Riesgo Tecnológico

RIESGO DE MERCADO RIESGO DE CRÉDITO RIESGO LA/FT RIESGO DE LIQUIDEZ RIESGO OPERATIVO RIESGO LEGAL RIESGO TECNOLÓGICO RIESGO REPUTACIONAL


Las nuevas tecnologías introducen nuevas funcionalidades, así como nuevos y complejos riesgos. Todos los días aumenta la dependencia tecnológica en cualquier tipo de empresa, y significa un impacto muy grave cuando hay una falla de seguridad o de continuidad en la tecnología (software, hardware y procedimientos). Por ejemplo, las entidades deben proteger los datos personales e institucionales como parte de la expansión de la banca electrónica.

Por lo general, no existe una cultura de gestión del riesgo tecnológico en las organizaciones. Los incidentes de seguridad se suelen resolver “a posteriori”, cuando ya han causado un daño (impacto) a la organización y cuando su coste de reparación es mayor que el coste de los controles que lo hubieran evitado.

T&A asesora la gestión de riesgos en: la seguridad y disponibilidad de información, infraestructura, integridad, proyectos de IT, entre otros. Administrar estos riesgos debe llevar a obtener una mejora en la ventaja competitiva, generar confianza, reforzar el resultado comercial, mejorar reputación ante los stakeholders, y finalmente crear valor.

A continuación se presentan las principales actividades en la cuales T&A trabaja:

1. Asesorar la implementación de requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios para clientes y usuarios.


2. Evaluación de la Estructura Tecnológica en la Entidad.

Hacer un diagnóstico sobre el conjunto de herramientas empleadas para soportar los procesos de la entidad, con el fin de establecer potenciales riesgos de tecnología. Incluye: hardware, software y telecomunicaciones.

T&A puede realizar actividades como:

  • Analizar y evaluar el plan estratégico tecnológico, o de sistemas, de la entidad. Con el fin de establecer si tiene concordancia con las necesidades y requerimientos de la organización y está de acuerdo con los objetivos del negocio.
  • Evaluar la plataforma computacional de la entidad, de las aplicaciones más importantes.
  • Identificar en el inventario de aplicaciones, si el desarrollo es externo o interno, el tipo de proceso batch y/o on line, el mantenimiento a los programas y funcionamiento en equipos centrales o computadores stand- alone (independientes). Sus manuales técnico y de usuario.
  • Evaluar políticas de seguridad y mecanismos de control implementados para proteger los equipos de cómputo y de comunicaciones, las aplicaciones, los programas y la información.
  • Conocer los niveles de seguridad y los controles más importantes a nivel de hardware, software, comunicaciones y administración de usuarios.

3. Diseño e Implementación del Plan de Continuidad de Negocio.

Definir un diseño razonable de un plan de continuidad de negocio, adecuadamente articulado con el plan de atención de emergencias ya existente en la entidad y que cubra los procesos misionales del negocio.

tecnologiaT&A puede realizar actividades como:

  • Desarrollar un diseño razonable de un plan de continuidad de negocio, adecuadamente articulado con el plan de atención de emergencias ya existente y que cubra los procesos misionales detectados.
  • Establecer los recursos, de cualquier categoría, que se requieren para poder dar continuidad a los procesos.
  • Agrupar recursos compartidos que se puedan usar en el plan para varios procesos.
  • Establecer los recursos y tipos de recursos que no se dispongan, para valorarlos y poder crear un  presupuesto estimado al implementar el plan.
  • Formular el plan de continuidad de negocio.
  • Diseñar de los procedimientos a seguir para ejecutar el plan de continuidad de negocio.
  • Definir del plan de implementación.
  • Dar un presupuesto estimado de implementación del plan de continuidad de negocio.
  • Informar las modificaciones de los procesos y procedimientos afectados por el plan.
  • Diseñar pruebas controladas del plan de continuidad que permitan establecer la fortaleza y el correcto funcionamiento del mismo.
  • Presentar a la Alta dirección del plan, su presupuesto y los tiempos estimados de implementación.
  • Coordinar la implementación del plan de continuidad del negocio.

 


4. Definición del Plan Estratégico de Tecnología

Ejemplo de actividades o temas que T&A puede trabajar:

  • Analizar de la estrategia de negocio definida en el Plan Estratégico Corporativo para el periodo de tiempo actual y de mediano plazo, en donde se plasman los lineamientos de la entidad para el período correspondiente, se definen los objetivos estratégicos, las metas y las estrategias empresariales.
  • Estudiar la situación tecnológica actual, en donde se revisan los aspectos más relevantes en el proceso tecnológico de la entidad.
  • Revisar las tendencias tecnológicas, especialmente del sector al que pertenece la entidad, con el fin de conocer los principales servicios y productos de las entidades del entorno.
  • Revisar la normatividad en materia tecnológica que debe cumplir la entidad en el ámbito nacional y con su casa matriz, si aplica.
  • Asegurar alineación estratégica entre los lineamientos de la entidad y la estrategia tecnológica, revisando el ambiente objetivo de Tecnología Informática, definición de una visión tecnológica, una misión y las estrategias a desarrollar.
  • Dar un presupuesto estimado de implementación del plan de continuidad de negocio.
  • Definir el plan de implementación, el cual contiene el programa de proyectos a desarrollar en el horizonte de tiempo predefinido y priorizado.