Riesgo TI

Componente clave de las prácticas de aseguramiento de la información

Risk IT Framework , publicado en 2009 por ISACA , ^[1] proporciona una visión integral de extremo a extremo de todos los riesgos relacionados con el uso de la tecnología de la información (TI) y un tratamiento igualmente exhaustivo de la gestión de riesgos, desde el tono y la cultura en la cima hasta las cuestiones operativas. Es el resultado de un grupo de trabajo compuesto por expertos de la industria y académicos de diferentes naciones, de organizaciones como Ernst & Young , IBM , PricewaterhouseCoopers , Risk Management Insight, Swiss Life y KPMG .

Definición

El riesgo de TI es una parte del riesgo empresarial , específicamente, el riesgo empresarial asociado con el uso, la propiedad, el funcionamiento, la participación, la influencia y la adopción de TI dentro de una empresa. Consiste en eventos relacionados con TI que podrían afectar potencialmente al negocio. Puede ocurrir con una frecuencia y una magnitud inciertas y crea desafíos para alcanzar las metas y los objetivos estratégicos. ^[1]

La gestión de riesgos empresariales es un componente esencial de la administración responsable de cualquier organización. Debido a la importancia de la TI para el negocio en general, el riesgo de TI debe tratarse como otros riesgos empresariales clave. ^{[ cita requerida ]}

El marco de riesgo de TI ^[1] explica el riesgo de TI y permite a los usuarios:

• Integrar la gestión del riesgo de TI con el ERM general
• Comparar el riesgo de TI evaluado con el apetito de riesgo y la tolerancia al riesgo de la organización
• Entender cómo gestionar el riesgo

El riesgo de TI debe ser gestionado por todos los líderes empresariales clave dentro de la organización: no es sólo una cuestión técnica del departamento de TI.

El riesgo de TI se puede clasificar de diferentes maneras:

Facilitador de valor/beneficio de TI

Riesgos relacionados con la pérdida de oportunidades para aumentar el valor comercial mediante procesos mejorados o habilitados por TI.

Entrega de programas y proyectos de TI

riesgos relacionados con la gestión de proyectos relacionados con TI destinados a habilitar o mejorar el negocio: es decir, el riesgo de sobrepresupuestación, entrega tardía o no entrega en absoluto de estos proyectos

Operación de TI y prestación de servicios

riesgos asociados con las operaciones diarias y la prestación de servicios de TI que pueden causar problemas o ineficiencia en las operaciones comerciales de una organización

El marco de gestión de riesgos de TI se basa en los principios de los estándares/marcos de gestión de riesgos empresariales , como el Comité de Organizaciones Patrocinadoras de la Comisión Treadway ERM y la norma ISO 31000. De esta manera, la alta dirección podría comprender el riesgo de TI.

Componentes de la comunicación de riesgos de TI

Los principales flujos de comunicación de riesgos de TI son:

• Expectativa: qué espera la organización como resultado final y cuál es el comportamiento esperado de los empleados y la gerencia; abarca la estrategia, las políticas, los procedimientos y la capacitación para la concienciación.
• Capacidad: indica cómo la organización es capaz de gestionar el riesgo.
• Estado: información del estado actual del riesgo de TI; abarca el perfil de riesgo de la organización, el indicador clave de riesgo (KRI), los eventos y la causa raíz de los eventos de pérdida.

La comunicación eficaz debe ser:

• Claro
• Conciso
• Útil
• Oportuno
• Dirigido al público objetivo correcto
• Disponible según sea necesario ^{[ cita requerida ]}

Dominios y procesos de TI de riesgo

A continuación se enumeran los tres dominios del marco de TI de riesgo con los procesos que los componen (tres por dominio). Cada proceso contiene una serie de actividades:

