top of page

Risk IT

Índice

1. Introducción

2. Marco de riesgos de TI

2.1. Riesgos de TI

2.2. Propósito del marco de trabajo de riesgos de TI

2.3. El público y las partes interesadas

2.4. Beneficios y resultados

3. Principios de los riesgos de TI

4. Marco de los riesgos de TI

5. Fundamentos del gobierno de riesgos de TI

5.1. Apetito de riesgo y tolerancia

5.1.1. Definición de COSO

5.1.2. Apetito de riesgo

5.1.3. Tolerancia al riesgo

5.2. Responsabilidades y rendición de cuentas sobre los riesgos de TI

5.3. Sensibilización y comunicación

5.3.1. Beneficios de comunicación y sensibilización

5.4. Cultura de riesgos

6. Fundamentos de la evaluación de riesgos

6.1. Descripción del impacto de la organización

6.2. Escenarios de riesgos de TI

7. Fundamentos de la respuesta de riesgos

7.1. Principales indicadores de riesgos

7.2. Definición y priorización de la respuesta del riesgo

7.3. Selección y priorización de respuestas de riesgos

8. Riesgos y oportunidades de gestión usando COBIT, Val IT, risk it

1. Introducción

El marco de los riesgos de TI, RISK IT, se complementa con COBIT, que proporciona un marco integral para el control y la gestión de las organizaciones de soluciones y servicios de TI. 

 

Aunque COBIT establece las mejores prácticas para la gestión de riesgos proporcionando un conjunto de controles para mitigar los riesgos de TI, RISK IT establece las mejores prácticas con el fin de establecer un marco para las organizaciones para identificar, gobernar y administrar los riesgos asociados a su negocio.

 

El marco de riesgos de TI es utilizado para ayudar a implementar el gobierno de TI, y las organizaciones que han adoptado (o están planeando adoptar) COBIT como marco de su gobierno de TI pueden utilizar RISK IT para mejorar la gestión de sus riesgos.

 

COBIT, propiedad de ISACA, se encarga de gestionar todas las actividades relacionadas con TI en la organizacion. Estos procesos tienen que tratar con eventos internos o externos a la organizacion.

 

Los eventos internos pueden incluir los incidentes operacionales, los fracasos del proyecto, cambios de la estrategia de TI y las fusiones. Los eventos externos pueden incluir cambios en las condiciones del mercado, nuevos competidores, nuevas tecnologias disponibles y las nuevas regulaciones que le afectan.

 

Estos eventos, plantean un riesgo y una oportunidad para evaluar el mismo y generar las soluciones oportunas. La dimension del riesgo, y como gestionarlo, es el tema principal de RISK IT. Cuando se identifican las oportunidades de cambios del negocio relacionados con TI, el Marco VAL IT describe como progresar y maximizar el retorno de la inversion realizada en los mismos. El resultado de la evaluacion tendra probablemente un impacto en algunos de los procesos de TI, por lo que las flechas de la \Gestion de Riesgos" y \Gestion del Valor. se dirigen a la "Gestion de los Procesos de TI", tal y como se muestra en la figura:

2010 - present

2010 - present

Un riesgo de TI es también un riesgo del negocio, riesgos del negocio asociados con el uso, propiedad, operación, participación, la influencia y la adopción de las TI en una organización. Se compone de los eventos relacionados con TI que potencialmente podrían afectar el negocio. Este hecho puede ocurrir con una frecuencia y magnitud inciertas, y supone dificultades para alcanzar las metas y objetivos estratégicos. Los riesgos de TI pueden clasificarse de diversas maneras

2. Marco de riesgos de TI
2.1. Riesgos de TI

Los riesgos de TI son un componente del universo de riesgos a los que está sometida una organización, como se muestra en la siguiente figura. Otros de los riesgos a los que una organización se enfrenta pueden ser riesgos estratégicos, riesgos ambientales, riesgos de mercado, riesgos de crédito, riesgos operativos y riesgos de cumplimiento.

