Planes de Tratamiento de Riesgos - Gestión de Riesgos

Los planes de tratamiento son un aspecto crítico de la gestión integral de riesgos, de su eficacia depende la disminución real de los niveles de riesgos de la organización, en este artículo podrás conocer algunos aspectos para mejorar su diseño e implementación.

Planes de Tratamiento de Riesgos 

Una vez se culmina la identificación, valoración y la definición del tratamiento de riesgos, se deben establecer cuáles son los controles o medidas que se van a diseñar, establecer, implementar o mejorar para cada riesgo que no haya quedado en los niveles tolerables o aceptables.

El conjunto de controles, que se definen para mitigar los riesgos, deben hacer parte de un plan de tratamiento de riesgos corporativo, de tal forma que se pueda traducir dicho plan a proyectos específicos en donde sea posible identificar como mínimo:

  • Nombre del proyecto.
  • Objetivo.
  • Responsable.
  • Recursos requeridos (Humanos, Tecnológicos, Servicios, físicos, etc.).
  • Tiempos.
  • Fases.
  • Inversión.
  • Riesgos que mitiga.
  • Impactos actuales de los riesgos que mitiga.
  • Análisis costo - beneficio de su implementación.
  • Tipo de controles involucrados (Prevención, contención, detección, recuperación, reacción, notificación).
  • Normatividad interna existente que apoya la implementación de los controles (Políticas, procedimientos).
  • Normatividad interna requerida para apoyar la implementación de los controles (Políticas, procedimientos).
  • Controles, objetivos de control o procesos de normas, marcos de gobierno de seguridad o TI, cláusulas de regulaciones que apoya el proyecto (ISO 27000, COBIT, ITIL, requerimientos del sector, etc.).
  • Nivel de prioridad del proyecto.

Es importante tener en cuenta que no solo el plan de tratamiento de riesgos es la única fuente de información para la conformación de proyectos corporativos.

Fuentes de información para la conformación de proyectos corporativos:

  • El plan de tratamiento de riesgos
  • Los controles requeridos para el manejo de los niveles de clasificación de los activos de información (por ejemplo: el etiquetado, manejo de fuga de información, cifrado, etc.).
  • Los planes de atención de incidentes, que requieren de la implementación de procedimientos y herramientas para llevar a cabo las actividades del plan y las actividades post-incidente.
  • Las actividades de gestión de vulnerabilidades, que involucran procedimientos y herramientas para realizar la identificación, el análisis, la remediación, las pruebas y el monitoreo alas vulnerabilidades de los servicios e la infraestructura de TI.
  • La necesidad de implementación de controles que el estado o los entes reguladores impongan al sector al cual pertenece la empresa.
  • Los proyectos de planes de recuperación ante desastres o de continuidad del negocio que pueden tener requisitos específicos de controles y medidas.
  • Exigencias de controles de socios de negocio o de terceros para la prestación de servicios.
  • La adecuación de la empresa a nuevas leyes o regulaciones.
  • La mejora continua de los procesos de la organización.
  • Actividades o controles para la atención de hallazgos de auditorías internas y externas.

Debido a que se está gestando un incremento de las exigencias de cumplimiento legal y regulatorio en los países, es clave que los proyectos en conjunto creen una base de conocimiento de controles implementados o a implementar, para que no se redunde en esfuerzos y se cree una sinergia empresarial, en donde se tengan claramente identificados los controles disponibles que pueden soportar la adecuación ágil a nuevos temas de cumplimiento.

La conformación de proyectos corporativos debe estar a cargo de los más altos representantes de la organización en comités de control o riesgos, en donde haya presencia de representantes de los diferentes niveles organizacionales (estratégicos, tácticos, operativos y de control).

Software NovaSec MS

Nuestro software NovaSec MS permite implementar la gestión integral de riesgos de diversos tipos:

  • Operacionales – SARO
  • SARLAFT
  • Seguridad de la Información
  • Ciberseguridad
  • Continuidad del Negocio
  • Procesos y calidad
  • Seguridad Digital
  • Corrupción
  • Tecnológicos
  • Entre otros

Software para gestión integral de riesgos

Figura 1. Reportes de Gestión de Riesgos 

Con NovaSec MS puede también gestionar los planes de tratamiento de riesgos de manera integral en nuestro módulo de planes, haciendo seguimiento en línea y obteniendo reportes automáticos de su avance, desempeño y cumplimiento.

PLANES DE TRATAMIENTO DE RIESGOS

Figura 2. Reporte de planes de tratamiento de riesgos

Estas capacidades de gestión son posibles con nuestra solución, contáctanos para ver la solución en vivo (www.novasec.co).

Conoce la solución GRC NovaSec MS en vivo

  Contáctanos