Como responsable de TI, gestión de datos o infoseguridad y cumplimiento normativo, usted se encarga de detectar posibles riesgos, reducirlos, hacer frente a sus consecuencias e informar al director general de lo que debería hacer o ha hecho al respecto.
El riesgo desde la perspectiva del CEO y del Consejo, escrito por dos antiguos ejecutivos de KPMG - Mary Pat McCarthy (actualmente en el consejo de Micron y Palo Alto Networks) y Timothy P. Flynn (actualmente en el consejo de JPMorgan Chase y Walmart) - incluye información aún relevante para ayudarle a nivelar su planificación de riesgos y comprender las perspectivas de sus altos ejecutivos.
¿Cuánto riesgo puede asumir?
El primer paso para mejorar el riesgo operativo es reconocer que existe una gran posibilidad de pérdidas causadas por deficiencias en los sistemas informáticos, los procesos empresariales y los controles internos. Una gestión del riesgo que aborde estas tres deficiencias puede ayudarle a mejorar su perfil de riesgo.
Cuestiones ejecutivas
El libro sugiere que estas son las preguntas básicas que los altos ejecutivos deberían plantearse a la hora de incluir el riesgo en sus planes y agendas empresariales:
- ¿Cuál es su perspectiva? ¿Es el riesgo reputacional la principal preocupación? ¿Cuáles son las complejas interrelaciones entre los riesgos? Por ejemplo, ¿cómo puede afectar la expansión global al riesgo operativo y cómo se relaciona con el riesgo de mercado?
- ¿Qué está en juego? Muchas son las empresas que fracasan porque fallan en la gestión de riesgos. Dos ejemplos: Barings Bank en el Reino Unido, vendido al banco holandés ING por una libra esterlina en 1995, fracasó debido a la actuación de un operador deshonesto y a unos controles internos insuficientes. Cendant, creada mediante la fusión de HFS y CUC International, propietaria de Century 21, Coldwell Banker, Avis, Days Inn, Howard Johnson, Ramada, Super 8, Travelodge y otras empresas, fracasó debido a un error contable que provocó una venta de acciones que se atribuyó a un fraude iniciado en CUC.
- ¿Cuál es su apetito de riesgo? "El apetito de riesgo de una empresa es en realidad el de las personas responsables de sus consecuencias: ejecutivos, directivos, accionistas y partes interesadas", escriben los autores.
- ¿Quién gestiona sus riesgos? Puede que el director general sea el responsable último, pero lo más probable es que el peso de los esfuerzos de gestión del riesgo recaiga en otro: CSSO, CFO, CRO.
- Where are you on the risk continuum?
Stage 1: There is no formal process for finding and managing risk other than physical asset insurance policies.
Stage 2: Risk identification and management is a formal process flowing through the company’s silos and embedded to a degree in business and operational planning.
Stage 3: Enterprise risk management is integrated into business and operations processes that force alignment between the corporate vision and line-of-business goals. It includes knowledge of your goals, environment, strengths, weakness, options, and what you know and don’t know. - ¿Cuál es su perfil de riesgo? Los autores citan a David McNamee (actualmente profesor de liderazgo en la Universidad de Arkansas Grantham). "Los directivos suelen dedicar tanto tiempo a ocuparse de los riesgos importantes en el presente que les resulta difícil ocuparse del riesgo en un horizonte temporal más largo. Si la planificación del riesgo abarca horizontes de planificación más largos, tendremos más posibilidades de aprovechar las oportunidades."
Otras joyas del libro:
Casos fallidos, controles internos y oportunidades para mejorar la gestión de riesgos
Los sucesos catastróficos suelen ir precedidos de "cuasi accidentes" que ofrecen oportunidades de mejora. Cuanto más atenta esté su organización al seguimiento de los indicadores, más tiempo y capacidad de maniobra tendrá para responder cuando surja un problema. En este blog se expone cómo se detectaron cuasi incidentes (infracciones de la normativa, robo de datos, retención de datos por orden judicial) gracias a la supervisión global de los registros del sistema de archivos. El sistema sacó a la luz sucesos periféricos (near misses) y evitó los problemas.
Los autores citan la exigencia de mejores contraseñas como otro ejemplo de controles internos que pueden tener un gran impacto en el riesgo, escribiendo que la seguridad de la red puede reforzarse tanto o más con este control que instalando millones de dólares en sistemas de detección de seguridad. Su idea es que si se puede reducir la posibilidad de que se produzcan incidentes internos de riesgo operativo, al menos se puede reducir la probabilidad y la gravedad de incidentes externos desastrosos.
Patrocinio ejecutivo de la gestión de riesgos
Para ser eficaz, todo proyecto de gestión de riesgos necesita un patrocinador ejecutivo; de lo contrario, los equipos pueden quedar atrapados en los detalles y pasar por alto las cuestiones generales. El patrocinio de alto nivel también es necesario porque muchos riesgos -especialmente los que podrían afectar a sus datos- pueden afectar a múltiples funciones y departamentos. El directivo adecuado también será el que mejor perciba los riesgos más generales, como el impacto de un virus paralizante en su marca y reputación. Esta persona también debe estar en condiciones de asesorar sobre las posibles consecuencias monetarias.
Los procesos y la comunicación marcan la diferencia en la gestión de riesgos
La gestión del riesgo operativo requiere que toda la organización comprenda que el riesgo se gestiona mediante procesos vinculados a la estrategia empresarial y a la capacidad de generar beneficios. Las empresas que saben expresar bien sus objetivos globales, que fomentan la comunicación interna y la cooperación (colaboración) y que utilizan controles y equilibrios para la toma de decisiones tienen menos probabilidades de verse sorprendidas. Y, por supuesto, a la hora de planificar la revisión y la respuesta a los riesgos, habrá innumerables compensaciones relacionadas con la seguridad, los costes y la conveniencia.
