Identificarse  \/ 
x
x

x

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

Después de realizar un análisis de riesgos todos somos conscientes de que existen 4 estrategias posibles para gestionar esos riesgos: eliminarlos, transferirlos, reducirlos o asumirlos.

Lo que ocurre es que normalmente sólo nos acordamos de las dos últimas opciones, obviando las posibilidades que nos ofrecen las dos primeras.

El parámetro principal para ayudarnos a decidir cómo se gestionan los riesgos debería ser la relación coste/beneficio. Y ojo, que coste no es lo mismo que precio, aunque al final podamos llegar a traducirlo de esa forma. ¿Por qué digo esto? Porque ese es el factor clave para la eliminación de riesgos. ¿Qué beneficio aporta a mi organización el comercio electrónico? ¿Cuántos ingresos nos supone? ¿Qué futuro espero de ese canal de ventas? ¿Ese beneficio (tanto presente como futuro) compensa los riesgos que supone esa infraestructura? Ese es el análisis que hay que hacer para poder llegar a la conclusión de que podemos eliminar todos los riesgos asociados a las ventas por internet, eliminando dicho canal.

La otra opción que normalmente se suele quedar en el tintero es la de transferir los riesgos. Y aquí hay que tener cuidado, porque no es una opción sencilla, y no todos los riesgos se pueden transferir. ¿Transfiero el riesgo derivado de la ejecución de un proceso por el mero hecho de subcontratarlo en modo BPO? Pongamos el caso de un banco que subcontrata por completo la gestión de ventas por Internet. Como mínimo está transfiriendo el riesgo operativo asociado a estas actividades. ¿Está transfiriendo completamente el riesgo? En absoluto. ¿Acaso no es la subcontratación en sí misma la asunción de un cierto tipo de riesgo? ¿Qué consecuencias tendría en la imagen de ese banco un incidente de seguridad en la empresa subcontratada? Es obvio que el riesgo no se puede transferir por completo. Lo que sí se puede transferir es una parte del riesgo, y esta transferencia también puede servir para transformar un tipo de riesgo en otro (en el ejemplo, un riesgo operativo lo convertimos en un riesgo contractual).

Y en este punto es donde aparecen los seguros. Su trabajo consiste precisamente capitalizar los riesgos que les transfieren sus clientes. Y los riesgos de seguridad de la información también se pueden transferir de este modo. Quizás no estemos muy acostumbrados a ellos, pero estoy seguro de que es una tendencia que va a ir al alza. ¿Cuál es el coste de adoptar una determinada medida de seguridad para reducir un determinado riesgo? ¿Y cuál puede ser el coste de adquirir un seguro que cubra ese posible incidente de seguridad? Las empresas que trabajan con "seguros cibernéticos" piensan de este modo. Al fin y al cabo, si me sale más "barato" (en términos de coste global, no sólo en términos directamente económicos) "apechugar" con el incidente y usar el dinero del seguro que reducir el riesgo asociado a él estamos ante una mejor opción en términos de coste/beneficio. ¿Por qué no hacer uso de ella?

Por supuesto, antes de terminar con el post tengo que recordar que los seguros no son la panacea. Por poner un ejemplo, podemos pensar que el perjuicio en imagen derivado del incidente vamos a poder recuperarlo invirtiendo parte del dinero del seguro en una campaña de marketing. Ahora bien... ¿Cuándo vamos a disponer de ese dinero en efectivo? ¿Podremos ejecutar la campaña en el momento en el que es necesario? ¿Existirán costes adicionales derivados de tener que litigar con el seguro porque no nos ha dado el dinero que esperábamos? En resumidas cuentas: ¿Estamos gestionando adecuadamente el riesgo de contratar ese seguro?

Autor: Joseba Enjuto

España

 


Regístrese para que pueda comentar este documento

📚 Auditool.org

Como miembro de Auditool accedes a Cursos Virtuales de Auditoría y Control Interno CPE, y a una completa Caja de Herramientas de Auditoría. Este material es diseñado por reconocidos profesionales dentro del marco de las buenas prácticas, lo que permite mejorar las habilidades de los Auditores, ahorrando tiempo y recursos, y creando y protegiendo valor en las organizaciones.  

Más Leídas

lateralG3.2