Posteado por: FrancoIT_GRC | 03/10/2011

Matrimonio con Riesgos

Actualmente parece imposible imaginar una compañía que ejecute sus actividades prescindiendo de la tecnología informática (TI). Sin importar la industria ni el tamaño de la organización, son evidentes los múltiples beneficios que el apropiado uso de las TI puede aportar a la rentabilidad de un negocio, en términos de automatización, eficiencia, amplio alcance geográfico, uso remoto, reducción de costos, velocidad, etc.

No obstante, la adquisición e implementación de sistemas e infraestructura tecnológica debe ser acompañada de un proceso continuo de análisis y gestión de los riesgos informáticos ya que, en caso de no ser adecuadamente mitigados, podrían significar un severo impacto para el negocio.

En consecuencia, es preciso ejecutar un proceso continuo que siga las siguientes etapas:
– identificar todos los activos informáticos (Inventario)
– evaluar el grado de relevancia que cada uno de ellos tiene para soportar los procesos críticos del negocio
– analizar las amenazas a las que esa tecnología está expuesta (según su naturaleza)
– evaluar el grado de impacto (I) en caso de que dicha amenaza se materialice y su probabilidad de ocurrencia (P)
– revisar la fortaleza de los controles mitigantes (M) existentes, analizando de qué manera reduce el eventual impacto y/o la probabilidad de ocurrencia de la amenaza evaluada
– calcular el riesgo residual, como (I * P) – M
– determinar acciones de respuestas para cada riesgo residual considerado inaceptable por la alta gerencia.
Dichas respuestas pueden incluir acciones para transferir, reducir o eliminar los riesgos para llevarlos a niveles aceptables.

A modo de ejemplo, a continuación se exponen algunas amenazas con su principal mitigante relacionado:

– Interrupción al Negocio por fallas de TI (Plan de Contingencias)
– Pérdida de información Crítica (Copias de resguardo – Back ups)
– Fuga de información confidencial (Políticas de seguridad informática)
– Proyectos que fracasan en sus objetivos (Oficina de Gestión de Proyectos)
– Incumplimientos de proveedores (Auditoría de tercerizaciones)

Finalmente, para que el negocio y las TIs conformen un matrimonio duradero y expuesto a riesgos mínimos, este proceso de gestión debe estar basado en estándares internacionales reconocidos, incorporado en la cultura del management de la organización, y sometido a ciclos de mejora continua.

Anuncios

Dejar un comentario

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Categorías

A %d blogueros les gusta esto: