La búsqueda del marco de riesgos de TI
Todas las organizaciones tienen riesgos, la diferencia entre ellas es la manera de gestionarlos. Una organización madura tiene un proceso de gestión de riesgos que permite informar a la alta dirección de cuáles son estos riesgos y tenerlos presentes a la hora de tomar decisiones.
Además, las organizaciones que impliquen su gestión de riesgos en la toma de decisiones podrán crear oportunidades y les supondrá una ventaja competitiva sobre aquellos que no los gestionan de manera adecuada.
Debido a la dependencia actual de las Tecnologías de la Información, los riesgos TI a los que las organizaciones se enfrentan han cobrado una importancia notable a la hora de conseguir los objetivos de negocio propuestos. La transversalidad de estos riesgos, unido a la complejidad a la hora de gestionarlos hace que no sea tarea fácil. Es por este motivo que las organizaciones se plantean la implantación de marcos de trabajo que permitan evaluar los riesgos, procesarlos y obtener resultados.
Uno de los pasos cruciales a la hora de implantar un marco de gestión TI es cómo conjugar los procesos tecnológicos y de negocio, alineando nuestro entorno TI a las necesidades de negocio para crear valor.
COBIT 2019 de ISACA
Sin una experiencia previa, definir todos estos procesos y sus interrelaciones no es una tarea fácil. Las organizaciones buscan implementar estos procesos a partir de estándares conocidos y ya adoptados por la industria con niveles de éxito conocidos. Un ejemplo de ello es COBIT, del que recientemente ha habido una actualización en 2019
Originalmente COBIT se publicó en 2012 por ISACA como respuesta a los nuevos estándares que se encontraban en la industria; modelo de capacidad de procesos propuesto por ISO 15504 SPICE y la distinción que hacía ISO 38500 entre gobierno corporativo y gestión. Esto hace que los procesos no tengan dos estados (implementados o no) sino que se identifican distintos estados de implantación respecto de su estado de madurez. Para ello COBIT propone seis niveles que van desde 0, nivel de capacidad más básico, hasta 5 en el que el proceso en cuestión está definido completamente y su rendimiento se mide para aumentar el desempeño dentro de una mejora continua.
Este estándar no pretende sustituir, sino conjugar, las distintas normas o estándares, como pueden ser ISO 20000, ISO 27000, etc. identificando resultados deseables y ofreciendo métodos para su consecución.
COBIT se basa en seis principios sobre los que vertebrar un sistema de gobierno:
- Proporcionar valor y satisfacer a las partes interesadas
- Cubrir la empresa de extremo a extremo
- Sistema de gobierno dinámico
- Separar el gobierno de la gestión
- Adaptación a las necesidades de la empresa
- Sistema de Gobierno Íntegro
El gobierno asegura una alineación de los procesos y objetivos de la organización con las necesidades, condiciones e intereses de las partes interesadas. Por otro lado, tenemos que tener en cuenta a la alta dirección, cuyos esfuerzos se centran en la obtención de beneficios, optimización de los riesgos y de los recursos.
COBIT, en su edición de 2019, incorpora más de 25 años de experiencia y cuenta con 40 objetivos para permitir que los objetivos de la tecnología y la información contribuyan a los objetivos de la organización. Estos objetivos se encuentran organizados en diferentes perspectivas según se muestra en la siguiente imagen:
*Fuente – COBIT 2019 de ISACA International
Para crear y sostener un sistema de gobierno, COBIT define una serie de componentes básicos. Además, el estándar interrelaciona estos elementos y define los distintos productos de trabajo que utilizan. Estos componentes son:
- Procesos
- Estructuras organizativas
- Principios, políticas y procedimientos
- Información
- Cultura, ética y comportamiento
- Personas, habilidades y competencias
- Servicios, infraestructura y aplicaciones
Como hemos visto en su definición, la gestión del riesgo es un proceso esencial que relaciona gobierno y gestión, enlazando las necesidades de negocio con la parte operativa para asegurar el cumplimiento de los objetivos.
Independientemente de si el marco de gestión de riesgos se basa en el estándar anterior, la organización deberá contar con los mecanismos oportunos para gestionar los procesos implantados. Se deberán definir los diferentes procesos, identificar objetivos, asociar riesgos, definir cuadros de mandos que permitan la toma de decisiones, etc. Únicamente es posible utilizando herramientas colaborativas, parametrizables y que permitan una gestión integrada de todos los procesos.
Procesos como gestión de cambios, gestión de la capacidad o disponibilidad, gestión de la configuración, gestión de activos, gestión de riesgos, son procesos que requieren un alto grado de automatización y de interrelación para aprovechar los esfuerzos realizados, ya que la mayoría de ellos tienen actividades comunes.
Desde GlobalSuite Solutions te ofrecemos las herramientas y el asesoramiento necesario para implantar un marco de gestión de Riesgos TI transversal a toda la organización y parametrizado para obtener los resultados esperados que permitan la toma de decisiones y gestionar sus riesgos de forma adecuada.