Gestión de Riesgos: La importancia de la comunicación
ISO 22301: Gestión de Riesgos
La importancia de la comunicación a la dirección de los beneficios de la gestión de riesgos.

Cuando hablamos de seguridad, uno de los mayores desafíos que enfrentan los equipos de seguridad no es la manera de reducir los riesgos, sino encontrar la forma de transmitir los beneficios de la gestión de riesgos a la dirección de la empresa.
El ritmo del cambio tecnológico actual en el comercio a través de la red, muchas veces pone a los responsables de la seguridad en un estado de conflicto permanente entre ellos y la empresa, que quiere impulsar la innovación, y el equipo de seguridad que necesita frenar el riesgo.
En el proceso de toma de decisiones se deben evaluar las nuevas oportunidades de negocio y sopesar si la empresa esta adecuadamente protegida contra riesgos. En este contexto, nos encontramos a veces con informes con demasiada información y tendentes al miedo en la mayoría de los casos, además de carentes de una visión alineada con las estrategias del negocio.
El desafío es conseguir que las dos partes trabajen en armonía. Para ello, los responsables de la seguridad deben aprender a comunicar los beneficios de los avances en seguridad en la misma medida en la que se preocupan por los riesgos.
Algunos consejos prácticos para la comunicación de los beneficios de la seguridad:
Un Plan de Seguridad
Crear un programa formal para la seguridad nos asegura que es repetible y medible. De esta forma podremos demostrar la madurez de nuestro programa de su capacidad de identificar los puntos débiles de la organización y las oportunidades de mejora, abstrayéndonos de los aspectos meramente tecnológicos que no siempre son entendidos por la dirección.
Enfocarse en el riesgo
Los que toman las decisiones en una empresa normalmente pueden ser no expertos en TI. Es por ello que la gestión de riesgos será una herramienta de ayuda para la toma de decisiones conscientes sobre lo que se puede hacer, así como lo que no, para mitigar el riesgo empresarial.
Definir nuevos indicadores
Los responsables de la gestión de riesgos deberán definir nuevos indicadores de rendimiento empresarial que incluyan los indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI) de forma que se integren estos indicadores en el desempeño de la empresa y desechemos la idea de que los riesgos de TI se refiere únicamente a las TI.
ENLACES DE INTERÉS