Es decir, un no taxativo al “cortar y pegar”.
Es el valor del riesgo que se asume como aceptable después de considerar:
Un nivel de riesgo óptimo sería el nivel de riesgo deseado por la organización que normalmente sería muy bajo (el que tu escribirías en una carta a los Reyes Magos), pero que no siempre es fácilmente conseguible o al menos con un coste razonable. Por ello, toda organización deberá determinar cuál es el nivel máximo con que el que está dispuesto a operar, y a ese valor se le denomina riesgo tolerable o "apetito al riesgo".
La propia gestión del riesgo y la determinación del “apetito al riesgo” de la organización, genera las siguientes mejoras:
Uno de los aspectos a considerar para su determinación es la termología a utilizar en la evaluación de riesgos. Usar en el análisis una terminología demasiado técnica puede ser contraproducente al limitar la colaboración de los no iniciados, que por otra parte es necesaria para disponer de una visión completa de la organización.
A la hora de valorar el estado en relación el apetito al riesgo que se haya definido, se recomienda utilizar el valor del "riesgo residual", que es el valor obtenido a partir del "riesgo inherente" (1) después de aplicar la mitigación aportada por sus controles (que son los que mitigan los riesgos). Se aconseja revisar periódicamente la eficacia de esa mitigación aportada por los controles para confirmar que no hay cambios reseñables. A ese proceso lo podemos denominar medida de la eficacia de los controles.
Éste tal vez sea un aspecto más operativo y, por ello, visto desde los tradicionales ámbitos de cumplimiento más ligados al mundo legal, es decir más orientados a la “C” del triángulo GRC, que están más acostumbrados a los tradicionales “check list” con el binomio SI/NO. Como la “G” de gobierno corporativo y la “R” de riesgos del GRC aportan una visión complementaria a la parte legal de aspectos que tienen "gama de grises", la medida debería de estar más orientada a la captura y evaluación de datos numéricos para aportar una valoración válida de la eficacia de sus controles, de la que además puede verse su evolución.
En cualquier caso, la medida debe siempre estar basada en datos objetivos obtenidos directamente desde las fuentes propietarias de esa información, o de sus sistemas gestores, y a poder ser sin una manipulación intermedia. Y si para determinar la eficacia es necesario realizan operaciones aritméticas o lógicas con esos datos, ésas deberán estar expresadas de forma clara y fácilmente comprensible por todos. El hecho de contar con la involucración directa de las fuentes, hace a la función del Área de Cumplimiento más colaborativa y mejor reconocida por el resto de la organización. Pero ojo con abusar en exceso de las fuentes, porque podría ser contraproducente.
Como parte clave del marco de gestión de riesgos, y para disponer de una opinión complementaria sobre la adecuación y eficacia de la gobernanza del riesgo y del control interno realizado, es siempre aconsejable realizar auditorías periódicas. Así, los auditores internos revisarán los valores fijados de ”apetito al riesgo”; qué controles han sido implantados; cómo se ha medido su eficacia y cuales ha sido las respuestas de la organización ante las desviaciones encontradas, y determinar si han sido correctas. Del error también se aprende.
Estos contrapesos en la organización confirmarán si las cosas se están realizando bien y se están asumiendo los niveles de riesgo que la dirección ha establecido, y no otros.
¡Te animas a controlar tus riesgos de una forma organizada y auditable! ¡Cuéntanos tus necesidades o inquietudes!
Notas
(1) Riesgo Inherente se calcula como el factor "impacto" por el factor "frecuencia" de ocurrencia. Genera un valor tabulado de entre unos 5 niveles. "Impacto" se refiere al daño que puede ocasionar de tipo económico, reputacional o penal (no son excluyentes).
Bibliografía: Risk Appetite Guidance Note" August 21 V2.0 Government Finance Function (UK)
La trayectoria profesional de Eliseo está a caballo entre áreas técnicas y marketing. Actualmente trabaja en el desarrollo de nuevos productos y servicios de Cibernos, tales como "Motor de Cumplimiento", producto específico para el control del cumplimiento, y "TaaS" (Truth as a Service) que utiliza Blockchain para la protección de las evidencias que deban ser utilizadas ante litigios (secretos empresariales, cumplimiento, publicaciones de los medios, actas de comités, tramitación en las AAPP,...).
El objetivo del presente artículo es sobrevolar sobre la familia ISO 27000, que contiene un amplio...
¿Sois conscientes de la cantidad de Responsable de Cumplimiento (RC) que se hacen esta pregunta?,...
¿Qué es el GRC? ¿Por qué es importante para las empresas? ¿Cuál es su papel? Si formas parte de una...