Archivo del sitio
La evaluación de riesgos de TI
Para cubrir el riesgo tecnológico, una organización debe de iniciar por realizar la evaluación de riesgos de las Tecnologías de la Información. ¿Qué implica esto? Varias cosas.
Primero, hay que conocer las operaciones de TI a fondo. No podremos realizar una evaluación de un componente o proceso de TI que no conocemos. Hay que recordar que no estamos hablando de evaluar el riesgo del departamento de tecnología. Estamos hablando del riesgo de que los negocios de la organización sean interrumpidos debido a un soporte deficiente del departamento de TI. Esto implica que tenemos que conocer todos los componentes tecnológicos, infraestructura, así como los procesos de gestión de TI que actualmente soportan al negocio y aquellos que no existen, que están en proyectos o planes, que se piensa que podrían ayudar al negocio, pero que no han sido implementados aún.
Segundo, los riesgos se evalúan a partir de dos aspectos. Uno es la probabilidad de que un suceso negativo a la organización se materialice. El otro es el impacto que tendrá en el negocio. Respecto a los sucesos negativos, podemos pensar de ellos como las amenazas existentes que podrían causar daños a la infraestructura tecnológica o la ejecución exitosa de los procesos de gestión de TI. Las amenazas son todo lo que podría ir mal, una lista grande de cosas negativas que podrían ocurrir sobre las operaciones de TI, tales como daños en equipos, ataques de virus, siniestros en instalaciones, pérdida de recurso humano importante y similares. Estos sucesos negativos podrían o no suceder, por eso es conveniente hablar de ellos en términos de su probabilidad de ocurrencia. No tiene sentido preocuparse de que un Huracán suceda, si nunca ha pasado en una determinada región geográfica. Su probabilidad de ocurrencia es cercana a cero. No digo cero, porque con el cambio climático ya nunca se sabe. Es importante identificar todos los sucesos negativos posibles y su probabilidad de ocurrencia, porque no todos tendrán que ser sujetos de evaluación. En relación al impacto, el segundo aspecto de la evaluación, esto es una medición lo más cuantitativa posible del costo económico, entiéndase “costo de no estar prevenido”, que tendría la materialización de las amenazas. El impacto puede ser medido en función mediciones como el dinero no facturado, las ventas no realizadas, el costo de remplazo de equipo o los costos de retornar los sistemas al punto de falla. Es común pensar en el impacto en términos genéricos, como impacto alto, medio o bajo, estableciendo valores monetarios a cada uno de estos rangos. Esto permite calificar el impacto, sin tener que especificar un monto específico de impacto. De esta manera, un evaluador puede decidir que considerará como impacto bajo, aquellas pérdidas menores de $1,000.00, impacto medio a las que vayan de $1,000.00 a menos de $5,000.00 e impacto alto a las superiores de $5,000.00. Cuando se mezcla la probabilidad de ocurrencia con el impacto, resulta fácil tener una medición de qué es importante en términos de riesgos. La priorización de proyectos y acciones en la gestión de TI debe de orientarse hacia aquellos riesgos que tienen las probabilidades e impactos más altas.
Las gerencias de TI tienen que guiarse por medidas como esta para tomar sus decisiones, al momento de priorizar proyectos de TI para respaldar las solicitudes de presupuestos y para demostrar la importancia de su función en el negocio. De hecho, las gerencias generales y las Juntas Directivas deberían de evaluar el desempeño de la función de TI en su organización a partir del uso que se haga de esta herramienta para apoyar la Gestión de TI. Aparte de esto, es importante mencionar que la evaluación de riesgos es un buen punto de coincidencia entre la Gestión y la Auditoría de TI. Explicaremos esto en otro día.
El Riesgo Operativo y Tecnológico.
Se me ocurren muchas formas por las cuales las operaciones de TI en una empresa pueden parar. Yo siempre he dicho que las operaciones de TI son como una cadena, tan fuerte como su eslabón más débil. Ha ocurrido que por el mal funcionamiento de un aire acondicionado, se crea una humedad excesiva, que causa corto circuitos en el sistema eléctrico de centros de datos, obligando a parar las operaciones mientras se identifica el daño, se repara y se reinician los sistemas. Si esto tarda una hora, se pueden imaginar el estrago que causaría, por ejemplo en una sucursal bancaria, pasar diciéndoles a los clientes que estaremos reconectados en una hora. Ha ocurrido, es un hecho histórico y probablemente seguirá ocurriendo si la gestión de TI no prevé estas “posibles” fallas.
El riesgo operativo se refiere a la probabilidad de que una empresa incurra en pérdidas financieras por la interrupción de sus operaciones, debido a fallas en los procesos, las personas, las causas naturales, los siniestros y la fallas de sistemas de información. La legislación que regula las operaciones empresariales, especialmente de instituciones financieras y de empresas que cotizan en bolsa, en países desarrollados, ha obligado a las empresas en esos países, a considerar, implementar y demostrar a través de auditorías periódicas, que han realizado una evaluación de sus riesgos operativos y que han realizado las provisiones correspondientes para prevenir su materialización y en caso de que ocurran, existan planes bien definidos que permitan volver a funcionamiento normal en un plazo meta predefinido. Estas normas, se han ido implementando en los países latinoamericanos con mayor o menor rapidez, aplicando enfoques rigurosos algunos mientras otros han adoptado más bien un tono relajado. En El Salvador, la Superintendencia del Sistema Financiero, público en Junio del 2011, las Normas Para La Gestión Del Riesgo Operacional De Las Entidades Financieras, que es la norma que obliga a las Instituciones Financieras Reguladas en El Salvador a considerar el Riesgo Operativo dentro de su gestión.
El riesgo tecnológico se refiere a la probabilidad de que los servicios de TI no alcancen los niveles de servicio requeridos para soportar las operaciones de una empresa e impacten en los resultados. Obviamente, esta incluido dentro del Riesgo Operativo. En la norma salvadoreña se específica que el Riesgo Operativo es la probabilidad de incurrir en pérdidas por fallas, entre otras cosas, de los sistemas de información. Como ya dije antes, hay muchas cosas que pueden hacer que el riesgo tecnológico se materialice, llevando a las operaciones de TI a una situación de cese de operaciones. Los responsables de la gestión de TI en cada empresa deben de considerar cuidadosamente, la creación de un conjunto de procesos que les permita controlar los diferentes componentes de la infraestructura tecnológica, tales como la administración de la configuración, la administración de cambios, la seguridad, la gestión de proyectos y la gestión de contratos con proveedores entre otros. En el caso del riesgo tecnológico es importante considerar que no solo el cese de operaciones impacta en la organización. Cosas como comprometer la información de la organización podría ser una falla grave, que impacta en la imagen global de la empresa. Esto me indica la necesidad e importancia de crear políticas, procedimientos y auditorías de seguridad de la información. Otras situaciones como la lentitud en el servicio impactan directamente en la imagen ante los usuarios y clientes. Esto me indica la necesidad e importancia de tener un proceso de monitoreo de operaciones eficiente, que lleve métricas precisas del nivel de servicio que permitan tomar decisiones respecto al riesgo tecnológico. Si se piensa bien, la gestión del riesgo tecnológico tiene un nivel de sensibilidad alto, que debe de gestionarse proactivamente.
Gestión y Auditoría de TI 