1. Gobernanza de riesgos: garantizar que las prácticas de gestión de riesgos de TI estén integradas en la empresa, lo que le permitirá asegurar una rentabilidad óptima ajustada al riesgo. Se basa en los siguientes procesos: ^[1]
   1. RG1 Establecer y mantener una visión común de los riesgos
      1. RG1.1 Realizar evaluación de riesgos de TI empresarial
      2. RG1.2 Proponer umbrales de tolerancia al riesgo de TI
      3. RG1.3 Aprobar la tolerancia al riesgo de TI
      4. RG1.4 Alinear la política de riesgos de TI
      5. RG1.5 Promover una cultura de concienciación sobre los riesgos de TI
      6. RG1.6 Fomentar la comunicación eficaz de los riesgos de TI
   2. RG2 Integración con ERM
      1. RG2.1 Establecer y mantener la responsabilidad de la gestión de riesgos de TI
      2. RG2.2 Coordinar la estrategia de riesgo de TI y la estrategia de riesgo empresarial
      3. RG2.3 Adaptar las prácticas de riesgo de TI a las prácticas de riesgo empresarial
      4. RG2.4 Proporcionar recursos adecuados para la gestión de riesgos de TI
      5. RG2.5 Proporcionar garantía independiente sobre la gestión de riesgos de TI
   3. RG3 Tome decisiones empresariales conscientes de los riesgos
      1. RG3.1 Obtener la aceptación de la dirección para el enfoque de análisis de riesgos de TI
      2. RG3.2 Aprobar el análisis de riesgos de TI
      3. RG3.3 Integrar la consideración de los riesgos de TI en la toma de decisiones comerciales estratégicas
      4. RG3.4 Aceptar el riesgo de TI
      5. RG3.5 Priorizar las actividades de respuesta a riesgos de TI
2. Evaluación de riesgos : garantizar que los riesgos y oportunidades relacionados con TI se identifiquen, analicen y presenten en términos comerciales. Se basa en los siguientes procesos:
   1. RE1 Recopilar datos
      1. RE1.1 Establecer y mantener un modelo para la recopilación de datos
      2. RE1.2 Recopilar datos sobre el entorno operativo
      3. RE1.3 Recopilar datos sobre eventos de riesgo
      4. RE1.4 Identificar factores de riesgo
   2. RE2 Analizar el riesgo
      1. RE2.1 Definir el alcance del análisis de riesgos de TI
      2. RE2.2 Estimar el riesgo de TI
      3. RE2.3 Identificar opciones de respuesta al riesgo
      4. RE2.4 Realizar una revisión por pares del análisis de riesgos de TI
   3. RE3 Mantener perfil de riesgo
      1. RE3.1 Asignar recursos de TI a procesos de negocio
      2. RE3.2 Determinar la criticidad empresarial de los recursos de TI
      3. RE3.3 Comprender las capacidades de TI
      4. RE3.4 Actualizar los componentes del escenario de riesgo
      5. RE3.5 Mantener el registro de riesgos de TI y el mapa de riesgos de TI
      6. RE3.6 Desarrollar indicadores de riesgo de TI
3. Respuesta a los riesgos : garantizar que los problemas, oportunidades y eventos relacionados con los riesgos de TI se aborden de manera rentable y en línea con las prioridades comerciales. Se basa en los siguientes procesos:
   1. RR1 Riesgo articulado
      1. RR1.1 Comunicar los resultados del análisis de riesgos de TI
      2. RR1.2 Informar sobre las actividades de gestión de riesgos de TI y el estado de cumplimiento
      3. RR1.3 Interpretar los hallazgos de la evaluación independiente de TI
      4. RR1.4 Identificar oportunidades relacionadas con TI
   2. RR2 Gestión de riesgos
      1. RR2.1 Controles de inventario
      2. RR2.2 Monitorizar la alineación operativa con los umbrales de tolerancia al riesgo
      3. RR2.3 Responder a la exposición y oportunidad de riesgo descubiertas
      4. RR2.4 Implementar controles
      5. RR2.5 Informar sobre el progreso del plan de acción de riesgo de TI
   3. RR3 reacciona a los eventos
      1. RR3.1 Mantener planes de respuesta a incidentes
      2. RR3.2 Monitorizar el riesgo de TI
      3. RR3.3 Iniciar respuesta a incidentes
      4. RR3.4 Comunicar las lecciones aprendidas de los eventos de riesgo

Cada proceso se detalla mediante:

• Componentes del proceso
• Práctica de gestión
• Entradas y salidas
• Gráficos RACI
• Objetivo y métricas

Para cada dominio se representa un modelo de madurez. ^{[ cita requerida ]}

Evaluación de riesgos

Es necesario establecer el vínculo entre los escenarios de riesgo de TI y el impacto final en el negocio para comprender el efecto de los eventos adversos. La gestión de riesgos de TI no prescribe un único método. Existen diferentes métodos disponibles, entre los que se encuentran:

• Criterios de información de COBIT
• Cuadro de mando integral
• Cuadro de mando integral ampliado
• Westerman ^[2]
• COSO
• Análisis factorial del riesgo de la información

Escenarios de riesgo

Los escenarios de riesgo son el núcleo de los procesos de evaluación de riesgos. Los escenarios pueden derivarse de dos formas diferentes y complementarias:

• un enfoque de arriba hacia abajo desde los objetivos generales del negocio hasta los escenarios de riesgo más probables que pueden afectarlos.
• un enfoque de abajo hacia arriba en el que se aplica una lista de escenarios de riesgo genéricos a situaciones organizacionales.

Se analiza cada escenario de riesgo para determinar la frecuencia y el impacto, en función de los factores de riesgo .

Respuesta al riesgo

El propósito de definir una respuesta al riesgo es alinear el riesgo con el apetito de riesgo general definido de la organización después del análisis de riesgo: es decir, el riesgo residual debe estar dentro de los límites de tolerancia al riesgo .

El riesgo se puede gestionar según cuatro estrategias principales (o una combinación de ellas):

• Evitar riesgos: abandonar las actividades que generan el riesgo.
• Mitigación de riesgos: adoptar medidas para detectar y reducir la frecuencia y/o el impacto del riesgo.
• Transferencia del riesgo: transferir a otros parte del riesgo, mediante la externalización de actividades peligrosas o mediante un seguro.
• Aceptación del riesgo: correr deliberadamente el riesgo que ha sido identificado, documentado y medido.

Los indicadores clave de riesgo son métricas capaces de demostrar que la organización tiene una alta probabilidad de estar sujeta a un riesgo que excede el apetito de riesgo definido .

Guía del practicante

El segundo documento importante sobre Riesgo TI es la Guía del Profesional. ^[3] Está compuesta por ocho secciones:

1. Definición de un universo de riesgos y alcance de la gestión de riesgos
2. Apetito de riesgo y tolerancia al riesgo
3. Concientización, comunicación y presentación de informes sobre riesgos
4. Expresar y describir el riesgo
5. Escenarios de riesgo
6. Respuesta y priorización de riesgos
7. Flujo de trabajo de análisis de riesgos
8. Mitigación del riesgo de TI mediante COBIT y Val IT ^{[ cita requerida ]}

Relación con otros marcos de ISACA

Risk IT Framework complementa a COBIT de ISACA , que proporciona un marco integral para el control y la gobernanza de soluciones y servicios basados ​​en TI e impulsados ​​por el negocio. Mientras que COBIT establece las mejores prácticas para la gestión de riesgos al proporcionar un conjunto de controles para mitigar el riesgo de TI, Risk IT proporciona un marco de mejores prácticas para que las empresas identifiquen, gobiernen y gestionen el riesgo de TI.

Val IT permite a los gerentes de negocios obtener valor comercial de las inversiones en TI, al brindar un marco de gobernanza. Val IT se puede utilizar para evaluar las acciones determinadas por el proceso de gestión de riesgos .

Relación con otros marcos

Riesgo IT acepta la terminología y el proceso de evaluación del Análisis Factorial del Riesgo de la Información .

ISO 27005

Para una comparación de los procesos de TI de riesgo y los previstos en la norma ISO/IEC 27005 , consulte Gestión de riesgos de TI#Metodología de gestión de riesgos y Gestión de riesgos de TI#Marco ISO 27005 .

ISO 31000

El apéndice 2 de la Guía del profesional de TI en riesgos ^[3] contiene la comparación con la norma ISO 31000 .

COSO

El apéndice 4 de la Guía del profesional de TI en riesgos ^[3] contiene la comparación con COSO .

Véase también

• COBIT
• COSO
• Gestión de riesgos empresariales
• Análisis factorial del riesgo de la información (FAIR)
• ISACA
• ISO 31000
• Riesgo
• Apetito por el riesgo
• Factor de riesgo (computación)
• Gestión de riesgos
• Tolerancia al riesgo
• Val TI
• Modelo de Gordon-Loeb para inversiones en ciberseguridad ^{[ cita requerida ]}

Referencias

1. ISACA EL MARCO DE RIESGO DE TI (se requiere registro)
2. George Westerman, Richard Hunter, Riesgo de TI: convertir las amenazas empresariales en ventaja competitiva, serie Harvard Business School Press ISBN  1-4221-0666-7 , ISBN 978-1-4221-0666-2 
3. The Risk IT Practitioner Guide, ISACA ISBN 978-1-60420-116-1 (requiere registro) 

Enlaces externos

• Página principal de Riesgos TI en el sitio web de ISACA