Iniciaré este tema, planteando la situación ideal de la gestión de riesgos de TI. De manera ideal, una buena organización de TI es capaz de identificar la eminente materialización de un riesgo, algo que está por suceder que impactará negativamente las operaciones normales, ejecutar acciones que eliminen o mitiguen la materialización del riesgo y luego eliminen la causa raíz por la cual se incrementó el riesgo operativo de la organización. Es importante entender que esta situación se puede dar a cualquier nivel, en cualquier área de las operaciones de TI, más sin embargo, la organización está lista para identificar y responder a los riesgos. Fin de la situación ideal. Se vale soñar pensarán algunos, esto suena como la fantasía de un Gerente de Informática.

Medir el riesgo de TI es importante para iniciar proyectos de control interno de TI, seguridad de la información y auditoría de sistemas. Cada norma y procedimiento en estas áreas menciona que se deben de tomar decisiones basadas en el nivel de riesgo existente. Sin embargo, independientemente de la implementación de normas específicas, la gestión de TI necesita conocer de la situación de riesgos existente en las operaciones de TI y tomar decisiones que permitan eliminar o mitigar los riesgos existentes.

Para ejemplarizar un riesgo, pensemos en que sucede en nuestro centro de cómputo cuando existe un alza en el voltaje eléctrico. La vulnerabilidad aquí es el suministro eléctrico, que está expuesto a la amenaza de un incremento en el voltaje, que ciertamente puede dañar servidores y equipos de comunicaciones. El resultado final, al materializarse esta amenaza, es un alto en las operaciones de TI y por consiguiente, un alto en las operaciones de negocio. Manejar este riesgo implica, primero reconocer que esta situación se puede dar, esto es el paso de identificación. Las acciones que se deben de tomar, son preventivas. Este es un riesgo que no podremos mitigar después de ocurrida la incidencia, sin pérdidas grandes para la organización. Las medidas preventivas pueden incluir el diseño de un circuito eléctrico propiamente aterrizado y con el equipo necesario para asegurar que cualquier alza de voltaje es debidamente canalizada hacia el aterrizaje, llegando incluso hasta la desconexión total de la red de suministro y pasando a una alimentación secundaria, ya sea por baterías o plantas eléctricas propias. Obviamente, el nivel de respuesta dependerá de cuánto dinero esté en riesgo.

Como regla general existe una sola razón que permite que todas las decisiones de control y mitigación de riesgos sean tomadas, que es cuando el ingreso proveniente de las operaciones del negocio está en riesgo evidente de ser interrumpido. Disminuir el ingreso es letal para las organizaciones, dado que impacta directamente en los resultados.

La principal dificultad a la hora de evaluar riesgos en TI radica en que normalmente no hay una vinculación de los servicios de TI contra los procesos que generan ingresos y el nivel de dependencia que estos procesos tienen de los servicios. Si hablo solo de la industria salvadoreña, en la mayoría de empresas los mismos “servicios de TI” no han sido definidos, lo cual significa que el universo de riesgos es imposible de definir. Esto es grave en un marco de gestión de TI en el que se quiere conocer, evaluar y gestionar los riesgos de TI. Esto nos lleva a concluir, que para medir el riesgo de TI, se tiene como pre-requisito conocer la operación de TI y la dependencia que el negocio tiene de TI para lograr sus objetivos. Esto implica conocer que hacemos, con qué lo hacemos y establecer una medición del nivel de importancia que tenemos en la creación de valor para la empresa. Créanme que escribir estas líneas es fácil, pero la realidad es que en el entorno salvadoreño la mayoría de empresas no ha logrado aún definir su catálogo de servicios, con lo cual podrían iniciar esta cadena de decisiones que les lleven a una eficiente y efectiva gestión de riesgos. Esto incluso proporciona respuesta a los gerentes de informática que aún preguntan y ¿Para qué implementar normas y metodologías de gestión en TI? Realmente, la implementación planificada del Gobierno de TI, proporciona a los departamentos de TI la visibilidad y el control que permite a toda la organización entender la importancia de la función de TI.