Mari Luz Garín, IT Security Manager, Liberty Seguros España.
En la vida diaria, tanto a nivel individual como en el ámbito colectivo u organizacional, la gestión de riesgos se convierte en el eje central que determina nuestras acciones, ya sea de manera consciente o inconsciente. El riesgo, en este contexto, se erige como el factor determinante que puede obstaculizar el logro de nuestros objetivos. Cada decisión que tomamos, desde las más cotidianas hasta las más estratégicas en el ámbito empresarial, está influenciada por la motivación que nos impulsa a avanzar y por la disposición que tenemos para asumir riesgos.
Tomemos como ejemplo el simple acto de decidir si llevar o no un paraguas en un día amenazante de lluvia. La incertidumbre sobre la probabilidad de que llueva, junto con la evaluación del impacto (mojarse), conlleva a una decisión que, en ocasiones, se toma de manera automática o incluso inconsciente. En el contexto empresarial, las organizaciones enfrentan decisiones diarias basadas en la gestión del riesgo, evaluando la medida en que están dispuestas a asumir riesgos sin comprometer sus objetivos y su supervivencia.
Como es bien sabido, la gestión de riesgos implica la evaluación de la probabilidad y el impacto. La fórmula básica que resume esta evaluación es simple, pero fundamental: Riesgo = Probabilidad x Impacto. En el ámbito empresarial, se gestionan diversos tipos de riesgos, como los financieros, reputacionales, sectoriales, políticos, geopolíticos y operacionales. Los riesgos de ciberseguridad y tecnológicos se integran dentro de los riesgos operacionales, y su relevancia aumenta a medida que los expertos en tecnología y seguridad participan activamente en la gestión de riesgos corporativos.
El dominio de conceptos clave como riesgo, probabilidad, impacto, apetito al riesgo, tolerancia y capacidad en ciberseguridad indica el nivel de madurez en la gestión de ciberseguridad de una empresa. La integración natural de la ciberseguridad en el proceso de gestión de riesgos demuestra un nivel avanzado de madurez en este aspecto.
La gestión de riesgos corporativa requiere una revisión constante debido a la rápida evolución de normas y marcos regulatorios, así como a las condiciones macroeconómicas y geopolíticas cada vez más impredecibles y aceleradas.
Ante la diversidad de riesgos y las amenazas emergentes en ciberseguridad, surge la pregunta de cómo priorizar eficazmente estos riesgos. Algunas claves sugeridas incluyen:
La gestión madura de riesgos proporciona ventajas significativas, como reducción del tiempo necesario para disminuir el riesgo, capacidad de anticipación para reducir frecuencia e impacto, mejor retorno de inversiones en ciberseguridad, cumplimiento normativo y generación de confianza.
Una gestión proactiva del riesgo, basada en un enfoque sistemático y planificado, permite evaluar y mitigar los riesgos antes de que se conviertan en problemas reales o causen daños irreparables.
La asignación clara de roles en la gestión de riesgos, dividida en tres niveles (1ª, 2ª y 3ª línea de defensa), abarca los aspectos críticos de análisis, evaluación, registro y comunicación de riesgos. Esta estructura facilita la toma de decisiones para mitigar, evitar, transferir o aceptar los riesgos identificados, siendo esta última una responsabilidad a nivel de dirección general. En última instancia, la gestión de riesgos se erige como un componente esencial para el éxito y la sostenibilidad en un mundo cada vez más complejo e interconectado.
• Tendrás acceso gratuito a todos los eventos organizados por ISMS Forum Spain, incluyendo las dos Jornadas Internacionales de Seguridad de la Información anuales.
• Contarás con descuentos especiales para matricularte en las actividades formativas organizadas por ISMS Forum Spain, como cursos o seminarios.
• Accederás a descuentos exclusivos para socios de ISMS Forum en distintos eventos y cursos organizados por colaboradores de la Asociación.
• Podrás darte de alta en el Registro de Profesionales Certificados de España y poner a disposición del mercado, si lo deseas, tus datos de contacto. El único requisito es poseer una o varias certificaciones (CCSK, CDPP, CIMS, CISA, CISSP, L.A. ISO 27001, etc.).
• Recibirás la newsletter de la Asociación y tendrás acceso a la descarga gratuita de estudios y publicaciones fruto de la labor de los Grupos de Trabajo de ISMS Forum Spain u otros de especial interés para el sector.
• Gracias al networking podrías incrementar tu red de contactos e intercambiar experiencias con otros profesionales de la Seguridad de la Información que desarrollan su labor en empresas, administraciones públicas, universidades y centros de investigación, otras asociaciones y organismos de todos los sectores.
• Podrás formar parte de los grupos de trabajo de las distintas iniciativas de ISMS Forum (Data Privacy Institute (DPI), Cloud Security Alliance España (CSA-ES), Cyber Security Center (CSC), cursos de formación, etc.), y participar directamente en el desarrollo de sus actividades.
• Podrán hacer visible su compromiso con la Seguridad de la Información y materializar la Responsabilidad Social Corporativa.
• Tendrán la capacidad para nombrar a ocho trabajadores de la empresa como socios de pleno derecho.
• Si eres microempresa, de menos de 10 trabajadores, podrás nombrar hasta dos trabajadores como socios de pleno derecho.
Si te haces socio de ISMS Forum, formarás parte de la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.