La relación entre seguridad de la información y gestión de riesgos

En el campo de la seguridad de la información, el riesgo se refiere a la posibilidad de que los activos de información se dañen y tengan un impacto negativo en la empresa. Dado que es posible, el evento de riesgo puede ocurrir o no. Si ocurre un evento, no es un riesgo porque es un problema conocido que se puede planificar. Para los eventos de riesgo, no podemos simplemente tratarlos, sino que debemos identificar, evaluar y resolver estos posibles problemas a través del proceso de gestión de riesgos.

En pocas palabras, la gestión de riesgos es el proceso de identificar riesgos, evaluarlos, tomar medidas para reducirlos a un nivel aceptable y mantener este nivel de riesgo. El contenido central de la gestión de la seguridad de la información es la gestión de riesgos, por lo que a menudo utilizamos la gestión de riesgos para resumir la gestión de la seguridad de la información, y lo mismo ocurre con el modelo basado en riesgos.

Ante un entorno real de riesgo, las empresas deben primero considerar qué proteger y descubrir qué es lo más crítico para la supervivencia de su empresa mediante la valoración y evaluación de activos; luego, las empresas deben identificar los riesgos y evaluarlos; riesgos a través de varios canales La gravedad del impacto negativo que puede traer a la empresa sobre esta base, la empresa mide la brecha entre la situación real y el objetivo, determina la estrategia de tratamiento de riesgos y cierra estas brechas mediante la selección e implementación de medidas de seguridad. Cabe señalar que el objetivo principal de la gestión de riesgos es proteger la organización y su capacidad para realizar su misión normal, no sólo sus activos de información. Por lo tanto, es un error pensar que el proceso de gestión de riesgos es sólo una función técnica que debe ser realizada por expertos que operan y gestionan los sistemas de TI. De hecho, la gestión de riesgos debería ser parte de las funciones de gestión más básicas de una organización.