PERSPECTIVAS SOBRE LOS RIESGOS DE TI

CAMBIOS EN EL PANORAMA

DE LOS RIESGOS DE TI

EL PORQUÉ Y EL CÓMO DE LA ACTUAL ADMINISTRACIÓN DE

RIESGOS DE TI

RIESGOS DE TI EN EL PANORAMAACTUAL DE LOS RIESGOS DE NEGOCIOS

LOS RIESGOS DE TI ESTÁN FIRMEMENTEVINCULADOS A LOS RIESGOS DE NEGOCIOS

• En el informe de Los 10 principales riesgos en los negocios 2010 de Ernst & Young se analizaron los 10 riesgos más importantes en todos los tipos de negocios y por industria específica. Como ejemplo, los ‘radares de riesgo’, que se incluyen a continuación, muestran los 10 más relevantes para los bancos y las empresas de tecnología.

• Estos dos sectores son usuarios intensivos de la tecnología de la información. Por lo tanto, los riesgos relacionados con las TI se encuentran en una categoría separada de la lista de sus 10 riesgos más importantes.

• El sector bancario tiene una categoría genérica de ‘riesgos de TI’ (estrella verde), mientras que el sector de tecnología se enfoca más específicamente en los ‘riesgos de datos’ (estrella verde).

• Pero aún hay más. En los radares también hemos identificado (estrella roja) aquellos riesgos de negocios de los 10 más importantes que en realidad tienen un componente relevante de TI, por lo que cuentan con un riesgo de TI ‘oculto’.

• Estos únicamente se podrán gestionar eficazmente cuando la ITRM sea una parte integral de la administración de riesgos de negocios. Sin la ITRM, una empresa no podrá hacerles frente.

La mayoría de los riesgos de negocios tiene un fuerte vínculo con los de TI.• Riesgo reglamentario. ¿Cómo responderán los reguladores ala amenaza cada vez mayor de los riesgos de TI?• Impactos geopolíticos. ¿Cuál es su grado de exposición aestos impactos? ¿Cuál es la capacidad de respuesta de suorganización de TI?• Riesgo reputacional. ¿Cómo afectaría un ataque cibernéticoa su prestigio y marca?• Fallas de control. ¿Es posible que las brechas o debilidadesen los controles de TI y en la seguridad sean factorescontribuyentes?• Riesgos de TI. ¿Cómo atenderá las áreas clave de riesgorelacionadas con la seguridad, resistencia y la fuga dedatos?

La mayoría de los riesgos de negocios tienen un fuerte vínculo con los de TI.• Expansión en mercados emergentes. ¿El hecho de que sucompañía tenga una mayor presencia aumenta el riesgo decontinuidad del negocio?• Reestructurar el negocio. ¿Cuánto cambiaría su perfil deriesgo de TI?• Centros de servicios compartidos. ¿Esto aumentaría elriesgo para el aprovisionamiento de TI y seguridad de lainformación?• Seguridad de propiedad intelectual y de datos. ¿Estáprotegido contra la fuga o pérdida de datos y contraempleados conflictivos?• Adquisiciones selectivas e integración eficaz. ¿Qué tanexitosas son sus inversiones si no puede integrar el entornode las TI de una compañía adquirida?

• En pocas palabras, la ITRM es influenciada por las mismas fuerzas del mercado que los otros riesgos y sirve de apoyo para el logro de los objetivos generales del negocio.

• La ITRM ofrece el marco general de riesgo y control que habilita los objetivos de control más importantes para las TI: eficacia, eficiencia, cumplimiento, confidencialidad, integridad y disponibilidad.

LA CRECIENTE IMPORTANCIA DE LA ITRM

Algunos de los riesgos clave en los cuales debemos enfocarnos y sus consecuencias para la ITRM son:

• Las tendencias como la subcontratación de los procesos de negocio (business process outsourcing o BPO, por sus siglas en inglés), la computación en nube y la subcontratación de TI están generando una mayor dependencia de terceros. Por lo tanto, la administración de la continuidad del negocio (y garantizar la disponibilidad de las instalaciones de TI) tiene dimensiones y complejidades externas adicionales.

• Los acontecimientos como los incidentes de WikiLeaks, el robo de identidad y la computación móvil están obligando a as compañías a enfocarse más en los riesgos relacionados con la fuga de datos.

• Las directrices de protección de datos de la Unión Europea están ayudando a las compañías a tomar medidas contra el aumento de los crímenes cibernéticos, del phishing y del fraude en línea.

• Queda claro que, sin incluir las inquietudes relacionadas con el inicio del nuevo milenio, los riesgos de TI van en aumento. La amplitud y profundidad de los riesgos y la necesidad de contar con contramedidas eficaces se está intensificando de manera rápida, y probablemente continuará aumentando. Muchos negocios están reconociendo esto; en nuestra reciente Encuesta de Agenda de Riesgo de TI (IT Risk Agenda Survey 2), dos terceras partes de los encuestados estuvieron de acuerdo en que la administración de riesgos de TI se ha vuelto más desafiante en los últimos años.

EL UNIVERSO DE RIESGOS DE TI

• Para administrar los riesgos de TI de forma eficaz, las empresas necesitan tener una visión amplia y completa de todo el panorama de riesgos de TI. Nosotros hemos creado un marco para proporcionar esta visión, llamado el universo de riesgos de TI.

• El universo de riesgos de TI destaca la necesidad de contar con una estrategia alineada para manejar las 10 amplias categorías de riesgos. Estas son relativamente estables, pero los riesgos dentro de ellas variarán de una compañía a otra y cambiarán a medida que pase el tiempo.

CÓMO LOS DIFERENTES ENTORNOS DE NEGOCIOSAFECTAN EL UNIVERSO DE RIESGOS DE TI

LAS MEGATENDENCIAS DE TI AYUDAN A IDENTIFICAR LOS RIESGOS IMPORTANTES EN ESTE TEMA