header

Notas de boletín

¿QUE ES LA ADMINISTRACION DE RIESGOS?

En esta entrega nos pareció oportuno ilustrar sobre este tema que a menudo es soslayado o menospreciado en muchas de las organizaciones de nuestra región.

La Administración del Riesgo Empresarial (Enterprise Risk Management-ERM) es el proceso por el cual la dirección de una empresa u organización administra el amplio espectro de los riesgos a los cuales está expuesto (tanto sean de mercado como operacionales) de acuerdo al nivel de riesgo al cual están dispuestos a exponerse según sus objetivos estratégicos. Así, ya en el terreno del impacto de la TI sobre este tema, la evaluación de riesgos y vulnerabilidades ayuda a identificar y evaluar los riesgos operativos, poniendo énfasis en los activos de IT físicos y lógicos, pudiendo incluir una revisión de las instalaciones y la seguridad de los elementos lógicos y físicos. Uno de los desafíos claves es recolectar y analizar numerosos datos (de acuerdo al rango de riesgos definido), así Riesgos, Conformidad a Normas y Funciones de TI enfrentan la paradoja de tener que disponer de mayor volumen de datos de los sistemas corporativos para contar con más información dinámica y compleja, pero al mismo tiempo seguir manteniendo los costos de implementación y los riesgos bajo control. De esta manera, se obtiene una mayor comprensión de las exposiciones que suponen los mayores riesgos en la interrupción de su empresa, de modo que se puedan implementar las técnicas de mitigación apropiadas.
Desafíos
A medida que dependen cada vez más del continuo funcionamiento de los sistemas de información, las empresas actuales enfrentan una creciente exposición a los riesgos informáticos. En el mundo actual, hasta la máxima dirección está preocupada por los riesgos informáticos, ya que la tecnología informática claramente sostiene cada proceso comercial de la empresa.
Los riesgos informáticos típicos incluyen pérdida de productividad o negocios debido al tiempo de inactividad, responsabilidad por brechas de seguridad que exponen la información de los clientes, multas por violaciones de normas y la imposibilidad de defenderse de demandas debido a la conservación inadecuada de registros. No todos los riesgos provienen de sucesos inevitables, como una inundación o un terremoto. Muchos de los riesgos informáticos son provocados por contratiempos operacionales, procesos inadecuados, mayores requisitos normativos u otros factores más controlables.
Soluciones
Para evitar ello, es preciso combinar un conjunto de las mejores prácticas que se desprenden de numerosas organizaciones, grandes y complejas, para hacer frente a los riesgos informáticos de sus entornos a los efectos de poner en marcha una administración de riesgos informáticos efectiva mediante priorizar y planificar opciones de mitigación, calcular los impactos comerciales de los riesgos informáticos, diseñar soluciones, alinear los riesgos informáticos y los costos con la empresa para optimizar las inversiones y construir una capacidad unificada para administrar los riesgos informáticos de manera continua.
Beneficios
Permite identificar los activos empresariales que están en máximo riesgo, valuar las vulnerabilidades y los impactos potenciales, y proponer resguardos y tácticas de mitigación, lo que permitirá:
• Priorizar y establecer niveles de riesgo para sus procesos y recursos empresariales críticos.
• Pasar de un enfoque de mitigar el riesgo a prevenir proactivamente las fallas.
• Tomar decisiones más informadas sobre cómo proteger su empresa.
• Evaluar las tácticas y los costos de la administración de riesgos relacionados con los diferentes niveles de protección.
• Prepararse adecuadamente para las auditorías de las agencias de control
Problemas que se atacan
• Identificar eventos o amenazas que podrían tener impacto en la continuidad de las operaciones empresariales, en la imagen o en la reputación de la marca, y la probabilidad de que ocurran.
• Realizar un análisis detallado de amenazas o establecer planes de avance para mitigar riesgos.
• Determinar cómo las nuevas iniciativas empresariales o la nueva tecnología tendrán impacto en la empresa.
• Establecer planes de avance para mitigar riesgos.
• Identificar las exposiciones con respecto al cumplimiento reglamentario.
Un importante Estudio identifica los mitos comunes que contribuyen a las fallas de TI
Symantec dio a conocer en enero su Informe de Administración de Riesgos de TI, Volumen II, el cual revela que la administración de riesgos de TI está cobrando más importancia, pero también menciona que siguen existiendo algunos mitos sobre el tema.
Aún cuando los resultados muestran que los profesionales están adoptando un enfoque más equilibrado que incluye riesgos de disponibilidad, seguridad, cumplimiento y desempeño, los malos entendidos de la administración de riesgos de TI pueden producir fallas potenciales y, como consecuencia, impactar la continuidad del negocio.
El informe también indica que los problemas en los procesos generan más de la mitad de los incidentes de TI, mientras que el departamento de TI generalmente da poca importancia a la frecuencia con que se presentan los incidentes de pérdida de datos. El informe está basado en el análisis de más de 400 encuestas realizadas a profesionales de todo el mundo, en el que se identifican importantes aspectos, tendencias y análisis al tiempo que disipa los cuatro mitos asociados a los riesgos de TI, entre los cuales están:
1.- La administración de riesgos de TI está enfocada sólo en la seguridad Contrario a las percepciones tradicionales que generalmente asocian los riesgos de TI con los riesgos de seguridad, los resultados de la encuesta muestran el surgimiento de una visión más amplia entre los profesionales de TI. Un 78% de los participantes calificaron los riesgos de disponibilidad como “críticos” o “graves”, mientras que los riesgos de seguridad, de desempeńo y de cumplimientos obtuvieron una calificación de 70, 68 y 63% respectivamente.
2.- La administración de riesgos de TI es un proyecto El mito de que el control de riesgos de TI se puede realizar en un sólo proyecto o incluso como una serie de ejercicios puntuales por periodos o ańos de presupuestos, desconoce la naturaleza dinámica del entorno de riesgos internos y externos de TI. La administración de riesgos debe verse como un proceso continuo para mantener la estabilidad ante el cambiante panorama que los negocios enfrentan actualmente.
3.- La tecnología por sí sola puede manejar los riesgos de TI  Los incidentes de seguridad, cumplimiento, disponibilidad y desempeño de TI atacan a la organización moderna a una velocidad alarmante. El reporte muestra que las organizaciones más efectivas tienen un enfoque más integral. Sin embargo, muchas organizaciones parecen estar fallando en la implementación de controles fundamentales de riesgos.
4.- La administración de riesgos de TI se ha convertido en una disciplina formal El reporte deja claro que la administración de riesgos de TI es una disciplina en evolución, pues se basa en la experiencia acumulada de los individuos y las organizaciones que se van adaptando a los cambios en el ambiente de negocios y tecnología. El informe reveló una mayor comprensión entre los profesionales sobre cómo la administración de riesgos de TI incorpora elementos de manejo de riesgos en la operación, control de calidad y gobernabilidad de las mismas.