La versión de su navegador no está debidamente actualizada. Le recomendamos actualizarla a la versión más reciente.

La gestión de riesgos de las TI en las empresas.

Publicado 30/03/2019

En respuesta a las crecientes problemáticas, la gestión de riesgos de TI ha sufrido muchos cambios durante los últimos años. Sin embargo, más recientemente, la habilidad para definir y comunicar el marco de los riesgos de TI ha tomado mucha más relevancia. La disciplina de gestión de riesgos de TI se enmarca no solo dentro de los requerimientos regulatorios, sino también dentro de los de negocio. Un profesional de la gestión del riesgo TI debe ser especialista en tecnología y sistemas de gestión de seguridad de la información, y también tener un amplio conocimiento del negocio de la empresa en la que desarrolla su actividad.

Auditoría interna y gestión de riesgos en ISO 31000 son dos conceptos que van de la mano. La auditoría interna debe evaluar y contribuir a la gestión de riesgos, aportando así a la mejora de los procesos de control, utilizando un enfoque sistemático y disciplinado.

La auditoría interna es una actividad que suele proporcionar independencia a los gestores del sistema de gestión de riesgos, frente a la dirección de la compañía. La gestión de riesgos es un proceso que promueve el logro rentable de la organización y el alcance de sus objetivos, asegurando que la dirección obtenga información confiable sobre el desempeño de las actividades relacionadas con el tratamiento y la gestión de riesgos. Dentro de este esquema, auditoría interna y gestión de riesgos, son procesos complementarios, apoyando el proceso de gestión de riesgos, la auditoría interna verifica que:

  • Se aplique el proceso de gestión de riesgos en forma apropiada y que todos los elementos del proceso sean adecuados y suficientes.
  • El proceso de gestión de riesgos está en consonancia con las necesidades estratégicas y la política de la organización.
  • Todos los riesgos significativos han sido identificados y están siendo tratados.
  • Los controles son diseñados e implementados de forma correcta, con el fin de mantener los objetivos del sistema de gestión de riesgos.
  • Los controles críticos son adecuados y efectivos.
  • Se están ejecutando planes para mejorar la gestión de riesgos.
  • Existe un progreso apropiado, según lo previsto en el plan de gestión de riesgos.

Entonces, no es raro que la auditoría interna de una organización deba trabajar en estrecha cooperación con los encargados del sistema de gestión de riesgos. En algunas organizaciones, que no cuentan con un sistema de gestión de riesgos, la auditoría a menudo proporciona una visión sobre la gestión de riesgos más amplia que la que se puede obtener de un consultor externo, siempre que se presenten ciertas condiciones:

  • Debe quedar claro que la Alta Dirección sigue siendo responsable de la gestión de riesgos. El plan de trabajo debe incluir una estrategia clara para que, en un periodo de tiempo definido, estas responsabilidades sean asumidas por un miembro de la dirección.
  • La naturaleza y las condiciones en las que se preste el servicio de auditoría interna, debe documentarse dentro de la misma auditoría.

En áreas de mayor riesgo, en las que la dirección reconoce la necesidad de aumentar y mejorar los controles, existe la oportunidad para que la auditoría interna pueda agregar valor a la organización por medio de actividades de consultoría. Aunque estas actividades de asesoramiento y consultoría pueden ser una parte valiosa en un plan de auditoría, el alcance de esta práctica es limitado, y puede ajustarse a tres aspectos:

  • Aseguramiento del proceso de gestión de riesgos en sí.
  • Aseguramiento de riesgos significativos de alto impacto.
  • Seguimiento del estado del plan de tratamiento de riesgos.

La seguridad en el proceso de gestión del riego en sí, puede ser realizada para proporcionar una seguridad razonable a la dirección de que la gestión de riesgos de una organización está diseñada, documentada y puesta en práctica para lograr sus objetivos. La medida del riesgo, la evaluación y selección de opciones para mitigarlo, gestionando las amenazas que pueden afectar al éxito del negocio, es una disciplina por todos conocida como gestión del riesgo. Sin embargo, la propia definición de riesgo puede variar sustancialmente según la experiencia y formación de cada profesional o del contexto dentro de la organización.

Típicamente cuando un profesional de seguridad de la información piensa en riesgo lo hace en términos del impacto que podría suponer en el negocio una pérdida de confidencialidad, integridad o disponibilidad de la información. Sin embargo, y cada día más debido a la madurez de las organizaciones y a los requisitos de cumplimiento, la definición e incluso la catalogación de riesgos es mucho más amplia dentro de lo que la organización considera como riesgos corporativos dentro del marco de la empresa.

El reto actual del profesional de gestión de riesgos de TI se basa en definir un programa continuo, objetivo, repetible y medible, en el que la evaluación de costes, la valoración de activos y las métricas de rendimiento convivan de manera integrada con el resto de requerimientos corporativos. La creación del programa debe realizarse desde una perspectiva de arriba hacia abajo, totalmente enmarcada en la gestión global de los riesgos y respondiendo a los diferentes requerimientos de las distintas unidades de negocio, consiguiendo gestionar y definir unos controles flexibles y adaptables a los distintos tipos de riesgos y de requerimientos regulatorios que no obliguen a la organización de TI a reinventar las tareas, y los controles y las evidencias de cumplimiento. 

Compártenos en tus redes

Directiva de cookies

Este sitio utiliza cookies para el almacenamiento de información en su equipo.

¿Lo acepta?