Gestión de Riesgos

El objetivo de este documento es definir la metodología y el alcance para la gestión de riesgos en 2CLIX TECNOLOGIA EIRELI, además de servir como guía base para la elaboración de informes y auditorías sobre este tema.

El acceso a esta documentación es Público; sin embargo, los informes generados a partir de los procesos aquí definidos tienen la clasificación de “Restringido”.

GESTIÓN DE RIESGOS

Además de los factores regulatorios y legales, la gestión de riesgos también debe tener en cuenta los factores internos de la organización, así como sus procesos y situación financiera. La gestión de riesgos debe priorizar aquellos riesgos que presentan impactos más graves y mayores probabilidades de ocurrencia, buscando garantizar que los riesgos identificados sean reducidos a categorías de probabilidad e impacto menores.

Para garantizar una mejora incremental, los informes de la familia SEG2CX03 se actualizarán en ciclos de 6 meses, de acuerdo con las directrices y metodologías definidas en este documento.

OBJETIVOS GENERALES DE LA SEGURIDAD

  • La seguridad de los datos de los clientes, usuarios y colaboradores debe ser tratada como prioridad.
  • Los procesos y controles de seguridad deben garantizar la disponibilidad de los servicios prestados por 2CLIX TECNOLOGIA EIRELI.
  • Las estaciones de trabajo de los colaboradores de 2CLIX TECNOLOGIA EIRELI deben mantenerse funcionales y capaces de soportar las tareas necesarias para sus usuarios.
  • Documentos y contratos físicos y digitales deben almacenarse en lugares seguros y ser accesibles solo por los equipos de Administración, Finanzas y Negocios.
  • Las medidas de seguridad no deben perjudicar los plazos para la implementación de nuevos servicios o mejoras.
  • El cumplimiento de la Ley General de Protección de Datos (LGPD) debe ser garantizado a través de los controles de seguridad.
  • Es imprescindible que los equipos sigan correctamente todos los procesos de trabajo.
  • Las demandas y proyectos deben desarrollarse siguiendo la Política de Desarrollo Seguro y ser probados exhaustivamente para mantener la calidad del servicio y su seguridad.
  • Todos los equipos deben seguir la Política de Seguridad de la Información y la Política de Desarrollo Seguro.

METODOLOGÍA

La gestión de riesgos de 2CLIX TECNOLOGIA EIRELI estará compuesta por tres informes:
[SEG2CX03.1] Identificación de Riesgos,
[SEG2CX03.2] Análisis de Riesgos,
[SEG2CX03.3] Tratamiento de Riesgos.
Cada uno de ellos será responsable de desarrollar un aspecto del proceso de gestión de riesgos y describir cada riesgo identificado en la organización.

La Identificación de Riesgos se compone de algunas fases incrementales para garantizar una correcta filtración entre simples “ofensores menores” y situaciones que realmente representen un riesgo a la seguridad de la organización.

  • La primera fase consiste en una revisión de los procesos de la organización para la identificación de ofensores.
  • La segunda fase es un análisis de eventos e incidentes previamente reportados, así como cualquier registro histórico que pueda ser relevante para la cultura organizacional actual.
  • La tercera fase consiste en analizar los informes de vulnerabilidades y los logs de acceso proporcionados por el SIEM, el antivirus y la rutina de monitoreo de la Base de Datos.
  • La cuarta fase consiste en un análisis de riesgos externos, abarcando la revisión de contratos y documentación de riesgos de los proveedores, así como el análisis de factores económicos, ambientales y políticos del contexto en el que la organización está inserta.
  • Por último, todos los “riesgos potenciales” se reúnen y revisan en un análisis preliminar para definir cuáles de estos elementos constituyen riesgos reales y cuáles son solo ofensores inocuos. El resultado de esta fase constituye el informe de Identificación de Riesgos.

