METODOLOGIA PROPUESTA PARA LA GESTION DE RIESGOS DE TI

Edgar Antonio Cortes López

Maestría en Gestión de Tecnologías de la Información, Universidad Cooperativa de Colombia
ecorteslop1@gmail.com; edgar.corteslop@campusucc.edu.co

Fredy Alexander Mojocoa Giraldo

Maestría en Gestión de Tecnologías de la Información, Universidad Cooperativa de Colombia
fmojocoa@gmail.com; fredy.mojocoag@campusucc.edu.co

(Recibido el 00-00-0000. Aprobado el 00-00-0000) – Estos datos los diligencia la revista

RESUMEN responsabilidades y el proceso que se debe seguir.

Se realiza una propuesta para aquellas personas dentro
de una empresa que tengan responsabilidad en ella
según el cargo ya que deben conocer o planteen
estrategias que permitan solventar los riesgos, como
ejemplo podemos decir que los gerentes que manejan
proyectos de tecnología de información deben contar con
metodología que les permita proponer un plan en la
organización para enfrentar los riesgos y de esta manera
tener una mayor probabilidad de éxito.
Para esto se trabaja con norma ya que la utilización de la
tecnología de la información se ha popularizado en las
organizaciones de forma independiente al entorno y
actividad de las mismas. Es importante trabajar con las
norma que se encuentra en constante evolución
adaptándose a las necesidades de las empresas y
ofreciendo lugar a otras que se relacionan con las tareas
diarias realizadas.
Los riesgos en las empresas están asociados a la
intensificación y transformación por eso se hace
fundamental crear y adaptar cambios en los medios y
métodos usados para conservar la seguridad de la
información que las empresas quieren proteger.
Hay que trabajar en el desarrollo y utilización de la
metodología integrada y ágil para adaptar y gestionar los
riesgos, en especial el tecnológico que es el más
importante ya que persigue el fin de minimizar el impacto
que pueda causar la violación de alguna de las
dimensiones de seguridad.
Palabras Clave: Administración de proyectos, análisis de
riesgos, tecnología de Información.
INTRODUCCIÓN
Es importante profundizar en el proceso de análisis y
evaluación de los riesgos relacionados con las
tecnologías de información. Se presentará información
de una descripción de la preparación para el análisis de
los riesgos, en la que se identificarán las
También se analiza los pasos para la evaluación y
valoración de riesgos, lo cual abre paso al análisis de
probabilidad, de impacto y de escenarios de riesgo, para
determinar las consecuencias a nivel organizacional,
técnico y financiero.
En el trabajo de investigación realizado por el Doctor
Lionel Galaway, Quantitative Risk Analysis for Pr
oject Management: A critical review (1), se establece
que la administración del riesgo del proyecto es el arte y
la ciencia de identificar, analizar, y responder a los
riesgos a lo largo de la vida de un proyecto, con el
propósito de lograr los objetivos del proyecto. La
administración de riesgo del proyecto puede tener un
impacto positivo en la selección de proyectos, en la
determinación del alcance de los proyectos, y desarrollar
estimados más reales de costos y plazos.
Una buena administración del riesgo de proyectos a
menudo pasa desapercibida. Cuando la administración
de riesgos es efectiva, los resultados se reflejan en el
menor número de problemas. En algunas ocasiones es
difícil determinar si la administración de riesgos o la
buena suerte fue la responsable de un adecuado
desarrollo de un proyecto de tecnología de información.
Pero los integrantes de un proyecto saben que sus
proyectos trabajaron mejor debido a la buena
administración de riesgos.
JUSTIFICACIÓN
La participación de las empresas es fundamental en el
desarrollo de la economía de un país, por tal razón, se
exige la necesidad de diseñar, implementar, desarrollar y
evaluar la metodología de un sistema, que permita
adoptar una estructura empresarial más sólida a través
de herramientas gerenciales que faciliten su desempeño
organizacional y nivel de productividad, dada la exigencia
legal y normativa, implantada en Colombia y en muchos
países del mundo para las empresas públicas y privadas,
como por ejemplo la norma internacional COSO
(Committee of Sponsoring Organizations),
comité de organizaciones que patrocinan y tratan puntos
del sistema propuesto tales como Evaluación de Riesgos,
Las Actividades de Control y Monitoreo,
Responsabilidad, entre otros.
Para las empresas con los objetivos de la investigación,
se busca obtener un sistema de administración y gestión
del riesgo contentivo de mecanismos de prevención,
control y seguimiento, con incidencia sustancial en el
cumplimiento de sus objetivos, en la medida que permite
la cualificación y cuantificación de las posibles
desviaciones dentro de los procesos de operación en la
producción, de tal manera que se oriente la toma de
