En una encuesta reciente, el 65% de los responsables financieros coinciden en que el volumen y la complejidad de los riesgos empresariales han aumentado "mayormente" o "significativamente" en los últimos cinco años. A pesar del volumen y la complejidad percibidos de los riesgos, muchos de estos líderes no creen que sus procesos de gestión de riesgos sean adecuados.

La implementación de un registro de riesgos es una forma para que las organizaciones identifiquen, evalúen y gestionen mejor los riesgos y las actividades relacionadas con estos en el contexto de su misión y objetivos empresariales más amplios.

A continuación, explicamos qué es un registro de riesgos, los beneficios que ofrece y cómo crear uno. También proporcionamos un ejemplo y una plantilla para ayudarle a comenzar a crear su propio registro de riesgos.

¿Qué es un registro de riesgos?

Un registro de riesgos es un directorio central o un registro centralizado de los riesgos actuales a los que se enfrenta una organización, así como información relacionada como una descripción del riesgo, los impactos en caso de que el riesgo se materialice, la probabilidad de que ocurra, las estrategias de mitigación del riesgo, los responsables del riesgo y una clasificación para priorizar los esfuerzos de mitigación.

También deben incluirse datos sobre cómo evoluciona el riesgo en términos de probabilidad e impacto en función de las respuestas establecidas para esos riesgos. El riesgo residual, o el riesgo que queda después de aplicar las respuestas a los riesgos, también debe registrarse en el registro de riesgos.

Beneficios de un registro de riesgos

Un registro de riesgos ofrece varios beneficios. Los más notables son:

• Comunicación consistente de la información sobre riesgos: El uso de un registro de riesgos con criterios y categorías acordados asegura consistencia en la captura y comunicación de la información sobre riesgos a lo largo del proceso de gestión de riesgos y a nivel de toda la organización.
• Mejora en la toma de decisiones basadas en riesgos: Un registro de riesgos puede ayudar a los responsables de la toma de decisiones a implementar, monitorear, evaluar y ajustar las respuestas a los riesgos para mantener el riesgo general dentro de la tolerancia de la organización.
• Monitoreo de riesgos y progreso de los procesos de gestión a lo largo del tiempo: Un registro de riesgos puede ayudarle a monitorear continuamente los riesgos y las respuestas a estos y a proporcionar retroalimentación para mejorar los procesos y ajustar los criterios de riesgo con el tiempo.
• Cumplimiento: La gestión de riesgos es parte integral de la mayoría de los marcos de seguridad y cumplimiento. Por lo tanto, al usar un registro de riesgos dentro de su programa de gestión de riesgos, garantiza el cumplimiento de su organización con varios marcos.

Cómo crear un registro de riesgos

Siga los siguientes pasos para crear un registro de riesgos.

1. Identificar y registrar riesgos

Comience identificando todos los riesgos que podrían afectar los objetivos de su empresa. Estas son amenazas potenciales que podrían poner en peligro las operaciones, activos o personas de su organización. Al registrarse en el registro de riesgos, puede asignar una identificación a cada riesgo, como "R-1".

2. Describir los riesgos

A continuación, explique brevemente el escenario de riesgo que podría afectar a la organización. Un formato de causa y efecto puede ser útil. Un ejemplo de una descripción de riesgo en este formato sería: "[Aplicación web] utiliza un protocolo obsoleto e inseguro. Si esta vulnerabilidad se explota, un hacker podría descifrar el tráfico de la aplicación web".