El Análisis de Riesgos tiene como objetivo identificar el peligro real que cada riesgo representa para la seguridad de la información de la organización. Se compone de un análisis más objetivo de cada riesgo, evaluando su impacto y probabilidad de ocurrencia de acuerdo con su influencia en la Integridad, Disponibilidad y Confiabilidad tanto del sistema como de la organización en su conjunto. Cada riesgo pasa entonces por un análisis de los siguientes aspectos:

  • La Naturaleza del Riesgo se refiere a las áreas de la empresa a las cuales el riesgo está vinculado.
  • La Disponibilidad se centra en la probabilidad e impacto del riesgo sobre este aspecto, considerando los impactos en la disponibilidad de los servicios ofrecidos por 2CLIX TECNOLOGIA EIRELI, así como en la disponibilidad de documentos y equipos para que el equipo pueda realizar sus funciones.
  • La Integridad se centra en la probabilidad e impacto del riesgo sobre la integridad de los servicios ofrecidos por 2CLIX TECNOLOGIA EIRELI, así como en la integridad de documentos y equipos utilizados por el equipo.
  • La Confiabilidad se enfoca en la probabilidad e impacto del riesgo en la confianza sobre los servicios de 2CLIX TECNOLOGIA EIRELI, así como en la confiabilidad de documentos proporcionados por el equipo, tanto durante la contratación como para documentar ocurrencias internas.
  • Los Factores Internos describen los impactos internos que el riesgo puede tener, tanto entre equipos como en la relación de los colaboradores con 2CLIX TECNOLOGIA EIRELI.
  • Los Factores Externos describen los impactos externos del riesgo para la organización, desde impactos legales hasta impactos sobre la imagen o la presencia de la empresa en su segmento de mercado.
  • Los Criterios de la Empresa buscan describir en qué medida el riesgo entra en conflicto con las directrices internas de la empresa respecto a la seguridad de la información.
  • El Responsable del Riesgo es la persona encargada de definir el plan de tratamiento del riesgo y, tras la aprobación de la gerencia, coordinar su implementación.
  • El Tipo de Tratamiento sugerido describe el objetivo final que se busca con el tratamiento del riesgo: mitigación, prevención, aceptación o erradicación.
  • En la Matriz de Riesgo, se representa gráficamente la relación entre impacto y probabilidad de ocurrencia para la integridad (I), disponibilidad (D) y confiabilidad (C). El resultado de esta matriz es la definición del nivel de prioridad del tratamiento del riesgo. La matriz tiene 4 niveles de prioridad, siendo el nivel 1 el más crítico y el nivel 4 el menos severo.
  • La definición de la prioridad final del riesgo se basa en el peor caso observado entre las tres evaluaciones.

Por último, el informe de Tratamiento de Riesgos contendrá las directrices oficiales de la empresa para cada riesgo señalado en los informes anteriores, así como informaciones para la auditoría de dichos tratamientos en el futuro. Cada riesgo contará con la siguiente información:

  • Tratamientos revisados y aprobados por la gerencia.
  • Guía y cronograma de implementación.
  • Objetivos y efectos esperados con el tratamiento.
  • Métricas para la comparación de los resultados obtenidos tras el tratamiento.

GESTIÓN DE DOCUMENTOS

Este documento es válido a partir de su aprobación más reciente y es de responsabilidad del equipo de proyectos de 2CLIX TECNOLOGIA EIRELI. El ciclo de actualización de este documento es semestral y debe realizarse siempre a partir de la evaluación de la eficacia y adecuación de este documento frente a las demás políticas y procesos de la empresa.

Para garantizar una evaluación concisa y clara, se utilizarán los siguientes criterios de evaluación:

  • Cantidad de incidentes causados por una definición confusa o imprecisa de la metodología de gestión de riesgos.
  • Tiempo desperdiciado por colaboradores y empleados resolviendo ofensores inocuos definidos como riesgos.
  • Incidentes de seguridad que involucren riesgos no señalados por el proceso o considerados inocuos en la fase de identificación.
  • Redundancias o procesos conflictivos causados por una planificación deficiente de los tratamientos de riesgos.
  • Tratamientos ineficientes o con métricas inadecuadas para una evaluación clara y objetiva.

Los registros de incidentes relacionados con el contenido de este documento y de sus informes “derivados” serán almacenados en una carpeta específica en el directorio de documentos de 2CLIX TECNOLOGIA EIRELI.

 

Newsletter

Convierte tu atención en resultados.

Recibe consejos y contenidos exclusivos sobre monitoreo de calidad, gestión de CX y eficiencia en el servicio.

Al hacer clic en "Suscribirme", confirmas que aceptas nuestros Términos y Condiciones.

Scroll al inicio