Skip to main content

Arriskuen kudeaketa

Norentzat da?

Zibersegurtasuneko arriskuak kudeatzea edozein erakunde publikok edo pribatuk, handik ala txikik, garatu beharko lukeen jarduna da, baldin eta zibersegurtasuna eraginkortasunez eta efizientziaz ardaztu nahi badu.

Zer da?

Arriskuen kudeaketa jardun bat da erakundeak dituen zibersegurtasuneko arriskuak identifikatzeko. Probabilitatea eta eragina aztertu, emaitzak ebaluatu eta arriskuak tratatzeko ekintzak zehazten dira. Orokorrean, helburuak honako hauek dira:

  • Segurtasun-neurriak aplikatuta, arriskuak murriztea.
  • Arriskuei atxikitako probabilitate- eta eragin-mailak onetsita, haiek onestea.
  • Atxikitako eremuak deuseztatuta, arriskuak saihestea.
  • Arriskua hirugarren erakunde bati (ohiz hornitzaileak edo aseguru-konpainiak) eskuordetuta, transferitzea.

Arriskuak kudeatzeko erreferentziazko eredu ugari daude, baina zabalduena eta aurki onetsia dagoena UNE-ISO 31000:2018 nazioarteko estandarrak zehaztutakoa da. Horren bidez, orokorrean arriskuak kudeatzeko gidalerroak ematen dira. Estandarraren arabera, arriskuen kudeaketa prozesu ziklikoa da, hurrengo grafikoan ikus daitezkeen fase eta baldintzatzaileekin:

Proceso de Gestión de Riesgo definido en la norma ISO 31000:2018

Helburuak

Arriskuen kudeaketa-helburuak honako puntu hauetan laburbil daitezke:

  • Erakundearen zibersegurtasunari negatiboki eragin diezazkioketen egoeren inbentarioa izatea.
  • Balizko egoera negatiboak ebaluatzeko mekanismoa garatzea, egoera gertatzeko probabilitatearen eta erakundean sortuko lukeen eraginaren arabera.
  • Egoerak sistematikoki aztertzeko eta horietan oinarrituta tratamendu-erabakiak hartzeko prozesua ardaztea. Helburua da erabakiak une bakoitzean lortutako emaitzei dinamikoki egokitzea.

Onurak

Arriskuak kudeatzeari esker, edozein erakundek ematen dituen onura ugariez goza dezake:

  • Erakundearen zibersegurtasunean negatiboki eragin dezaketen berariazko egoerez jakitun izatea.
  • Kontuan hartutako egoera negatibo bakoitzaren ahalmen kaltegarria objektibotasunez aztertzeko gaitasuna izatea.
  • Une bakoitzean berariazko egoera negatiboari atxikitako arriskuaren egiazko maila ezagutzea.
  • Jakitun izanik arriskuari buruzko erabakiak hartu ahal izatea, eta, horretarako, zenbait egoera negatibo baldintza baliokideetan alderatu ahal izatea.
  • Lehentasunezko irizpide objektiboetan oinarrituta, arriskuak tratatzeko neurriak zehaztea.
  • Bilakaera eta joerak ebaluatuta, denboran zehar arriskuaren egoera koherentziaz aztertzeko aukera izatea.

Arriskuak kudeatzean kontua hartu beharreko faktoreak

  • Erakundearen tamaina
  • Garatzeko berariazko irismena
  • Aplikatuko den berezko metodologia
  • Analisiak izango duten sakontasuna (xehetasun-maila)
  • Analisia eguneratzeko aldizkakotasuna
  • Bestelako antolaketa-alderdiak

Arriskuen kudeaketari buruzko prozesuaren faseak

1. fasea. Proiektua abiaraztea

Arriskuen kudeaketan analisiaren berariazko inguruneari edo irismenari dagozkien zuzendaritza-mailek nahasi behar dute, zuzendaritza-maila horrek hartuko baititu arriskuen tratamenduari buruzko erabakiak eta, hala erabakiz gero, arintzeko baliabideak erabili ere bai.

2. fasea. Irismena mugatzea

Erakundeak arriskuen kudeaketa-prozesua garatzeko eremua mugatu beharko du eta, xede, horrez honako hauek definituko ditu:

  • Kontuan hartuko diren prozesuak, zerbitzuak eta/edo jarduerak
  • Esku hartuko duten pertsonak
  • Ukitutako bitarteko teknologikoak
  • Nahasitako hornitzaileak

3. fasea. Arriskuen analisi-metodologia definitzea

Arriskua aztertzeko zenbait metodologia daude, haien ezaugarrien arabera:

  • Orientazioari jarraikiz: zerbait metodologia orokorragoak dira, hala nola agertokietara bideratutakoak; bien bitartean, beste batzuk berariazkoak dira, besteak beste, aktiboak aztergai dituztenak.
  • Tipologiari jarraikiz: metodologiak kuantitatiboak izan daitezke, eta ohiz parametro ekonomikoetan oinarritzen dira; metodologia kualitatiboek, berriz, alderdi kualitatiboak mailakatzen dituzte normalean.
  • Zehaztapen-mailari jarraikiz: metodologia irekiak izan daitezke, eta norberaren metodologia partikular bihurtzeko lan-esparrua baino ez dute ematen; metodologia itxiek, ordea, pertsonalizatu gabe arriskuen analisia gauzatzeko kalkulu formulak eta katalogoak dituzte.

Fase honetan erabiliko den arriskuen analisi-metodologia definitu eta formalizatu beharko da, eta, horretarako, berariazko metodologia hautatu eta/edo partikular bihurtu ala berezko metodologia diseinatuko da. Nolanahi ere, hautatutako metodologia formalizatzea ezinbestekoa da, aldizka erabili ahal izateko eta, bai elkarren artean, bai denboran zehar aldera daitezkeen emaitzak emateko.