3. Categorizar los riesgos

El siguiente paso es categorizar los riesgos. El objetivo es utilizar una estructura organizativa que le permita consolidar varias entradas en el registro de riesgos. Por ejemplo, puede utilizar las familias de controles del NIST SP 800-53. Aquí están las categorías:

• Control de acceso
• Auditoría y responsabilidad
• Concienciación y formación
• Gestión de configuración
• Planificación de emergencia
• Evaluaciones de control
• Autorización y supervisión
• Identificación y autenticación
• Respuesta a incidentes
• Mantenimiento
• Protección de medios e información
• Protección de personal y seguridad
• Seguridad física y ambiental
• Planificación
• Evaluación de riesgos
• Adquisición de sistemas y servicios
• Integridad de sistemas e información
• Protección de sistemas y comunicaciones
• Gestión de programas
• Procesamiento y transparencia de PII
• Gestión de riesgos de la cadena de suministro

Utilizando estas familias de controles, el riesgo descrito en el paso 2 se categorizaría como "Integridad de sistemas e información".

4. Evaluar la probabilidad y el impacto de cada riesgo

Ahora es el momento de analizar los riesgos. Esto requiere una estimación de la probabilidad de que ocurra cada evento de riesgo identificado (antes de aplicar una respuesta al riesgo) y una estimación de las posibles consecuencias del evento de riesgo (si no se aplica ninguna respuesta al riesgo).

Aquí hay dos métodos para el análisis de riesgos:

• Análisis cualitativo incluye descripciones como muy bajo, bajo, moderado, alto o muy alto. La escala puede informarse a través de fuentes externas como referencias o estándares industriales, métricas de escenarios de riesgo similares del pasado o resultados de inspecciones y evaluaciones.
• Análisis cuantitativo incluye valores numéricos basados en probabilidades estadísticas y una evaluación monetaria de pérdidas o ganancias.

Aquí hay ejemplos de escalas cualitativas y cuantitativas que Secureframe usa para su registro de riesgos.

Veamos un ejemplo del uso de estas escalas del NISTIR 8286. Supongamos que intenta estimar la probabilidad y los impactos de las consecuencias de la no disponibilidad de un servidor crítico para la empresa en el departamento financiero de una organización. Los subfactores que influyen en la probabilidad de este escenario de riesgo son:

• La antigüedad del servidor
• La red en la que se encuentra
• La confiabilidad del software

Por ejemplo, si el servidor tiene cinco años o más, la probabilidad de falla puede ser moderada (en una escala cualitativa) o estar entre 6 y 14 (en una escala cuantitativa).

Los subfactores que influyen en los impactos de este escenario de riesgo son:

• Redundancia
• Momento
• Cantidad de clientes que dependen del servidor
• Valor financiero de los clientes que usan el servidor

Por ejemplo, si otro servidor es altamente disponible gracias a una conexión a prueba de fallos, los impactos de una pérdida del servidor original pueden ser bajos (en una escala cualitativa) o estar entre 2 y 5 (en una escala cuantitativa).

5. Determine el grado de exposición para cada riesgo

Luego puede calcular el grado de exposición para cada riesgo en función de la probabilidad de que ocurra un evento amenazante y tenga un impacto negativo. Al igual que con la evaluación de riesgos, puede usar modelos cualitativos y cuantitativos para calcular y comunicar la exposición.

Los riesgos deben priorizarse en función de su valor de exposición y otros factores.

6. Determine el tipo de respuesta al riesgo

Luego determine qué tipo de respuesta al riesgo es la más adecuada para manejar cada riesgo identificado.

Los diferentes tipos de respuesta al riesgo son: aceptar, mitigar, transferir, resolver y evitar.

• Los riesgos que están dentro de los niveles de tolerancia de su organización pueden ser aceptados. La única medida de riesgo necesaria es monitorear el riesgo.
• Los riesgos que pueden reducirse a un nivel aceptable de manera rentable deben ser mitigados o transferidos. Puede responder a estos riesgos implementando controles que ayuden a prevenir o limitar la pérdida si ocurre un evento amenazante.
• Los riesgos que no pueden reducirse de manera rentable a un nivel aceptable deben evitarse.
• Si se implementa una solución o reparación, un riesgo puede resolverse.

7. Describa la respuesta a cada riesgo

Describa brevemente las acciones que toma para responder a cada riesgo. Un ejemplo del riesgo descrito en el paso 2 podría ser actualizar el protocolo de autenticación de la [aplicación web].

