El Riesgo Operativo y Tecnológico.

Se me ocurren muchas formas por las cuales las operaciones de TI en una empresa pueden parar. Yo siempre he dicho que las operaciones de TI son como una cadena, tan fuerte como su eslabón más débil. Ha ocurrido que por el mal funcionamiento de un aire acondicionado, se crea una humedad excesiva, que causa corto circuitos en el sistema eléctrico de centros de datos, obligando a parar las operaciones mientras se identifica el daño, se repara y se reinician los sistemas. Si esto tarda una hora, se pueden imaginar el estrago que causaría, por ejemplo en una sucursal bancaria, pasar diciéndoles a los clientes que estaremos reconectados en una hora. Ha ocurrido, es un hecho histórico y probablemente seguirá ocurriendo si la gestión de TI no prevé estas “posibles” fallas.

El riesgo operativo se refiere a la probabilidad de que una empresa incurra en pérdidas financieras por la interrupción de sus operaciones, debido a fallas en los procesos, las personas, las causas naturales, los siniestros y la fallas de sistemas de información. La legislación que regula las operaciones empresariales, especialmente de instituciones financieras y de empresas que cotizan en bolsa, en países desarrollados, ha obligado a las empresas en esos países, a considerar, implementar y demostrar a través de auditorías periódicas, que han realizado una evaluación de sus riesgos operativos y que han realizado las provisiones correspondientes para prevenir su materialización y en caso de que ocurran, existan planes bien definidos que permitan volver a funcionamiento normal en un plazo meta predefinido. Estas normas, se han ido implementando en los países latinoamericanos con mayor o menor rapidez, aplicando enfoques rigurosos algunos mientras otros han adoptado más bien un tono relajado. En El Salvador, la Superintendencia del Sistema Financiero, público en Junio del 2011, las Normas Para La Gestión Del Riesgo Operacional De Las Entidades Financieras, que es la norma que obliga a las Instituciones Financieras Reguladas en El Salvador a considerar el Riesgo Operativo dentro de su gestión.

El riesgo tecnológico se refiere a la probabilidad de que los servicios de TI no alcancen los niveles de servicio requeridos para soportar las operaciones de una empresa e impacten en los resultados. Obviamente, esta incluido dentro del Riesgo Operativo. En la norma salvadoreña se específica que el Riesgo Operativo es la probabilidad de incurrir en pérdidas por fallas, entre otras cosas, de los sistemas de información.  Como ya dije antes, hay muchas cosas que pueden hacer que el riesgo tecnológico se materialice, llevando a las operaciones de TI a una situación de cese de operaciones. Los responsables de la gestión de TI en cada empresa deben de considerar cuidadosamente, la creación de un conjunto de procesos que les permita controlar los diferentes componentes de la infraestructura tecnológica, tales como la administración de la configuración, la administración de cambios, la seguridad, la gestión de proyectos y la gestión de contratos con proveedores entre otros. En el caso del riesgo tecnológico es importante considerar que no solo el cese de operaciones impacta en la organización. Cosas como comprometer la información de la organización podría ser una falla grave, que impacta en la imagen global de la empresa. Esto me indica la necesidad e importancia de crear políticas, procedimientos y auditorías de seguridad de la información. Otras situaciones como la lentitud en el servicio impactan directamente en la imagen ante los usuarios y clientes. Esto me indica la necesidad e importancia de tener un proceso de monitoreo de operaciones eficiente, que lleve métricas precisas del nivel de servicio que permitan tomar decisiones respecto al riesgo tecnológico. Si se piensa bien, la gestión del riesgo tecnológico tiene un nivel de sensibilidad alto, que debe de gestionarse proactivamente.

Acerca de Luis Cruz

Luis Cruz es un consultor en Gestión y Auditoría de TI, basado en El Salvador. Se dedica a realizar proyectos de implementación, mejora, revisión, asesoría y auditoría de la gestión de TI. Es Ingeniero Industrial y master en Ciencias de la Computación, Auditor de Sistemas Certificado, CISA, ITIL V3 Foundation e ISO 27001 implementer, con amplios conocimientos sobre riesgos y seguridad informática. Tiene una experiencia de más de 20 años en el uso de las Tecnologías de la Información en organizaciones grandes, realizando desde la planificación, hasta la ejecución, evaluación y revisión de los resultados obtenidos. Luis ha ocupado cargos de Dirección de TI y ha sido gerente de servicios de asesoría de TI para una de las 4 firmas de auditoría más grandes en el mundo.

Publicado el 27 de agosto de 2012 en Auditoría de TI, Gestión de TI, Riesgos de TI y etiquetado en , , , , . Guarda el enlace permanente. 6 comentarios.

  1. Saludos Luis
    ¿Cual consideras sería el porcentaje del riesgo operacional vinculado a fallas o deficiencias en la gestión de los activos de Información?

    • Debería de ser cero. Es díficial que sea cero, pero no debería de ir más allá del 0.01%, pero es más díficil que la Gerencia de TI acepte que se ha materializado un riesgo por fallas en la gestión. Sin embargo, lo realmente importante es crear las estructuras organizativas que puedan capturar las fallas y traducirlas a riesgos operativos materializados, de manera que se pueda crear el perfil propio de la organización y establecer metas aceptables para la gestión de riesgo operativo de cada empresa. Este es el trabajo de las Gerencias de Riesgos, que deberían de poder evaluar si se está gestionando el riesgo operativo, si existen métricas adecuadas de medición del desempeño y si se han materializado riesgos.

  2. Hola Luis existe en El Salvador en 2015 una norma sobre riesgo tecnológico específicamente, o solo tienen lo poco que plantea la norma de riesgo operacional que planteas en tu artículo que data de 2011.?

  3. Hola Luis, existe una norma específica de riesgo tecnológico en El Salvador porque no la pude encontrar en el sitio web de la superintendencia de bancos y del Banco Central, ya que de acuerdo a lo que pude ver hoy a 2015, solo tendrían la norma de riesgo operacional que data del 2011. Es esto correcto?

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: