Academia cero control lavado de activos

Protocolo para gestionar los riesgos de la tecnología de la información

La supervivencia de una compañía depende de la gestión eficaz de las tecnologías de la información. 

h_PP_protocolo_gestionar_riesgos_tecnologia_informacion (1)

Introducción

La tecnología y los sistemas de información se han vuelto indispensables en todas las empresas con la llegada de la cuarta revolución industrial, ya que de estas muchas veces depende la operación de las actividades internas y externas, y a la vez también influye en la toma de decisiones estratégicas y tácticas que deba asumir la alta gerencia.

La gestión de la tecnología dentro de las entidades genera ventajas competitivas, a través de dinámicas de trabajo asertivas y diferenciales. Contar con un modelo de gobierno TI contribuye a que las compañías cumplan con sus objetivos corporativos planteados. 

Cada vez se vuelve más esencial contar con una gestión enfocada en las TI, es por esto que las organizaciones deben tener un responsable a cargo, con el fin de crear estrategias adecuadas relacionadas a las buenas prácticas de gobierno para todas las áreas que estén enfocadas en la prestación de servicios, infraestructura, seguridad de la información, desarrollo tecnológico, entre otras. 

La ISO 27005, proporciona una guía para que las entidades sepan cómo gestionar los riesgos de TI eficazmente, ya que es compatible con la ISO 27001 enfocada en seguridad de la información, aunque no cuenta con un método específico si da algunos consejos de estructura y sistematización para crear un plan de tratamiento.  

En la siguiente guía usted encontrará toda la información relacionada acerca de cuál es el perfil de riesgo TI de una organización, la estructura de la gestión de riesgos TI y la ISO 27005. 

Cómo utilizar esta guía

Esta guía se desarrolló con el fin de brindarle información general acerca de los protocolos generales que debe seguir para gestionar los riesgos de tecnología de la información de su compañía. 

Acá tocamos los aspectos más importantes que debe tener en cuenta para lograr un adecuado análisis dando a conocer los pasos y aspectos que debe seguir para poder ejecutarlo de manera adecuada.

Está dividida en siete ítems que le darán pautas para que le de la importancia necesaria y le traiga grandes beneficios a su organización.

Esta guía puede ser usada durante el proceso de gestión de riesgos. 

Perfil de riesgos TI de una organización

01_PP_protocolo_gestionar_riesgos_tecnologia_informacion

Las empresas que lleven a cabo la gestión de TI deben considerar tres principios fundamentales: implementación eficaz de las TI, procesos de gobernanza y cultura consciente, esto les proporcionará contar con una gestión eficiente, personal calificado, comprensión de niveles de riesgos, actividades de cumplimiento, reducción de amenazas y utilizar las herramientas adecuadas para generar valor al negocio.

El perfil de riesgo debe estar compuesto por cuatro fundamentos básicos:

  • Nivel de exposición de riesgos al que se encuentra la compañía, es decir los riesgos potenciales e inherentes.
  • Controles relacionados a los proceso de TI, que tienen como fin mitigar las amenazas logrando el nivel de riesgo (riesgo intrínseco).
  • Definir la tolerancia de los riesgos por parte de organización, identificar con cuáles se puede vivir y cuáles tendrían un impacto mayor. 
  • Brecha de riesgo TI. Se refiere al margen que hay entre la tolerancia del riesgo y el riesgo intrínseco. Esto contribuye a la toma de decisiones acerca de los controles que se deben implementar relacionados a la seguridad de la información. 

Y este debe ser visto como un instrumento que permite que las organizaciones conozcan a profundidad cuál es la exposición que tienen ante un riesgo y cuál sería su nivel de tolerancia. Por otro lado, también puede ser visto como una herramienta de negociación. 

ISO 27005

02_PP_protocolo_gestionar_riesgos_tecnologia_informacion (1)

Es una norma creada por la Organización Internacional de Normalización (ISO) que se encuentra en constante evolución con el fin de adaptarse a los nuevos escenarios que el entorno tecnológico plantea. 

Le brinda a las instituciones algunos consejos que deben seguir sobre cómo realizar la ejecución de la gestión de los riesgos de seguridad de la información teniendo en cuenta los objetivos de gobierno. 

La ISO 27005 permite entender el por qué y cómo las organizaciones pueden gestionar los riesgos de seguridad de la información de forma adecuada, con el fin de cumplir con las directrices dadas por la ISO 27001. Por otro lado, también permite que se llevan a cabo los procesos adecuados para hacer a la empresa más competente frente a otras y garantizar a los miembros y clientes que es apta y segura para ejecutar negocios.

Este estándar también comprende el tratamiento, aceptación, comunicación, monitoreo y revisión  del riesgo.

Hay que tener claro que se puede aplicar en cualquier empresa, sin importar su origen o tamaño. 

Gestión de riesgos TI

03_PP_protocolo_gestionar_riesgos_tecnologia_informacion (1)

¿Qué es?