 

En muchas organizaciones, los riesgos relacionados con TI se consideran un componente de riesgo operativo, por ejemplo, el sector financiero en el marco de Basilea II. Sin embargo, incluso el riesgo estratégico de TI puede tener un componente financiero, especialmente en aquellas organizaciones en las que es el elemento clave de nuevas iniciativas empresariales. Lo mismo se aplica para el riesgo de crédito, donde una política pobre en cuanto a seguridad de la información se refiere, puede conducir a menores calificaciones de crédito. Por esta razón, es mejor no describir los riesgos de TI con una dependencia jerárquica en una de las categorías de riesgo, tal como se muestra en el ejemplo orientado a la industria financiera de la suigente figura:

RISK IT es el riesgo comercial, es decir, el riesgo de los negocios asociados con el uso, la propiedad, la operación, la participación, la influencia y la adopción de las TI dentro de una organización. Se compone de eventos relacionados con IT que podrían afectar a la organización. Esto incluye tanto la frecuencia y la magnitud incierta, la creación de problemas en el cumplimiento de metas y objetivos estratégicos, así como la incertidumbre en la búsqueda de oportunidades.

Los riesgos relacionados de TI existen, independientemente de si son descubiertos o reconocidos por una organización. En este contexto es importante identificar y gestionar potencialmente los asuntos importantes de riesgo de TI, a diferencia del resto de riesgos, ya que éste puede no ser rentable.

2.2. Propósito del marco de trabajo de riesgo de TI 

La correcta gestión de los riesgos a los que está expuesta la organización es esencial para la correcta administración de cualquier organización. Casi todas las decisiones de negocio requieren que el los negocios requieren que la alta dirección o los gerentes sopesen los riesgos y los beneficios. El uso común y general de las TI puede proporcionar importantes beneficios a una organización, pero también implica riesgos. Debido a su importancia para las organizaciones, los riesgos relacionados con TI deberían ser tratados como los demás riesgos claves organizacionales, tales como el riesgo del mercado, el riesgo de crédito y otros riesgos operativos. Dichos riesgos los podemos ubicar por debajo de la categoría más crítica de los riesgos en una organización: el hecho de no lograr los objetivos estratégicos del negocio. Si bien estos riesgos han sido incorporados a las organizaciones en los procesos de toma de decisión, muchos ejecutivos tienden a relegar los riesgos a los especialistas técnicos.

 

El marco de Riesgos de TI explica los riesgos y permite a los usuarios:

  • Integrar la gestion de los riesgos en el ERM de la organizacion, esto permitira que se tomen decisiones conscientes sobre el retorno de los riesgos.

  • Tomar decisiones con conocimiento acerca de la magnitud del riesgo, el apetito de riesgo y la tolerancia al riesgo de la organizacion.

  • Entender como responder a los riesgos.

La práctica ha demostrado que la función de TI y los riesgos de TI a menudo no son bien comprendidos por las principales partes interesadas de una organización, entre ellos los miembros de la junta y la dirección ejecutiva. Sin embargo, estas son las personas que dependen de TI para alcanzar los objetivos estratégicos y operativos de la organización y, en consecuencia, deberían ser los responsables de la gestión de los riesgos.

 

Sin una clara comprensión de la función y de los riesgos asociados a TI, los ejecutivos de alto rango no tienen un marco de referencia para priorizar y administrar los riesgos de TI. Los riesgos de TI no son puramente una cuestión técnica. A pesar de que se necesita de expertos en la materia para entender y gestionar los aspectos de los riesgos de TI, el conocimiento sobre la gestión del negocio es lo más importante. Los gerentes del negocio han de determinar lo que se debe hacer para apoyar su negocio y establecer los objetivos de TI. Por consiguiente, son responsables de la gestión de los riesgos asociados.

 

 El marco de RISK IT proporciona de principio a fin, visión global de todos los riesgos relacionados con el uso de las TI y un tratamiento igualmente minucioso de la gestión del riesgo, desde el tono y la cultura hasta las cuestiones operativas. En resumen, el marco permitirá a las organizaciones entender y gestionar todos los tipos importantes de riesgos de TI. El Marco provee de:

 

  • Un marco de proceso de punta a punta para gestión de riesgos de TI correcta.

  • Orientación para los profesionales, incluyendo herramientas y técnicas para entender y gestionar los riesgos concretos para las operaciones de negocio. Esto incluye una lista genérica de campo común, los panoramas relacionados con la TI potencialmente adversos del riesgo que podrían afectar la realización de los objetivos de negocio.

El público al que está dirigido el marco de RISK IT es muy amplio, ya que se ofrecen razones y beneficios para usar el marco por cada uno de los grupos en cuestión (figura 4). Todos los grupos citados en la figura 4 pueden ser considerados partes interesadas para la gestión de los riesgos de TI.

2.3. El público y las partes interesadas
2.4. Beneficios y resultados

El marco de RISK IT aborda muchas cuestiones a las cuales las organizaciones se enfrentan hoy en día. Es notable su necesidad de:

 

  • Una visión precisa del presente y del futuro próximo sobre los riesgos relacionados con TI en toda la organización y el éxito con el que la organización se ocupa de dichos riesgos.

  • Orientación de principio a fin sobre la forma de gestionar los riesgos relacionados con TI, más allá de medidas puramente técnicas de control y de seguridad.

  • Comprensión de cómo capitalizar una inversión realizada en un sistema de control interno de TI ya existente para gestionar los riesgos relacionados con TI.

  • En cuanto a la evaluación y gestión de los riesgos de TI, la integración con el riesgo global y el cumplimiento de las estructuras dentro de la organización.

  • Un marco/lengua común para ayudar a gestionar la relación entre los ejecutivos encargados de adoptar decisiones (o junta de los altos directivos), el director de información (CIO) y la organización de gestión del riesgo, o entre los auditores y la dirección.

  • Promoción de la responsabilidad del riesgo y su aceptación en toda la organización.

  • Un perfil de riesgo completo para mejor entender el riesgo y aprovechar mejor los recursos de la organización.

3. Principios de los riesgos de TI

RISK IT define, de manera fundamentada, una serie de guías para la gestión eficaz de los riesgos. Dichas guías son generalmente aceptadas sobre la base de los principios de la gestión del riesgo, que se han aplicado en el campo de las TI. El modelo de proceso de RISK IT está diseñado y estructurado para que las organizaciones puedan aplicar los principios en la práctica y comparar sus resultados.


El marco de RISK IT se refiere a los riesgos de TI - en pocas palabras, Los riesgos organizacionales relacionados con el uso de TI .La conexión con el negocio se fundamenta en los principios en los que se basa el marco, por ejemplo, un gobierno efectivo de la organización y la gestión eficaz de los riesgos de TI, tal y como se muestra:

4. Marco de los riesgos de TI

El marco de los riesgos de TI se basa en los principios establecidos en el punto anterior, y se ha desarrollado en base a un modelo de proceso integral (Ver la siguiente figura). El modelo del proceso en la gestión de riesgos fija ciertas actividades clave en una serie de procesos. Estos procesos se agrupan en tres ámbitos.

 

El modelo del proceso resultará familiar a los usuarios de COBIT y Val IT: existen guías que ofrecen orientación sobre las actividades clave dentro de cada proceso, las responsabilidades para el proceso, los flujos de información entre los procesos y la gestión del rendimiento del proceso. Los tres ámbitos del marco de RISK IT – Gobierno del riesgo, Evaluación del Riesgo y Respuesta ante el Riesgos – cada uno de los cuales contiene tres procesos, tal y como se muestra:

5. Fundamentos del gobierno de riesgos de TI

5.1.1. Definición COSO

5.1. Apetito de riesgo y tolerancia

Las definiciones del marco de RISK IT son compatibles con las definiciones de COSO ERM (que, a su vez, son equivalentes a las definiciones de la norma ISO 31000 en la guía 73):

  • Apetito del riesgo - cantidad de riesgo que una organización u otra entidad está dispuesta a aceptar en el cumplimiento de su misión (o visión).

  • Tolerancia del riesgo - La variación aceptable en relación a la consecución de un objetivo (y con frecuencia se mide mejor en las mismas unidades que las que se utiliza para medir los objetivos relacionados).

Ambos conceptos son introducidos en el modelo del proceso de riesgos de TI, en la principal gestión de prácticas RG1.2, RG1.3 y RG1.4 del proceso RG1 Establish and maintain a common risk view.

5.1.2. Apetito de riesgo

El apetito de riesgo es la cantidad de riesgo que una entidad está dispuesta a aceptar cuando se trata de alcanzar sus objetivos. Al examinar los niveles de apetito para la organización, surgen dos grandes factores importantes:

 

  • La Capacidad Objetiva de la organización para absorber pérdida, p.e., pérdida financiera, daño de reputación

  • La cultura o la predisposición a asumir riesgos-prudentes o agresivos. ¿Cuál es la cantidad de pérdida que la organización quiere aceptar llevar a cabo?

El apetito de riesgo se puede definir en la práctica en términos de combinaciones de la frecuencia y la magnitud de un riesgo.
El apetito de riesgo puede y va a ser diferente entre las organizaciones ya que no existe una norma absoluta o una norma de lo que constituye un riesgo aceptable e inaceptable.

 

El apetito por el riesgo se puede definir mediante los mapas de riesgo. Diferentes grupos de riesgo importancia se puede definir, indicado por las bandas de colores en el mapa de riesgo.

5.1.3. Tolerancia al riesgo

La tolerancia al riesgo es la desviación tolerable desde el nivel establecido por la definición del apetito de riesgo, por ejemplo, las normas o proyectos que deben realizarse dentro de los presupuestos y el tiempo, pero sobre costes del 10 por ciento del presupuesto o el 20 por ciento del tiempo son tolerados.

 

El apetito de riesgo y tolerancia al riesgo, la guía se aplica lo siguiente:

  • El apetito de riesgo y tolerancia al riesgo van de la mano La tolerancia de riesgos se define a nivel de organización y se refleja en las políticas establecidas por los ejecutivos, a un menor (táctico) los niveles de la organización, o en algunas entidades de la organización, las excepciones se pueden tolerar (o diferentes umbrales definidos), mientras en el nivel de la organización la exposición total no supere el apetito de riesgo establecidos. Cualquier iniciativa organizacional incluye un componente de riesgo, de modo de que la gestión debería tener la posibilidad de conseguir nuevas oportunidades de riesgo. Las organizaciones en las que las políticas están labradas en piedra en lugar de "líneas en la arena" podría carecer de la agilidad y la innovación para aprovechar las oportunidades de negocio. Por el contrario, hay situaciones en que las políticas se basan en los requisitos específicos legales, reglamentarios o de la industria en los que conviene no tener la tolerancia de riesgo de incumplimiento.

  • La tolerancia del riesgo se define a nivel de la organización por el consejo y claramente por comunicado a todas las partes interesadas (ver el proceso de RG1 del riesgo que modelo de proceso). Un proceso debe ser en lugar de revisar y aprobar cualquier excepción a esas normas.

  • El apetito por el riesgo y la tolerancia a tiempo sobre el Cambio, de hecho, las nuevas tecnologías, nuevas estructuras organizativas, nuevas condiciones de mercado, la nueva estrategia de negocios y muchos otros factores que exigir a la organización a revisar su cartera de riesgo a intervalos regulares, y también exigir a la organización para volver a confirmar su riesgo el apetito a intervalos regulares, provocando exámenes de las políticas de riesgo. En este sentido, la organización también tiene que comprender que la mejor gestión del riesgo que tiene en su lugar, más riesgo se pueden tomar en la búsqueda de rentabilidad.

  • El costo de las opciones de mitigación pueden afectar a la tolerancia al riesgo, de hecho, puede haber circunstancias donde el coste / impacto en el negocio de las opciones de mitigación de riesgos excede la capacidad de una organización / recursos, lo que obliga a mayor tolerancia para una o más condiciones de riesgo. Por ejemplo, si un reglamento dice que "los datos sensibles en reposo debe estar encriptada, sin embargo, no existe una solución de cifrado factible o el costo de la implementación de una solución tendría un gran impacto negativo, la organización puede optar por aceptar el riesgo asociado con la reglamentación de incumplimiento, que es una compensación del riesgo.

5.2. Responsabilidades y rendición de cuentas sobre los riesgos de TI

En el cuadro de la figura 8 se definen una serie de funciones para la gestión del riesgo y se indica que estas funciones asumen la responsabilidad o rendición de cuentas por una o más actividades dentro de un proceso.

  • La responsabilidad corresponde a aquellos que deben velar por que las actividades se han completado con éxito.

  • La rendición de cuentas se aplica a quienes poseen los recursos necesarios y tener la autoridad para aprobar la ejecución y / o aceptar el resultado de una actividad específica dentro de los procesos de TI de riesgo. Esta tabla es un resumen de los cuadros detallados en el modelo de proceso.

