La mitigación del riesgo y el cumplimiento normativo son dos elementos críticos para una organización, y a menudo requieren estrategias complementarias.
Un plan de Gestión Riesgos asegura que tiene un enfoque estructurado y clasificado para identificar sus vulnerabilidades de manera continua, confiable y eficiente, La mitigación de a la exposición de algún riesgo le brindara a las organizaciones la tranquilidad de saber que están en el cumplimiento con los requerimientos legales y operativos correspondientes lo cual se traducirá de manera inmediata en la reducción de los gastos.
GOLDEN TI ofrece la implementación de un sistema de gestión de riesgos basado en los requerimientos de los siguientes estándares internacionales:
ISO/IEC 27001 Sistema de gestión de seguridad de información.
1 Sistema de gestión para servicios de TI.
IATF 16949 Sistema de gestión de calidad para organizaciones automotrices.
ISO 22301 Sistema de gestión para la continuidad del negocio.
ISO 28001 Sistema de gestión para la seguridad de la cadena de suministro.
ISO 31001 Sistema de gestión de riesgos.
La metodología de Golden TI sigue los siguientes pasos:
1.- Identificar los Activos y sus responsables, entendiendo por activo todo aquello que tiene valor para la organización, incluyendo soportes físicos (edificios o equipamientos), intelectuales o informativas (Ideas, aplicaciones, proyectos …) así como la marca, la reputación etc.
2.- Identificar las Vulnerabilidades de cada activo: aquellas debilidades propias del activo que lo hacen susceptible de sufrir ataques o daños.
3.- Identificar las amenazas: Aquellas cosas que puedan suceder y dañar el activo de la información, tales como desastres naturales, incendios o ataques de virus, espionaje etc.
4.- Identificar los requisitos legales y contractuales que la organización está obligada a cumplir con sus clientes, socios o proveedores.
5.- Identificar los riesgos: Definir para cada activo, la probabilidad de que las amenazas o las vulnerabilidades propias del activo puedan causar un daño total o parcial al activo de la información, en relación a su disponibilidad, confidencialidad e integridad del mismo.
6.- Cálculo del riesgo: Este se realiza a partir de la probabilidad de ocurrencia del riesgo y el impacto que este tiene sobre la organización (Riesgo = impacto x probabilidad de la amenaza). Con este procedimiento determinamos los riesgos que deben ser controlados con prioridad.
7.- Plan de tratamiento del riesgo: En este punto estamos preparados para definir la política de tratamiento de los riesgos en función de los puntos anteriores y de la política definida por la dirección. En este punto, es donde seleccionaremos los controles adecuados para cada riesgo, los cuales irán orientados a :
Asumir el riesgo
Reducir el riesgo
Eliminar el riesgo
Transferir el riesgo
Nuestro módelo de gestión de riesgos que Golden TI cumple y excede con los requerimientos de los siguientes estándares.