MDB301 Foro 3

¿Por qué es importante gestionar y evaluar los riesgos para una empresa?

Al final de cuentas, se trata de un objetivo económico. Las empresas son creadas para generar utilidades, sea esta en forma de valor económico para sus propietarios o accionistas, en a través de los servicios o productos que brindan o proveen, en el caso de las organizaciones sin fines de lucro.

Existen tres áreas fundamentales en las cuales una apropiada gestión de riesgos ayuda a la empresa a lograr su objetivo de subsistencia:

• Mitigar apropiadamente los riesgos, de forma que el impacto de las amenazas materializas sean minimizados y controlados cuando suceden, disminuyan en su frecuencia, mitiguen la magnitud del impacto o no se produzcan del todo durante el periodo de tiempo objetivo.
• Balancear apropiadamente la inversión en los procesos de control que buscan mitigar las amenazas a través de una apropiada valoración de los riesgos. De esta forma, se puede reducir las inversiones innecesarias en riesgos de menor importancia y financiar apropiadamente la protección de los activos de mayor o valor o en mayor riesgo. De la misma manera, al definirse los riesgos aceptables, así como las operaciones cuyo riesgo es absolutamente inaceptable para la alta administración, de manera que se distribuyan de mejor manera los recursos limitados.
• Manteniendo la viabilidad de la continuidad del negocio, al manejar apropiadamente los riesgos que pueden dar al traste con la vida misma de la organización.

Ejemplos

1. Mitigación del riesgo: la compañía puede diseñar un sistema federado para el almacenamiento de la información de sus clientes, de manera, que en una sola base de datos o lugar, solamente se encuentre un porcentaje de la información confidencial de sus clientes. De esta manera, en caso de un rompimiento de los sistemas de seguridad, en uno de los sistemas, no se vean comprometida la totalidad de la información de sus cuentas, sino solamente una porción menor.
2. A través de un análisis detallado de los riesgos, se puede llegar a determinar que la probabilidad de que una amenaza específica se produzca es menor actualmente que en el pasado. Por ejemplo, la implementación de una política que impida el uso de dispositivo de almacenamiento móviles en las estaciones de trabajo o computadoras portátiles de los contribuidores de la organización y el desarrollo de un protocolo específico para el movimiento de dicha información cuando es requerido, permite reducir los costos tradicionalmente asociados con el proceso de etiquetado, control físico y perimetral más comunes en el pasado. De la misma manera, permite establecer controles específicos, por ejemplo, una bitácora de todas las solicitudes para copiar la información a sistemas móviles, en vez de tratar de establecer caros controles de monitores que traten de determinar si la información está siendo o no movida de las terminales a dispositivos móviles.
3. Finalmente, un ejemplo de como la gestión de riesgos mantiene vigente la viabilidad de una empresa o de un negocio, podemos observar la reacción que algunos estados, como el de California y otros estados que están evaluando la misma medida, está teniendo respecto al caso de Chase Morgan en el año 2016, en dónde en razón de la multa de 185 millones de dólares por la creación de millones de cuentas a personas que no las solicitaron, han girado órdenes de dejar de operar con el banco por un periodo de un año. El nivel de impacto de esto, puede acabar con divisiones completa de la compañía, dedicadas al manejo de clientes estatales, al perder la posibilidad de operar con grandes actores durante largos periodo de tiempo.

¿Cuáles son los retos a que se enfrentan las organizaciones en la gestión y evaluación de riesgos?

Ejemplos

1. Soporte inadecuado de la alta dirección de la compañía a los programas de gestión y evaluación del riesgo: uno de los principales retos que enfrentan las compañías es que la alta dirección no considere importantes o valiosos este procedimiento, por varias razones. Por ejemplo, considerarlas como un costo que no aporta a la generación de utilidades, el temor de descubrir o que sean descubiertos riesgos que son difíciles de mitigar o gestionar, y que pueden impactar la disposición de sus accionistas, trabajadores o participantes externos.
2. El reto al cambio cultural: la gestión de los riesgos implican una transformación de la cultura de las organizaciones, ya que por una parte requieren revelar riesgos que muchas veces no se quieren reconocer y aceptar, porque ponen a ciertas personas o grupos de la organización bajo la lupa, así mismo, la evaluación de los riesgos, hace que ciertos grupos que pueden ser muy vocales respecto a ciertos riesgos, no estén dispuestos a evaluarlo dentro del marco integral de todos los riesgos organizacionales y muchas veces esto implica dar el brazo a torcer (Ministerio de Economía y Finanzas del Perú y otros, 2011).
3. Que los beneficios de la administración de riesgo sean sostenibles en el tiempo: en pocas palabras, que no se trate de flor de un día, porque uno o más riesgos estaban en la imagen pública o en la mente de un patrocinador, y por lo tanto recibió apoyo y financiamiento en ese momento, pero luego, cuando pasa los eventos o el apoyo, se desarticulen y se regrese al estado anterior (Ministerio de Economía y Finanzas del Perú y otros, 2011).
4. Una formación y experiencia inadecuada de los responsables de gestionar el riesgo: en muchas ocasiones, se asigna a persona, que no tienen la debida preparación para realizar la gestión y evaluación de los riesgos a hacerlo. Esto puede llevar a que las evaluaciones nunca avances, por no saber cómo empezar, organizar, obtener la información y hacer las valoraciones o el otro extremo, que se trate de abordar la tarea muy rápidamente y se pasen por alto riesgos importantes, cuando al frente esta una o más personas muy enfocadas en “sacar la tarea”, en vez de realizar una valoración apropiada (Hill, 2009).

