La exposición: un rompecabezas con riesgos

Por Franco Rigante, socio de Grant Thornton Argentina | IT Advisory

Riesgos y Tecnología no son términos desconocidos en el mundo de los negocios. Mucho se ha escrito sobre cómo las organizaciones, más allá de su tamaño o industria, se ven beneficiadas al incorporar en forma adecuada la IT a sus procesos y operaciones.

Sin embargo, el entorno dinámico de los negocios incrementa a diario su complejidad, en función de exigencias competitivas de diferenciación, a través de innovación de IT, mayor interconexión global con terceros remotos (proveedores, clientes, empleados, etc.), tercerización para reducir costos, proyectos diversos en curso y nuevas regulaciones que intentan no quedar rezagadas ante la imparable evolución informática, cuyo lado oscuro es imprescindible gestionar.

Es difícil imaginar hoy una empresa que acepte librar su suerte, por no decir su propia supervivencia, a un escenario que no incluya algún tipo de evaluación para conocer su grado de exposición a potenciales amenazas que impacten en la confidencialidad, integridad y/o disponibilidad de los activos de información más críticos para el negocio.

En este océano de riesgos por el que navega la empresa, generalmente conviven esfuerzos de distintos sectores para mitigarlos: políticas de seguridad informática, protección de activos de información, planes de recuperación ante contingencias informáticas, esquemas de resguardos, infraestructura alternativa de procesamiento, vínculos de telecomunicaciones redundantes, pólizas de seguros, contratos con diversos proveedores, mantenimiento preventivo de equipos, entre otros.

No obstante, es fundamental que todos los componentes de la gestión de los riesgos de IT se encuentren ensamblados en forma consistente, bajo un marco metodológico de trabajo acorde con los estándares internacionales reconocidos en la materia (Risk IT®, COBIT®, MAGERIT, AS/NZ4360, ISO 27005, etc.) y totalmente integrado con la gestión del riesgo corporativo (enfoque ERM: Enterprise Risk Management), para que esté alineado con el nivel de tolerancia que la Alta Gerencia ha establecido para la organización, en sus distintos aspectos de riesgos,operacional, liquidez, crédito, etc.

En ese sentido, más allá del estándar de preferencia, una primera aproximación metodológica debería incluir la ejecución formalizada de un proceso administrado y medible, que incluya:

-Identificación de todos los procesos del negocio (Ej. Facturación, RRHH, etc.)

- Asignación de un propietario responsable para cada proceso

- Clasificación de cada proceso según su propietario, en términos de: criticidad para el negocio, respecto del valor de la confidencialidad, integridad y disponibilidad de la información que interviene en dicho proceso.

- Elaboración de una matriz de dependencias para vincular la criticidad para el negocio de los procesos con las distintas soluciones informáticas que los soportan.

- Determinación de los distintos tipos de componentes de cada solución informática (Aplicaciones, software de base, hardware, proveedores, instalaciones, redes, etc.) y los especialistas técnicos en cada caso.

- Implementación de un catálogo de amenazas a analizar, según lo aportado por cada experto y la naturaleza de los distintos tipos de componentes informáticos (Ej. incendio para un centro de cómputos, caída de vínculo para telecomunicaciones, incumplimiento de niveles de servicio acordados para proveedores, etc.).

- Determinación del riesgo residual de cada amenaza, igual al producto de su probabilidad de ocurrencia por su impacto, que surge de la combinación de la criticidad para el negocio y la magnitud del daño que la amenaza podría causar.

- Elaboración de un plan con las respuestas necesarias, para que los riesgos de IT no superen los niveles aceptables para la Alta Gerencia, analizando costos y beneficios de implementar mitigantes o transferir parte del riesgo a terceros, por ejemplo mediante pólizas de seguros.

- Comunicación de los resultados finales a la Alta Gerencia, con mapas de los riesgos de IT por procesos, para su integración con la gestión de los riesgos corporativos de la organización.

Si bien existen industrias como el sistema financiero, que al estar fuertemente regulado presenta un mayor nivel de madurez respecto a este proceso, es importante destacar que debe estar sujeto a mejora continua, susceptible de ser auditado y requiere de un fuerte involucramiento de la Alta Gerencia, junto con actividades claras de concientización.

En conclusión, las ventajas de armar el rompecabezas del tratamiento de los riesgos informáticos bajo una metodología formal e integrada, incluyen: un gerenciamiento más eficiente, reducción de costos, garantizando un enfoque consistente con la gestión de los riesgos corporativos y un mayor alineamiento con la dirección, para que se pueda capitalizar exitosamente toda la entrega de valor que IT es capaz de aportarle al negocio.

Compartí tus comentarios

¿Querés dejar tu opinión? Registrate para comentar este artículo.
Nombre