Las funciones descritas en la tabla se aplican de manera diferente en cada organización y, por tanto, no corresponden necesariamente a las unidades de organización o funciones. Para ello, cada función ha sido descrita brevemente en el cuadro.

5.3. Sensibilización y comunicación

La concienciación de los riesgos es de reconocer que el riesgo es una parte integral de la organización. Esto no implica que todos los riesgos que deben ser evitados o eliminados, sino que se entienden y conocen los riesgos de TI, problemas de riesgo sean identificables, y la organización reconoce y utiliza los medios de manejar los riesgos de TI.

5.3.1. Beneficios de comunicación y sensibilización

Los beneficios de la comunicación abierta sobre los riesgos de TI incluyen:

  • Contribución de la gestión ejecutiva para la comprensión de la actual exposición a los riesgos de TI, la definición de habilitación de riesgos apropiados y respuestas.

  • Sensibilización interna entre todas las partes interesadas de la importancia de la integración de riesgo y oportunidad en sus funciones diarias.

  • Transparencia para las partes interesados externas en el nivel real de riesgo y los procesos de gestión de riesgos en uso.

 

Las consecuencias de la falta de comunicación incluyen:

 

 

  • Una falsa sensación de confianza en la parte superior en el grado de exposición real relacionados con IT, y la falta de un bien entendido sentido de la gestión de riesgos de arriba hacia abajo.

  • La sobre comunicación sobre el riesgo para el mundo exterior, sobre todo si está en riesgo o apenas un elevado nivel aceptable. Esto puede disuadir a posibles clientes o inversores, o generar un escrutinio innecesario de los reguladores.

  • La percepción de que la organización está tratando de encubrir riesgos conocidos a los interesados.

 

5.4. Cultura de riesgos

La gestión de riesgos consiste en ayudar a las organizaciones a asumir mayores riesgos en la búsqueda de la rentabilidad.Una cultura de riesgos asumidos ofrece un entorno en el que los componentes de riesgo se discuten abiertamente, y los niveles de riesgo aceptables se entienden y se mantienen. La cultura de riesgos aceptables comienza en la parte superior, con la junta y los ejecutivos de negocios que establece la dirección, comunicando el riesgo de toma de decisiones aceptablesy premiando la cultura de aprendizaje en la gestión eficaz del riesgo. El conocimiento del riesgo también implica que todos los niveles dentro de una organización son conscientes de cómo y por qué para responder a los eventos adversos de TI.La cultura del riesgo es un concepto que no es fácil de describir.Se compone de una serie de comportamientos, como se muestra en la siguiente figura:

Algunos de los síntomas de una cultura inadecuada del riesgo o problemáticos son:

 

  • La desalineación entre el actual apetito de riesgo y las políticas traducidas, La verdadera posición de la dirección hacia el riesgo puede ser razonablemente agresivos y la asunción de riesgos, mientras que las políticas que se crean reflejan una actitud mucho más estricta.

  • La existencia de una "Cultura de culpa". Este tipo de cultura debe por todos los medios ser evitada, ya que este es el inhibidor la comunicación relevante y eficaz.

  • En una cultura de culpa, las unidades de negocio tienden a señalar con el dedo a los proyectos de TI, cuando no son entregados a tiempo o no cumplen las expectativas. Al hacerlo, no se dan cuenta de cómo la participación de la unidad de negocio desde el principio afecta el éxito del proyecto. En casos extremos, la unidad de negocio puede asignar la culpa de la incapacidad de satisfacer las expectativas. El 'juego de la culpa "sólo perjudica la comunicación efectiva a través de las unidades, alimentando aún más las demoras. El liderazgo ejecutivo debe identificar y controlar rápidamente una cultura de la culpa si la colaboración se debe fomentar en toda la organización.

6. Fundamentos de la evaluación de riesgos
6.1. Descripción del impacto de la organización

La evaluación significativa de riesgos de TI y el riesgo - de decisiones basadas en los riesgos de TI requieren ser expresadas en términos inequívocos y claros relevantes de negocios. La gestión efectiva del riesgo requiere de la comprensión mutua entre TI y el negocio sobre el que el riesgo debe ser gestionado y por qué. Todas las partes interesadas deben tener la capacidad de comprender y expresar cómo los eventos adversos pueden afectar a los objetivos de negocio. Esto significa que:

 

  • Una persona de TI debe comprender como – Los fallos relacionados o acontecimientos relacionados con TI pueden afectar a los objetivos de la organización y causar perdida directa o indirecta a la organización

  • Una persona de negocios deben entender cómo – Los Fallos o eventos relacionados con TI pueden afectar a los servicios y procesos clave.

