PERSPECTIVAS SOBRE LOS RIESGOS DE TI CAMBIOS EN EL PANORAMA DE LOS RIESGOS DE TI EL PORQUÉ Y EL CÓMO DE LA ACTUAL ADMINISTRACIÓN DE RIESGOS DE TI
RIESGOS DE TI EN EL PANORAMA ACTUAL DE LOS RIESGOS DE NEGOCIOS
LOS RIESGOS DE TI ESTÁN FIRMEMENTE VINCULADOS A LOS RIESGOS DE NEGOCIOS En el informe de Los 10 principales riesgos en los negocios 2010 de Ernst & Young se analizaron los 10 riesgos más importantes en todos los tipos de negocios y por industria específica. Como ejemplo, los ‘radares de riesgo’, que se incluyen a continuación, muestran los 10 más relevantes para los bancos y las empresas de tecnología.
Estos dos sectores son usuarios intensivos de la tecnología de la información. Por lo tanto, los riesgos relacionados con las TI se encuentran en una categoría separada de la lista de sus 10 riesgos más importantes. El sector bancario tiene una categoría genérica de ‘riesgos de TI’ (estrella verde), mientras que el sector de tecnología se enfoca más específicamente en los ‘riesgos de datos’ (estrella verde). Pero aún hay más. En los radares también hemos identificado (estrella roja) aquellos riesgos de negocios de los 10 más importantes que en realidad tienen un componente relevante de TI, por lo que cuentan con un riesgo de TI ‘oculto’. Estos únicamente se podrán gestionar eficazmente cuando la ITRM sea una parte integral de la administración de riesgos de negocios. Sin la ITRM, una empresa no podrá hacerles frente.
La mayoría de los riesgos de negocios tiene un fuerte vínculo con los de TI. Riesgo reglamentario. ¿Cómo responderán los reguladores a la amenaza cada vez mayor de los riesgos de TI? Impactos geopolíticos. ¿Cuál es su grado de exposición a estos impactos? ¿Cuál es la capacidad de respuesta de su organización de TI? Riesgo reputacional. ¿Cómo afectaría un ataque cibernético a su prestigio y marca? Fallas de control. ¿Es posible que las brechas o debilidades en los controles de TI y en la seguridad sean factores contribuyentes? Riesgos de TI. ¿Cómo atenderá las áreas clave de riesgo relacionadas con la seguridad, resistencia y la fuga de datos?
La mayoría de los riesgos de negocios tienen un fuerte vínculo con los de TI. Expansión en mercados emergentes. ¿El hecho de que su compañía tenga una mayor presencia aumenta el riesgo de continuidad del negocio? Reestructurar el negocio. ¿Cuánto cambiaría su perfil de riesgo de TI? Centros de servicios compartidos. ¿Esto aumentaría el riesgo para el aprovisionamiento de TI y seguridad de la información? Seguridad de propiedad intelectual y de datos. ¿Está protegido contra la fuga o pérdida de datos y contra empleados conflictivos? Adquisiciones selectivas e integración eficaz. ¿Qué tan exitosas son sus inversiones si no puede integrar el entorno de las TI de una compañía adquirida?
En pocas palabras, la ITRM es influenciada por las mismas fuerzas del mercado que los otros riesgos y sirve de apoyo para el logro de los objetivos generales del negocio. La ITRM ofrece el marco general de riesgo y control que habilita los objetivos de control más importantes para las TI: eficacia, eficiencia, cumplimiento, confidencialidad, integridad y disponibilidad.
LA CRECIENTE IMPORTANCIA DE LA ITRM Algunos de los riesgos clave en los cuales debemos enfocarnos y sus consecuencias para la ITRM son: Las tendencias como la subcontratación de los procesos de negocio (business process outsourcing o BPO, por sus siglas en inglés), la computación en nube y la subcontratación de TI están generando una mayor dependencia de terceros. Por lo tanto, la administración de la continuidad del negocio (y garantizar la disponibilidad de las instalaciones de TI) tiene dimensiones y complejidades externas adicionales. Los acontecimientos como los incidentes de WikiLeaks, el robo de identidad y la computación móvil están obligando a as compañías a enfocarse más en los riesgos relacionados con la fuga de datos. Las directrices de protección de datos de la Unión Europea están ayudando a las compañías a tomar medidas contra el aumento de los crímenes cibernéticos, del phishing y del fraude en línea.
Queda claro que, sin incluir las inquietudes relacionadas con el inicio del nuevo milenio, los riesgos de TI van en aumento. La amplitud y profundidad de los riesgos y la necesidad de contar con contramedidas eficaces se está intensificando de manera rápida, y probablemente continuará aumentando. Muchos negocios están reconociendo esto; en nuestra reciente Encuesta de Agenda de Riesgo de TI (IT Risk Agenda Survey 2), dos terceras partes de los encuestados estuvieron de acuerdo en que la administración de riesgos de TI se ha vuelto más desafiante en los últimos años.
EL UNIVERSO DE RIESGOS DE TI Para administrar los riesgos de TI de forma eficaz, las empresas necesitan tener una visión amplia y completa de todo el panorama de riesgos de TI. Nosotros hemos creado un marco para proporcionar esta visión, llamado el universo de riesgos de TI. El universo de riesgos de TI destaca la necesidad de contar con una estrategia alineada para manejar las 10 amplias categorías de riesgos. Estas son relativamente estables, pero los riesgos dentro de ellas variarán de una compañía a otra y cambiarán a medida que pase el tiempo.
CÓMO LOS DIFERENTES ENTORNOS DE NEGOCIOS AFECTAN EL UNIVERSO DE RIESGOS DE TI
LAS MEGATENDENCIAS DE TI AYUDAN A IDENTIFICAR LOS RIESGOS IMPORTANTES EN ESTE TEMA