Como vimos en la primera nota de GRC, ¿Qué significa GRC en seguridad de la información? determinar el riesgo en los procesos de TI o de Negocio beneficia a las áreas de seguridad para conocer donde se encuentran sus debilidades, que tratamiento darles y hasta monetiza la inversión para mitigar dichos riesgos en función del valor del proceso a analizar.
En ese sentido es importante mencionar que existen varias metodologías para calcular estos riesgos basándose en estándares como ser ISO o NIST los cuáles además de comunicar las mejores prácticas del mercado, proveen una serie de controles a medida que la tecnología de la seguridad avanza.
MAGERIT nace en la administración pública de España y se hace extensiva como una de las metodologías más difundidas para el cálculo de los riesgos de las TIC.
Su marco de Gestión de riesgos se basa en el fundamento normativo de la ISO 31000.
En definitiva tanto MAGERIT como otras metodologías buscan dar resultados de cuan seguros o inseguros son los sistemas de tecnología de la información.
Para ello cuenta con unos objetivos propios que ordenan al Analista de Riesgos llegar a obtener esos resultados:
- concientizar a los responsables del negocio o de los servicios y a toda la organización de la existencia de los riesgos y de cómo gestionarlos.
- dar un uso sistematizado y evolutivo de la gestión de los riesgos y de las consecuencias de dicha gestión.
- planificar el tratamiento de los riesgos para tenerlos bajo control.
- preparar a la organización para las evaluaciones, auditorías, certificaciones o acreditaciones según la regulación vigente o las necesidades propias de la gestión pública o privada.