Gestión de riesgos de TI, una necesidad de la organización para el logro de los objetivos estratégicos

Día a día observamos grandes cambios tecnológicos a nivel mundial los cuales conllevan a las Compañías a estar a la vanguardia para mantenerse en un mercado competitivo, convirtiéndose la tecnología en un habilitador esencial para cumplir con estrategia de la Compañía, al mismo tiempo observamos cómo cada día es más común ver procesos de negocios globalizados, y cómo las tecnologías de información influyen en un cambio obligado de los procesos, generando un alto valor agregado para las operaciones, la Compañía y los clientes. A su vez, todos estos cambios pueden incrementar los riesgos actuales identificados o generar nuevos riesgos, que en algunos casos pueden llegar a ser catastróficos desde varios puntos de vista, entre ellos la  disponibilidad, integridad y confidencialidad de la información.

En el 2017 se materializaron algunos de riesgos tecnológicos a nivel mundial a través de virus como (Ransomware WannaCry y PETYA) los cuales fueron creados para atacar Compañías mediante el secuestro de información, solicitando rescate con pagos en moneda virtual (Bitcoin), o simplemente como fue el caso del virus PEYTA el cual solo tenían intención de hacer daño y llamar la atención de mundo.

Es aquí donde nos peguntamos, ¿nuestro negocio está protegido antes posibles riesgos de TI? O cuando vemos a los CEOs(Chief Executive Officer). y CIO (Chief Information Officer) preocupados y con incertidumbre buscando soluciones a la carrera con sus equipos de trabajo para evitar una catástrofe operacional en sus compañías.

Hoy día es muy normal ver a tantas Compañías volcando sus negocios a la innovación tecnológica sin tener en cuenta los cambios en los riesgos que traen consigo los nuevos procesos.

¿Que hay de las regulaciones?

En Colombia existen muchas regulaciones enfocadas a disminuir los riesgos que provoca el uso de las tecnologías de información, algunas de estas son:

  • Circular externa 052 de 2007, 022 de 2010, 042 de 2012 y Circular 029 de 2014, (Superintendencia Financiera de Colombia), estándares de seguridad y calidad para el manejo de la información a través de medios y canales de distribución.
  • Ley 1341 del 2009 (Ministerio de las Tecnologías de información y comunicación) Estrategia de gobierno en línea.
  • Ley1581 de la SIC (Superintendencia de Industria y Comercio), protección de datos personales.
  • Acuerdo 788 de la CNO (Consejo nacional de operación) Ciberseguridad y ciberdefensa en el sector eléctrico de país.
  • Sarbanes-Oxley.(Ley de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista), aplica para compañías Colombianas que coticen en bolsa en estados unidos.

Actualmente hay muchas Compañías que han aplicado la regulación Colombiana, sin embargo, muchas otras están pendientes por hacerlo o están esperando a último momento realizar esta operación simplemente por cumplir, y no por la importancia e impacto positivo que pueden lograr dichas regulaciones en sus entornos de negocio.

 ¿Qué es lo que debería controlar?

Desde nuestra óptica, relacionamos los mayores focos de atención que deben evaluar las Compañías para la gestión de sus riesgos de TI y evitar un posible impacto en sus operaciones.

  • Concientizar al personal: El principal foco de atención esta indudablemente en las personas, quienes son la mayor causa de riesgo al efectuar de forma voluntaria o involuntaria acciones que atentan contra la integridad, disponibilidad y confidencialidad de la información. Es por esto por lo que las compañías deben enfocarse en la sensibilización del personal acompañado de controles a nivel contractual.
  • Nuevas tecnologías: Es normal ver tantas nuevas tecnólogas involucrada en los procesos de negocio, tales como servicios en la nube, Big data, internet de las cosas, blockchain, entre otras. Las cuales son adaptadas para generar valor en los negocios, sin embargo, carecen de uso controlado o de parametrizaciones customizadas según la realidad de la Compañía, por lo tanto, cada vez que se involucra una nueva tecnología al negocio es requerido un minucioso análisis que permita identificar cambios en los riesgos actuales o la identificación de nuevos riesgos con el objetivo de poder controlarlos.
  • Seguridad: Es común ver cómo estamos en constantes amenazas tanto internas como externas, y cada vez se torna más complejo la seguridad lógica ocasionados por ataques cibernéticos, fuga de datos, fraude en sistemas informáticos, ataques contra la disponibilidad de los servicios, entro otros, los cuales deben ser asegurados implementando medidas concretas de control que involucre entre otros hardware, software y concientización del personal para su protección. Una identificación clara de los activos de información y sus controles es clave para la gestión optima del riesgo.
  • Regulaciones: Las regulaciones emitidas deben ser adoptadas ya que en el fondo de estas se refleja la gran intención de minimizar los riesgos tanto para los clientes como para la compañía. Cuando acatamos e implementamos la regulación con conciencia, estas suelen ser mucho menos costosa y traumáticas para implementar. Es importante anotar que en gran medida estas regulaciones tienen impactos financieros para la empresa mediante sanciones económicas o cierre total o parcial de las operaciones.
  • Terceros: En la actualidad las Compañías tienen más conciencia de hacer lo que saben hacer y entregan a especialistas algunas actividades del negocio las cuales seguramente lo realizaran mejor, sin embargo, al no tener controles específicos podríamos estar delegando todo nuestro patrimonio a un tercero. Es por esto por lo que cláusulas contractuales, acuerdos de niveles de servicio, mecanismos de contingencia, evaluaciones del control interno del tercero, se vuelven claves para el éxito del negocio o actividad tercerizada.

Todos estos puntos deben ser evaluados igualmente desde el punto de vista de fraude ya que en gran medida estas situaciones permiten que se atente contra la integridad de los datos almacenados en los sistemas de información mediante la manipulación no autorizada.

Por último, recomiendo que en la actualidad involucremos la gestión de riesgos de forma integral en la compañía, donde el riesgo de TI juegue un papel trascendental para el cumplimiento de los objetivos estratégicos.

1 thought on “Gestión de riesgos de TI, una necesidad de la organización para el logro de los objetivos estratégicos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Llamanos

Abrir chat
Powered by