Riesgo y conformidad
A medida que las empresas, organizaciones y nuestra economía dependen cada vez más de Internet y de los sistemas informáticos, los riesgos de dichos sistemas se hacen mucho más evidentes e incrementan su importancia.
Antes de proseguir, ¿qué es un riesgo?
Un riesgo es definido como una incertidumbre de resultados que puede ser una oportunidad (positiva) o una amenaza (negativa).
Un riesgo es medido por la probabilidad de una amenaza, la vulnerabilidad de un activo a esa amenaza, y el impacto que tendria si ocurriera.
A medida que las empresas, organizaciones y nuestra economía dependen cada vez más de Internet y de los sistemas informáticos, los riesgos de dichos sistemas se hacen mucho más evidentes e incrementan su importancia.
Antes de proseguir, ¿qué es un riesgo?
Un riesgo es definido como una incertidumbre de resultados que puede ser una oportunidad (positiva) o una amenaza (negativa).
Un riesgo es medido por la probabilidad de una amenaza, la vulnerabilidad de un activo a esa amenaza, y el impacto que tendria si ocurriera.
Las TI están expuestas a riesgos relacionados con: la seguridad de sus sistemas, la continuidad del servicio, los fraudes, daños en la infraestructura, pérdidas o alteraciones de información sensible, multas o penalizaciones, incidentes operativos, daños físicos y ambientales, etc.
Los problemas o los fallos de los sistemas informáticos ocasionan graves crisis empresariales, daños en la reputación causados por suplantaciones de identidad, pérdidas de negocios por fallos en sistemas, así como restricciones normativas que surgen por temas derivados del cumplimiento de las políticas establecidas.
Los riesgos TI necesitan ser identificados, medidos y gestionados como parte de un único entorno que incorpora todos los riesgos corporativos. La evaluación de riesgos y vulnerabilidades ayuda a identificar y evaluar los riesgos operativos, poniendo énfasis en los activos físicos y lógicos de TI.
Administración de riesgos de TI
Los riesgos informáticos deben estar supervisados por el equipo de gestión de mayor nivel para conocer y ofrecer pautas que permitan establecer las combinaciones apropiadas de riesgos/recompensas, y con ello conseguir un mayor rendimiento de las inversiones en TI. El nombre con el que se conocen estas acciones para gestionar y equilibrar los riesgos y recompensas en bienes informáticos es Administración de Riesgos de TI.
Es preciso combinar un conjunto de las mejores prácticas que se desprenden de numerosas organizaciones grandes y complejas para hacer frente a los riesgos informáticos de sus entornos, a los efectos de poner en marcha una administración de riesgos efectiva mediante priorizar y planificar opciones de mitigación, calcular los impactos comerciales de los riesgos informáticos y los costos de la empresa para optimizar las inversiones y construir una capacidad unificada para administrar los riesgos informáticos de manera continua.
Por ello, las actividades clave de la administración de riesgos de TI son:
Para alcanzar el modelo de evaluación de riesgos TI basado en las mejores prácticas, las organizaciones deberían:
1. Incrementar sus conocimientos sobre la naturaleza de los diferentes riesgos
2. Determinar el impacto cuantificado de la pérdida de información o de los problemas para acceder a sus aplicaciones
3. Conocer las herramientas disponibles para gestionar los riesgos informáticos
4. Ajustar la gestión de riesgos TI al valor de la corporación.
5. Crear una capacidad sistemática y corporativa para gestionar los riesgos a la seguridad.
Incorporación de administración de riesgos en una organización
Cuando las organizaciones deciden incorporar la gestión de riesgos informáticos dentro de una capacidad institucional, las preguntas que la mayoría de las organizaciones desean contestar son:
Los problemas o los fallos de los sistemas informáticos ocasionan graves crisis empresariales, daños en la reputación causados por suplantaciones de identidad, pérdidas de negocios por fallos en sistemas, así como restricciones normativas que surgen por temas derivados del cumplimiento de las políticas establecidas.
Los riesgos TI necesitan ser identificados, medidos y gestionados como parte de un único entorno que incorpora todos los riesgos corporativos. La evaluación de riesgos y vulnerabilidades ayuda a identificar y evaluar los riesgos operativos, poniendo énfasis en los activos físicos y lógicos de TI.
Administración de riesgos de TI
Los riesgos informáticos deben estar supervisados por el equipo de gestión de mayor nivel para conocer y ofrecer pautas que permitan establecer las combinaciones apropiadas de riesgos/recompensas, y con ello conseguir un mayor rendimiento de las inversiones en TI. El nombre con el que se conocen estas acciones para gestionar y equilibrar los riesgos y recompensas en bienes informáticos es Administración de Riesgos de TI.
Es preciso combinar un conjunto de las mejores prácticas que se desprenden de numerosas organizaciones grandes y complejas para hacer frente a los riesgos informáticos de sus entornos, a los efectos de poner en marcha una administración de riesgos efectiva mediante priorizar y planificar opciones de mitigación, calcular los impactos comerciales de los riesgos informáticos y los costos de la empresa para optimizar las inversiones y construir una capacidad unificada para administrar los riesgos informáticos de manera continua.
Por ello, las actividades clave de la administración de riesgos de TI son:
 |
| Actividades de la administración de riesgos de TI |
Para alcanzar el modelo de evaluación de riesgos TI basado en las mejores prácticas, las organizaciones deberían:
1. Incrementar sus conocimientos sobre la naturaleza de los diferentes riesgos
2. Determinar el impacto cuantificado de la pérdida de información o de los problemas para acceder a sus aplicaciones
3. Conocer las herramientas disponibles para gestionar los riesgos informáticos
4. Ajustar la gestión de riesgos TI al valor de la corporación.
5. Crear una capacidad sistemática y corporativa para gestionar los riesgos a la seguridad.
Incorporación de administración de riesgos en una organización
Cuando las organizaciones deciden incorporar la gestión de riesgos informáticos dentro de una capacidad institucional, las preguntas que la mayoría de las organizaciones desean contestar son:
- ¿En qué momento y cómo necesita avanzar nuestra estrategia informática, teniendo en cuenta que deseamos seguir manteniendo un nivel de riesgo aceptable? "
- ¿Deberíamos tener nuevos cargos o ampliar los ya existentes para ocuparnos de riesgos informáticos creando, por ejemplo, la figura del Gestor de Riesgos TI? "
- ¿Cómo podemos crear unos sistemas de gestión y elaboración de informes para monitorizar el rendimiento? "
- ¿Debemos crear una junta directiva para supervisar y aprobar las decisiones relacionadas con los riesgos informáticos
- ¿Cómo podemos formar a nuestro personal informático, además de ampliar los conocimientos de los trabajadores de la empresa para que sean conscientes y conozcan los riesgos TI?
- "¿Qué pasos deberíamos dar para hacer los procesos de planificación y prueba más rigurosos y nuestros sistemas más impenetrables?
¿Cuáles son los beneficios de administración de riesgos?
Permite identificar los activos empresariales que están en máximo
riesgo, valuar las vulnerabilidades y los impactos potenciales, y
proponer resguardos y tácticas de mitigación, lo que permitirá:
• Priorizar y establecer niveles de riesgo para sus procesos y recursos empresariales críticos.
• Pasar de un enfoque de mitigar el riesgo a prevenir proactivamente las fallas.
• Tomar decisiones más informadas sobre cómo proteger su empresa.
• Evaluar las tácticas y los costos de la administración de riesgos relacionados con los diferentes niveles de protección.
• Prepararse adecuadamente para las auditorías de las agencias de control .
• Priorizar y establecer niveles de riesgo para sus procesos y recursos empresariales críticos.
• Pasar de un enfoque de mitigar el riesgo a prevenir proactivamente las fallas.
• Tomar decisiones más informadas sobre cómo proteger su empresa.
• Evaluar las tácticas y los costos de la administración de riesgos relacionados con los diferentes niveles de protección.
• Prepararse adecuadamente para las auditorías de las agencias de control .
¿Entonces, qué problemas se atacan?
• Identificar eventos o amenazas que podrían tener impacto en la continuidad de las operaciones empresariales, en la imagen o en la reputación de la marca, y la probabilidad de que ocurran.
• Realizar un análisis detallado de amenazas o establecer planes de avance para mitigar riesgos.
• Determinar cómo las nuevas iniciativas empresariales o la nueva tecnología tendrán impacto en la empresa.
• Establecer planes de avance para mitigar riesgos.
• Identificar las exposiciones con respecto al cumplimiento reglamentario.
• Identificar eventos o amenazas que podrían tener impacto en la continuidad de las operaciones empresariales, en la imagen o en la reputación de la marca, y la probabilidad de que ocurran.
• Realizar un análisis detallado de amenazas o establecer planes de avance para mitigar riesgos.
• Determinar cómo las nuevas iniciativas empresariales o la nueva tecnología tendrán impacto en la empresa.
• Establecer planes de avance para mitigar riesgos.
• Identificar las exposiciones con respecto al cumplimiento reglamentario.
No hay comentarios.:
Publicar un comentario