Por Jorge Salazar Heredia, CISA, CIA
Es reconocido que la gestión de riesgos de tecnologías de información debe estar integrada a la gestión de riesgos de la organización y alineada a los objetivos de la empresa. Sin embargo, algunas veces se confunde su alcance y se olvida que los riesgos de TI no son un tipo adicional de riesgos de la organización sino que están en todos los procesos y forman parte de cada uno de los tipos de riesgos definidos en la organización, en la medida que los procesos se soportan en tecnologías de información para lograr los resultados.
Es reconocido que la gestión de riesgos de tecnologías de información debe estar integrada a la gestión de riesgos de la organización y alineada a los objetivos de la empresa. Sin embargo, algunas veces se confunde su alcance y se olvida que los riesgos de TI no son un tipo adicional de riesgos de la organización sino que están en todos los procesos y forman parte de cada uno de los tipos de riesgos definidos en la organización, en la medida que los procesos se soportan en tecnologías de información para lograr los resultados.
Dentro de este alcance de los riesgos de
tecnologías de información, existen metodologías y enfoques relacionados específicamente
a la seguridad de la información (tal como la ISO 27005) y a la gestión de
proyectos (por ejemplo el PMBOK), que incluyen un esquema para enfrentar los
riesgos específicamente dentro de tal contexto. Pero estos consideran solo
parcialmente la totalidad de los riesgos de TI. Por otro lado, existen también enfoques
de gestión de riesgos de TI, desarrollados desde los activos informáticos, pero
estos no se enfocan o parten de los objetivos de TI y de la organización.
Un marco integral de gestión de riesgos de TI debe
partir de los objetivos organizacionales, debe estar asociado con el marco de
gestión de riesgos organizacional (que podría ser COSO ERM o la ISO 31000) y
debe cubrir todos los riesgos asociados con las tecnologías de información, incluyendo:
Solo tomando en cuenta la totalidad de riesgos de
tecnologías de información, y considerando que estos forman parte de todos los
procesos de la organización, se logrará una eficiente gestión de los mismos.
¿Te
ha gustado el post? ¡Déjanos saber tu opinión a través de un comentario!
excelente el post
ResponderEliminares de gran ayuda para hacerles saber a los directivos de cualquier organización cuan importante es mitigar los riesgos de tecnologías para proteger sobre todo la información en base al valor de la misma.
con un plan de contingencia o continuidad de negocios