Un marco de trabajo de gestión de riesgos (RMF) es un conjunto de criterios que dictan cómo se deben estructurar y supervisar las empresas para proteger sus activos.
El riesgo es un componente natural de los negocios. Todas las inversiones, los productos nuevos, las expansiones a nuevos mercados o incluso los cambios en la estructura o las responsabilidades de los empleados pueden causar interrupciones, y eso sin contar con los riesgos externos, que siempre están presentes. Por otro lado, adoptar una postura muy estricta frente al riesgo puede limitar el crecimiento e impedir que la empresa aproveche su potencial. Las empresas líderes saben cómo abordar los peligros estratégicamente, es decir, calculan las recompensas que conllevan los riesgos para minimizar el potencial de riesgo sin obstaculizar las oportunidades de crecimiento.
Para ello, muchas empresas adoptan un enfoque global para proteger los procesos operativos, es decir, un marco de gestión de riesgos.
Un RMF consta de un enfoque sistemático que ayuda a identificar y mitigar los riesgos empresariales de todo tipo. También cabe mencionar que podrían ser necesarias varias versiones específicas del RMF. Un ejemplo es el mandato de que las agencias gubernamentales federales de EE. UU. se adhieran a la versión de RMF del NIST.
Aunque existen diferentes variaciones para casos de uso específicos, la mayoría de los marcos de gestión del riesgo constan, en esencia, de los mismos cinco componentes que se indican a continuación.
Antes de que una empresa pueda protegerse del riesgo, tiene que ser capaz de reconocer los peligros a medida que surgen. El componente de identificación de la gestión de riesgos ayuda a definir el universo del riesgo: un catálogo completo de todos los posibles riesgos conocidos a los que se enfrentan la organización y sus activos. Estos riesgos se deben clasificar en categorías específicas, como los riesgos digitales; de ESG; de proveedores o de terceros; de calidad; de continuidad empresarial; para las personas; medioambientales, de salud y de seguridad; éticos y de cumplimiento; legales o de privacidad; financieros; operativos; tecnológicos o cibernéticos. Una vez que la empresa tiene una idea clara de las posibles amenazas e incertidumbres, debe seguir categorizando los riesgos en riesgos fundamentales (riesgos esenciales que ayudan a impulsar el crecimiento) o riesgos no fundamentales (riesgos innecesarios que pueden y deben evitarse siempre que sea posible).
Conocer los riesgos en sí es solo parte de la ecuación. La gestión de riesgos requiere que, después, las empresas analicen las probabilidades que tienen de correr un tipo de riesgo concreto o los riesgos de toda una categoría específica, así como lo que perdería la organización en caso de sufrir las consecuencias de ese riesgo. Al calcular estos factores, las empresas deben tener en cuenta el impacto general del riesgo. Eso ayudará a priorizar los riesgos en función del potencial de daño y de la probabilidad de que ocurran para determinar su umbral de riesgo.
Después de identificar y priorizar los riesgos, el siguiente paso es desarrollar planes efectivos de mitigación de riesgos. Un plan adecuado permitirá que la empresa determine qué riesgos principales asumir, cuáles minimizar o evitar y por dónde empezar. En este punto, se debe utilizar un proceso efectivo de gestión de problemas o del plan de acción y los hitos para rastrear y establecer un registro de auditoría.
A lo largo del proceso que establece el RMF, la supervisión y la generación de informes siguen siendo de suma importancia. Según la empresa y el sector, los informes de gestión de riesgos deben estar automatizados y ser accesibles en tiempo real a través de paneles de información. A estos paneles de información debe acceder, naturalmente, el personal de gestión de riesgos cualificado y responsable de ajustar los elementos expuestos al riesgo para identificar mejor los peligros actuales; pero también el personal de primera línea y los miembros de C-suite. Se deben crear informes específicos del sector para su revisión y autorización. Monitorizar y elaborar informes de riesgos adecuados también puede contribuir a mantener el cumplimiento de los estándares establecidos.
Un marco de gestión de riesgos es simplemente eso: un marco de trabajo que respalda y estructura la gestión de los riesgos empresariales. No es una solución de gestión de riesgos completa en sí; depende de que todas las personas implicadas adopten y sigan las prácticas establecidas en el marco de trabajo. Los componentes de gobernanza de las soluciones de RMF están diseñados para ayudar a los empleados a ser conscientes de sus roles y responsabilidades, asignar tareas y establecer la autoridad de los líderes de gestión de riesgos.
Los marcos de trabajo de gestión de riesgos existen para ayudar a proteger todos y cada uno de los aspectos de la empresa de posibles peligros. Esto incluye los riesgos que representan los productos no deseados o defectuosos, los mercados volátiles, los planes de negocios mal ejecutados, etc. Sin embargo, debido a la proliferación continua de sistemas digitales, algunos de los riesgos más evidentes a los que se enfrentan las organizaciones en la actualidad afectan a los sistemas de TI.
Los marcos de trabajo de gestión de riesgos de TI están diseñados para ayudar a las empresas e incluso a las instituciones gubernamentales a identificar posibles riesgos relacionados con los datos, determinar para qué sistemas representan una amenaza y qué opciones tienen para prevenir o remediar dichos riesgos. Los pasos que establecen los diversos estándares de RMF son muy similares; veamos el RMF del NIST como ejemplo. Es uno de los más estrictos y se utiliza para autorizar sistemas dentro del Gobierno federal de EE. UU. Se puede dividir en las cinco etapas esenciales que se indican a continuación.
Se deben revisar y categorizar todos los sistemas de TI de la organización, así como definir los límites de esos sistemas e identificar qué tipos de información están asociados a cada uno. Además, se debe tener en cuenta la información relevante relacionada con la propia organización, el entorno operativo del sistema, las conexiones con otros sistemas y el uso previsto.
A continuación, se deben elegir los controles de seguridad adecuados. Los controles de seguridad de una organización son las medidas de protección de gestión, operativas y técnicas de que dispone un sistema de información de la organización, diseñadas para ayudar a proteger la integridad y disponibilidad del sistema. En función del tipo de sistema e información, habrá controles de seguridad más efectivos que otros, por ello, elegir los controles adecuados puede significar la diferencia entre una protección adecuada y la vulnerabilidad del sistema. Una vez que la selección se haya completado, se tiene que implementar el control de seguridad elegido y se deben definir las políticas de uso.
Una vez implementados los controles de seguridad, el siguiente paso es evaluar su funcionalidad y sus resultados. ¿Están correctamente instalados y funcionan según lo previsto? Si es así, ¿cumplen los requisitos de seguridad requeridos? En caso contrario, los controles serán menos efectivos a la hora de proteger las operaciones y los datos empresariales.
Cuando se han implementado y aprobado los controles de seguridad, llega el momento de autorizar el control sobre el sistema y ponerlo en funcionamiento. Si se han implementado correctamente, los flujos de trabajo automatizados del RMF comenzarán a funcionar para ayudar a proteger la empresa.
Autorizar los controles de seguridad del sistema no es la etapa final de la gestión de riesgos de TI. La supervisión continua de los controles de seguridad contribuye a garantizar que el marco de trabajo de gestión de riesgos siga siendo viable durante toda su vida útil. Se deben documentar los cambios, realizar análisis de impacto periódicos y continuar registrando los estados de los controles de seguridad para garantizar una eficacia continua.
Como se ha mencionado anteriormente, el riesgo empresarial está en todas partes. Además, a medida que los sistemas de TI se amplían y evolucionan, el panorama empresarial digital moderno se vuelve cada vez más complejo. Los marcos de trabajo de gestión de riesgos adecuados ayudan a las organizaciones a abordar correctamente este panorama y proporcionan una serie de ventajas clave en el proceso.
Entre los principales beneficios de los marcos de trabajo de gestión de riesgos se incluyen los siguientes.
Las cadenas de suministro modernas se están volviendo cada vez más complejas, lo que genera un riesgo significativo para las empresas que dependen de ellas para entregar mercancías, recursos y productos. Las soluciones eficaces de RMF permiten que las organizaciones mejoren la calidad y la facilidad de uso de flujos de datos relevantes para la cadena de suministro con elementos como informes meteorológicos, tendencias de redes sociales y agencias de noticias internacionales, entre otros. Como resultado, son más capaces de obtener conocimientos precisos sobre los factores que pueden afectar a las cadenas de suministro esenciales.
La seguridad de una empresa depende de la seguridad de sus activos. Los marcos de trabajo de gestión de riesgos ayudan a proteger esos activos mediante la identificación de la información relevante, la detección y priorización de los riesgos, y la capacitación de las organizaciones para que respondan rápidamente mitigando y resolviendo los riesgos emergentes. El marco de trabajo adecuado proporciona un conjunto de estándares y un plan de acción para garantizar la seguridad permanente de los activos más importantes de la empresa.
Asimismo, los marcos de trabajo de gestión de riesgos determinan cómo se protege la propiedad intelectual frente a robos y usos indebidos. Gracias al respaldo de datos relevantes y estándares claros, las empresas pueden operar con la tranquilidad de saber que su propiedad intelectual está mejor protegida y que se minimiza la probabilidad de robo.
Contar con criterios claros de seguridad y estándares operativos disponibles e implementados en todos los niveles de una empresa garantiza la coherencia de los procesos de seguridad. Esto mejora la mitigación de riesgos y reduce el peligro de la exposición de datos. A su vez, eso ayuda a proteger la empresa de errores muy caros que podrían afectar negativamente a la percepción pública y causar un gran daño a su reputación.
En mercados agresivos, conocer a los competidores puede ser tan importante como conocer la propia empresa. Los marcos de trabajo de gestión de riesgos incorporan fuentes de información externas dispares, como redes sociales, blogs, noticias de prensa, etc., para que las organizaciones puedan vigilar a su competencia de cerca y reaccionar rápidamente cuando sea necesario.
Antes de que una empresa pueda disfrutar de las ventajas que se han mencionado, primero debe seleccionar el marco de trabajo de gestión de riesgos que mejor se adapte a sus necesidades. Actualmente, hay muchas soluciones de RMF disponibles, pero algunas destacan por ser mejores y más completas.
A continuación detallamos brevemente cuatro marcos de trabajo de gestión de riesgos de primera categoría.
La Ley Federal de Modernización de la Seguridad de la Información (FISMA) es una ley de EE. UU. que estipula pautas y estándares de seguridad respaldados legalmente para sistemas e instituciones gubernamentales. Dicho esto, el enfoque de la FISMA ha sido adoptado por entidades no gubernamentales de diversos sectores y ubicaciones geográficas. Este enfoque consta de una serie de pasos para seleccionar, implementar y supervisar controles de seguridad eficaces.
Con un enfoque más genérico para la gestión de riesgos, la norma ISO 31000 está diseñada para ser una manera eficaz de gestionar las consecuencias de diversos riesgos que pueden afectar a las organizaciones de prácticamente cualquier sector. El enfoque de la norma ISO 31000 ayuda a desarrollar filosofías y culturas frente al riesgo eficaces en toda la empresa, y crea diferentes procesos, roles y responsabilidades organizativas como parte del proceso de gestión de riesgos.
Aunque no es tan flexible como el enfoque de la FISMA o la ISO 31000, el marco de trabajo de gestión de riesgos empresariales del COSO consta de cuatro categorías (estrategia, operaciones, cumplimiento y generación de informes), por lo que no es posible implementarlo en toda la organización. No obstante, el enfoque del COSO es fiable para establecer una cultura centrada en el riesgo.
El marco del Instituto Nacional de Normas y Tecnología (NIST) integra la seguridad, la privacidad y la gestión de ciberriesgos de la cadena de suministro en el desarrollo de los sistemas, y se puede aplicar a sistemas nuevos o heredados de cualquier tipo de organización, grande o pequeña, y de cualquier sector.
Las empresas siempre deben correr algún riesgo para garantizar su competitividad. Sin embargo, con las soluciones, los recursos y las estrategias de gestión de riesgos adecuados, las organizaciones pueden gestionar eficazmente ese riesgo, a la vez que ayudan a garantizar la resiliencia y la continuidad frente a un futuro incierto. ServiceNow, líder en gestión de TI y automatización de flujos de trabajo, está a la vanguardia de este movimiento.
ServiceNow hace que el mundo laboral funcione mejor para todos. ServiceNow permite a empresas de todos los tamaños incorporar sin problemas la gestión de riesgos, las actividades de cumplimiento y la automatización inteligente en los procesos de negocio digitales para supervisar y priorizar el riesgo de forma continua. Las soluciones de gestión de riesgos de ServiceNow ayudan a transformar los procesos ineficientes y los datos aislados de toda la empresa en un programa de riesgo automatizado, integrado y procesable. Puedes mejorar tu proceso de toma de decisiones basado en el riesgo aumentando el rendimiento de la organización, además de con los proveedores, para gestionar en tiempo real los riesgos que afectan a tu empresa. Además, tomarás decisiones informadas sobre riesgos en tu trabajo diario, sin sacrificar los presupuestos.
ServiceNow permite a empresas de todos los tamaños integrar sin problemas la gestión de riesgos y el cumplimiento en las experiencias digitales y los flujos de trabajo, para que las personas y las organizaciones trabajen mejor. Gestión de riesgos se basa en la galardonada Now Platform y ofrece una visibilidad y un control completos. Te permite identificar y gestionar los riesgos y la información vital; supervisar las áreas de alto riesgo; diagnosticar los controles que no se adhieren a los requisitos de cumplimiento; y crear y programar autoevaluaciones de riesgos críticos; todo ello desde una sola ubicación centralizada. Además, gracias a los informes y análisis avanzados, la orientación y las bibliotecas de taxonomía integradas, y las soluciones de automatización avanzadas, las organizaciones tienen todo lo que necesitan para evaluar los riesgos y prepararse para afrontarlos sin sacrificar los presupuestos.
Descubre lo lejos que puede llevarte una preparación correcta con Gestión de riesgos de ServiceNow.