Identificación de Riesgos vinculados con el uso de Cloud Computing en la Gestión Organizacional. Aplicación de la Risk Breakdown Structure a Entidades Financieras de la República Argentina
Informações
Código: ADI2220
Divisão: ADI - Administração da Informação
Tema de Interesse: Tema 05 - Governança e Gestão de Tecnologia da Informação
Autores
María de los Ángeles López, Diana Ester Albanese, Marisa Analía Sánchez
Resumo
La tecnología de información es en la actualidad una herramienta indispensable en laactividad de cualquier organización, lo cual justifica su continuo desarrollo con el objeto desatisfacer necesidades en un contexto complejo. En esta evolución surgen nuevas opcionescomo las infraestructuras tecnológicas dinámicas.Entre ellas, cloud computing se presenta como una nueva herramienta para la gestión denegocios basada en la virtualización. Siendo que brinda múltiples facilidades para eldesarrollo de las actividades, las entidades han comenzado a evaluar la posibilidad de suaplicación. Sin embargo, los beneficios proporcionados por estas tecnologías sonacompañados por una modificación en las estructuras de riesgos asociados.Cualquier proyecto de implementación de cloud computing debe prever la gestión dedichos riesgos, de modo de prevenir aquellos que pudieran atentar contra el éxito del proyectoy de la organización. En la primera fase de dicho proceso se debe realizar una identificacióny comprensión acabada de cada fuente de riesgos para garantizar el desarrollo de estrategiasefectivas y la revisión del diseño de los controles relacionados.Lo expuesto adquiere especial relevancia en aquellas entidades en las que se procesainformación sensible, como es el caso de las entidades financieras.El presente trabajo tiene como objetivo diseñar una Risk Breakdown Structure (RBS) parala identificación y descripción jerárquica de las fuentes de riesgos vinculados con laimplementación de cloud computing en una entidad financiera de la República ArgentinaPara ello se realizó un relevamiento de riesgos identificados por diversos autores,analizando específicamente aquellos definidos en las disposiciones que el Banco Central dela República Argentina en su carácter de organismo de contralor ha emitido en relación con lautilización de tecnología de información (TI) y tercerización de los servicios.El resultado es una estructura de desglose orientada a la industria mediante la cual seexponen cuatro categorías de fuentes de riesgos – reputacional, cumplimiento, legales yoperativos – exponiéndose una descripción de los eventos incluidos en cada una de ellas.De acuerdo a la cantidad y variedad de subcategorías surge que los riesgos operativosresultan críticos y merecen especial atención. La exposición se realiza con diferentes gradosde detalle, en función de la naturaleza de los riesgos, ejemplificando la utilidad para el reportede riesgos a personal de diferentes niveles dentro de una organización. En una próximainvestigación se pretende evaluar el impacto y probabilidad de ocurrencia de los riesgosidentificados.Se espera que la herramienta sirva a los managers como base para definir sus propiasestructuras aplicadas a proyectos de sus organizaciones, tomar decisiones entre distintasalternativas, crear bases de datos útiles, y diseñar estrategias de gestión de riesgos quepromuevan el éxito en la implementación de cloud computing promoviendo el máximoaprovechamiento de la tecnología en pos de los objetivos organizacionales.
Abrir PDF