Manual de buenas prácticas para la gestión de riesgos en tecnologías de la información en organizaciones financieras de carácter local en Costa Rica

Abstract

Resumen. Este documento aborda una necesidad crítica en las entidades financieras locales de Costa Rica, bajo la supervisión de la SUGEF. El diagnóstico realizado reveló que la principal barrera para una gestión de riesgos de TI efectiva no es técnica, sino humana: una marcada resistencia al cambio y una cultura organizacional débil. Por ello, el objetivo de este estudio fue desarrollar un manual de buenas prácticas que transforme esta realidad, elevando el nivel de madurez de la gestión de riesgos de TI a un proceso proactivo, estandarizado y de alto valor estratégico. La investigación, de enfoque cualitativo y tipo aplicada, se fundamentó en marcos de referencia líderes como COBIT 2019 y parte de los lineamientos de la SUGEF para la gestión del riesgo. Como resultado principal, se estructuró un manual cuyo eje principal es la Gobernanza de TI, del cual se desprenden cuatro dimensiones estratégicas e independientes, diseñadas para superar los obstáculos identificados. Estas dimensiones son: Cultura Organizacional (enfocada en conciencia y capacitación), Comunicación Colaborativa (mejorando la coordinación entre las líneas de defensa), Priorización (a través de un procedimiento estructurado para clasificar riesgos), y la Inteligencia Artificial en la Evaluación Predicitiva. En esencia, este manual es una lectura esencial para ejecutivos y profesionales del sector financiero. Ofrece no solo una ruta clara hacia el cumplimiento normativo de la SUGEF, sino que, de manera más importante, proporciona una verdadera ventaja competitiva cimentada en la resiliencia tecnológica y una gestión de riesgos de TI de vanguardia.

Abstract. This document addresses a fundamental need of local financial institutions in Costa Rica, under the supervision of SUGEF. The assessment carried out revealed that the main obstacle to effective IT risk management is not technical in nature, but human: marked resistance to change and a weak organisational culture. Consequently, the aim of this study was to develop a best-practice manual to transform this situation, raising the level of maturity of IT risk management until it becomes a proactive and standardised process of great strategic value. The research, which adopted a qualitative and applied approach, was based on leading reference frameworks such as COBIT 2019 and drew on SUGEF’s guidelines for risk management. A key outcome was the development of a handbook focused on information technology governance, from which four strategic and independent dimensions emerge, designed to overcome the identified obstacles. These dimensions are: Organisational Culture (focused on awareness-raising and training), Collaborative Communication (which improves coordination between the lines of defence), Prioritisation (through a structured procedure for classifying risks) and Artificial Intelligence in Predictive Assessment. In essence, this handbook is essential reading for executives and professionals in the financial sector. It offers not only a clear path to compliance with SUGEF regulations but, more importantly, provides a genuine competitive advantage underpinned by technological resilience and cutting-edge IT risk management.