Tabla de contenidos
La evaluación de riesgos generalmente toma una de dos formas: cuantitativa, que busca identificar los riesgos y cuantificarlos en base a una escala numérica (por ejemplo, 0.0 a 1.0 o 1 a 10); y cualitativa, que se basa en obtener una impresión general sobre los riesgos a fin de calificarlos. El proceso utiliza términos subjetivos como bajo a medio, alto a pobre y bueno a excelente, en lugar de valores numéricos.
Evaluación de riesgos cuantitativa
Los métodos cuantitativos, que asignan un valor numérico al riesgo, generalmente requieren acceso a estadísticas confiables para proyectar la probabilidad futura de riesgo. Como se mencionó anteriormente, los métodos cualitativos a menudo incluyen medidas subjetivas, como baja, media y alta. Sin embargo, a veces el enfoque cualitativo es más aceptable.
En la plantilla de evaluación de riesgo, encontrarás columnas que le permiten asignar términos cualitativos a cada uno de los riesgos para tu organización.
Se usa generalmente para calcular un valor de riesgo. Esta fórmula también se conoce como matriz de evaluación de riesgo. Al sopesar la probabilidad de un evento con el nivel de daño que podría causar, la matriz de evaluación de riesgos es una herramienta ilustrativa que la administración puede utilizar para planificar posibles desastres.
Por ejemplo, podemos usar una escala de 0.0 a 1.0, en la que 0.0 significa que la amenaza no es probable y 1.0 significa que la amenaza ocurrirá en forma absoluta. El impacto 0.0 significa que no hay daño o interrupción en la organización, mientras que 1.0 podría significar que la compañía está completamente destruida y no puede realizar más negocios. Los números intermedios pueden representar el resultado de un análisis estadístico de los datos de amenazas y la experiencia de la compañía. La plantilla de evaluación de riesgo descargable utiliza este enfoque.
Utilizando el rango cuantitativo de 0.0 a 1.0, puede decidir asignar términos cualitativos a los resultados (por ejemplo, 0.0 a 0.4 = riesgo bajo, 0.5 a 0.7 = riesgo moderado, y 0.8 a 1.0 = riesgo alto).
Una vez que todos los riesgos relevantes han sido analizados y asignados a una categoría cualitativa, puede examinar las estrategias para tratar sólo con los riesgos más altos o puede abordar todas las categorías de riesgo. El plan de gestión de riesgos dependerá del apetito de riesgo de la administración, que es su disposición a tratar adecuadamente los riesgos. Las estrategias que definas se pueden usar luego para ayudar a diseñar la continuidad del negocio y las estrategias de recuperación de desastres.
Evaluación de riesgos cualitativa
A diferencia de una evaluación cuantitativa, se trata de una valoración realizada a través de las características que tienen como base un escenario de amenaza sobre los activos, y generalmente está asociado a una calificación de los riesgos que utiliza como parámetros cualidades como alto, medio o bajo.
Debido a que cada persona posee un concepto de lo que representa una característica “alta, media o baja” como una manera de clasificación, la evaluación cualitativa puede convertirse en un elemento subjetivo, por lo que en términos de continuidad de negocio, resulta básico definir criterios precisos de lo que cada categoría representa, con el objetivo de obtener resultados consistentes.
Realización de una evaluación de riesgos: quién, qué, cuándo
Los encargados de llevar a cabo un plan de evaluación y gestión de riesgos, suelen ser un gerente de proyecto y su equipo. El personal puede estar involucrado cuando se trata de acciones que pueden necesitar realizarse en ese nivel en el futuro.
Dependiendo de la cantidad de efectos, síntomas y consecuencias, el nivel de detalle en una evaluación de riesgos variará según la organización. No hay un número determinado de riesgos a tener en cuenta en una evaluación general, por lo que depende de la discreción de la empresa que realiza la evaluación. En la plantilla de evaluación de riesgos que proponemos, existen campos para más de 50 riesgos potenciales, tanto artificiales como naturales.
Una evaluación de riesgos es una actividad clave en un programa de continuidad del negocio o recuperación de desastres. El proceso puede ser relativamente simple, por ejemplo, si elige usar un enfoque cualitativo. Pueden ser más rigurosos cuando se utiliza un enfoque cuantitativo, ya que es posible que desee ser capaz de corroborar sus factores numéricos con evidencia estadística.
La frecuencia con que lleva a cabo una evaluación de riesgos también depende del criterio de cada uno. Sin embargo, los resultados deben actualizarse periódicamente para determinar si se han producido cambios en los riesgos (por ejemplo, probabilidad e impacto). Independientemente de la metodología utilizada, los resultados deben corresponderse con los procesos de negocio críticos identificados en el análisis de impacto empresarial y ayudar a definir estrategias para responder a los riesgos identificados. Si una evaluación de riesgos está desactualizada, también lo son las estrategias utilizadas para combatir los peligros potenciales.
Fuente: A free IT risk assessment template – Paul Kirvan, Independent IT consultant/auditor, TechTarget.
Traducido y adaptado por la división consultoría de EvaluandoSoftware.com