La integración de los riesgos de tecnología y comunicaciones en el portafolio de riesgos empresariales
En julio de 2022 el Instituto Nacional de Estándares y Tecnología NIST publicó un documento que presenta lineamientos para integrar la gobernanza y administración de riesgos de las Tecnologías de la Información y las Comunicaciones (TIC), dentro del portafolio global de riesgos empresariales.
Habitualmente, las TIC en las que se basa una empresa se gestionan a través de un amplio conjunto de disciplinas de riesgo, que se componen de programas individuales que abordan aspectos tales como privacidad y ciberseguridad. Si bien los programas de riesgo individual tienen un papel importante, las consideraciones y decisiones de riesgo empresarial deben tener una perspectiva de portafolio o cartera. Por lo tanto, los programas individuales de riesgo deben integrar actividades como parte de ese portafolio empresarial.
La integración de los programas individuales de gestión de riesgos de las TIC en el portafolio de riesgos global enfoca de manera más eficiente en el logro de los objetivos de la empresa y ayuda a identificar aquellos riesgos que tendrán el impacto más significativo en la misión de la entidad. La Publicación amplía la guía del programa de riesgo del NIST, reconociendo que éste se extiende más allá de los límites de los programas individuales, y examinando las relaciones entre las disciplinas de riesgo de TIC y las prácticas de riesgo empresarial.
La publicación hace una exploración de alto nivel del Proceso de Gestión de Riesgos de TIC (ICTRM). Muchos recursos y marcos bien conocidos – como los del Committee of Sponsoring Organizations (COSO), circulares OMB, y de la Organización Internacional para Normalización (ISO) – documentan marcos y procesos de ERM. Ellos generalmente incluyen enfoques similares: identificar el contexto, identificar los riesgos, analizarlos, estimar su importancia, determinar y ejecutar una respuesta, e identificar y responder a los cambios en el tiempo. Para asegurar que a los decisores de la compañía se les pueda proporcionar una completa comprensión de las diversas amenazas y consecuencias que enfrenta la organización, la información de riesgo se registra y comparte a través de registros de riesgos.
En los niveles superiores de la estructura empresarial, varios registros de riesgos (incluidos los relacionados con ICTRM) se agregan, normalizan y priorizan en perfiles de riesgo. La información integrada de gestión de riesgos de toda la empresa ayuda a crear un registro de riesgo empresarial (ERR) completo y un perfil de riesgo empresarial (ERP) priorizado para informar a quienes toman decisiones en la empresa.
La aplicación de un enfoque consistente para identificar, evaluar, responder y comunicar la cartera de riesgos TIC a través de toda la empresa, ayudará a garantizar que líderes y ejecutivos están siempre informados y son capaces de apoyar estrategias y tácticas efectivas. Si bien los métodos para administrar el riesgo entre diferentes disciplinas variarán ampliamente, un enfoque integral de las TIC para dirigir la gestión de riesgos, informar y monitorear los resultados, y ajustar para optimizar el logro de los objetivos de la empresa, proporcionará beneficios valiosos.
En resumen, el documento de NIST establece la importancia de que todas las empresas se aseguren de que los riesgos de las TIC reciban la atención adecuada dentro de sus programas de Gestión de Riesgos Empresariales (ERM). En ese contexto, la publicación presenta lineamientos que pretenden ayudar a las empresas a mejorar su gestión de riesgos TIC (ICTRM). Esto puede permitir que las mismas identifiquen, evalúen y gestionen mejor sus riesgos de TIC en el contexto de su misión y objetivos comerciales más amplios. El documento explica el valor de resumir e integrar los riesgos que se pueden abordar en los niveles inferiores de la organización, hacia el nivel más amplio de la empresa. Para ello, recurre al uso de registros de riesgos de TIC como entrada para la elaboración del perfil de riesgo global de la empresa.
