Identificar riesgos como gerente de continuidad del negocio
La gestión de riesgos se asocia a menudo con la Gestión de Continuidad del Negocio (BCM). Los orígenes de la disciplina, la combinación de funciones y la gestión de amenazas podrían explicar esto.
Entiendo que, como profesional de BCM, podría necesitar evaluar algunos riesgos, especialmente si nadie más lo está haciendo. En la norma ISO 22301, el BCMS también requiere una evaluación de riesgos. Y, francamente, conocer los riesgos es una parte interesante de nuestro trabajo y de nuestra comprensión general de la organización, pero estudiarlos y gestionarlos es otra historia.
La gestión de riesgos implica identificar, mitigar riesgos mediante la implementación de controles, y monitorearlos. En nuestro campo, «necesitamos» que ocurra el riesgo para ejecutar una estrategia de recuperación. Muchas veces, los planes o estrategias de Continuidad del Negocio se consideran controles para mitigar un riesgo. Sin embargo, esto no convierte al BCM en parte de la Gestión de Riesgos.
Entonces, si estamos dispuestos o es necesario, ¿qué podemos hacer para identificar riesgos? Primero, asegúrate de no estar haciendo el trabajo de otra persona, como el de un Departamento de Gestión de Riesgos. La norma ISO 22301 (Cap. 8.2.3) no dice que un profesional de BCM deba hacerlo, sino que la evaluación de riesgos debe realizarse en la organización. Algunos bancos tienen literalmente departamentos enteros dedicados a esa tarea. ¿Por qué deberías hacerlo también? Usa su trabajo para validar algunos riesgos que te interesen. Revisa su matriz si algunos riesgos han sido bien identificados y evaluados.
Ahora enfoquémonos en el primer paso de una evaluación: identificar un riesgo. Si lo hacemos nosotros mismos, necesitamos entender qué estamos analizando. ¿Es un proceso? ¿Un producto? ¿Un edificio? ¿Un equipo? Hace una gran diferencia.
Evaluar un riesgo requerirá identificar todas las amenazas que pueden afectar al «activo» y entender cuál podría ser el impacto. Lista las amenazas en una tabla (matriz). Agrúpalas por categorías si es posible o necesario (desastres naturales, ciberseguridad, desastres provocados por el hombre, etc.). Un terremoto podría ser difícil de ocurrir en una región, mientras que los huracanes podrían ser más probables. Hazlo obvio. No hables de tormentas de invierno en el Caribe.
Identifica todos los impactos directos sobre el activo. No estamos hablando de impactos indirectos o consecuencias en 5 años, recomiendo enfocar en impactos directos como el no funcionamiento del sistema, el cierre de fábricas o producción, o la afectación de la reputación.
Para realizar una evaluación de riesgos, y de acuerdo con las buenas prácticas, se recomienda definir el riesgo, no solo mencionar un montón de amenazas. Por ejemplo, podrías usar una causa y un impacto para identificar un riesgo relacionado con un sistema o un activo de TI: «Indisponibilidad del sistema debido a un apagón energético».
Además, no confundas la causa con la vulnerabilidad. El apagón energético causó la falla del sistema. La falta de redundancia o mantenimiento es la vulnerabilidad, pero no es la causa original de la falla, el corte de energía lo es. Las vulnerabilidades (la mayoría de las veces) comienzan con «falta de» o «ausencia de».
Identificar riesgos es clave en una evaluación de riesgos. Conocerlos servirá para tu trabajo como profesional de BCM. Si realizar una evaluación de riesgos es parte de tu camino, asegúrate de entender cuál es el objeto de la evaluación. No enumeres un montón de amenazas, sino trata de definir claramente cuál es el riesgo con causa y consecuencias. Esto ayudará en la evaluación y especialmente en la implementación de controles que serán más específicos.
AUTOR: Timothé Graziani