Alcance Gestión de Riesgos de Tecnologías de Información

Por Jorge Salazar Heredia, CISA, CIA

Es reconocido que la gestión de riesgos de tecnologías de información debe estar integrada a la gestión de riesgos de la organización y alineada a los objetivos de la empresa. Sin embargo, algunas veces se confunde su alcance y se olvida que los riesgos de TI no son un tipo adicional de riesgos de la organización sino que están en todos los procesos y forman parte de cada uno de los tipos de riesgos definidos en la organización, en la medida que los procesos se soportan en tecnologías de información para lograr los resultados.

Dentro de este alcance de los riesgos de tecnologías de información, existen metodologías y enfoques relacionados específicamente a la seguridad de la información (tal como la ISO 27005) y a la gestión de proyectos (por ejemplo el PMBOK), que incluyen un esquema para enfrentar los riesgos específicamente dentro de tal contexto. Pero estos consideran solo parcialmente la totalidad de los riesgos de TI. Por otro lado, existen también enfoques de gestión de riesgos de TI, desarrollados desde los activos informáticos, pero estos no se enfocan o parten de los objetivos de TI y de la organización.

Un marco integral de gestión de riesgos de TI debe partir de los objetivos organizacionales, debe estar asociado con el marco de gestión de riesgos organizacional (que podría ser COSO ERM o la ISO 31000) y debe cubrir todos los riesgos asociados con las tecnologías de información, incluyendo:

Solo tomando en cuenta la totalidad de riesgos de tecnologías de información, y considerando que estos forman parte de todos los procesos de la organización, se logrará una eficiente gestión de los mismos.

¿Te ha gustado el post? ¡Déjanos saber tu opinión a través de un comentario!