En la mayoría de las normativas relacionadas con riesgo operacional, con las cuales hemos tenido que trabajar; se identifica, que su gestión se orienta en una alta proporción a la tecnología. Esto tiene sentido, pues existen muy pocos procesos en cualquier organización, que no tengan alguna dependencia tecnológica. Es por ello, que la gestión de riesgo operacional en algunas organizaciones, enfocada principalmente en la tecnología.
Siendo la tecnología un componente estratégico; y partiendo de lo anteriormente comentado, que el riesgo tecnológico es el mayormente considerado en la gestión de riesgo operacional; en consecuencia, es altamente recomendable que la gestión de riesgo operacional sea considerada una estrategia del negocio. Veamos el porqué:
- La inadecuada planificación de la tecnología, puede ocasionar que se desarrollen proyectos que no tengan nada que ver con la estrategia del negocios. Esto a su vez genera afectación presupuestaria y sobrecarga de los especialistas, pues además de desarrollar proyectos que no eran los indicados, y además, si aun queda dinero, desarrollar aquellos que la estrategia exige.
- No planificar el crecimiento y efectos de la demanda, sobre la infraestrutura de la tecnología de información, conlleva a que se tendrán que hacer compras no programadas de licencias, almacenamiento, equipos. Aun más dificil de obtener sin la previsión del caso, servicios tal como, ancho de banda o almacenamiento remoto; el cual no siempre está disponible. Esto afecta la estrategia de negocios.
- No haber desarrollado una práctica que permita clasificar los activos de información, determinando con ello el nivel de protección que debe aplicársele; puede conllevar a que la información pueda ser alterada, destruida o ser sujeta a uso indebido.
- No desarrollar medidas que garanticen la continuidad de la operación y la estrategia de recuperación de los servicios críticos, soportados en la tecnología, puede conducir a una afectación seria a extremadamente severa, tal como la quiebra de la organización.
- No entrenar adecuadamente a los usuarios con los servicios criticos, que sean soportados en la tecnología; puede conllevar a no aprovechar las máximas capacidades, generar errores constantemente o simplemente estar en presencia de alto nivel de reprocesos.
- No monitorizar los acuerdos de nivel de servicios, establecidos para los servicios de tecnología de información; conllevará a desconocer absolutamente si las cosas se están haciendo bien o no. Puede conllevar a no saber en donde nos encontramos en un momento dado en lo que a la gestión tecnológica se refiere.
Lo anteriormente descrito, contiene factores de riesgo tecnológico, que deben ser gestionados por la práctica de riesgo operacional. Es evidente que, inadecuadamente administrados, pudieran generar pérdidas para la organización. Algunos con niveles de severidad que ocasionarían interrupciones abruptas de la operación normal y en consecuencia, la quiebra del negocio.
Es por ello que la práctica de riesgo operacional, no es un simple marco de trabajo en el cual se establece la colección de eventos de pérdida o cuasi pérdida para evaluar posibles acciones de mitigación. La gestión de riesgo operacional implica desarrollar programas integrales, los cuales requieren de especialistas para atender prácticas de seguridad de información, gerencia de la continuidad de negocios y planificación de tecnología de información. Por tales razones, es necesario que en la estrategia del negocio, cuando se piense en los factores de riesgo tecnológico y lo potencialmente destructivos que pudieran ser si no se controlan, el riesgo operacional, siempre sea considerado.
