RESUMEN estandares nacionales e internacionales

Anuncio
RESUMEN
La viabilidad de la gran mayoría de los negocios de hoy se encuentra
fuertemente ligada a la infraestructura de Tecnologías de la Información.
Cada vez son más necesarias las TIC en el desarrollo de modelos
Informáticos que lleven a la empresa a tener un excelente nivel corporativo.
Por ello la mayoría de las empresas tienen muy claro que compartir la carga
de trabajo con la tecnología reduce considerablemente los tiempos de
ejecución de tareas complejas, pero también están conscientes de que el
precio que se paga por la modernización, es la apertura de brechas en la
seguridad, lo que supone peligros potenciales para su propia existencia.
Así, se hace necesaria y de vital importancia la gestión del riesgo digital la
cual es igual de importante como administrar riesgos financieros y otros
riesgos operativos ya que más de la mitad de las empresas experimentan
complicaciones inesperadas en algún sistema crítico a lo largo del año. Con
lo cual La pérdida y la violación de información tienen impactos altamente
negativos para la reputación y estabilidad financiera de estas
organizaciones.
Para combatir los nuevos riesgos de origen tecnológico se han desarrollado
estándares de protección y resguardo de procesos: el NIST (National
Institute of Standards and Technology) que permite la evaluación de riesgos
relacionados con las Tecnologías de Información (comercio electrónico,
cajeros automáticos, etc.); y el AS/NZS (Australian/New Zealand Standard
4360:2004), el cual más que evaluar la seguridad de la información, se
encarga de lograr una mayor comprensión de los riesgos en los procesos
administrativos en general.
En mayo 31 de 2004 el Instituto Colombiano de Normas Técnicas y
Certificación (ICONTEC) emitió la Norma Técnica de Gestión del Riesgo
NTC-5254, basada en el Estándar de Australia y Nueva Zelanda AS/NZS
4360, el cual es genérico y aplicable en cualquier tipo de organización sin
importar el sector, naturaleza o tamaño; esta norma es consistente y apoya
otros modelos y normas mundiales o locales relativas a la gestión del riesgo
y el control, tales como el modelo COSO, CobIT, Principios de Gestión del
riesgo del comité de Basilea (Sector Financiero), Ley Sarbanes-Oxley de
2002 y la Guía de administración del riesgo
Administrativo de la Función Pública (DAFP) de 2004.
del
Departamento
ESTANDARES NACIONALES
NORMA TECNICA COLOMBIANA NTC 5254
La Norma Técnica Colombiana de gestión del riesgo 5254 es una traducción
idéntica de la norma técnica Australiana AS/NZ 4360:2004 de amplia
aceptación y reconocimiento a nivel mundial para la gestión de riesgos
independiente de la industria o el negocio que desee emplearla.
Esta norma provee una guía genérica para el establecimiento e
implementación del proceso de administración de riesgos involucrando el
establecimiento del contexto y la identificación, análisis, evaluación,
tratamiento, comunicación y el monitoreo en curso de los riesgos.
ESTANDARES INTERNACIONALES
LA NORMA AS / NZS 4360
La norma AS/NZS 4360 suministra orientaciones genéricas para la gestión
de riesgos. Puede aplicarse a una gran variedad de actividades, decisiones
u operaciones de cualquier entidad pública, privada o comunitaria, grupos o
individuos. Se trata de una instrucción amplia pero que permite la definición
de objetivos específicos de acuerdo con las necesidades de cada
implementación. La aplicación de la norma AS/NZS 4360 le garantiza a la
organización una base sólida para la aplicación de cualquier otra norma o
metodología de gestión de riesgos específica para un determinado
segmento.
COBIT Control Objectives for Information and Related Technology
COBIT, Tiene una serie de recursos que pueden servir como un modelo de
referencia para Gestión de TI, incluyendo un sumario ejecutivo, un
"framework" con control de los objetivos, mapas de auditoría, herramientas
para su implementación y principalmente, un guía con técnicas de gestión.
COBIT fue proyectado para auxiliar tres áreas distintas:
 Gestores que necesitan evaluar el riesgo y controlar las inversiones de TI
en una organización.  Usuarios que necesitan tener garantías de que los
servicios de TI, que dependen de que sus productos y servicios para los
clientes internos y externos están siendo bien gestionados.  Auditores que
pueden apoyarse en las recomendaciones de COBIT para evaluar el nivel
de la Gestión de TI y aconsejar el control interno de la organización.
NIST Nacional Institute of Standards of Technology
El Instituto Nacional de Normas y Tecnología (NIST) es una agencia de la
Administración de Tecnología del Departamento de Comercio de los
Estados Unidos. La misión de este instituto es promover la innovación y la
competencia industrial en Estados Unidos mediante avances en metrología,
normas y tecnología de forma que mejoren la estabilidad económica y la
calidad de vida.
El NIST se encuentra actualmente desarrollando normas para las tarjetas de
identificación del gobierno para empleados federales y contratistas con el fin
de prevenir el acceso a personal no autorizado a los edificios y sistemas de
cómputo del gobierno.
CONCLUSIONES
La gestión de riesgo se puede aplicar en muchos ámbitos de una
organización. Se puede aplicar en los niveles estratégico, táctico y
operacional. Se puede aplicar a proyectos, en la toma de decisiones
específicas o para mejorar áreas reconocidas de riesgo.
La norma AS / NZS 4360 no se enfoca tanto en la seguridad sino que se
preocupa mas por la comprensión de los riesgos en los procesos
administrativos en general; sin embargo es un estándar que permite fijar
una base sólida para que se puedan adoptar otras normas.
COBIT Está enfocada fuertemente en el control y menos en la ejecución. Se
enfoca en vincular las metas de negocio con las metas de TI, brindando
métricas y modelos de madurez para medir sus logros, e identificando las
responsabilidades asociadas de los propietarios de los procesos de negocio
y de TI.
NIST, Su misión más importante es el progreso y la innovación tecnológica
en estas cuatro áreas: biotecnología, nanotecnología, tecnologías de la
información y fabricación avanzada.
Descargar