La gestión del riesgo en las Tecnologías de la Información

Por Mtro. Enrique Monroy.

¿La información contable está segura en tu organización? En muchas empresas existen controles de riesgo que permiten identificar posibles problemas en los sistemas tecnológicos con la finalidad de disminuir los riesgos sobre la información valiosa.

Actualmente, el éxito y la supervivencia de una organización dependen de la gestión eficaz de las tecnologías de la información. Básicamente de un enfoque crítico-analítico de los siguientes aspectos:

  1. La dependencia creciente de la información y de los sistemas que producen esta información.
  2. Crecientes vulnerabilidades ante un amplio espectro de amenazas.
  3. La escala y costo de las inversiones actuales y futuras en información y sistemas de información.
  4. El potencial de las tecnologías para cambiar drásticamente las organizaciones y las prácticas de negocio, creando nuevas oportunidades y reduciendo costos.
  5. Los requerimientos regulatorios que se cumplen a través del uso de sistemas de la información.

Lo ideal es asegurar el cabal aprovechamiento de las tecnologías, para ello, resulta fundamental entender sus riesgos inherentes, ya que los comprendemos, lograremos mitigarlos efectivamente.

Gestión del riesgo tecnológico y sus beneficios

Gestionar el riesgo tecnológico y aprovechar los beneficios de la tecnología, implica identificar, cuantificar y monitorear, incidentes, errores, fallas, debilidades y vulnerabilidades, con el fin de desarrollar mecanismos preventivos que mantengan los riesgos dentro de sus niveles de tolerancia aceptables, así será posible:

  • Generar información íntegra y exacta conforme las normas aplicables.
  • Crear un escudo protector ante amenazas cibernéticas, desastres naturales o sabotajes.
  • Mantener niveles de servicio aceptables, dentro de los parámetros requeridos por los usuarios.
  • Permitir el acceso a la información solo a usuarios autorizados para realizar transacciones cuya evidencia sea válida.
  • Evitar pérdidas de información, a través de mecanismos efectivos de recuperación.
  • Establecer medidas para asegurar el cumplimiento regulatorio.
  • Rentabilizar las inversiones al enfatizar un enfoque de negocio.
  • Disminuir pérdidas financieras.
¿Cuál es el papel de la Auditoría Informática?

La función de una auditoría de este tipo deberá concentrarse en identificar y valorar los riesgos, evaluando la calidad de los controles, tanto generales (ambiente informático), como particulares (aplicaciones), asegurando que dichos controles operen efectivamente para mitigar los riesgos. Es esencial que exista una revisión independiente para garantizar una efectiva gestión de riesgos. A continuación se presentan ejemplos:

Controles generales

Son aquellos que tienen que ver con el ambiente de proceso de TI, por ejemplo:

controles generales riesgo información

Controles de las aplicaciones

Se implementan para que la organización tenga la seguridad razonable de que los objetivos de dichas aplicaciones se cumplan, por ejemplo:

controles de las aplicaciones_riesgo_información

¿Han realizado una auditoría de riesgos en tu organización? ¿Ha sido de utilidad?

Síguenos en Facebook

Contenido relacionado: 

Contenido recomendado: