Gestión de riesgos de TI, una necesidad de la organización para el logro de los objetivos estratégicos

Día a día observamos grandes cambios tecnológicos a nivel mundial los cuales conllevan a las Compañías a estar a la vanguardia para mantenerse en un mercado competitivo, convirtiéndose la tecnología en un habilitador esencial para cumplir con la estrategia de la Compañía, al mismo tiempo observamos cómo cada día es más común ver procesos de negocios globalizados, y cómo las tecnologías de la información influyen en un cambio obligado de los procesos, generando un alto valor agregado para las operaciones, la Compañía y los clientes. A su vez, todos estos cambios pueden incrementar los riesgos actuales identificados o generar nuevos riesgos, que en algunos casos pueden llegar a ser catastróficos desde varios puntos de vista, entre ellos, el punto de vista de disponibilidad, integridad y confidencialidad de la información.

En el 2017 se materializaron algunos de los riesgos tecnológicos a nivel mundial a través de algunos virus de tipo Ransomware, como WannaCry y PETYA, los cuales fueron creados para atacar a las Compañías mediante el secuestro de información, solicitando rescate con pagos en moneda virtual (Bitcoin), o simplemente, como fue el caso del virus PETYA, con la intención de hacer daño y llamar la atención de mundo.

Es aquí donde nos peguntamos, ¿nuestro negocio está protegido ante posibles riesgos de TI? O ¿cuándo vemos a los CEOs (Chief Executive Officer) y CIO (Chief Information Officer) preocupados y con incertidumbre buscando soluciones a la carrera con sus equipos de trabajo para evitar una catástrofe operacional?

Hoy en día es muy normal ver a tantas Compañías volcando sus negocios a la innovación tecnológica sin tener en cuenta los cambios en los riesgos que traen consigo los nuevos procesos.

¿Qué hay de las regulaciones?

En Colombia existen muchas regulaciones enfocadas a disminuir los riesgos que provoca el uso de las tecnologías de información, algunas de estas son:

  • Circular externa 052 de 2007, 022 de 2010, 042 de 2012 y Circular 029 de 2014, (Superintendencia Financiera de Colombia), estándares de seguridad y calidad para el manejo de la información a través de medios y canales de distribución.
  • Ley 1341 del 2009 (Ministerio de las Tecnologías de información y comunicación) Estrategia de gobierno en línea.
  • Ley 1581 de la SIC (Superintendencia de Industria y Comercio), protección de datos personales.
  • Acuerdo 788 de la CNO (Consejo nacional de operación) Ciberseguridad y ciberdefensa en el sector eléctrico de país.
  • Sarbanes-Oxley (Ley de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista), aplica para compañías Colombianas que coticen en bolsa en estados unidos.

Actualmente hay muchas Compañías que han aplicado la regulación colombiana, sin embargo, muchas otras están pendientes por hacerlo o están esperando hasta el último momento para realizar esta operación simplemente por cumplir, y no por la importancia e impacto positivo que pueden lograr dichas regulaciones en sus entornos de negocio.

 ¿Qué es lo que debería controlar?

Los mayores focos de atención de las Compañías para la gestión de sus riesgos de TI y evitar un posible impacto en sus operaciones deberían ser:

  • Concientizar al personal: El principal foco de atención esta indudablemente en las personas, quienes son los mayores generadores de riesgo al efectuar de forma voluntaria o involuntaria acciones que atentan contra la integridad, disponibilidad y confidencialidad de la información. Es por esto por lo que las compañías deben enfocarse en la sensibilización del personal acompañado de controles a nivel contractual.
  • Nuevas tecnologías: Es normal ver tantas nuevas tecnologías involucradas en los procesos de negocio, tales como servicios en la nube, Big data, internet de las cosas, blockchain, entre otras. Las cuales son adaptadas para generar valor en los negocios, sin embargo, carecen de usos controlados o de parametrizaciones customizadas según la realidad de la Compañía; por lo tanto, cada vez que se involucra una nueva tecnología al negocio es requerido un minucioso análisis que permita identificar cambios en los riesgos actuales o la identificación de nuevos riesgos con el objetivo de poder controlarlos.
  • Seguridad: Es común ver cómo estamos en constante amenaza tanto interna como externa, y cada vez se torna más compleja la seguridad lógica debido a los ataques cibernéticos, fuga de datos, fraude en sistemas informáticos, ataques contra la disponibilidad de los servicios, entre otros, los cuales deben ser asegurados implementando medidas concretas de control que involucre, entre otros, hardware, software y concientización del personal para su protección. Una identificación clara de los activos de información y sus controles es clave para la gestión optima del riesgo.
  • Regulaciones: Las regulaciones emitidas deben ser adoptadas ya que en el fondo de estas se refleja la gran intención de minimizar los riesgos tanto para los clientes como para la compañía. Cuando acatamos e implementamos la regulación con conciencia, esta suele ser mucho menos costosa y traumática. Es importante anotar que en gran medida estas regulaciones tienen impactos financieros para la empresa mediante sanciones económicas o cierre total o parcial de las operaciones.
  • Terceros: En la actualidad las Compañías tienen mayor conciencia de hacer lo que saben hacer y entregan a especialistas algunas actividades del negocio las cuales seguramente lo realizarán mejor; sin embargo, al no tener controles específicos podríamos estar delegando todo nuestro patrimonio a un tercero. Es por esto que cláusulas contractuales, acuerdos de niveles de servicio, mecanismos de contingencia, evaluaciones del control interno del tercero, se vuelven claves para el éxito del negocio o actividad tercerizada.

Todos estos puntos deben ser evaluados igualmente desde el punto de vista de fraude, ya que en gran medida estas situaciones permiten que se atente contra la integridad de los datos almacenados en los sistemas de información mediante la manipulación no autorizada.

Por último, recomendamos que la gestión de riesgos se involucre de forma integral en la compañía, donde el riesgo de TI juegue un papel trascendental para el cumplimiento de los objetivos estratégicos.


Si necesitas una asesoría personalizada sobre Gestión de Riesgos de TI haz clic aquí.