Guía de gestión de riesgo de Desarrollo de Sistemas Informáticos

La gestión de riesgos en TI
La gestión de riesgos en TI (Imagen: imagen Fuego por Luke Haverkamp de Fotolia.com
)

Las empresas de hoy se enfrentan a muchos riesgos, incluidos los desastres naturales, desastres hechos por el hombre intencionales y no intencionales, y fallos de los sistemas catastróficos. Cualquiera de estos desastres pueden afectar gravemente a los sistemas de tecnología de la información (IT) de una organización. La gestión de riesgos es el proceso de administrar adecuadamente y responder a esos riesgos con el objetivo de mantener las operaciones comerciales durante un evento que amenaza la vida de una empresa. Un buen programa de gestión de riesgos puede determinar la verdadera exposición a los sistemas de tecnología de información de una empresa para un determinado conjunto de riesgos y proveer insumos para el desarrollo de estrategias para hacer frente a los riesgos.

Gestión de riesgos

La gestión de riesgos es parte de un proceso de nivel superior denominado planificación de la continuidad de negocio, que abarca una serie de actividades que todos tienen los mismos objetivos: proteger la capacidad de la organización para continuar sus funciones de negocio y reducir al mínimo el impacto de un suceso perturbador. La mayoría de las empresas de cualquier tamaño dependen en gran medida de sus sistemas informáticos, y estos sistemas deben estar funcionando para continuar las operaciones de negocio. El proceso de gestión de riesgos, comprende necesariamente TI y gran parte del esfuerzo de la gestión de riesgos se gastará el desarrollo de estrategias para proteger y recuperar los sistemas de información y tecnología.

Análisis de riesgo

El análisis de riesgos es una parte vital de un programa de gestión de riesgos. La organización debe identificar, evaluar y asignar un valor a la ocurrencia de un evento. Esto implica determinar la probabilidad real de un evento, a continuación, determinar el impacto en el negocio y la asignación de un valor en dólares a ese impacto. Esto ayuda a determinar una estrategia para abordar el riesgo. Por ejemplo, una tormenta eléctrica puede desactivar un centro de datos durante un período prolongado de tiempo, dependiendo de la cantidad de daño. Si los sistemas de información están abajo, ventas, servicio al cliente, las comunicaciones y cualquier número de funciones de negocios se ven afectados negativamente. Esto se traduce en dólares perdidos a la empresa.

Hay muchos riesgos que se enfrentan a cualquier grupo de tecnología de la información y el análisis de riesgos adecuada busca descubrir a todos ellos. Desde desastres naturales hasta los desastres hechos por el hombre a fallos de hardware y software catastróficos, todos los riesgos potenciales deben ser documentados y analizados para determinar la verdadera probabilidad de una ocurrencia.

Estrategias de riesgo

Una vez identificados los riesgos, analizados y evaluados, la organización debe hacer frente al riesgo de alguna manera. Hay tres respuestas básicas a un riesgo identificado: eliminar el riesgo mitigar (o acción) el riesgo o aceptar el riesgo. La decisión está fuertemente influenciado por el costo de la estrategia contra el impacto del dólar que ocurra el riesgo de un evento.

Video: GTC 45 Matriz de riesgos 3

Si el riesgo es alto y el impacto es alto, la empresa puede decidir invertir fuertemente en la eliminación o mitigación del riesgo. Si el riesgo es bajo y el impacto es baja, la empresa puede decidir aceptar el riesgo. Por ejemplo, si hay un alto riesgo de tornados debido a la ubicación geográfica de un negocio, hay una amenaza reconocida para el centro de datos que alberga los sistemas de tecnología de la información. El riesgo es alto y el impacto podría ser muy costoso. En este caso, la empresa puede decidir hacer varias cosas: aplicar una buena estrategia de copia de seguridad con los datos de copia de seguridad se trasladaron fuera de sitio- suscribirse a un sitio-de recuperación alternativo y tomar una póliza de seguro de interrupción del negocio. las estrategias de sistemas de tecnología de información normalmente se basan en gran medida de la capacidad de restaurar los datos de copias de seguridad, por lo que es vital que la copia de seguridad y restaurar la estrategia se ensayan varias veces al año.

Mitigación de riesgos

Una organización puede mitigar o reducir el riesgo de sus sistemas de información de varias maneras. Uno de ellos es implementar controles que reducen el riesgo. Por ejemplo, si un riesgo identificado implica la seguridad física de una sala de servidores, la empresa puede optar por instalar la tarjeta de acceso o incluso puertas de acceso biométricos. Esta medida reduciría en gran medida el riesgo de una intrusión física.

ataque cibernético es otro riesgo común. Si una empresa está conectado a Internet, que está sujeta a ataque cibernético. La empresa puede optar por reducir este riesgo mediante la instalación de un servidor de seguridad en la conexión a Internet para mantener alejados a los intrusos. Estas opciones de mitigación se implementan normalmente como controles.

Los controles de riesgo

Video: Lección 17: Datos Personales. Guía de Seguridad para Usuarios (intypedia)

Video: UTPL GESTIÓN DE PROYECTOS [(INFORMÁTICA)(GESTIÓN DE PROYECTOS INFORMÁTICOS)]

controles de riesgo para la tecnología de la información incluyen controles de apoyo, prevención y recuperación. controles de soporte incluyen sistemas de hardware y software, sistemas de identificación de usuario, la criptografía y las herramientas de administración de seguridad. Los controles preventivos incluyen la seguridad física, sistemas de protección contra intrusiones, autenticación y autorización de sistemas y sistemas de control de acceso. controles de recuperación están en su lugar para hacer frente a un acontecimiento que está en curso, o ya ha ocurrido. Estas herramientas incluyen auditorías, sistemas de detección de intrusión, sistemas de registro, y la copia de seguridad y restaurar los sistemas.

Video: AUDITORIA Y SEGURIDAD INFORMÁTICA

Además de estos controles técnicos, una empresa puede implementar controles de gestión, incluyendo la separación de funciones, formación, ejercicios de recuperación de desastres y las auditorías de TI periódica. Todos estos controles son fundamentales y necesarias para la protección de los sistemas informáticos de la empresa.

Artículos Relacionados
Gestión de Riesgos y la toma de decisiones
Barrido Ambiental y Gestión de Riesgos
Cómo escribir un Plan de Gestión de Riesgos
Descripción de trabajo para la Gestión de Riesgos
Cómo escribir una conclusión sobre la Gestión de Desastres
Riesgo de gestión oficial Descripción del trabajo
¿Cómo hacer una evaluación de riesgos
¿Qué es un Plan de Mitigación para la Gestión de Proyectos?
Tipos de Gestión de Riesgos del Proyecto
Vs. Mitigación de Riesgos Planificación de contingencias
Papel de un gestor de riesgos
Cómo identificar las principales técnicas de gestión de riesgos
Cómo preparar un plan de proyecto de Gestión de Riesgos
Objetivos de Gestión del Programa
Un resumen de los riesgos material e inmaterial
¿Qué es la Gestión de Riesgos?
Cómo mostrar Técnicas de gestión de riesgos internos y externos
¿Cuáles son los tres aspectos principales de la gestión de riesgos y seguridad de la información ¿Por qué es importante Cada?
Análisis de Riesgos Gestión de Proyectos
Importancia de la gestión de riesgos del proyecto