​Ing. Sistemas  Auditoría

En la planeación de recuperación de desastres, una vez que se ha completado el análisis de impacto al negocio (BIA), el siguiente paso es realizar una evaluación de riesgo. El BIA ayuda a identificar los procesos de negocios más críticos, y describe el impacto potencial que tendría una interrupción de esos procesos; y una evaluación de riesgo identifica situaciones internas y externas que podrían tener un impacto negativo en los procesos críticos. También intenta cuantificar la potencial gravedad de tales eventos, y la probabilidad de que ocurran.

 

En esta guía de evaluación de riesgo para tecnologías de la información (TI), orientada a la planeación de recuperación de desastres, podrá aprender cómo empezar con una evaluación de riesgo, cómo prepararla, y cuáles son los peligros naturales y los peligros creados por el hombre, en el proceso de evaluación de riesgos. Lea nuestra guía, y luego descargue nuestra plantilla gratuita de evaluación de riesgos.

Primeros pasos de una evaluación de riesgo 

La evaluación de riesgo debe ser capaz de ayudarle a identificar eventos que podrían afectar negativamente a su organización. Eso incluye los daños potenciales que podrían causar tales eventos, la cantidad de tiempo necesaria para recuperar/restaurar las operaciones, y las medidas preventivas o controles que deben mitigar las probabilidades de que esos eventos ocurran. La evaluación de riesgo también le ayudará a determinar qué pasos –si se implementan adecuadamente– podrían reducir la gravedad del evento.

 

 

Preparar el análisis de riesgos.

El análisis de riesgos implica la identificación de los mismos, la evaluación de la probabilidad de que el evento ocurra, y la definición de la gravedad de las consecuencias de ese evento. También podría ser útil realizar una evaluación de vulnerabilidad, que ayuda a identificar situaciones en las cuales la organización podría ponerse en mayor riesgo al no llevar a cabo ciertas actividades. Un ejemplo podría ser el riesgo cada vez mayor que existe de ataques de virus si no se utiliza el antivirus más actual. Finalmente, los resultados del análisis de riego se resumen en un informe para la dirección, que incluye actividades recomendadas de mitigación. Podría ser útil buscar vulnerabilidades mientras se realiza el análisis de riesgo.

 

Una vez que se identifican los riesgos y las vulnerabilidades, se puede considerar cuatro tipos de respuesta defensiva:

• Medidas de protección: Estas son actividades diseñadas para reducir las posibilidades de que ocurra un evento dañino; un ejemplo son las cámaras de seguridad, para identificar visitantes no autorizados y avisar a las autoridades antes de que puedan causar algún daño.

• Medidas de mitigación: Estas actividades están diseñadas para minimizar la gravedad de un evento, una vez que ha ocurrido. Dos ejemplos son los supresores de sobretensiones, para reducir el impacto de la caída de un rayo, y los sistemas de energía ininterrumpida, que reducen las posibilidades de que los sistemas críticos dejen de funcionar abruptamente debido a un apagón o a un bajón de voltaje.

• Actividades de recuperación: Estas actividades sirven para traer de vuelta sistemas e infraestructura dañados, hasta un nivel en el que puedan soportar las operaciones de negocios; un ejemplo son los datos críticos almacenados fuera de planta, que pueden ser utilizados para reiniciar las operaciones de negocios hasta un determinado punto en el tiempo.

• Planes de contingencia: Estos documentos a nivel de procesos describen lo que puede hacer una organización a raíz de un evento que pueda dañarla; por lo general, se activan sobre la base de  la información del equipo de manejo de emergencias.

La secuencia en la cual se implementan estas medidas depende en gran medida de los resultados de la evaluación de riesgo. Una vez que se identifica una amenaza específica, y sus vulnerabilidades asociadas, se vuelve más fácil planear la estrategia defensiva más efectiva. Recuerde que los planes de contingencia deben hacer frente a los efectos, independientemente de las causas.