El 24 de septiembre de 2013,
ISACA publicó oficialmente una nueva guía donde aplica COBIT 5 para la gestión
efectiva de Riesgos de TI, un tema que ayuda a alcanzar una mejor performance
para el Negocio, vinculando los riesgos inherentes a la tecnología informática
con la concreción de los objetivos estratégicos de la empresa.
Toda Organización tiene Riesgos:
“Riesgo proviene del italiano
risico o rischio que, a su vez, tiene origen en el árabe clásico rizq (“lo que
depara la providencia”). El término hace referencia a la proximidad o
contingencia de un posible daño.” (Diccionario
de la Real Academia Española)
En términos del Riesgo
Tecnológico, existe consenso generalizado en definirlo como: la posibilidad de
pérdidas derivadas de un evento relacionado con el acceso o uso de la
tecnología, que afecta el desarrollo de los procesos del negocio y la gestión
de riesgos de la organización, al comprometer o degradar las dimensiones
críticas de la información (Ej. confidencialidad, integridad , disponibilidad).
En ese sentido, COBIT 5 para
Riesgos define el Riesgo de TI como un riesgo para el negocio, especificamente
el riesgo para el negocio asociado con el uso, propiedad, operación,
involucramiento, influencia y adopción de TI dentro de una empresa.
Según el comunicado de prensa
emitido por ISACA para su lanzamiento, las organizaciones deben integrar la
gestión del riesgo tecnológico en una forma mucho más efectiva y concreta
dentro de la gestión del riesgo empresarial (ERM), si quieren reducir sus
futuras pérdidas y mejorar la performance del negocio.
Una inadecuada gestión de los
riesgos de TI pueden reducir el valor del negocio, creando pérdidas
financieras, dañando la reputación corporativa y desperdiciando nuevas
oportunidades. Con ese objetivo, COBIT 5 for Risk de ISACA, fue desarrollado
por un comité global de profesionales en riesgos, brindando una guía detallada
para gobernar y gerenciar los Riesgos de TI.
Según lo expresado por Steven
Babb, jefe de la Task Force de COBIT 5 for Risk, ya no alcanza con identificar
un riesgo y agregarlo al registro de riesgos, es fundamental poder vincularlo
directamente con el resultado de los objetivos estratégicos para el Negocio.
COBIT 5 for Risk está basado en
el estándar global COBIT 5 para el Gobierno y el Management de la TI con visión
integral de Empresa, cuyas principales características fueron expresadas en
distintos posts de este blog.
La nueva guía provee 20
categorías de escenarios de riesgos con potenciales respuestas como acciones de
mitigación. Estos escenarios incluyen temáticas bastante diversas: acciones
maliciosas de empleados, brechas de seguridad, fuga de información sensible a
través de redes sociales, espionaje industrial y soporte para la innovación..
Esta publicación, que reemplaza
al antiguo framework “Risk IT”, también incluye lineamientos que reflejan cómo
COBIT 5 soporta y asisten en la gestión y gobierno del riesgo informático y
cómo implementar y mantener una función eficaz y eficiente basada en los 7
facilitadores de COBIT 5:
- Prinicipios, políticas y frameworks
- Procesos
- Estructuras organizacionales
- Cultura, ética y comportamientos
- Información
- Servicios, infraestructura y aplicaciones
- Personas, habilidades y competencias
Esta nueva guía está especialmente orientada a:
- Profesionales de las áreas de Riesgos, para ayudarlos en la gestión y en la integración del Riesgo de TI dentro de gestión del riesgo empresarial (ERM)
- Gerentes de TI y del Negocio, para asistirlos en la comprensión de cómo identificar y gestionar los riesgos de TI para los que deben tomar decisiones desde el Negocio
- Alta Gerencia y Dirección, para colaborar en la compresión de las implicancias de los riesgos de TI para los objetivos estratégicos de la organización y cómo optimizar TI para una exitosa ejecución de la estrategia del Negocio.
No hay comentarios:
Publicar un comentario