decisiones y acciones preventivas y no correctivas sobre
los mismos.
Por lo anterior, la presente investigación se concentra en
desarrollar las etapas para elaborar un Sistema de
Administración de Riesgos Operativos, que en su orden
son: la identificación de riesgos; la realización de un
listado de los posibles riesgos a enfrentar las empresas;
la clasificación y el análisis del riesgo; la calificación y
evaluación de los riesgos donde se orienta a las
organizaciones acerca de cómo deben calificar los
riesgos según los criterios y políticas de la empresa; el
tratamiento del riesgo, en esta parte se proponen
estrategias importantes para que cada empresa cree sus
propios controles según sus riesgos y recursos; y por
último y más importante, el monitoreo y control, para
establecer estructuras de auditoría y autoevaluación que
mantengan actualicen sustenten, comuniquen y mejoren
constantemente el sistema.
Marco Teórico
La administración de riesgos es un proceso secuencial
que permite una mejora continua en los procesos con el
fin de identificar, analizar, evaluar, tratar, monitorear y
comunicar los riesgos asociados con una actividad,
función o proceso de una forma que permita a las
organizaciones minimizar pérdidas y maximizar
oportunidades. Puede ser aplicado a todas las etapas de
la vida de una actividad, función, proyecto, o producto
(Arce, 2005).
Para (Estupiñan Gaitán, 2006) el riesgo empresarial, se
produce cuando existen probabilidades de que puedan o
no suceder situaciones negativas que afecten
notablemente el desarrollo de las actividades en la
organización, de tal manera que a la fecha las empresas
están adoptando funciones específicas a través de
departamentos especializados en la identificación de los
riesgos no solamente al nivel de sus activos, sino, de los
procesos propios de sus compañías de tal manera que
pueda equilibrar su rentabilidad con el cumplimiento de
sus objetivos empresariales, logrando mayor eficiencia y
eficacia de los procesos para una mayor efectividad y
seguridad razonable dentro de sus procesos.
METODOLOGIA PROPUESTA
En la presente propuesta se tomará como ejemplo el
sector salud como organización a evaluar, ya que esto
permite dar más luces en la descripción de la
metodología
Así mismo para poder dar inicio al planteamiento de esta
metodología de Gestión de riesgos, es necesario tener
claros ciertos conceptos:
Riesgo: Tomando el concepto general
sobre Riesgo de Tecnología de la
Información, emitido por Marlene lucia
guerrero, definido como, la probabilidad
de que una amenaza se materialice a
causa de una vulnerabilidad, lo cual
afecta los activos críticos de la
organización.
Nivel de riesgo: El nivel de riesgo es su magnitud. Se
estima considerando y combinando consecuencias y
probabilidades. Se puede asignar un nivel de riesgo a un
solo riesgo o a una combinación de riesgos.
Probabilidad: es la posibilidad de que algo pueda
suceder. La probabilidad puede ser definida, determinada
y medida objetiva o subjetivamente, y puede expresarse
de forma cualitativa o cuantitativa.
Análisis de riesgo: El análisis de riesgos es un proceso
que se utiliza para comprender la naturaleza, las fuentes,
y las causas de los riesgos que se han identificado y para
estimar el nivel de riesgo. También se utiliza para estudiar
los impactos y consecuencias y para examinar los
controles que existen actualmente.
Evaluación de riesgos: Es un proceso que se utiliza
para comparar el análisis de riesgos, con respecto a
criterios de riesgo para determinar si un nivel
especificado de riesgo es aceptable o tolerable. [1]
Teniendo claros los conceptos es necesario realizar una
revisión de todas las áreas de la empresa de salud
evaluada, para lograr identificar dónde se tienen
mayores probabilidades de ocurrencia y así proponer una
metodología que permita minimizar los riesgos, puesto
que al focalizar estas zonas, las acciones a desarrollar
serán más asertivas y direccionadas.
Vale la pena resaltar que la Gestión del Riesgo hoy en
día es una herramienta fundamental de todas las
organizaciones a nivel mundial, ya que esto permite
identificar los riesgos internos y externos. Tanto así que
muchas utilizan como herramienta el “DOFA” como
apoyo, para hacer el análisis de fortalezas y
oportunidades para poder combatir o enfrentar las
debilidades y amenazas que pueden afectar a la
organización.
El método que se utiliza en esta propuesta tiene como
base el AS/NZS 4360 para la Administración de
Riesgos, con el cual se podrá hacer uso de las buenas
practicas gerenciales, llevando un paso a paso que
permita tener un mejoramiento continuo y fortalecer la
toma de decisiones que involucre las necesidades de la
organización en todas sus áreas. [2]
Por tal razón se tiene en cuenta el tamaño de la
organización, la cantidad de empleados, la dinámica
interna y los puntos en los que se requiere mayor
