Tecnologo
Páginas: 5 (1214 palabras)
Publicado: 21 de julio de 2012
Metodología y gobierno de la gestión de
riesgos de tecnologías de la información
Las organizaciones son cada vez más conscientes de
lo que significan los riesgos informáticos y, sobre
todo, han aprendido que en la mayoría de los casos
deberán coexistir con ellos pero en forma controlada.
Debido a tantos efectos negativos que se han
visto en las organizaciones por las amenazas sobre
losservicios de TI, aquéllas han comenzado a exigir,
dentro de sus funciones normales internas, un análisis
de riesgo y un plan de mitigación; así mismo, han entendido
que siempre quedará un riesgo remanente y
latente en sus procesos de misión crítica. También es
importante mencionar que nuestras ciudades cada vez
hacen mayor uso de las tecnologías de la información
para ser más eficaces yefectivas, con el fin de lograr
el cumplimiento de su desarrollo y de sus políticas de
seguridad; es por esta razón que el análisis y entendimiento
de los riesgos de TI involucran directamente
a las ciudades; además, los riesgos de TI forman parte
de los riesgos que cualquier dirigente debe tener en
cuenta en su gobierno.
Es conocido por todos que el tratamiento del riesgo
puede estarenfocado de cuatro formas tradicionalmente:
establecer controles para mitigarlos, aceptar el
riesgo tal y como está porque es imposible establecer
controles, eliminar el riesgo quitando los procesos
del negocio que los generan y, finalmente, trasladar
el riesgo a un tercero; por ejemplo, a través de seguros.
Establecer controles significa la generación de
políticas, normas y procedimientos queconlleven a la
mitigación del riesgo; por supuesto, en el caso de TI,
generalmente conlleva al final a la configuración de
estas políticas en diferentes procedimientos, equipos
de hardware, aplicaciones, sistemas operativos, entre
otros. Por su parte, aceptar el riesgo significa que la
empresa asume y conoce perfectamente cuál sería el
impacto en el negocio si este riesgo se materializa.
Porotro lado, en la mayoría de los casos, eliminar
los procesos que conllevan al riesgo significaría cambiar
el quehacer (negocio) de la organización y, por
supuesto, tradicionalmente la organización no permitirá
que esto suceda. Por último, está el traslado del
riesgo a través de pólizas, figura muy utilizada por las
compañías; en este caso, es necesario tener muy claro
cuál sería laprobabilidad de que este riesgo se lleve a
cabo, para realizar un balance entre el costo y el beneficio
de tener ese seguro. Respecto a esta estrategia
hay que ser consciente de que está muy relacionada
con el cubrimiento económico de la materialización
de un riesgo, porque quien deberá asumir el impacto
en términos de imagen y de relación con sus interesados
será la organización.
Para tomar ladecisión sobre qué tipo de estrategia
utilizar, se hace necesario realizar un análisis de cada
riesgo para conocer y cuantificar el impacto de que
el riesgo se lleve a cabo, así como su probabilidad
de ocurrencia. Ahora, estas decisiones de qué hacer
con los riesgos deben estar alineadas con el esquema
estratégico de la organización; esto significa que
el gobierno de TI es una pieza clavedentro de este
proceso, para asegurar la pertinencia y el éxito de las
decisiones que se tomen respecto a los riesgos.
Observando las necesidades que las organizaciones tienen
hoy en día en cuanto a los riesgos de TI, es que
hemos decidido presentar este artículo, el cual se ha enfocado
primero en mostrar un marco de referencia en
cuanto a estándares, normas, reglamentaciones, entre
otros,relevantes al análisis de riesgos. Como segundo
enfoque mostramos una metodología comprobada con
casos de éxitos a nivel internacional, sobre cómo llevar
a cabo un análisis de riesgos. Finalizamos nuestro artículo
mostrando los aspectos más relevantes del gobierno
de TI respecto a la gestión de los riesgos.
O R Í G E N E S D E L A R E G U L A C I Ó N Y S U P A P E L
E N L A F O R M A L I...
riesgos de tecnologías de la información
Las organizaciones son cada vez más conscientes de
lo que significan los riesgos informáticos y, sobre
todo, han aprendido que en la mayoría de los casos
deberán coexistir con ellos pero en forma controlada.
Debido a tantos efectos negativos que se han
visto en las organizaciones por las amenazas sobre
losservicios de TI, aquéllas han comenzado a exigir,
dentro de sus funciones normales internas, un análisis
de riesgo y un plan de mitigación; así mismo, han entendido
que siempre quedará un riesgo remanente y
latente en sus procesos de misión crítica. También es
importante mencionar que nuestras ciudades cada vez
hacen mayor uso de las tecnologías de la información
para ser más eficaces yefectivas, con el fin de lograr
el cumplimiento de su desarrollo y de sus políticas de
seguridad; es por esta razón que el análisis y entendimiento
de los riesgos de TI involucran directamente
a las ciudades; además, los riesgos de TI forman parte
de los riesgos que cualquier dirigente debe tener en
cuenta en su gobierno.
Es conocido por todos que el tratamiento del riesgo
puede estarenfocado de cuatro formas tradicionalmente:
establecer controles para mitigarlos, aceptar el
riesgo tal y como está porque es imposible establecer
controles, eliminar el riesgo quitando los procesos
del negocio que los generan y, finalmente, trasladar
el riesgo a un tercero; por ejemplo, a través de seguros.
Establecer controles significa la generación de
políticas, normas y procedimientos queconlleven a la
mitigación del riesgo; por supuesto, en el caso de TI,
generalmente conlleva al final a la configuración de
estas políticas en diferentes procedimientos, equipos
de hardware, aplicaciones, sistemas operativos, entre
otros. Por su parte, aceptar el riesgo significa que la
empresa asume y conoce perfectamente cuál sería el
impacto en el negocio si este riesgo se materializa.
Porotro lado, en la mayoría de los casos, eliminar
los procesos que conllevan al riesgo significaría cambiar
el quehacer (negocio) de la organización y, por
supuesto, tradicionalmente la organización no permitirá
que esto suceda. Por último, está el traslado del
riesgo a través de pólizas, figura muy utilizada por las
compañías; en este caso, es necesario tener muy claro
cuál sería laprobabilidad de que este riesgo se lleve a
cabo, para realizar un balance entre el costo y el beneficio
de tener ese seguro. Respecto a esta estrategia
hay que ser consciente de que está muy relacionada
con el cubrimiento económico de la materialización
de un riesgo, porque quien deberá asumir el impacto
en términos de imagen y de relación con sus interesados
será la organización.
Para tomar ladecisión sobre qué tipo de estrategia
utilizar, se hace necesario realizar un análisis de cada
riesgo para conocer y cuantificar el impacto de que
el riesgo se lleve a cabo, así como su probabilidad
de ocurrencia. Ahora, estas decisiones de qué hacer
con los riesgos deben estar alineadas con el esquema
estratégico de la organización; esto significa que
el gobierno de TI es una pieza clavedentro de este
proceso, para asegurar la pertinencia y el éxito de las
decisiones que se tomen respecto a los riesgos.
Observando las necesidades que las organizaciones tienen
hoy en día en cuanto a los riesgos de TI, es que
hemos decidido presentar este artículo, el cual se ha enfocado
primero en mostrar un marco de referencia en
cuanto a estándares, normas, reglamentaciones, entre
otros,relevantes al análisis de riesgos. Como segundo
enfoque mostramos una metodología comprobada con
casos de éxitos a nivel internacional, sobre cómo llevar
a cabo un análisis de riesgos. Finalizamos nuestro artículo
mostrando los aspectos más relevantes del gobierno
de TI respecto a la gestión de los riesgos.
O R Í G E N E S D E L A R E G U L A C I Ó N Y S U P A P E L
E N L A F O R M A L I...
Leer documento completo
Regístrate para leer el documento completo.