Riesgo tecnológico: tan común que es difícil verlo

Cómo los líderes de las industrias pueden alinearse para gestionarlo mejor

Algunos riesgos son tan comunes que pasan desapercibidos. Su magnitud, que se oculta a simple vista, paradójicamente, puede ocultar su magnitud. En cambio, vemos algunos vistazos aquí y allá, pero rara vez conectamos los puntos en toda la empresa.

Este es un problema central del riesgo tecnológico, un término que describe las numerosas vulnerabilidades asociadas con la tecnología de la información (TI), la tecnología operativa (OT) y la tecnología de las comunicaciones (CT) de una organización. Debido a que la tecnología afecta a todo lo que hace una empresa, todos sus activos (físicos, digitales, intelectuales), su gente, procesos y sistemas, sus vendedores y proveedores, su reputación, incluso su propia existencia, el alcance y los niveles de riesgo asociados con el uso de la tecnología pueden ser difíciles de comprender, y mucho menos de mitigar.

El desafío se agrava por la estructura organizacional de la empresa, que puede dificultar una visión de los riesgos a nivel de toda la empresa. Las distintas áreas funcionales (TI, gestión de datos empresariales, ciberseguridad, cumplimiento normativo, I+D, comercial, gestión de riesgos de terceros, cadena de suministro, auditoría interna, etc.) tienen sus propias prioridades, incentivos, herramientas y terminología. Pueden ver el mismo riesgo de manera diferente o darle nombres diferentes. Pueden ver los impactos que se extienden más allá del ámbito de su equipo como un problema de otra persona.

En resumen, estas áreas funcionales tienden a operar por separado, sin coordinación entre las líneas de defensa y, en algunos casos, trabajando con propósitos cruzados. El resultado es una combinación insostenible de lagunas, duplicaciones y oportunidades perdidas, lo que conduce inevitablemente a una mayor exposición general.

¿Cómo puede su organización hacer frente a un riesgo tan generalizado? ¿Por dónde debería empezar?

A la larga, evaluar, gestionar y reducir el riesgo tecnológico requiere un nivel de coordinación a nivel de toda la empresa. Solo analizando de manera horizontal los silos de la organización se podrá conocer claramente el alcance y la gravedad de la amenaza. Esto significa que los líderes de tecnología, riesgo y otros negocios deben colaborar entre los silos para comprender el riesgo y sus múltiples cambios, identificar qué se ve afectado y medir las brechas.

Pero primero, todos los involucrados deberían acordar una definición compartida que establezca el riesgo y sus múltiples formas.

¿Qué es el riesgo tecnológico?

El riesgo tecnológico puede describirse como los numerosos riesgos asociados con la tecnología de una organización, su uso y infraestructura y las capacidades que la habilitan. La ciberseguridad y la gobernanza de datos suelen ser los primeros ejemplos que vienen a la mente, pero el alcance es mucho más amplio. Incluye fallas de hardware, software y red. También incluye riesgos asociados con la infraestructura de TI y las operaciones diarias que la tecnología permite, nuevamente, porque la tecnología afecta todo lo que hace una empresa, toda su gente, datos, procesos y activos.

Ejemplos de riesgos tecnológicos

Infraestructura ineficaz
Deuda técnica
Problemas de capacidad
Activos físicos sin gestionar
Obsolescencia tecnológica
disrupción tecnológica emergente
Fallas de terceros
Corrupción de datos
Escasez de capital humano
Incumplimiento de los requisitos comerciales

Con la gran cantidad de riesgos tecnológicos que pueden existir y surgir para una organización, ¿cómo se puede comenzar a priorizar los esfuerzos para gestionarlos? Muchas organizaciones abordan los riesgos de TI relacionados con los informes financieros dentro de sus marcos de control interno sobre informes financieros (ICFR), y pueden destacar algunos riesgos dentro de su registro de riesgos empresariales que se refieren al riesgo cibernético y de datos, pero eso no es suficiente.

¿Dónde se han identificado todos los demás riesgos relacionados con la tecnología y cómo se están gestionando? Si la tecnología es el combustible que impulsa las operaciones comerciales y la innovación, ¿no debería haber una mayor comprensión y priorización de los riesgos?

Marco de Capacidades tecnológicas: ¿Existe un marco y está actualizado?

Antes de poder identificar y evaluar los numerosos riesgos tecnológicos de su organización, debe catalogar sus capacidades tecnológicas. Comprender todo lo que hace su empresa con la tecnología puede ayudar a descubrir dónde se encuentran los riesgos. Esto requiere tener un marco de gobernanza implementado que tenga en cuenta todas las capacidades tecnológicas de la empresa.

Cualquier marco de referencia de confianza (COBIT, ITIL, TOGAF, etc.) puede servir como punto de partida, pero no será (ni debería ser) un cambio radical. Estos marcos de referencia requieren una personalización para adaptarse a la estructura y las necesidades de la organización. El objetivo es implementar un mecanismo ampliamente aceptado para gobernar las capacidades tecnológicas de su organización y alinearlas con las prioridades, los procesos, las funciones y la infraestructura del negocio.

Además, el marco debe estar actualizado. Poco sirve tener un programa de gobernanza tecnológica empresarial si no se mantiene al ritmo de la evolución tecnológica de la organización. Según nuestra experiencia, muchas empresas no han hecho un inventario formal de sus capacidades tecnológicas en años, si es que lo han hecho.

Con un marco de gobernanza tecnológico actualizado y un inventario actualizado de capacidades tecnológicas y de las partes interesadas, procesos y métricas asociadas, su organización puede comenzar a identificar el universo de riesgos con confianza. Pregúntese cuáles son las vulnerabilidades potenciales en cada capacidad tecnológica y las implicaciones comerciales de fallas, errores, degradación, demoras u otras debilidades.

Categorización de riesgos: ¿Existe un lenguaje común?

La variedad de riesgos y los nombres diferentes que se les En un nivel alto, los riesgos relacionados con la tecnología encajan en categorías amplias.

aplican hacen que sea un desafío identificarlos y evaluarlos todos. Organizarlos en una taxonomía lógica y jerárquica puede ser aún más difícil, ya que existen infinitas posibilidades y lograr un acuerdo en toda la empresa puede resultar difícil. La buena noticia es que no hay una única respuesta correcta: una taxonomía de riesgos tecnológicos puede adoptar muchas formas, y cualquiera de ellas puede ser útil, siempre que el lenguaje de los riesgos sea aplicable a la organización y las partes interesadas puedan llegar a un consenso.

En un nivel alto, los riesgos relacionados con la tecnología encajan en categorías amplias.

Riesgo de que una organización no alcance sus objetivos debido a eventos internos o externos. Algunos ejemplos incluyen la toma de decisiones deficiente, fallas de gobernanza, mala gestión financiera, oportunidades perdidas, amenazas competitivas y nuevos participantes en el mercado, fusiones y adquisiciones, cambios en las demandas de los clientes, presiones macroeconómicas o incertidumbre geopolítica.

Riesgos relacionados con las operaciones diarias de los sistemas tecnológicos y cómo pueden afectar las actividades comerciales. Estos incluyen fallas del sistema, interrupciones de la red y de la nube, riesgos de continuidad comercial, errores de software, obsolescencia tecnológica y errores humanos que pueden interrumpir los procesos comerciales y limitar la productividad.

Riesgos asociados a la adopción de tecnologías nuevas y emergentes, como la inteligencia artificial generativa, la convergencia de proveedores de nube, las aplicaciones inteligentes y la Web incluidas vulnerabilidades de seguridad, falta de estándares y resultados inciertos. No adoptar nuevas tecnologías también puede generar riesgos, ya que los sistemas heredados se vuelven menos sostenibles.

Si tomamos la segunda categoría (riesgo operacional) y la analizamos en profundidad dos niveles, por ejemplo, podríamos llegar a la siguiente jerarquía:

Cada organización tendrá su propia visión de los marcos y capacidades tecnológicas, la taxonomía de riesgos y el enfoque para agrupar los numerosos subriesgos, que a su vez variarán según la organización (y el sector). Dentro de una organización, los equipos individuales y las partes interesadas pueden tener diferentes puntos de vista y terminología. Es más, es probable que esos puntos de vista evolucionen con el tiempo a medida que la empresa y la tecnología en sí evolucionen.

El objetivo es forjar un consenso sobre una taxonomía funcional que sirva como base para identificar, evaluar y gestionar el riesgo tecnológico en toda la empresa.

En resumen

Comprender qué es el riesgo tecnológico, identificar qué partes de su organización afecta y acordar cómo factorizar son tres pasos fundamentales que debe dar desde el principio. No puede diagnosticar un problema (y mucho menos implementar una solución eficaz para toda la empresa) sin esta comprensión básica y un marco que lo guíe.

Una vez que haya realizado este trabajo básico, estará en una buena posición para tomar medidas significativas. Podrá identificar con precisión dónde se encuentra cada riesgo, evaluar sus capacidades actuales para gestionar esos riesgos y determinar su exposición residual. A partir de allí, las partes interesadas pueden alinearse en cuanto a las prioridades y asignar los recursos necesarios para gestionar esta exposición.

Pero primero lo más importante: comprender el riesgo y sus múltiples formas, saber dónde se presenta y ponerse de acuerdo sobre la terminología para y categorizar.

Contáctenos

Bismark Rodríguez

Socio Líder Regional de Consultoría, PwC Interaméricas

Isaac Rodríguez Rojas

Gerente de Ciberseguridad y Privacidad, PwC Interaméricas

Valentina Morales Chirimelli

Gerente Senior de Ciberseguridad y Privacidad, PwC Interaméricas

Prensa Offices Worldwide Contacto Industrias

© 2019 - 2025 PwC. Todos los derechos reservados. PwC se refiere a la red de PwC y/o una o más de sus firmas miembro, cada una de las cuales es una entidad legalmente separada. Ver www.pwc.com/structure para más detalles.