La prestación de servicios, el desarrollo de productos,
el mantenimiento de la operativa e incluso la continuidad del negocio, dependen
del cuidado y conservación de la base tecnológica y del personal que la opera.
El GTAG-1 muestra que todo entorno de TI es único y particular y, por lo tanto,
representa una serie y asociación de riesgos únicos; los riesgos tecnológicos evolucionan
a medida que aumenta el ritmo de desarrollo tecnológico y la proliferación de
los riesgos está relacionada con la naturaleza sumatoria de los riesgos de TI,
en la medida en que la suma del riesgo, considerados conjuntamente, es mayor
que la suma de los riesgos individuales.
El gobierno de TI reside en que la estructura organizativa,
el liderazgo y los procesos garantizan que
las tecnologías de la información soportan las estrategias y objetivos de una organización.
CATEGORÍAS DE RIESGOS TECNOLÓGICOS
Una posible categorización de los riesgos
asociados al uso de TI, basada en quién tiene la responsabilidad de establecer
y mantener los controles necesarios para su gestión, podría ser: riesgos
asociados al gobierno de TI, a la organización y gestión de TI (procesos de
gestión) y a la capa técnica (implementaciones de tipo técnico).
Riesgos asociados al gobierno de TI
El gobierno de TI reside en que la estructura organizativa,
el liderazgo y los procesos garantizan que las tecnologías de la información soportan
las estrategias y objetivos de una organización.
Los cinco componentes del gobierno de TI son la
organización y estructuras de gobierno, el liderazgo ejecutivo y soporte, la
planificación estratégica y operacional, la entrega y medición del servicio y
la organización y gestión de riesgos de TI. Las políticas y estándares
establecidos por la organización, deben establecer las formas de trabajo para alcanzar
los objetivos. La adopción y cumplimiento de estas normas promueve la
eficiencia y asegura la consistencia del entorno operativo de TI.
Algunos riesgos relacionados con el gobierno de TI son:
- La ausencia de planificación efectiva y de sistemas
de monitorización del cumplimiento de las normas.
- La incapacidad de cumplir la misión de la organización.
- La pérdida de oportunidades de negocio y el
escaso retorno de las inversiones en TI.
- La incapacidad para lograr los objetivos
estratégicos de TI.
- Las potenciales ineficiencias en los procesos
operativos de la organización.
- La falta de alineamiento entre los resultados
de la organización y los objetivos estratégicos.
Riesgos asociados a la organización y gestión
de TI (procesos)
Una estructura organizativa de reporte y
responsabilidad que permite implementar un sistema eficaz de control, entre
otras cosas, debe tener en cuenta:
- La segregación de funciones: las personas involucradas
en el desarrollo de los sistemas están separadas de las dedicadas a operaciones
de TI.
- La importancia de la gestión financiera de las
inversiones.
- La gestión y el control de los proveedores, especialmente
con un alto grado de externalización.
- La gestión del entorno físico, tanto del
centro de proceso de datos, como de los equipos de usuario.
Así puede controlar de forma eficaz los riesgos
organizativos y de gestión como:
- La asignación de privilegios de acceso
excesivos a determinadas funciones clave, y evitar situaciones de fraude u
omisiones inadvertidas en tiempo.
- El diseño incorrecto de indicadores
económicos para medir el ROI.
- La monitorización inadecuada de los
proveedores externos.
- El análisis incorrecto de riesgos
medioambientales de seguridad del centro de proceso de datos.
Riesgos asociados a la capa técnica (implementaciones
de tipo técnico)
La infraestructura técnica abarca los sistemas operativos,
el diseño de redes internas, el software de comunicaciones, software de
seguridad y protección y bases de datos, entre otros. El objetivo es asegurar
que la información es completa, adecuada y exacta. Como ejemplos de riesgos
relacionados con la capa técnica se pueden citar:
- Una inadecuada segregación de funciones por
asignación de privilegios en el sistema que permita realizar acciones
conflictivas o fraudulentas.
- Falta de un proceso adecuado de
aprovisionamiento y gestión de usuarios, que entorpezca el desarrollo de la
operativa.
- Ausencia de segregación de accesos, sin control
de la actividad de usuarios y técnicos.
- Un inadecuado proceso de aplicación de actualizaciones
de la infraestructura, sin pruebas previas, transfiriendo problemas y vulnerabilidades
a producción.
- Adquisición o mantenimiento de sistemas no
establecidos formalmente, o implantación de sistemas no probados correctamente
- Cambios en los sistemas de gestión o
aplicación no probados y validados antes de su pase a producción.
Texto tomado
0 comentarios:
Publicar un comentario