4. fasea. Kontuan hartuko diren egoeren katalogoa zehaztea

Hautatutako metodologiaren arabera, hurrengo urratsa da kontuan hartu nahi diren egoera negatiboen katalogoa zehaztea.Katalogoa zuzenean metodologiatik atera daiteke, metodologiak barneratuta badu. Bestela, arrisku bakoitza zehaztean parte har dezaketen elementuetatik abiatuta egin ahalko da, betiere hautatutako metodologiari erreparatuta:

  • Kontuan hartuko diren agertokiak
  • Ukitutako aktiboak
  • Aurrez ikusitako mehatxuak
  • Identifikatutako kalteberatasunak
  • Eragile esku-hartzaileak
  • Aurrez ikusitako eraso-zuhaitzak
  • Etab.

Aktiboari bideratuta, ohiz erabiltzen den metodologiaren kasuan, hala nola MAGERIT, arriskuen katalogoa aktibo-mehatxu pareak elkartuz egingo da.

5. fasea. Arriskuak baloratzea

Aztertu behar diren arriskuen katalogoa identifikatutakoan, horiek baloratu beharko dira.Hainbat modu daude baloratzeko, analisi-metodologian kontuan hartu diren elementuen arabera, baina, oro har, balorazioan beti zehaztuko dira bi parametro, arriskua definituko baitute:

  • Kontuan hartutako egoera negatiboa gertatzeko probabilitatea.
  • Gertatuz gero, egoera negatiboak erakundean sortuko lukeen eragina.

Balorazio kuantitatiboa eta kualitatiboa egingo da, hautatutako metodologiaren ezaugarriekin bat etorriz, baina, azkenik, parametro bakarrean batuko dira, alderatuta baloratzeko. Modu horretan, egoera negatibo bakoitzak atxikita duen arrisku-maila zehaztuko da.

6. fasea. Arriskuak ebaluatzea

Arriskuen balorazioaren emaitzak ikusirik, erakundeak arrisku-maila onargarria zehaztu beharko du. Maila arriskuen balorazio-faseko emaitzarekin alderatuko du, eta erakundeak onargarritzat hartutako arrisku-maila gainditzen duten egoera negatibo guztiak zehaztuko ditu.

7. fasea. Arriskuak tratatzea

Arriskuen ebaluazioa ikusirik, erakundeak arrisku-maila onargarria gainditzen duten arrisku guztiei emandako tratamendua zehaztuko du:

  • Arriskua deuseztatzea
  • Arrisku-maila murriztea
  • Arrisku-maila onestea
  • Arriskua transferitzea

Gehiegizko arriskuen tratamendua murriztea bada, erakundeak zibersegurtasuneko neurri egokienak zehaztu beharko ditu hurrengo helburu hauekin:

  • Kontuan hartutako egoera negatiboa gertatzeko probabilitatea murriztea
  • Gauzatuz gero, egoera negatiboaren eragina murriztea

Bi kasuetan berariazko plangintza egingo da, definitutako zibersegurtasuneko neurriak aplikatzeari lotutako proiektuak garatze aldera, arduradunak, epeak eta baliabideak zehazteko.

8. fasea.Hondar-arriskua onestea

Azkenik, erakundeak egindako analisiarekin lotutako hondar-arriskua onetsi beharko du, eta hurrengo hauen konbinazioak definituko du:

  • Kontuan hartu beharreko egoeren katalogoa zehazteko fasean berariaz aurrez ikusi ez diren arrisku guztiak.
  • Aldi baterako onargarri gisa izendatutako arrisku-mailaren gainetik dauden arrisku guztiak, arintzeko zibersegurtasuneko neurriak oraindik amaituta ez daudelako.

Zuzendaritza-mailek berez onetsi beharko dituzte arriskuak, eta arrisku-analisiaren hurrengo ikuskapen- eta eguneratze-ziklorako planteatuko dute analisi zehatzagoa egitea edo arrisku-maila txikiagoa onartzea, hondar-arriskua onestea erakundearentzat erronka izan bada.

Non lortu aholkularitza edo kontratatu DBEO egokitzea?

BCSCk erakunde publikoen eta enpresa pribatuen esku jartzen du “Euskadiko Zibersegurtasunari buruzko Liburu Zuria”. Agiriak gure tokiko ekosistemaren ikuspegi orokorra du, eta berrikuntza, ikerketa, ekintzailetza, eta abarren ikuspuntu desberdinak ageri dira. Halako zerbitzu-motak ematen dituzten zibersegurtasuneko hornitzaileen katalogoa aurki daiteke, eskatu nahi dituzten erakunde interesdunek erabakiak errazago hartzeko erreferentziazko puntua izan dezaten.

Katalogoa Euskadin zibersegurtasuneko merkatuaren laburpena edo argazkia da. Dena den, zerrenda bizia da, eta aldizka ikuskatu nahiz eguneratzen da, zerbitzuen digitalizazioa eta sortzen diren aukerak etengabe bilakatzen eta aurreratzen ari baitira.

BCSC Liburu Zuria

Erreferentziak

Guía de gestión de riesgos de INCIBE: https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ciberseguridad_gestion_riesgos_metad.pdf

ISO 31000: https://www.iso.org/obp/ui#iso:std:iso:31000:ed-2:v1:es

ISO 31000 en Wikipedia: https://es.wikipedia.org/wiki/ISO_31000

Gestión de riesgos en Wikipedia: https://es.wikipedia.org/wiki/Gesti%C3%B3n_de_riesgos

 

Partekatu

Linkedin partekatu