atención. La labor se iniciará con la identificación de
posibles riesgos, analizando uno a uno y estableciendo
una medición que permita comparar y así poder facilitar
el trabajo de priorización de actividades.
Para esta identificación de posibles riesgos, se tomará
como guía de referencia la INFORMATION SYSTEMS
AUDIT AND CONTROL ASSOCIATION - ISACA, la cual
es detallada en la unidad 1 del material de consulta y en
donde describe los siguientes riesgos:
 riesgo de inversión o gasto
 riesgo de acceso o seguridad
 riesgo de integridad
 riesgo de relevancia
 riesgo de disponibilidad
 riesgo de infraestructura
 riesgos de proyectos propios
Para ello la metodología que se propone busca
establecer un sistema de seguimiento continuo a las
actividades desarrolladas en las diferentes áreas, para
poder lograr la identificación de riesgos en inversiones,
ya que el uso adecuado de los recursos garantizará un
adecuado funcionamiento al interior de la organización en
su totalidad; Para ello se debe realizar listado de
prioridades de necesidades que mitiguen el riesgo en
cada área y a su vez se priorizará el área de mayor
influencia, para continuar trabajando con esta misma
condición de orden. Esta propuesta tiene como objetivo
fundamental, poder presentar resultados con mayor
agilidad y que esto se vea reflejado en un mejor servicio
a la población atendida.
Sumado a esto es necesario conocer el detalle de los
objetivos trazados por la empresa, pues con ello se
realizará la formulación de políticas, procesos y
procedimientos necesarios para la mitigación del riesgo;
Es en este punto donde tomamos el segundo riesgo de
acceso a la seguridad, ya que la confidencialidad debe
ser pieza clave en ésta metodología es pieza
fundamental para tener un mayor control de las
actividades a desarrollar y garantizar la protección de los
datos personales.
Dentro de la metodología es necesario hacer la
evaluación del sistema utilizado para poder identificar
falencias y tener al profesional experto que puede
complementar y cubrir los vacíos que se puedan llegar a
encontrar como riesgo, pues existe el riesgo de
integridad, en donde la información del sistema carezca
de validez o este incompletos, para ello es necesario
realizar proceso de validación o confirmación, para
mantener actualizada la base.
Para el ejemplo tomado en el sector salud, es muy común
encontrar cambios muy frecuentes en la información de
cada paciente y no se actualizan los datos, por ello es
necesario tener en cuenta el riesgo de relevancia, para
generar estrategias que permitan incentivar a quienes
aporten la información necesaria para lograr contar con
una base completa y útil.
Precisamente todos estos riesgos mencionados con
anterioridad pueden ocasionar una alteración en la
prestación del servicio, con lo cual el riesgo de
disponibilidad juega un papel muy importante para poder
analizarlo.
Por tal razón se hace indispensable hacer un análisis al
detalle del sistema utilizado, que soporta toda la
infraestructura tecnológica de la organización, pues debe
ser eficiente y debe dar respuesta a todas las
necesidades y en esto en lo que consiste el riesgo de
infraestructura, en el cual haremos especial énfasis pues
es allí donde se encuentra el eje del sistema a evaluar
dentro de la metodología. [3]
 Revisión de hardware
 Revisión de redes
 Revisión de software
 Revisión de personas y sus roles
 Revisión de proceso
Como complemento a esta metodología propuesta se
recomienda a la organización mantener actualizado el
GRC- El GOBIERNO – RIESGO – CUMPLIMIENTO, el
cual apoya todo lo concerniente a la toma de decisiones
organizacionales para poder establecer funciones y
responsabilidades del personal, para poder ofrecer un
servicio más eficiente, todo esto basado en la
normatividad vigente.
Los más beneficiados del GRC dentro de la organización
son el área financiera de las entidades y la dirección de
tecnologías de la información, pues son una herramienta
clave para ejercer control y minimizar el riesgo; por esta
razón se requiere un equipo de trabajo que lo desarrolle,
junto con un seguimiento minucioso y finalmente que
ayude a la validación.
Dentro la metodología propuesta se tiene contemplado
un espacio de socialización para todos los miembros de
la organización, con el fin de dar a conocer su importancia
y el compromiso de todos, puesto que implica cambiar
hábitos, o como es llamado hoy en día “desaprender”,
para poder entender la nueva dinámica y así generar una
nueva cultura organizacional.
Como siguiente punto de la metodología a utilizar se tiene organizado de la auditoria a realizar dentro del proceso,
el análisis del riesgo, en el cual se tomará como guía el junto con la evaluación de los escenarios de riesgos que
material de Marlene lucia Guerrero, en su unidad 2,
teniendo en cuenta los actores y los responsables del
análisis de riesgos

se tendrán para el normal funcionamiento de la empresa.

Para que todo tengan un buen engranaje la

comunicación debe ser constante y asertiva, durante todo
el proceso, ya que desde el momento en que el usuario
emite la información hasta que es diseñada la
herramienta debe existir un hilo conductor para poder
retroalimentar si se dio respuesta a las expectativas y si
se mitigo el riesgo. [3]
Con toda esta información se establecen las políticas
Así mismo es fundamental tener en cuenta el impacto debidamente soportadas y socializadas con todos los
que tenga una amenaza a un activo de la organización, miembros de la organización para poder tener una nueva
pues esto puede generar pérdidas de tiempo, de imagen cultura organizacional que esté en continuo
y sobre costos. mejoramiento.

Se recomienda a la dirección de la organización tener en

cuenta los riesgos que se pueden presentar durante la
evaluación, el análisis y posterior implementación, todos
estos costos y tiempos deben tenerse en cuenta a la hora
se planear y establecer el cronograma de actividades, ya
que se hace necesario bajar la incertidumbre que arroja
en todo el personal de la organización un proceso como
éste.

ITIL® V3 - Preparación para la certificación ITIL®

Foundation V3 (2a edición)

Paso a seguir es la evaluación y valoración de riesgos en

el cual se debe establecer un esquema muy claro y
Para finalizar es necesario que el seguimiento de cada
fase del proyecto se realice con la calidad y los requisitos
exigidos para que los resultados sean los esperados; Así
mismo es necesario dejar claros los controles con los
soportes debidos para que todo el personal los cumpla en
todo momento.

Bibliografía
[1] «ISO 31000:2018 – Fundamentos de Gestión de
Riesgos | ISOLUCION». [En línea]. Disponible
en: https://web.isolucion.com.co/iso-31000-2018-
fundamentos-de-gestion-de-riesgos/. [Accedido:
05-nov-2019].
[2] U. Cooperativa de Colombia, «Gestión de
Riesgos de TI - Universidad Cooperativa de
Colombia».
[3] «Contenido EC 3 - MA_TI_C7_Gestion Riesgo
TI_16475». [En línea]. Disponible en:
https://campusvirtual.ucc.edu.co/d2l/le/content/22
4375/viewContent/1742551/View. [Accedido: 05-
nov-2019].