| Noticias | 23 MAY 2008

Gartner advierte de la dispar gestión de riesgos en la empresa

Tags: Seguridad
Las diferentes formas de afrontar la gestión y valoración de los riesgos en una organización, a menudo de manera aislada, generan falta de transparencia e inconsistencia a la hora de considerar el propio riesgo. Gartner propone siete medidas para entender y gestionar el riesgo coherentemente.
Arancha Asenjo

Las empresas son cada vez más conscientes de la posibilidad de sufrir riesgos y esta mayor concienciación hace, a juicio de Gartner, que se revele las grandes diferencias en el uso y aplicación del término “riesgo” que hay dentro de la estructura empresarial, especialmente en el departamento de tecnologías. Según Paul Proctor, vicepresidente y analista de Gartner, “el término riesgo se ha sido añadido a muchas funciones tradicionales de las TI como seguridad, continuidad de negocio, gestión y privacidad, sin que fuera acompañado de cambios en los procesos y metodologías usados para entender y gestionar el riesgo asociado a esas áreas”.

La disociación a la que se refiere Proctor “empobrece la implantación de gestión de riesgos como una disciplina, limitando su efectividad”. Asimismo, causa escasa transparencia entre los procesos y la falta de una visión completa del riesgo, necesario para valorar la exposición de la organización y las medidas para mitigar los efectos de esta situación. “Aunque no hay una única definición que valga para todas las organizaciones, es importante empezar desde un marco de trabajo común y global para eliminar solapamientos, evitar lagunas de cobertura y garantizar el buen gobierno”.

Además, la consultora ha elaborado una lista de recomendaciones para que los responsables de TI puedan entender y gestionar los riesgos de manera que contribuyan a la gestión de toda la organización: - Implementar un marco de trabajo para la valoración y monitorización de riesgos

- Establecer las tareas de los directores de riesgo según sus áreas de responsabilidad

- Identificar y definir los riesgos a los que se expone la empresa y lo que constituye un evento de riesgo o “casi” para que esos incidentes puedan ser asociados a riegos específicos

- Determinar el nivel de amenaza y centrarse en los riesgos con mayor nivel de impacto en el rendimiento

- Establecer niveles de control de procesos proporcionales a la amenaza percibida.

- Registrar y guardar información sobre incidentes de riesgo o posibles sucesos

- Realizar valoraciones de riesgo periódicas para determinar cambios en el perfil de riesgos de operación y el rendimiento del control de evaluación.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información