8. Calcule los costos de la respuesta al riesgo

Calcule los costos estimados para implementar la respuesta al riesgo. Para el ejemplo anterior, si su organización ya tiene las herramientas necesarias para la actualización, el costo es de $0.

Los costos de la carga de riesgo deben compararse con los costos de la respuesta al riesgo para determinar si vale la pena intentar reducir o transferir el riesgo.

9. Evalúe y documente el riesgo residual

Después de determinar las respuestas al riesgo, debe considerar analizar y documentar el riesgo que queda después de aplicar una respuesta. Esto se denomina riesgo residual. Puede evaluar la probabilidad y los impactos de un riesgo residual utilizando los mismos métodos que para los riesgos inherentes para determinar si se necesita una respuesta adicional al riesgo.

10. Determine un responsable para el riesgo

Asigne una parte responsable y encargada de rendir cuentas que asegure que el riesgo se mantenga de acuerdo con los requisitos organizativos. Esta parte puede colaborar con un gestor de riesgos encargado de la gestión y supervisión de la respuesta al riesgo seleccionada.

11. Añadir un estado

Añada un estado para hacer un seguimiento del estado actual del riesgo y de todas las actividades subsiguientes. Ejemplos de estados podrían ser "abierto", "en progreso" o "completado".

¿Qué es un plan de mitigación de riesgos?

¿Qué es un plan de mitigación de riesgos?

Un plan de mitigación de riesgos se refiere a la estrategia organizacional documentada para mitigar riesgos. Generalmente resalta y describe todos los riesgos potenciales a los que una organización está expuesta, así como diversas estrategias y prácticas que los gestores de riesgos y otros empleados deben emplear para mitigar estos riesgos.

La clave para crear un plan efectivo es identificar los riesgos que tienen más probabilidades de ocurrir o el mayor impacto si ocurren, y priorizar los esfuerzos de mitigación para ellos.

Una matriz de riesgos puede ser útil para identificar sus mayores prioridades. Luego puede comenzar a mitigar los riesgos a nivel superior y continuar abordando los niveles más bajos a medida que el tiempo y los recursos lo permitan.

Ejemplo de un registro de riesgos

A continuación, se muestra un ejemplo de un registro de riesgos. La primera fila contiene categorías basadas en el registro de riesgos notional en NISTIR 8286. La segunda fila contiene una entrada para el riesgo descrito en la sección anterior.

Plantilla del registro de riesgos

Hemos creado una plantilla para proporcionar orientación e información útil sobre cómo completar y usar un registro de riesgos e integrarlo en su estrategia general de gestión de riesgos.

Software de registro de riesgos

El software de registro de riesgos puede facilitar la creación de un registro de riesgos y su actualización con nuevos riesgos e información.

Con Secureframe, por ejemplo, puede comenzar a crear su registro de riesgos con riesgos modelados de nuestra biblioteca de riesgos o con riesgos personalizados. Una vez que importe una descripción de riesgos utilizando un riesgo prefabricado de la biblioteca de riesgos o complete una descripción de riesgos y su propietario, puede usar Comply AI for Risk para completar automáticamente la mayoría de los campos en el flujo de trabajo de evaluación de riesgos, incluida la calificación del riesgo, la justificación, el tratamiento y más. Al final del flujo de trabajo, puede revisar y validar que el resultado sea preciso y completar la evaluación de riesgos.

Además de ahorrar tiempo y recursos valiosos, esta función garantiza que cada riesgo se informe de manera consistente y repetible, y que no pierda tiempo pensando en categorías o realizando cálculos de riesgos.

El registro de riesgos de Secureframe es fácil de actualizar y ver de un vistazo, lo que permite a su organización ser consciente de los cambios en el entorno de riesgos, revisar las evaluaciones y el desempeño de los riesgos, y mejorar continuamente sus procesos de gestión de riesgos para ayudar a la organización a alcanzar sus objetivos. Obtenga más información sobre la nueva herramienta de gestión de riesgos de Secureframe.