Metodologías en Gestión de Riesgos

La actividad desempeñada por las empresas en su día a día conlleva irremediablemente asumir riesgos. Su correcta gestión resulta fundamental para el alcance de los objetivos estratégicos planteados por la organización.

Las compañías pueden adoptar diferentes posturas y seguir distintas metodologías en relación al Risk Management. Algunas de las metodologías en gestión de riesgos más destacadas internacionalmente son:

• ISO 31000. Esta otra norma internacional abarca pautas para las buenas prácticas en la gestión de riesgos. Esta guía de implementación está codificada por la International Organization for Standardization. Su proceso se caracteriza por la identificación, análisis, evaluación, tratamiento, comunicación y seguimiento de cualquier tipo de riesgo que afecte a la empresa.
• ISO 27005. Norma internacional con recomendaciones y directrices generales para el Risk Management con respecto a la seguridad de la información, siguiendo los requisitos de ISO 27001. No recomienda una metodología de gestión de riesgos concreta, pero puede ser de utilidad para elaborar una propia atendiendo a diversos factores y al Sistema de Gestión de Seguridad de la Información (SGSI).
• MAGERIT.  Esta metodología está desarrollada por el Consejo Superior de Administración Electrónica en España. Consta de los volúmenes de método, catálogo de elementos para aplicar la metodología y guía de técnicas a usar en las diferentes fases del Risk Management.
• OCTAVE. Esta metodología reconocida internacionalmente está desarrollada por el Software Engineering Institute. Octave proporciona un conjunto de criterios a partir de los cuales se pueden desarrollar distintas metodologías. Está compuesta de las fases de visión de organización, visión tecnológica y planificación de medidas y reducción de los riesgos.
• NIST 800-30. Esta metodología desarrollada por el National Institute of Standards and Technology tiene reconocimiento internacional y busca asegurar a los sistemas de información. Sus pasos básicos para la gestión de riesgos son la caracterización del sistema, identificación de amenazas y vulnerabilidades, control de análisis, determinación del riesgo, análisis de impacto, determinación del riesgo, recomendaciones de control y resultado de la implementación o documentación.
• CRAMM. Tiene reconocimiento internacional y está desarrollada por el Central Computer and Telecommunications Agency (CCTA). Su desarrollo consta de identificación y valoración de activos, valoración de amenazas y vulnerabilidades y selección de contramedidas.

Las empresas han de considerar estas metodologías en gestión de riesgos y escoger e implementar aquellas que se ajusten más a su naturaleza y al sector en el que desempeñan su actividad.