Planes de contingencia para el tratamiento de datos y riesgos operativos conexos
Los planes de continuidad de negocio son, por supuesto, cruciales. Y multifacéticos. Si se produce un terremoto, no sólo corren peligro los edificios. La dirección va a tener que decidir si la organización tiene una póliza de seguro de propiedad de mil millones de dólares o no. Por su parte, ¿cómo podría afectar un desastre al acceso a los datos y a su capacidad para mantener el negocio en marcha, para seguir desarrollando y produciendo sus productos y servicios? Entre otros problemas, sin una planificación adecuada, su empresa podría encontrarse como demandada en un juicio de accionistas.
Obviamente, los planes de contingencia más importantes son los que cubren sus activos más importantes. Sus datos y el acceso a ellos ocupan un lugar destacado en esta lista. Las siguientes contingencias para la continuidad de la empresa y la protección de datos saltan a la vista. Si no ha investigado últimamente el espacio de gestión de archivos, las nuevas innovaciones para mejorar la gestión de datos están contribuyendo a la productividad empresarial, la eficiencia, la optimización de costes a largo plazo, la resistencia al ransomware y la flexibilidad multicloud, y la portabilidad de archivos de datos.
Los riesgos de pérdida de datos, degradación del tiempo de acceso a los datos y mala calidad de los mismos.
Con el sistema de archivos global Panzura CloudFS, no hay riesgo de pérdida de datos de fuentes externas. ¿Cómo podemos hacer esta afirmación? Con las instantáneas de red que capturan el estado del contenido de toda la red, el almacén de objetos en la nube seguro y los metadatos almacenados en todas partes, los archivos no estructurados están siempre a salvo y seguros.
Además, el sistema permite a los miembros del equipo, independientemente de su ubicación, acceder y/o trabajar en el mismo documento al mismo tiempo sin riesgo de perder o fragmentar los datos en varias copias. Además de la supervisión para preservar la seguridad de los datos (véase más arriba Near Misses), las funciones de control de versiones y compartición de archivos reducen drásticamente el riesgo de pérdida de datos internos y externos y ayudan a preservar la integridad de los datos al tiempo que se mantienen tiempos de acceso similares a los locales.
El riesgo de las ciberamenazas
La seguridad de nivel del Departamento de Defensa de EE.UU. desde el perímetro hasta el núcleo y la nube, la gobernanza siempre activa, la gestión integral de datos y la elaboración de informes detallados sobre la actividad de los archivos son algunas de las herramientas necesarias para las auditorías normativas y la supervisión y protección de la ciberseguridad.
El riesgo de catástrofe
La recuperación ante desastres (DR) sin duplicación de datos es un concepto nuevo. ¿Por qué duplicar su almacén de datos y pagar por ese almacenamiento si hay una forma mejor? La nube híbrida es ideal para la RD y otros problemas. En caso de desastre, las instantáneas de red frecuentes, la replicación continua en local y el cifrado completo pueden garantizar que nunca se pierda nada. Con las últimas versiones de sus archivos críticos protegidos fuera de las instalaciones en la nube, y con la ayuda de los equipos de asistencia de Panzura , si se produce un desastre, puede configurar rápidamente el acceso de emergencia y la recuperación.
Riesgo de interrupciones en la nube y en las instalaciones
Los almacenes de objetos en la nube sufren ocasionalmente interrupciones. Cloud mirroring duplica la disponibilidad de la nube al escribir datos simultáneamente en varios almacenes de objetos. Además, la comodidad de un archivo de proveedor neutral (VNA) completamente portátil le da flexibilidad para mover sus datos a cualquier nube o multi-nube. Los nodos de alta disponibilidad (HA) para la conmutación por error local y global proporcionan protección contra cierres abruptos.
El riesgo del ransomware
Puede protegerse contra la pérdida de datos y los daños provocados por el ransomware reforzando la resistencia de los datos en el almacenamiento en la nube. En lugar de restaurar a partir de un repositorio de copias de seguridad, las instantáneas de red ligeras permiten una restauración rápida mediante un proceso sencillo de selección de un estado anterior al inicio del ataque. Panzura snapshots supply a recovery time/recovery point objective (RTO/RPO) of 60 seconds.
El riesgo de que aumenten los costes de almacenamiento
Sin necesidad de duplicar los datos para DR o copias de seguridad, ni de crear varias versiones de un archivo, se reducen los costes de almacenamiento. Además, al deduplicar y comprimir continuamente los archivos, y al almacenar solo los cambios (en metadatos ligeros), a medida que aumenta el volumen de datos, la huella de almacenamiento crece a un ritmo mucho más lento.
Si se aborda con las personas, herramientas y políticas adecuadas, la gestión de riesgos ayuda a alcanzar los objetivos corporativos con menos sorpresas. La única alternativa es la gestión de crisis, mucho más embarazosa, costosa y lenta.
El riesgo es tan omnipresente como sus datos, uno de sus activos más valiosos. Gestionar el riesgo de ciberamenazas y ransomware es sólo el principio. Obtenga todo el valor de su tesoro de datos haciéndolos visibles, rápidamente accesibles, utilizables y siempre disponibles. Vea este seminario web sobre Cómo mantener los datos no estructurados seguros, visibles y conformes.