Академический Документы
Профессиональный Документы
Культура Документы
En esta primera fase de la metodología se identifican de forma sistemática las posibles causas
concretas de los riesgos empresariales, así como los diversos y posibles efectos que debe se
deben afrontar.
Una correcta identificación de riesgos requiere un conocimiento detallado de la empresa, del
mercado en el que opera, del entorno legal, social, político y cultural que le rodea.
La identificación del riesgo debe ser sistemática y empezar por identificar los objetivos clave de
éxito y amenazas que puedan perturbar el logro de dichos objetivos.
Percepción del Riesgo:
La percepción del riesgo como amenaza es el sistema más utilizado para identificarlo. En este
contexto, gestionar el riesgo significa instalar sistemas de control que minimicen tanto la
probabilidad de que ocurran sucesos negativos como su severidad. Es un enfoque de naturaleza
defensiva, su propósito es asignar recursos para reducir la probabilidad de sufrir impactos
negativos.
Desde la percepción del riesgo como oportunidad, la gestión significa utilizar técnicas que
maximicen los resultados, limitando los posibles perjuicios o costos. El enfoque es de naturaleza
ofensiva.
La gestión del riesgo desde la perspectiva del riesgo como incertidumbre se dirige a minimizar
la desviación entre los resultados que el emprendedor desea obtener y los que realmente
obtiene.
Fuentes para identificar los riesgos.
Fuentes de riesgo son todos aquellos ámbitos de la empresa, internos o externos, que pueden
generar amenazas de pérdidas o impedimentos para alcanzar los objetivos.
Un procedimiento que facilita la identificación de los riesgos es el preguntarse, para cada una
de las fuentes, si existen debilidades o amenazas en cada una de las fuentes.
Algunas de las fuentes pueden ser:
La presión de la competencia, los empleados, los clientes, las nuevas tecnologías, los cambios
del entorno, leyes y regulaciones, la globalización, las operaciones, los proveedores.
La identificación del riesgo debe ser sistemática y debe comenzar por definir los objetivos del
emprendedor, analizar los factores que son clave en su negocio para alcanzar el éxito y revisar
cuales son las debilidades del proyecto y las amenazas a las que se enfrenta.
Otros métodos para identificar los riesgos:
Análisis de procesos: facilitaran la identificación del riesgo operativo.
Brainstorming: un grupo de empleados expone sus ideas o sensaciones de riesgo.
Entrevistas: un especialista en riesgos empresarial prepara entrevistas con diferentes
responsables de la empresa para extraer sus preocupaciones.
Talleres de trabajo: reunión de grupo de empleados para identificar los riesgos y evaluar su
posible impacto en la empresa, dentro de un clima confortable.
Comparación con otras organizaciones: el benchmarking, es la técnica empleada para
compararse con los competidores.
Cuestionarios: enfocados a detectar las preocupaciones del personal empleado sobre riesgos y
amenazas que ellos perciben en su entorno operativo.
Clasificación de riesgos:
El objetivo de la clasificación de riesgos s mostrar los riegos identificados de una forma
estructurada, por ejemplo, en función de su procedencia.
SECTOR: Riesgo de que factores externos e independientes de la gestión del emprendedor
puedan influir directa o indirectamente de manera significativa en el logro de sus objetivos y
estrategias.
OPERATIVOS: Los riesgos operativos están relacionados con la habilidad del emprendedor para
convertir la estrategia elegida en planes concretos, mediante la asignación eficaz de recursos.
TECNOLOGÍA: Mide cual es la exposición del emprendedor a los riesgos tecnológicos derivados
de la necesidad de acometer fuertes inversiones para asegurar la viabilidad de su proyecto
empresarial en un plazo determinado de tiempo o la necesidad de formar a sus empleados en
el uso de la tecnología.
COMPETIDORES: El tamaño, la capacidad financiera y operativa de los agentes de un sector
determinan el grado de rivalidad de este y establecen las reglas de juego que cualquier nuevo
agente tiene que considerar para operar en ese mercado, esto puede suponer riesgos para el
emprendedor.
