lunes, 9 de enero de 2012

riesgo es la probabilidad de que una amenaza se materialice

Cuando regresamos de ver la cabalgata de los Reyes con las niñas, Ana Paula mi hija menor de 5 años me preguntó ¿que es arriesgues? Su madre estuvo todo el rato diciendo “no te arriesgues por un caramelo”. El caso es que los niños se emocionan mucho cuando pasan las carrozas y lanzan caramelos a la multitud, todo el mundo se ve tentado a coger los chuches, pero pasa que algunos quedan muy cerca del paso de carrozas, camellos y elefantes, y por supuesto un niño no mide los riesgos correctamente.

cabalgata

Yo le respondí que “arriesgue” es “tomar riesgos”, a lo que siguió la pregunta lógica ¿Qué es un riesgo?. Mi respuesta fue automática, me la tengo aprendida de memoria: un riesgo es la probabilidad de que una amenaza se materialice, y pueda convertirse en un desastre. Me miró con sus lindos ojitos y se dirigió a su madre a repetir la pregunta, estaba claro que necesitaba un mejor lenguaje.

Aprendí dos cosas:

Lenguaje

 

Evaluación de riesgos

Los riesgos existen en toda la organización y en todos los proyectos de la misma. Las mayores vulnerabilidades están en los empleados menos formados y con menor conocimiento de los mismos.

Hay que explicarlos bien, no es suficiente con escribir un documento técnico y enviarlo en un adjunto en un correo electrónico. Hay que hacer una reunión de formación y explicarlo en un lenguaje claro y accesible.
  Igual que los niños, el personal de una empresa en su mayoría no es capaz de evaluar los riesgos, no por naturaleza, esto es necesario aprenderlo, e ir creciendo.

Pero sí es imprescindible hacer una evaluación de riesgos tanto para las Tecnologías, como por parte de la Gobernabilidad y la Gestión de las Tecnologías (itSM). Hay que identificar los riesgos, decidir cuáles se pueden asumir, y en los que no preparar las contramedidas.

Específicamente en Tecnología hay varios métodos para evaluación y prevención de riesgos, por ejemplo:

  • ISO/IEC 27000: conjunto de normas para la Seguridad de la información
  • ISO/IEC 31000: conjunto de normas para la evaluación de Riesgos
  • Método Management of Risk (M_o_R)

2 comentarios:

  1. Marlón; en diferentes entradas en mi blog, he mencionado historias . de mis hijas - que acontecen como la que cuentas de tus niñas.

    Ellos aún no se les ha acordado su visión, sus ganas de experimentación y el buscar sus por qués, y enlazan con repetidas preguntas a la causa raíz de forma sutil y sencilla.

    Qué lástima, que a las personas adultas se nos haya olvidada nuestras facultades socráticas de realizar preguntas sobre todo lo que necesitemos cuestionarnos.

    Excelente entrada.

    Un abrazo

    ResponderEliminar
  2. Si el riesgo es la posibilidad de que se materialice una amenaza, estamos hablando de un nivel, de un número, de una probabilidad... Ten cuidado cuando hablas de riesgo y no lo vayas a confundir con una amenaza... Las amenazas son las que abundan en las organizaciones, unas con un mayor riesgo que otras... En las clases que dicto hago la pregunta: Me compro un automóvil... qué riesgos tengo??? El 100% de los asistentes normalmente enumeran: robo, choque, pérdida.... pero esos no son los riesgos... son las AMENAZAS!!! El riesgo es qué tan probable es que me roben, que me choquen, que se me pierda!!!! OJO.

    ResponderEliminar