¿Cuál es el mejor estándar de administración de riesgo para las TI? (Deloitte)

Desde hace años existen distintos estándares que intentan definir un modelo para administrar el riesgo de las Tecnologías de Información. Sin embargo, más de una vez hemos escuchado a los encargados y administradores de TI preguntar cómo se integran estas visiones y cuál debe ser aplicada a su organización. La problemática no es menor, sobre todo considerando que en muchas ocasiones se intenta desarrollar cada uno de los modelos como proyectos individuales, sin aprovechar las sinergias existentes en una implementación integrada, con un mayor esfuerzo de parte de las funciones operacionales.

Para desarrollar este modelo de integración, se deben entender al menos los siguientes estándares:

COSO - Committee of Sponsoring Organizations of the Treadway Commission: Es un modelo para entender el control interno y sirve como punto de partida para definir la administración de riesgo de manera transversal en una organización.
COSO permite relacionar las necesidades de alto nivel -efectividad y eficiencia en la operación, confiabilidad de los reportes financieros y cumplimiento con leyes y regulaciones-, con requerimientos de administración de riesgo genéricos y específicos para los distintos procesos de negocio de una organización, incluyendo los procesos de apoyo como las Tecnologías de Información.
ISO/IEC 2700x: La serie 27000 de estándares ISO es un conjunto de documentos ampliamente reconocido y globalmente aceptado para administrar la seguridad de la información, una de las principales áreas de administración de riesgo en TI.
La serie incluye documentos específicos para definir un sistema de gestión de seguridad de la información, buenas prácticas de control, métricas de seguridad y gestión de riesgo.
ISO 20000 (ITIL/ITSM): Es el estándar más utilizado para administrar servicios TI. ITIL/ITSM define el modelo y los procesos clave para la entrega y soporte de servicios TI alineados con los objetivos del negocio y la necesidad de mejora continua, disponiendo de un módulo directamente relacionado con ISO/IEC 27000.
Cobit 4.1: Cobit es un modelo de gobierno para administrar el riesgo y controlar las Tecnologías de Información. Este estándar ha sido ampliamente adoptado por las áreas TI en las organizaciones sujetas a requerimientos originados de la regulación Sarbanes-Oxley, siendo también un componente relevante a la hora de implementar mecanismos de medición de riesgo operacional (Basilea) y como herramienta para las funciones de auditoría interna y externa.

Estos cuatro estándares integrados conforman la visión de Deloitte respecto de la administración de riesgo en las Tecnologías de Información (ITRM - Information & Technology Risk Management).

Principales etapas para implantar ITRM en una organización
Con COSO se definirá una aproximación de alto nivel a la administración de riesgos y sus componentes esenciales: gobierno o ambiente interno de riesgo, estrategia de administración y tolerancia al riesgo, evaluación de riesgo, actividades de control al interior de los procesos de negocio y de apoyo, información y comunicación, monitoreo y reportes.
En tanto, ISO 2700x, ITIL y Cobit permitirán definir las prácticas generales de administración de riesgo en el ámbito específico de TI, organizar áreas funcionales TI y relacionar éstas con requerimientos técnicos particulares de control.
Algunos ejemplos de funciones TI que pueden ser obtenidas de estos estándares son: arquitectura, administración de activos, gestión de continuidad y administración de cambio, entre otras.

Finalmente, cada función deberá ser descompuesta y agrupada por dominios que conforman los componentes esenciales del modelo. Como ejemplo, el componente de evaluación de riesgo estará conformado por los dominios de identificación de eventos, requerimientos, análisis de riesgo y respuesta al riesgo.
Con esto, se contará con un modelo que relaciona funciones TI, controles técnicos y componentes de administración de riesgo de alto nivel.

Como reflexión final, para administrar el riesgo en las Tecnologías de Información, se requiere integrar distintos estándares. Algunos permitirán modelar aspectos estratégicos; otros, llevar a niveles tácticos y operativos estas estrategias. Esto conlleva un creciente desafío a las organizaciones y a las personas encargadas de su implementación, ya que se requiere una claridad conceptual muy amplia en cuanto a poder definir en qué ámbito cada estándar tiene un mayor aporte, y cómo conseguir la consistencia en la aplicación de ellos.
Sólo con este enfoque se podrá pasar de una administración de riesgo TI reactiva basada en conocimiento experto y elementos intuitivos, a una administración de riesgo objetiva y medible, que pueda ser sostenible en el tiempo, y distribuida a lo largo de la organización, de modo que cada función conozca de manera precisa su ámbito de acción.

Por Gustavo Segovia, Gerente de Risk Consulting de Deloitte, Revista Gerencia