PROVEEDORES: El papel que jueguen los proveedores en el sector podría generar riesgos para
el emprendedor debido a las variaciones en el precio de las materias primas, a disponer de
variedad en la oferta y durante un periodo de tiempo continuo, así como su grado de
concentración que determinará la forma de pago tradicionalmente aceptada en el sector.
CLIENTES: Los clientes podrían ser un foco de riesgo crucial para el emprendedor puesto que
son los generadores de ingresos, el riesgo puede proceder de cambios en sus gustos y
necesidades, de generar presiones a la baja en los precios o de dilatar el periodo de pago entre
otros, de modo que la propuesta del valor del emprendedor ha de estar siempre orientada al
cliente.
FINANCIERO: El riesgo financiero hace referencia a la incertidumbre asociada a la gestión
efectiva y al control de las finanzas que lleve a cabo el emprendedor, así como a los efectos de
factores externos como la disponibilidad de crédito, tipos de cambio, movimientos de los tipos
de interés, etc.
Refiriéndonos a la ISO 27001.
Las empresas se enfrentan a muchos riesgos e inseguridades procedentes de diferentes focos.
Esto quiere decir que los activos de información de las empresas, uno de sus valores más
importantes, se encuentran ligados o asociados a riesgos y amenazas que explotan una amplia
tipología de vulnerabilidades.
La seguridad de estos activos de información está en función de la correcta gestión de una serie
de factores como: la capacidad, la elaboración de un plan de contingencia frente a los incidentes,
el análisis de riesgos, las competencias, el grado de involucración de la Dirección, las inversiones
en seguridad y el grado de implementación de controles.
4- La ISO 27001 es certificable y la ISO 27002 no lo es. La ISO 27002 no es certificable debido a
que no contiene requisitos, es decir, en su contenido no contiene exigencias que toda
organización que quiera certificarla debería cumplir. Esto requisitos si están presentes en la ISO
27001.
La norma ISO 27001. Esta normativa es muy clave dentro del contexto referido ya que, es una
norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos
y de la información, así como de los sistemas que la procesan. Esta toma como base todos los
riesgos a los que se enfrenta una determinada organización en su día a día, teniendo como
objetivo principal establecer, implantar, mantener y mejorar de forma continua la seguridad de
la información de la organización.
En el caso de la ISO 27002, la cual establece una guía de buenas prácticas que determina, desde
la experiencia, una serie de objetivos de control y controles que se integran dentro de todos los
requisitos de la norma ISO 27001 en relación con el tratamiento de los riesgos.
Como mencionábamos anteriormente, ISO 27002 es simplemente una guía de buenas prácticas
de cara a implementar los requisitos de la ISO 27001. De hecho, su contenido es una guía de
implementación de los controles que recoge el anexo A de la ISO 27001. Por tanto, hay que
señalar que ISO 27002 no se implanta. Eso sí, habrá que tener en cuenta que si no se establecen
los controles que se van a implementar (que no tienen por qué ser todos) no habrá buenas
prácticas que llevar a cabo.
En resumidas cuentas, se podría decir que ISO 27001 es el ¿Qué? e ISO 27002 es el ¿Cómo?
Los objetivos de cada una son:
-ISO 27001 indicará que tienes que cumplir con los requisitos “A” y “B” para llevar a cabo el
control de un determinado activo de la información de la organización.
-Por su parte ISO 27002 señalará que debes hacer en la práctica para poder cumplir con los
requerimientos “A” y “B” que indica la ISO 27001 para este punto.
Una vez aclarado esto, se hace más sencillo entender la importancia de la norma ISO 27001
como Sistema de Gestión de Seguridad de la Información. Sin embargo, será igual de importante
el papel que ocupa dentro de todos los requisitos de la norma ISO 27002 como guía de buenas
prácticas para implantar controles y que garantizarán la seguridad de la información gracias a
sus recomendaciones.
No cabe ninguna duda de que sin un buen análisis de las causas que afectan a la seguridad de la
información de una organización, será imposible establecer buenos controles que ayuden a
gestionar los activos a controlar, así como los requisitos para obtener la certificación en ISO
27001.
A la hora de establecer los controles será recomendable comenzar por el contexto, las partes
interesadas para pasar posteriormente a ver el alcance y la definición de los procesos del
negocio, así como los de seguridad de la información.