Metodología de gestión de riesgos de operación para un servicio de TI

Abstract

El presente trabajo está enfocado en el análisis y mejora de una metodología existente para la gestión de riesgos de operación, poniendo énfasis en la reducción de pérdidas económicas causados por la interrupción de un servicio de banca electrónica dentro de una institución financiera.

Se realizó un diagnóstico de situación actual, encontrando como principales oportunidades de mejora: la herramienta utilizada actualmente por la organización y la cuantificación en términos económicos de los riesgos identificados. Posterior a realizar un estudio del estado del arte en gestión de riesgos de tecnología, se propuso una metodología de gestión de riesgos basada en Risk IT de ISACA. A dicha metodología se le incorporó un modelo de estimación de costos (tangibles e intangibles), propuesto por el investigador, con el fin de simplificar y hacer más predecible la evaluación y priorización de los riesgos.

La metodología propuesta se puso en práctica mediante la aplicación de un piloto. Dentro de los resultados más relevantes posterior a la aplicación del piloto, se logró aumentar el nivel de satisfacción de los clientes a un 67% y un importante incremento en la identificación de costos tangibles e intangibles asociados a los riesgos (64% del total de riesgos identificados contaban con dichas variables).

Al analizar la rentabilidad de la metodología propuesta, se encontró que la implementación de la misma lograría cubrir sus costos como mínimo al siguiente año de implementación, lo cual la hace muy atractiva para la organización.

A raíz de lo anterior, se recomienda a la organización adoptar la metodología e implementarla de manera inicial en el sistema donde fue probada para luego ampliar su uso hacia otros sistemas y diferentes áreas de tecnología ubicadas en los diferentes países donde tiene presencia la organización.