Skip to content

Un equipo identifica un nuevo riesgo. Como analista de GRC, ¿qué haces con él?

Respuesta breve

La gobernanza significa que el riesgo se captura y se gestiona, no se maneja de manera informal: regístralo en el registro de riesgos con la probabilidad y el impacto evaluados, asigna un propietario responsable, decide y documenta el tratamiento (mitigar, transferir, aceptar o evitar) y fija una fecha de revisión. Resolverlo tú mismo en el momento se salta la propiedad, la priorización y el seguimiento, y puede que ni siquiera te corresponda. Ignorarlo hasta que se convierta en un incidente es negligente, y enviarlo por correo a todos genera ruido pero ninguna responsabilidad ni seguimiento. El registro convierte una observación puntual en una decisión rastreada, con propietario y revisada.

El trabajo de un analista de GRC no es resolver personalmente cada riesgo, sino asegurarse de que cada riesgo esté identificado, evaluado, con propietario, decidido y revisado. El registro de riesgos es el instrumento que lo permite, y recurrir a él es la respuesta disciplinada.

Cómo es "gestionar" un riesgo

Cuando surge un nuevo riesgo, lo registras para que no pueda olvidarse, luego lo evalúas —probabilidad e impacto— para poder priorizarlo frente a todo lo demás que compite por atención. Asignas un propietario responsable, idealmente la persona con la autoridad y los recursos para actuar, no solo quien lo detectó. Después tomas y documentas una decisión de tratamiento: mitigar (reducirlo), transferir (asegurarlo o contratarlo fuera), aceptar (convivir conscientemente con él, con aprobación) o evitar (cesar la actividad). Por último, fijas una fecha de revisión, porque el riesgo cambia con el tiempo y un registro no revisado queda obsoleto.

Por qué fallan las respuestas incorrectas

Resolverlo tú mismo en el momento parece proactivo pero se salta la propiedad, la priorización y el rastro de auditoría, y la solución puede no corresponderte o no ser el mejor uso del esfuerzo. Ignorarlo hasta que se convierta en un incidente es la definición misma de negligencia; todo el sentido de la gestión de riesgos es actuar antes del evento de pérdida. Enviarlo por correo a todos y seguir adelante difunde el problema pero no se lo asigna a nadie; una responsabilidad diluida significa que nada se hace realmente, y no queda constancia de que se tomara una decisión.

El criterio que se evalúa

El entrevistador quiere ver que entiendes que la gobernanza trata de responsabilidad y trazabilidad, no de heroicidades. Una buena respuesta nombra correctamente las cuatro opciones de tratamiento, distingue al propietario del riesgo de quien lo descubrió, y reconoce que incluso "aceptar" es una decisión legítima y documentada cuando la toma alguien con la autoridad para asumir el riesgo residual. El registro no es burocracia por sí misma: es la forma en que una organización demuestra que conocía un riesgo, decidió qué hacer y dio seguimiento.

Posibles preguntas de seguimiento

  • ¿Quién debería ser propietario de un riesgo: la persona que lo encontró u otra, y por qué?
  • ¿Cuándo es 'aceptar' un tratamiento legítimo y qué hace válida una aceptación de riesgo?
  • ¿Cómo priorizas un nuevo riesgo frente a todo lo que ya está en el registro?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.