 

El vínculo entre la TI y el impacto de escenarios de riesgo organizacional fundamental debe ser establecido para comprender los efectos de los eventos adversos. Varias técnicas y opciones existen que pueden ayudar a la organización para describirlo en términos de riesgos de negocios. El marco de riesgos de TI requiere riesgos para la traducir o expresado en términos pertinentes con la organización, pero no prescribe ningún método único. Algunos métodos disponibles se muestran en la figura12 y se discuten brevemente en lo que resta de esta sección. Para más detalles sobre los métodos descritos en la figura 12 y orientación sobre cómo aplicarlas en la práctica se incluyen en la Guía Profesional de riesgos de TI.Algunos de los síntomas de una cultura inadecuada del riesgo o problemáticos son:

 

6.2. Escenarios de riesgos de TI

Uno de los desafíos para la gestión de riesgos de TI debe identificar los riesgos importantes y relevantes entre todo lo que posiblemente puede relacionarse con TI, considerando la presencia y dependencia de TI en el negocio. Una de las técnicas para vencer este desafío es el desarrollo y el empleo de argumentos de riesgo, es un enfoque básico para lograr el realismo, visión, compromiso organizacional, mejorar el análisis y la estructura de la compleja cuestión de los riesgos de TI.

 

Una vez que se desarrollan estos escenarios, que se utilizan durante el análisis de riesgo, donde la frecuencia de la situación realmente está sucediendo y los impactos comerciales son estimaciones.

 

La Figura 13 muestra que los escenarios de riesgo se pueden derivar a través de dos mecanismos diferentes:

 

  • Un enfoque de arriba abajo, en el que se parte de los objetivos generales y se realiza un análisis de los escenarios de riesgos de TI más relevantes y probables que impacten len os objetivos de negocio. Si los criterios de impacto están bien alineados con los controladores de valor real de la organización, los escenarios de riesgo relevantes se desarrollarán.

  • Un enfoque de abajo arriba, en el que se utiliza una lista de escenarios genérico para definir un conjunto de escenarios más concretos y personalizados, aplicados a la situación de la organización individual.

 

Los enfoques son complementarios y deben ser utilizados simultáneamente. De hecho, los escenarios de riesgo deben ser pertinentes y deben estar vinculados con el riesgo real de negocio. Por otra parte, utilizar un conjunto de escenarios de riesgo genérico ayuda a asegurar que no se pasan por alto los riesgos y proporciona una visión más amplia y completa sobre los riesgos de TI. Una vez que el conjunto de escenarios de riesgo se define, puede ser utilizado para el análisis de riesgos, donde se evalúa la frecuencia y el impacto del escenario. Un componente importante de esta evaluación son los factores de riesgo, como se muestra en la figura 13.

7. Fundamentos de la respuesta de riesgos
7.1. Principales indicadores de riesgos

Los indicadores de riesgos métricos son capaces de demostrar que la empresa está sujeta a, o tiene una alta probabilidad de, estar sometida a un riesgo que excede del apetito de riesgo definido. Son específicos para cada empresa y su selección depende de una serie de parámetros en el entorno interno y externo, tales como el tamaño y la complejidad de la empresa, si se trata de operar en un mercado altamente regulado y su objetivo de estrategia.

 

La identificación de indicadores de riesgo debe tener en cuenta los siguientes pasos (entre otros):

 

• Considerar las distintas partes interesadas en la empresa. Los indicadores de riesgos deben no sólo centrarse en las operaciones o en la parte estratégica de riesgo. Pueden y deben ser identificados para todas las partes interesadas. La participación de los interesados adecuados en la selección de indicadores de riesgo también deberá garantizar una mayor aportación y adecuación de los mismos.

• Hacer una selección equilibrada de indicadores del riesgo, cubriendo Indicadores de los resultados (indicando el riesgo después de que hayan ocurrido los hechos), Indicadores principales (lo que indica que las capacidades están en el lugar apropiado para evitar que se produzcan acontecimientos) y las tendencias (análisis de indicadores en el tiempo o la correlación de los indicadores para obtener información).

