El proceso de identificación de riesgos tiene diferentes actividades básicas realizadas por las organizaciones durante el proceso de evaluación de riesgos. La base de conocimientos se crea para identificar posibles riesgos de seguridad de la información en el negocio y las operaciones de la organización. La base de conocimientos se crea a través de reuniones y coordinación con personas de la organización. Dicha coordinación y reunión puede incluir entrevistas, debates y observaciones de los procesos y actividades.
Los propietarios y custodios de la información y los datos son las personas que poseen la base de conocimientos real de los clientes, las operaciones y otras actividades comerciales.
Proceso de identificación
El conocimiento también se obtiene mediante el análisis de incidentes reales de seguridad de la información que ocurrieron y se informaron dentro de la organización. La base de datos de pérdidas operativas de la organización incluye incidentes de seguridad de la información e incidentes de violación de datos que ocurrieron en diferentes ubicaciones y departamentos, con impactos de riesgo financiero y de reputación .
Dicha base de datos sobre pérdidas de seguridad de la información sirve como punto de referencia para identificar la tendencia de los riesgos de seguridad de la información y los incidentes relacionados. Las fuentes externas, como la información de los clientes en forma de quejas o consultas, también pueden indicar la posibilidad de riesgos de seguridad de la información en un departamento o función en particular. Las autoridades reguladoras también pueden preguntar sobre posibles fraudes, que también sirven como punto de identificación para los riesgos de seguridad de la información en una organización en particular.
El estudio de la industria y el análisis de tendencias también pueden indicar riesgos de seguridad de la información y fraudes de datos si la industria está creciendo en un área en particular, pero la organización está luchando por crecer. La alta dirección debe analizar estas tendencias para identificar los riesgos de seguridad de la información existentes o potenciales inherentes a los procesos y departamentos.
Los riesgos de seguridad de la información también pueden identificarse mediante el análisis de infracciones regulatorias y multas impuestas por los reguladores. Los indicadores de violaciones de la seguridad de la información también incluyen la presión sobre la alta dirección para que los empleados cumplan con los objetivos, lo que provoca la divulgación no autorizada de información y datos o el uso indebido.
Las intenciones y la reputación de la gerencia también se consideran para identificar los datos o los riesgos de la información. La administración incluye la junta directiva y la alta gerencia de la organización responsable de establecer la dirección y proporcionar supervisión a la gerencia y los empleados. El historial y la reputación de los principales ejecutivos se consideran desde la perspectiva de la anulación de los controles internos y la participación en actividades fraudulentas.
También se considera la posibilidad de ocurrencia a través de diferentes esquemas de fraude de datos e información, como la manipulación de datos para informes financieros fraudulentos, la apropiación indebida de activos de información, el uso indebido de la información crítica de los clientes, etc.
Reflexiones finales
El proceso de identificación es un conjunto de actividades destinadas a definir sistemáticamente el conjunto de procesos de negocio de una empresa y establecer criterios claros para priorizarlos. El proceso de identificación de procesos produce una arquitectura de procesos, que representa los procesos de negocio y sus interrelaciones. La identificación de procesos permite a una organización comenzar a visualizar la gama de actividades de principio a fin, ayudando a los empleados a determinar qué pasos se requieren y quién requiere qué en el camino.
