HomePage

Gestión de riesgos de TI

Redacción15/09/2011
2 minutos de lectura


Por Salomón Rico*

Salomón Rico*

En las últimas décadas, el desarrollo tecnológico ha obligado a que las organizaciones cuenten con tecnología de información (TI) que les apoye a la optimización, ordenamiento y control de sus procesos. De tal manera, resulta vital que estas empresas cuenten con una estrategia de TI que alinee las acciones con los objetivos estratégicos. Sin embargo, aunque muchas empresas cuenten con dicha estrategia, durante la puesta en marcha de cualquier plataforma tecnológica surgen acontecimientos indeseables, que provocan alteraciones en los procesos y ocasionan pérdidas económicas, de tiempo, de efectividad y hasta de reputación.

Para que la tecnología que se agrega a las plataformas de TI no se convierta en un caos y recaiga en los procesos de producción, comerciales o una pérdida importante de información que impacte directamente al valor del negocio, es muy importante reflexionar sobre la importancia de mantener una gestión adecuada de riesgos de TI y mitigar la posibilidad de que un riesgo se materialice. El riesgo tecnológico debe ser comprendido y, debidamente administrado, para adoptar marcos de referencia y mejores prácticas que eviten la posibilidad de una amenaza que cause un impacto negativo a los activos o a la organización.

La continuidad de las operaciones y la seguridad de los procesos están fuertemente relacionadas con el riesgo tecnológico, lo que implica la probabilidad de pérdidas ante fallas de los sistemas de información. El riesgo de TI es un riesgo de negocio y no es exclusivo de la tecnología, las consecuencias pueden ser: la probabilidad de fraudes internos y externos, a través de los sistemas de información;  riesgo legal y al riesgo de pérdida de reputación por fallas en la seguridad y por la falta de disponibilidad de los sistemas de información. Para evitar o mitigar esas problemáticas se debe gestionar el riesgo tecnológico, al mismo tiempo que el consejo de administración de la empresa verifica que esté alineado con la gestión del riesgo empresarial.

Aunque el nivel de riesgo al que está sometida una organización no podrá eliminarse del todo, pueden adoptarse diversas respuestas para tratar los riesgos: 1) Aceptarlos; 2) Mitigarlos; 3) Transferirlos; 4) Eliminarlos (en algunas ocasiones).

Pasos básicos para desarrollar una gestión de riesgos de TI:
•Identificar los activos
•Clasificar los activos
•Identificar las amenazas y las vulnerabilidades para los activos identificados
•Determinar los riesgos para los activos identificados
•Evaluar los impactos en el negocio
•Priorizar los riesgos
•Establecer un tratamiento para cada uno de los riesgos
•Establecer un proceso de monitoreo y revisión continuos (La gestión es un proceso y no una actividad de una sola vez)
•Comunicación (es importante que la organización conozca los riesgos a los que está expuesta y la manera que se están tratando estos riesgos)

Lo anterior no será posible sin la aplicación de una metodología para la Gestión de Riesgos: 1) OCTAVE; 2) MAGERIT; 3) ISO 27005 y 4) Risk IT de ISACA.

*Es miembro de ISACA y forma parte del Comité Técnico de la Conferencia CACS (Computer Audit, Control and Security) a celebrarse en Puerto Rico en Octubre de 2011. Es  socio responsable de la práctica de Information and Technology Risk (ITR) en Deloitte México, Cluster Monterrey. Cuenta con más de 20 años de experiencia en TI.

Etiquetas
Redacción15/09/2011
2 minutos de lectura

Publicaciones relacionadas

MARIO PEDREROS

Epson, listo para los retos del 2021

02/03/2021
Álvaro Barriga

80% de los pequeños negocios no cuentan con una solución de Punto de Venta

01/03/2021

Jabra diversifica su portafolio al sector educativo

07/07/2020
Simón Roitman

Arranca el año Intcomex con nuevo director para México

02/01/2020
Botón volver arriba


Share via
Facebook
X (Twitter)
LinkedIn
Mix
Email
Print
Copy Link
Powered by Social Snap
Copy link
CopyCopied
Powered by Social Snap