04_PP_protocolo_gestionar_riesgos_tecnologia_informacion (1)

Es la aplicación de métodos para gestionar los riesgos de tecnología de la información. Lo que quiere decir esto es que permite evaluar las amenazas a las que está expuesta la compañía relacionadas a la operación, sistemas TI, propiedad, usos de datos, entre otros. 

Para tener una gestión eficaz se debe tener en cuenta tres principios:

    • Gobernanza de riesgo: son las políticas eficientes que están relacionadas al riesgos, allí se mezclan los procesos de identificar, evaluar, controlar y monitorear. 
    • Cultura consciente sobre riesgos: darle a conocer a los miembros de la compañía cuál es el protocolo que deben seguir y de qué manera pueden identificar las amenazas a las que puede estar expuesta la empresa.
  • Implantación eficaz de TI: son aquellos riesgos menores, es decir con los que la empresa puede sobrevivir sin ningún problema.

Su misión es administrar las actividades, recursos tecnológicos y actividades de la entidad, con el fin de optimizar el almacenamiento de información y a la vez vigilar y controlar quienes tendrán acceso a ella.

Hay que tener en cuenta que la gestión de riesgos TI enfoca tres pilares que son una guía para lograr un manejo adecuado:

  • Personas: se debe contar con el personal calificado para crear las estrategias adecuadas que permitan cumplir con los objetivos propuestos y ajustarse a las necesidades de la empresa.
  • Herramientas: contar con los equipos adecuados para el buen funcionamiento de la empresa es clave y es responsabilidad de la gestión TI, ya que de ellas depende el aumento de la productividad y optimización del tiempo y procesos.
  • Procesos: la gestión de TI se debe enfocar que se apliquen las buenas prácticas en cada uno de los procesos, que las herramientas sean utilizadas de la forma correcta y como ser íntegros. 

Pasos que se deben seguir para su gestión

05_PP_protocolo_gestionar_riesgos_tecnologia_informacion

En muchas ocasiones las empresas se preguntan acerca de cuándo es el momento adecuado para poner en marcha un plan de gestión de riesgos TI y la verdad es que deben hacerlo lo antes posible o desde el inicio. 

No hay que caer en el mito de que es labor de las grandes compañías, si no por el contrario todas con el fin de evitar futuros problemas y gastos mayores.

Gestionar este tipo de riesgos es anticiparse a las amenazas que puedan afectar los riesgos, con el fin de contar con controles que permitan mitigarlos o que el impacto no sea tan fuerte en caso de que se materialicen. 

Teniendo como referente la seguridad de la información, es de vital importancia garantizar la disponibilidad, integridad y confidencialidad de los datos de la empresa y los clientes.

Llevar a cabo la gestión de riesgos TI está compuesta por una serie de pasos que se distribuyen de la siguiente forma:

Identificación:

No se puede contar con los planes de acción si no se sabe o conoce cuáles son los riesgos a los que está expuesta la compañía. Por eso esta fase es fundamental, identificarlos, documentarlos y saber su origen.

Evaluación:

Una vez se reconozcan los riesgos se pasan a evaluar, lo que quiere decir es que se mira su probabilidad de impacto y las consecuencias que traería en caso de que se materialice alguno de ellos, con el fin de poder clasificarlos e identificar cuales son los prioritarios. 

Tratamiento:

Se debe definir qué se va hacer con cada riesgos, hay que tener en cuenta que no todos necesitan de acciones, si no que solo se debe monitorear. 

Pero para aquellos que sí necesitan controles, se les debe diseñar un plan de acción para saber cómo se va a proceder en caso de que la amenaza se de. 

Vigilancia:

Los riesgos siempre tienen tendencia al cambio, y es algo muy natural. Es por esto que es muy importante esta fase, ya que las amenazas pueden surgir en cualquier momento y por eso es clave estar alerta a cualquier sucesos. 

Informes:

Hay que documentar toda la información que se recolecta y crear los reportes que indiquen si se está cumpliendo con la estrategia. Es fundamental para la toma de decisiones y en la gestión del sistema como tal.

Estrategias de administración

Las estrategias que se establecen cumplen con el papel de estructurar la gestión de los riesgos y también permite que se evalúen y se revisen periódicamente los controles, para así identificar cuáles acciones están funcionando y cuales tienen oportunidad de mejora.   

  • Salvaguardias: consiste en evitar que el riesgo se materialice, sin importar las actividades y recursos que se tengan que implementar para lograr este fin.
  • Transferencias de riesgo: es cuando la compañía toma la decisión de transferir el riesgo a otra entidad para que lo asuma. 
  • Reducción de impacto: se enfoca en mitigar y reducir el impacto del riesgo, por medio herramientas, recursos y metodología.
  • Aceptación del riesgo: la empresa es consciente de que puede ocurrir en cualquier momento, por ende se prepara para afrontarlo en caso de que se desarrolle. 

Mejores prácticas

Marco de referencia

En el mercado existen empresas que ya ponen en marcha la gestión de los riesgos TI y su éxito se ha basado en seguir recomendaciones internacionales como las que brinda la ISO 27001, ISO 27005, COBIT e ITIL, no se deben seguir al pie de la letra pero sí ofrece consejos que se pueden ajustar a las necesidades de cada compañía.

Apoyo de alta gerencia

La alta gerencia juega un papel demasiado importante, ya que que son ellos quienes van a generar la cultura organizacional de la gestión de riesgos TI, a través de la gobernanza.

Comunicación clara

La transmisión de la información se debe hacer de manera clara y concisa, utilizando los mensajes adecuados y claves. Así se evita generar rumores y por el contrario toda la compañía está en la capacidad de hablar el mismo lenguaje.

Herramientas adecuadas

La automatización es demasiado importante en la gestión TI, por eso las empresas se deben enfocar en que su equipo de trabajo cuenta con las herramientas necesarias para poder ejecutar sus labores de manera eficaz, eficiente y potencializar cada vez más las estrategias.

Aprobaciones

Se debe contar con la aprobación de cada plan de acción que se va a llevar a cabo en cada etapa, de los responsables y las partes interesadas. 

Tipos de riesgos TI

Riesgo estratégico de TI 

Se debe tener en cuenta que vivimos en un mundo de constante cambio, por ende las estrategias que se van implementar deben tener la capacidad de poderse modificar en caso de que lo requiera.

De acá se pueden derivar los siguientes riesgos:

  • Falta de integración entre la estrategia TI y estrategias de negocios.
  • Fusiones y adquisiciones.
  • Adaptar nuevas tecnologías y mezclarla con la antigua.
  • Nivel de inversión.

Riesgo de seguridad cibernética

Si no se cuentan con controles adecuados, las empresas pueden sufrir de algún tipo de robo, sabotaje o hackeo de información. 

Medir el nivel de probabilidad de ocurrencia es demasiado importante para establecer los protocolos de seguridad adecuados y los procesos que se van a llevar a cabo.

Riesgo de continuidad de negocio 

Es la capacidad de resiliencia que tiene una compañía de continuar sus operaciones a pesar de que uno de sus riesgos se materialice. Es por esto que es tan importante el sistema de gestión de continuidad de negocio para garantizar que la compañía puede seguir trabajando sin ningún problema.

Es importante establecer estrategias de recuperación para aquellos activos que son críticos.

Riesgo de proveedor de tecnología y de terceros 

Este tipo de riesgos también puede traer consigo los riesgos operacionales, ya que en caso de presentar afectaciones en los proveedores de servicio es probable que la actividad de la organización se vea afectada. Es por esto que se debe contar con un plan B, por si se presentan fallas.

Para esto se debe contar con la debida diligencia con el fin de garantizar la buena reputación, alineación estratégica, cumplimiento y viabilidad financiera.

Riesgo de administración de datos  

No darle el manejo adecuado a los datos puede generar que se presenten fraudes o actividades ilícitas al interior de la compañía

Las capacidades de administración están enfocadas en el gobierno de datos, política y procedimientos que apoyan la confiabilidad, uso, alteración, oportunidad y propiedades de la información. 

Riesgo de operaciones de tecnología 

Se debe contar con procesos operacionales adecuados que tengan la capacidad de poder proteger el entorno tecnológico de la compañía.

Es por esto que la gestión TI debe tener la capacidad de administrar los activos y cumplir con todos los licenciamientos propuestos para mitigar de manera adecuada las amenazas e incidentes. 

Beneficios

  • Da la posibilidad que los procesos de seguridad estén equilibrados y a la vez coordinados entre sí.
  • Aunque es imposible reducir a cero el riesgo si da la oportunidad de que se creen metodologías que contribuyan a la mitigación de los mismos y aumentar la seguridad en la información que se tiene.
  • En caso de que se llegue a presentar un riesgo permite que este no cause pérdidas tan profundas y que se cuente con un plan de acción para actuar de manera eficaz.
  • Permite que se cumplan con los requerimientos legales exigidos por los entes de control.
  • Genera valor agregado dentro de la compañía, pues cabe resaltar que no son muchas las empresas que cuenten con esta certificación.
  • Gracias a la eficiencia que se emplea permite que se reduzcan costos.
  • Genera confianza con todos los miembros de la entidad, ya sean clientes, proveedores o empleados.
  • Da la posibilidad de que se puedan activar alertas en caso de que se llegue a presentar alguna actividad sospechosa.
  • Permite hacerles seguimiento a los controles de seguridad.
  • Es una herramienta que da la posibilidad de planificar y darle seguimiento a los procesos.
  • Contribuye a la imagen corporativa (reputación).
  • Contar con una metodología clara y eficaz.
  • Reduce el riesgo de pérdida o robo de la información.
  • Aumenta la productividad en todas la áreas de la compañía.
  • Reducción de cortos.
  • Calidad en la relación con los clientes.
  • Optimización de procesos.
  • Identificación de nuevas oportunidades.
  • Facilidad en la gestión.

Protocolo para la gestión de riesgos TI

Compártalo en sus redes sociales