• Asegurar que los indicadores seleccionados detallen el origen de la causa de los eventos (indicación del origen y no solo los síntomas) Una empresa puede desarrollar un amplio conjunto de métricas para servir como indicadores de riesgo, sin embargo, no es posible o factible sostener un conjunto completo de indicadores como indicadores clave de riesgo (RISK).

 

Los RISK se distinguen por ser de gran relevancia, por poseer una alta probabilidad de predecir o por que indican un riesgo importante. Los criterios para seleccionar RISK incluyen:

 

  • Impacto: los indicadores de riesgo con alto impacto comercial son más propensos a ser RISK.

  • Esfuerzo para aplicar, medir y reportar: Los indicadores diferentes que son equivalentes en la sensibilidad, el criterio debe ser la facilidad.

  • Fiabilidad: el indicador debe poseer una alta correlación con el riesgo y ser un buen vaticinador o medida de resultado.

  • Sensibilidad: el indicador debe ser representativo para el riesgo y capaz de indicar con precisión las diferencias en el riesgo.

7.2. Definición y priorización de la respuesta del riesgo

El objetivo de definir una respuesta al riesgo es llevar el riesgo al mismo nivel que el apetito de riesgo definido para la empresa después del análisis de riesgo. En otras palabras, una respuesta tiene que ser definida tal que el futuro riesgo residual (respuesta de riesgo definida y puesta en práctica) es, tanto como sea posible (por lo general dependerá de los recursos económicos disponible), dentro de los límites de tolerancia de riesgo.

Evitar riesgos:

 

Evitar significa salir de las actividades o de las condiciones que dan lugar a riesgo. Evitar riesgos se aplica cuando no hay otra respuesta adecuada. Este es el caso cuando:

  • No hay ninguna otra respuesta rentable que puede tener éxito en la reducción de la frecuencia y de la magnitud por debajo de los umbrales definidos para el apetito del riesgo.

  • El riesgo no puede ser compartido o transferido.

  • El riesgo se juzga inaceptable por la administración.

Algunos ejemplos relacionados con la cobertura de riesgos de TI pueden incluir la reubicación de un centro de datos fuera de una región con importantes peligros naturales, o negarse a participar en un proyecto muy grande, cuando el caso de negocio muestra un notable riesgo de fracaso.

Reducción de Riesgos / Mitigación

 

La reducción significa, que medidas están tomadas para detectar el riesgo, seguido por la acción para reducir la frecuencia y/o el impacto de un riesgo. Las maneras más comunes de respuesta al riesgo incluyen:

  • Fortalecimiento global de la gestión de las prácticas de riesgos de TI, es decir, aplicación de la suficiente madurez de la gestión de riesgos y los Procesos que deben definirse como el riesgo marco de TI.

  • Introducción de una serie de medidas de control intentando reducir las frecuencias de un suceso de consecuencias adversas y / o el impacto empresarial de un evento, en caso de que suceda.

Riesgo Compartido / Transferencia

 

Compartir significa reducir la frecuencia de riesgo o impacto mediante la transferencia o distribución de una parte del riesgo. Las técnicas más comunes son los seguros y la subcontratación.

 

Los ejemplos incluyen tener un seguro para los incidentes relacionados con las TI, la subcontratación de parte de las actividades de TI, o establecer un proyecto de riesgo de TI compartido con el proveedor a través de acuerdos de precios fijos o acuerdos de inversión compartida. Tanto en un sentido físico y jurídico estas técnicas no alivian una empresa de un riesgo, pero puede afectar la capacidad de la otra parte en la gestión del riesgo y reducir las consecuencias económicas si se produce un evento adverso.

Aceptación del riesgo

 

Aceptación significa que no se tomen medidas relativas con un riesgo particular, y la pérdida es aceptada cuando y si se produce. Esto es diferente de ignorar el riesgo, aceptar el riesgo supone que el riesgo es conocido, es decir, una decisión informada se ha aceptado por la dirección. Si una empresa adopta una postura de aceptación de riesgo, se debe considerar cuidadosamente quién puede asumir el riesgo, más aún con los riesgos de TI.

 

Los riesgos de TI deben ser aceptados por la dirección de la empresa (y los propietarios de procesos de negocio) con la colaboración y el apoyo de TI, y la aceptación debe ser comunicada a la Junta. Si un riesgo particular es evaluado por ser extremadamente raro, pero muy importante (catastrófico) y los enfoques para reducirla son prohibitivos, la administración puede decidir aceptarlo. 

7.3. Selección y priorización de respuesta de riesgo

La organización tiene que seleccionar y priorizar las respuestas al riesgo, utilizando los siguientes criterios:

 

  • El coste de la respuesta, por ejemplo, en el caso de la transferencia del riesgo, el costo de la prima del seguro; en el caso de mitigación de riesgo, el costo (gasto de capital, salarios, consultoría) para aplicar medidas de control

  • Importancia del riesgo dirigido por la respuesta, por ejemplo; su posición en el mapa de riesgos (que refleja la frecuencia y la magnitud de los niveles combinados).

  • Capacidad de la organización para aplicar la respuesta,

  • La efectividad de la respuesta, es decir, que la medida de la respuesta reducirá el impacto y la frecuencia de eventos adversos.

  • La eficiencia de la respuesta, es decir, la relativa por beneficios prometidos por la respuesta en comparación con:

– Otras inversiones relacionadas de TI (investigando medidas en respuesta del riesgo) siempre compite con otras inversiones de TI (o no de TI).
– Otras respuestas (una respuesta puede estar dirigida a riesgos severos mientras otras no)

8. Riesgos y Oportunidades de Gestión usando COBIT, Val IT y Risk IT

En un día típico en una organización típica, las actividades de TI, los procesos de TI están organizados y desplegados. Se producen eventos en varias áreas: las opciones tecnológicas deben ser evaluadas, las reparaciones en caso de incidentes operacionales deben ser aplicadas, los problemas de software deben ser abordados y las solicitudes deben ser respondidas. Cada uno de estos eventos lleva aparejado riesgo y oportunidad.


El riesgo refleja la combinación de la frecuencia de los hechos ocurridos y el impacto que tienen estos acontecimientos sobre la organización. El riesgo potencial para los acontecimientos y sus consecuencias contiene las oportunidades de beneficio (al revés) o de amenazas para el éxito (negativo). Riesgo y oportunidad van juntas, de hecho, para proporcionar valor de negocio a los interesados, las empresas deben participar en diversas actividades e iniciativas (oportunidades), todos conllevan grado de incertidumbre y, por tanto, de riesgo.

Gestión del riesgo y de la oportunidad es una actividad estratégica clave para el éxito de la organización.TI pueden jugar varios roles en relación riesgo-oportunidad.

  • Valor Permitido-Las nuevas iniciativas empresariales casi siempre dependen de alguna participación de TI:

Habilitando proyectos de TI de éxito que apoyan las nuevas iniciativas y, así, la creación de valor.
– La aplicación de nuevas tecnologías o el uso de nueva tecnología de forma innovadora que permitan nuevas iniciativas empresariales y la creación de valor.

  • Valor inhibidor - El reverso de lo anterior aplica cómo:

– TI- permitió que los proyectos de negocios o inversiones, a menudo, no produzcan los resultados esperados, por lo que el valor no se entrega.

  • La organización puede fallar para identificar o capturar oportunidades de nuevas iniciativas empresariales derivadas de la nueva tecnología.

  • Beneficios en la reducción del riesgo de la nueva iniciativa.
    – Los riesgos asociados con la inversión (por ejemplo, el riesgo del proyecto).
    – Los beneficios comerciales resultantes de la posesión de la nueva infraestructura de TI y las oportunidades.
    – Cuando surge una nueva tecnología, la empresa debe considerar lo siguiente al determinar si conviene o no adoptar la tecnología:
    – Impacto de la adopción de la tecnología (de apoyo, fiabilidad, facilidad de integración).
    – Los riesgos asociados con la operación de la nueva tecnología (por ejemplo, seguridad, fiabilidad)
    – Consecuencias (por ejemplo, la obsolescencia, quedar muy por detrás de los competidores), de no adoptar la nueva tecnología.
    – Los beneficios comerciales de la nueva tecnología (por ejemplo, la habilitación de nuevas iniciativas empresariales, el logro de la eficacia y la eficiencia)

Framework RISK IT

bottom of page