Posteado por: FrancoIT_GRC | 02/10/2011

El Puzzle del Risk Mananagement

Riesgos y Tecnología no son términos desconocidos en el mundo de los Negocios. Mucho se ha escrito sobre cómo las organizaciones, más allá de su tamaño o industria, se ven ampliamente beneficiadas de incorporar en forma adecuada a la tecnología informática en sus procesos y operaciones.

Sin embargo, el entorno globalizado y dinámico de los Negocios va incrementando exponencialmente su complejidad, en función de: exigencias competitivas de diferenciación, a través de soluciones tecnológicas innovadoras, la necesidad comercial de que la empresa esté cada vez más expuesta a conectarse por múltiples canales con terceros remotos (proveedores, clientes, empleados, etc), la obligación de reducir costos mediante mayor tercerización, la diversidad de proyectos simultáneos en curso y la aparición de regulaciones que buscan no quedar rezagadas en la ardua carrera ante la imparable evolución informática, cuyo lado oscuro es imprescindible gestionar.

Es difícil hoy imaginar una empresa que acepte librar su suerte comercial, por no decir su propia supervivencia, a un escenario que no incluya algún tipo de evaluación, formalizada o no, para conocer su grado de exposición a potenciales amenazas que impacten en la confidencialidad, integridad y/o disponibilidad de los activos de información más críticos para el Negocio.

En ese océano de riesgos, por el que navegan la empresa, generalmente conviven numerosos esfuerzos de distintos sectores para mitigarlos, tales como: Políticas de Seguridad Informática, Protección de Activos de Información, Planes de recuperación ante contingencias informáticas (incluyendo: esquemas de resguardos, infraestructura alternativa de procesamiento, vínculos de telecomunicaciones redundantes), pólizas de seguros, contratos con diversos proveedores, mantenimiento preventivo de equipos, entre otros, tal como se aprecia en las relaciones del siguiente gráfico conceptual:

No obstante, es fundamental que todos los componentes de la gestión de los riesgos inherentes a la tecnología informática se encuentren ensamblados en forma consistente, bajo un marco metodológico de trabajo (framework) que responda a las mejores prácticas y estándares internacionales reconocidos en la materia (Risk IT®, COBIT®, MAGERIT, AS/NZ4360, ISO 27005, etc) y totalmente integrado con la gestión del riesgo corporativo (enfoque ERM, Enterprise Risk Management) para que esté alineado con el nivel de la tolerancia que la Alta Gerencia ha establecido para la organización, en sus distintos aspectos de riesgos (operacional, liquidez, crédito, mercado, legal, reputacional, etc)

En ese sentido, más allá del estándar que cada empresa seleccione, una primera aproximación metodológica debería incluir la ejecución formalizada y documentada de un proceso administrado y medible, que incluya los siguientes pasos:

  • Identificación de todos los procesos del Negocio (Ej. Facturación, RRHH, etc)
  • Asignación de un Propietario responsable para cada Proceso
  • Clasificación de cada proceso según su Propietario, en términos de criticidad para el Negocio, respecto al valor de la Confidencialidad, Integridad y Disponibilidad de la Información que interviene en dicho proceso.
  • Elaboración de una matriz de dependencias que permita vincular cada proceso con las distintas soluciones informáticas, de forma tal de puedan heredar el valor para el Negocio en función de los procesos que soportan.
  • Determinación de los distintos tipos de componentes de cada solución informática (Ej.: Aplicaciones, Software de Base, Hardware, Proveedores, Instalaciones, Telecomunicaciones, etc) y los especialistas técnicos expertos en cada caso.
  • Implementación de un Catálogo de Amenazas a analizar, según lo aportado por cada experto y la naturaleza de los distintos tipos de componentes informáticos (Ej. incendio para un centro de cómputos, fallas de configuración para Hardware, caída de vínculo para telecomunicaciones, incumplimiento de nivel de servicio para Proveedores, etc).
  • Determinación del riesgo residual de cada amenaza del Catálogo para cada componente de las distintas soluciones informáticas, entendiendo como tal al producto de la probabilidad de ocurrencia de la amenaza por el impacto, que surge de la combinación de la criticidad para el Negocio y la magnitud del daño que la eventual materialización de la amenaza podría causar.
  • Elaboración de un Plan de Acción con las respuestas necesarias, coordinadas entre los distintos sectores involucrados, para que los riesgos informáticos no superen los niveles aceptables para la Alta Gerencia, analizando costos y beneficios de implementar controles mitigantes o transferir parte del riesgo a terceros, por ejemplo mediante pólizas de seguros.
  • Comunicación de los resultados finales a la Alta Gerencia, a través de un Mapa que muestre en forma clara los Riesgos residuales a los que se encuentran expuestos los componentes de las distintas soluciones informáticas que soportan procesos críticos para el Negocio, con el fin de que puedan ser integrados dentro de la gestión de los riesgos corporativos de la organización.

Si bien existen industrias, como el sistema financiero, que al estar fuertemente regulado presenta un mayor nivel de madurez respecto a este proceso, es importante destacar que debe estar sujeto a mejora continua, susceptible de ser auditado y requiere de un fuerte involucramiento de la Alta Gerencia, junto con actividades de concientización y capacitación para todos los actores involucrados (propietarios de los procesos, especialistas técnicos, Directores, Gerente de Tecnologías y Sistemas, responsables de gestión de los riesgos corporativos, etc).

En conclusión, las ventajas de armar el rompecabezas del tratamiento de los riesgos informáticos bajo una metodología formal e integrada, incluyen un gerenciamiento más eficiente, reducción de costos, garantizando un enfoque consistente con la gestión de los riesgos corporativos y un mayor alineamiento con la Dirección, para que se pueda capitalizar adecuadamente toda la entrega de valor que la tecnología informática es capaz de aportarle al Negocio.

Anuncios

Responses

  1. […] Movilidad, Redes Sociales, Virtualización, entre otras, siempre y cuando se garantice la adecuada gestión de sus riesgos inherentes y una implementación acorde con las expectativas de cumplimiento de la normativa […]


Dejar un comentario

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Categorías

A %d blogueros les gusta esto: