19 noviembre 2007

Riesgo de negocio o riesgo IT?

Las tendencias en los últimos tiempos hablan de acercar la perspectiva de negocio y la perspectiva IT, en pos del famoso "alineamiento" entre ambos mundos. Sin embargo, si podemos sacar un pero a estas tendencias son que habitualmente planteaban ese acercamiento desde la perspectiva IT. Por eso me ha gustado este artículo (lo siento, tiene mucha publicidad), ya que plantea un acercamiento entre ambos mundos desde el punto de vista de los riesgos de negocio.

En concreto, el artículo anima a los gerentes de negocio a entender los riesgos IT como riesgos de negocio, y evaluar sus consecuencias desde este punto de vista. En concreto, el artículo plantea esta reflexión en base a cuatro objetivos de negocio:
  • Disponibilidad: Disponibilidad de los procesos de negocio ligada a la disponibilidad y recuperación ante incidentes de los sistemas IT.
  • Acceso: Permitir accesos a la información y los sistemas en base a las necesidades del puesto, y bloquearlos a todos aquellos que no lo necesiten.
  • Exactitud: Los sistemas IT deben proporcionar toda la información que se precise en el momento y forma oportunos, con el fin de garantizar el cumplimiento de los requisitos de negocio que se definan.
  • Agilidad: Los sistemas IT deben permitir y adaptarse a los cambios de negocio que pueda sufrir la organización.

El artículo plantea la necesidad de que los gerentes de negocio adquieran las herramientas necesarias para gestionar los riesgos IT, con el fin de que sean capaces de determinar los riesgos que desean asumir y los que deben reducir. Para ello, propone tres líneas de acción:

  • Un sólido modelo de activos que interrelacione procesos, activos IT, personas y controles.
  • Una estructura de gobierno de riesgos que contemple la gestión de riesgos IT como parte integral de la misma.
  • Una cultura de gestión de riesgos que alcance a toda la organización.

El artículo concluye resaltando la necesidad de integrar cuanto antes la gestión de riesgos IT dentro de la gestión de riesgos de negocio, ya que "los peores riesgos son aquellos que nunca se consideran".

Realmente me ha parecido un artículo muy interesante, tanto por el punto de vista que refleja como por la concretitud de los consejos que da. ¿Sabrán las empresas poner em práctica estos consejos? ¿Echais de menos alguna línea de acción que os parezca necesaria incluir? Sería interesante contar con la opinión de alguien que viera el artículo desde el punto de vista de los gerentes de negocio...

No hay comentarios: