Metodología y gobierno de la gestión de riesgos de tecnologías de la información
No. 31 (2010-01-01)Autor/a(es/as)
-
Ricardo Gómeza Ingeniero de Sistemas y Computación. Ingeniero de Proyectos CIFI – Informática. Facultad de Ingeniería. Universidad de los Andes. Bogotá D.C., Colombia. ricgomez@uniandes.edu.co
-
Diego Hernán Pérezb Ingeniero industrial, Especialista en sistemas de información. Consultor en temas de estrategia y procesos de TI. Profesor catedrático. Facultad de Ingeniería. Universidad de los Andes. Bogotá D.C., Colombia. perezdiegohernan@yahoo.com
-
Yezid Donosoc Ph.D. en Tecnologías de Información. Profesor Asociado, Departamento de Ingeniería de Sistemas y Computación. Grupo COMIT. Facultad de Ingeniería. Universidad de los Andes. Bogotá D.C., Colombia. ydonoso@uniandes.edu.co
-
Andrea Herrerad M.Sc. Magíster en Ingeniería de Sistemas y Computación. Instructora, Departamento de Ingeniería de Sistemas y Computación. Grupo TION. Facultad de Ingeniería. Universidad de los Andes. Bogotá D.C., Colombia. a-herrer@uniandes.edu.co
Resumen
Las organizaciones cada vez son más conscientes de los impactos que les pueden generar los riesgos referentes a las Tecnologías de Información (TI). Es frecuente que empresas de diversos sectores económicos reporten pérdidas debido a fallas y/o ataques sobre sus servicios de TI, los cuales afectan seriamente su reputación y su solidez financiera y operacional. Existen dos pilares fundamentales para realizar el análisis de riesgos: los estándares y normas, de un lado, y las metodologías, de otro; estos pilares por sí solos no aseguran el éxito si no se articulan adecuadamente. En este artículo mostramos qué tipo de estándares y normas se deben considerar al realizar un análisis de riesgos, posteriormente explicamos cómo utilizar una metodología y cómo articularla en el proceso de gobernabilidad de TI para desarrollar en forma exitosa este tipo de iniciativas.