Cada organización es diferente tanto por su tamaño, como por sus requisitos y presupuestos destinados a seguridad. Sin embargo, debe tener un responsable de Information Risk Management (IRM) o todo un equipo que trabaje de forma coordinada. La meta de IRM, por encima de cualquier otra, es asegurar que la empresa está protegida de la manera más rentable desde el punto de vista coste-rendimiento. Este objetivo sólo se podrá lograr si se han implementado los siguientes elementos:

• Establecimiento de un nivel de riesgo aceptable por parte de la dirección.
• Documentación de los riesgos potenciales, establecimiento de procesos y procedimientos de control.
• Procedimientos para identificar y atenuar los riesgos.
• Asignación de recursos y fondos por parte de la dirección.
• Definición de planes de contingencia donde se argumente su necesidad.
• Formación sobre seguridad relacionada con la información para todos los miembros de la plantilla.
• Constituir equipos en áreas específicas para mejorar o reducir riesgos cuando sea necesario.
• Establecer un esquema para controlar e implementar los requisitos legales aplicables.
• Desarrollar las métricas e indicadores necesarios para medir y gestionar distintos tipos de riesgos.
• Identificar y determinar nuevos riesgos relacionados con los cambios en la empresa y el entorno.
• Integración de IRM y de los procesos de control de cambio de la organización para asegurar que no introduce nuevas vulnerabilidades.

Mezclar conocimientos

El equipo IRM, en la mayoría de los casos, no está compuesto por sujetos dedicados exclusivamente a la gestión de riesgos. Normalmente, está formado por empleados que trabajan a tiempo completo para la empresa y que tienen otro tipo de obligaciones. Por ello, resulta necesario el apoyo de la dirección para dimensionar y asignar correctamente los recursos.

El equipo IRM está formado por individuos procedentes de diferentes unidades de la organización. La mezcla es buena para comprender los riesgos a los que se enfrenta la compañía desde distintas perspectiva, así como para asegurarse que no hay ningún aspecto que no se tiene en cuenta, auque sea de forma accidental. Por ejemplo, si todos los miembros del equipo proceden del área TI la tendencia sería a enfocarse únicamente en los riesgos tecnológicos.

Por otro lado, los empleados pertenecientes al equipo IRM deben ocupar un nivel alto dentro de la organización. Normalmente, eso significa que se trata de directores de unidades de negocio porque entienden mejor las decisiones de alto nivel que un trabajador de base, que se presupone carece de un punto de vista holístico respecto al negocio y todas las ramificaciones de ciertos riesgos. Muchas veces, los directivos envían a alguno de sus subordinados para sustituirlos en las reuniones del IRM porque tienen la agenda demasiado ocupada o no despierta su interés. Esta situación incide en la calidad y penetración de su trabajo.

Asumir el liderazgo

Lógicamente, todos los equipos necesitan un líder. En el caso del IRM no es diferente. Hay que designar una persona para asumir esta responsabilidad. En las organizaciones más grandes este profesional dedicará entre el 50 y el 70 por ciento de su tiempo a desempeñar esta responsabilidad. El jefe del equipo IRM actúa como enlace entre la dirección ejecutiva y el resto del equipo. Su responsabilidad consiste en mantener informados y al día a la directiva de la empresa, y probablemente también a los miembros del consejo, respecto al nivel de riesgo existente en cada momento. Además, también debe responsabilizarse de pedir y cosechar los fondos necesarios para afrontar las nuevas iniciativas para mitigar los nuevos riesgos, mientras que la junta directiva tendrá que dedicar fondos para que esta persona tenga la formación y las herramienta de análisis necesarias para asegurar el éxito de la inversión.

Muchas grandes empresas están creando la figura del Director de Riesgos. Se trata de una persona responsable de afrontar una amplia gama de riesgos relacionados con la compañía, no exclusivamente en el campo de la seguridad, que también asesora al director general en sus decisiones de negocio.

El equipo IRM debe mantener, al menos, una reunión trimestral. En esos encuentros revisa los resultados internos y externos de su trabajo, las consecuencias de la evaluación de los riesgos y vulnerabilidades existentes en cada momento y trata sobre los cambios a los que la compañía se enfrentará de forma inminente. La empresa también debe establecer una estructura de comunicación para asegurar que el equipo IRM está al tanto de los riesgos que van emergiendo. Esto significa que cuando los profesionales de distintos departamentos se dan cuenta de la existencia de nuevas vulnerabilidades o riesgos, saben a quién deben informar. Los miembros del equipo IRM deben ser muy visibles y accesibles para los demás empleados. La política y la información de contacto sobre cada uno de los componentes del grupo IRM tiene que estar disponible a través de la intranet corporativa.