Investigue, analice y discuta acerca de los principios de la gestión de riesgos: Aceptar, Mitigar, Transferir y Evitar

Principios

1. Aceptar: continuar la actividad tras considerar aceptable el impacto del riesgo. Por ejemplo, una empresa puede tomar la decisión de que ciertamente, existe el riesgo de que los datos almacenados en las estaciones de trabajo de sus contribuidores sean borrados accidentalmente por él operador. No obstante, puede llegar a la conclusión de que al haberse universalizado la disponibilidad de almacenamiento en red que sigue políticas de respaldo diarias, decide aceptar el riesgo y eliminar un sistema de respaldo de los ficheros de trabajo locales de sus funcionarios, amparados en la disponibilidad del sistema alternativo y un política y directriz que mande que todo archivo valioso debe estar debidamente guardado en dichas sistemas y no en las estaciones locales, por lo tanto acepta el riesgo del caso individual, y obtiene la reducción de los costos al eliminar el licenciamiento y costos de almacenaje independiente de los ficheros locales.
2. Mitigar: establecimiento de controles para mitigar la frecuencia y el impacto de la materialización del riesgo. Se trata de un de los principios y estrategias que se toman con mayor frecuencia. Algunos ejemplos rápidos: la compañía reconoce que los discos duros de las computadoras de escritorio o portátiles de sus contribuidores pueden ser robas en algún momento, de tal manera, incluir en el proceso de configuración y monitoreo que todas las computadoras tengan un sistema de encriptación semejante a Bitlocker permite mitigar el acceso a la información mediante esta acción.
3. Transferir: delegar parte o la totalidad de un riesgo a un tercero. Uno de los ejemplos más comunes, es el uso de los seguros. En el caso de la información, no obstante, esta técnica no suela estar disponible, ya que la empresa suele ser la misma aseguradora, aún si la empresa delega sobre terceros, la custodia y el manejo del acceso de sus activos de información, la responsabilidad nunca es transferida al tercero ni mitigan realmente los efectos de una fuga de información.
4. Evitar el riesgo: la organización evita el riesgo, cuando decide del todo, abandonar la actividad que produce el riesgo, al considerarla demasiado riesgosa para la organización. En el caso de los activos de información, la opción de recolectar y administrar la información nunca está disponible, no obstante, ciertamente, ciertos riesgos vectores específicos pueden ser eliminados del todo. Por ejemplo, cuando se trabajan con la custodia de grandes volúmenes de información confidencial, la compañía puede adoptar una política de cero tolerancia a la introducción de teléfonos móviles al lugar de trabajo, así como políticas de monitoreo permanente de las conversaciones telefónicas.

Comente adicionalmente aquellos aspectos que usted logró observa al realizar la actividad del material de la semana 4 y que son importantes dentro de la gestión de riesgos organizacional que pueda compartir con sus compañeros. Detalle al menos 5 riesgos que pudo identificar.

Los siguientes riesgos que puede identificar, se basan en su descripción en forma cercana a los presentados en el texto “Riesgos Informáticos” de autor desconocido (No definido, 2016). No obstante, se alinean muy bien con los tipos de riesgos presentados en la clase.

1. Riesgo de integridad: “asociados con la autorización, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organización” (No definido, 2016). Se identifican tres áreas fundamentes donde se presenta el riesgo de integridad: en las interfaces de usuario, durante el procesamiento de la información, transmisión de la información.
2. Riesgos de relevancia y/o disponibilidad: se refiere a la disponibilidad oportuna de la información creada por una aplicación o recolectada por la organización y por lo tanto, su valor para la toma de decisiones oportunas.
3. Riesgos de acceso: son todos aquellos riesgos producto del debido acceso a los sistemas, los datos y la información, de las personas debidamente autorizadas para tal propósito.
4. Riesgos de la infraestructura: se refieren a la disponibilidad de una “estructura de información tecnológica efectiva (personas, hardware, software, redes y procesos) para soportar las necesidades presentes y futuras, con un costo eficiente” (No definido, 2016).
5. Riesgos ambientales: son situaciones en el ambiente que pueden atentar contra la seguridad de la información: descargas eléctricas o electromagnéticas, incendios, fallos o interrupciones del servicio eléctrico, riesgos mecánicos, como caídas o movimientos accidentales de equipo informático.

Autor

• Alejandro Marin Badilla

Bibliografía

1. Hill, D. G. (2009). Data Protection - Governance, Risk Management and Compliance. Boca Raton, Florida, United States: Auerbach Publications.
2. Ministerio de Economía y Finanzas del Perú y otros. (2011, 3). Lecciones Aprendidas de la Gestión del Riesgo en Procesos de Planificación e Inversión para el Desarrollo. Retrieved from unisdr.org: http://www.unisdr.org/files/18953_leccionesderiesgovf911.pdf
3. No definido. (2016, 10 15). Riesgos Informáticos. Retrieved from sribd.com: https://www.scribd.com/doc/29676926/RIESGOS-INFORMATICOS
4. The Data Governance Institute. (2016, 10 15). DGI Governance Glossary. Retrieved from datagovernance.com: http://www.datagovernance.com/glossary-governance/