Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Respuesta a los riesgos de ciberseguridad
Las respuestas a los riesgos positivos y negativos son muy diferentes. En el caso de los riesgos negativos, se toman medidas para minimizar el impacto en el resultado; sin embargo, en el caso de los riesgos positivos, se toman medidas para maximizar el impacto en el resultado. En la siguiente tabla, se muestran las posibles respuestas a los riesgos positivos y negativos.
| Tipo de riesgo | Respuesta | Definición |
|---|---|---|
| Riesgo positivo | Explotar | Maximice la probabilidad de que se produzca el riesgo para obtener su efecto positivo. |
| Share | Asigne parte de la propiedad o de la responsabilidad del riesgo a otra parte. Se trata del mismo enfoque que se adopta con un riesgo negativo y se intenta controlar las posibles pérdidas o ganancias. | |
| Mejorar | Aumente las condiciones que crean el riesgo para maximizar la oportunidad. | |
| Ignore | Ignore la posibilidad del riesgo y no tome ninguna medida. Esta respuesta es común cuando la probabilidad del riesgo es muy baja o cuando los beneficios de un posible resultado positivo son mínimos. | |
| Riesgo negativo | Mitigar | Minimice la probabilidad de que se produzca el riesgo. |
| Transferir | Transfiera la responsabilidad por el riesgo a otra parte, por ejemplo, mediante la adquisición de una póliza de seguro para transferir el riesgo a una compañía de seguros. | |
| Evitar | Elimine las condiciones que crean el riesgo. | |
| Aceptar | Reconozca la existencia del riesgo, pero no tome ninguna medida. |
En el caso de los riesgos negativos, en las organizaciones se evita, transfiere, mitiga o acepta el riesgo en función de su tolerancia al riesgo y el tipo de riesgo. Se intenta evitar que ocurra y, si ocurre, se intenta minimizar su impacto en la misión general.
La mejor manera de ilustrar las respuestas positivas al riesgo es mediante ejemplos:
-
Explotar: un ejecutivo de seguridad se entera de que un profesional de seguridad bien cualificado ha decidido recientemente buscar un nuevo empleo y recibe una generosa bonificación por contratación para atraer al posible empleado a su equipo.
-
Compartir: un líder de una unidad de negocios desea mejorar la seguridad mediante un producto de administración de acceso con privilegios, pero no cuenta con presupuesto suficiente para adquirir las herramientas y los servicios en el año fiscal en curso. El líder trabaja con un líder de otra unidad de negocios, quien comprará e implementará la herramienta como un proyecto piloto y, más adelante, ampliará la instalación para dar soporte a ambas unidades de negocios.
-
Mejorar: un empleado ha identificado la oportunidad de automatizar un proceso empresarial existente para reducir las amenazas a la ciberseguridad, pero requiere una inversión de tiempo y equipo. Al ver los beneficios de este proceso, el gerente aprueba las horas extra de trabajo para desarrollar la capacidad y reutiliza los recursos de equipo y software existentes para permitir que el proyecto continúe.
-
Ignorar: un ejecutivo de finanzas se entera de que un empleado del departamento de ventas ha desarrollado una nueva aplicación que automatiza una tarea tediosa y manual. Recientemente, se autorizó el uso de la aplicación únicamente en el departamento de ventas. El ejecutivo de finanzas obtiene una copia de la nueva aplicación para conseguir una ventaja similar en su departamento, sin autorización explícita.
