Home / Resources / ISACA Journal / Issues / 2018 / Volume 4 / Integrating KRIs and KPIs for Effective Technology Risk Management

Integrado KRIs and KPIs ara una gestión eficaz del riesgo tecnológico

Autor: Rama Lingeswara Satyanarayana Tammineedi, CISA, CRISC, CBCP, CISSP, MBCI, PMP
Fecha de Publicación: 22 January 2019
English

La evaluación del desempeño es un elemento clave de cualquier sistema de gestión y una buena práctica de gobierno. Incluye seis actividades clave: monitoreo, medición, análisis, evaluación, auditoría interna y revisión de la gestión. La evaluación del desempeño del sistema de gestión de riesgos de una organización garantiza que el proceso de gestión de riesgos permanezca continuamente relevante para las estrategias y objetivos comerciales de la organización. Las organizaciones deben adoptar un programa de métricas para llevar a cabo formalmente la evaluación del desempeño. Un programa de métricas eficaz ayuda a medir la seguridad y la gestión de riesgos desde una perspectiva de gobierno.1

En pocas palabras, las métricas son indicadores mensurables del rendimiento. Las dos métricas clave que se utilizan son indicadores clave de riesgo (KRI) e indicadores clave de rendimiento (KPI). COBIT 5 para riesgo define los KRI como métricas capaces de mostrar que la empresa tiene o tiene una alta probabilidad de estar sujeta a un riesgo que excede el apetito de riesgo definido.2 Son fundamentales para la medición y el control de la optimización de riesgos y rendimiento. Estas métricas ayudan a informar eficazmente los resultados de rendimiento de la gestión de riesgos (comunicación de riesgos) a las partes interesadas y permiten a la administración tomar decisiones informadas sobre la gestión de riesgos. Mientras que los KPI se centran en el rendimiento empresarial, los KRI se centran en el rendimiento de la gestión de riesgos.

Este artículo destaca cómo se puede usar un programa de métricas de riesgo para integrar KRI y KPI para una gestión eficaz de los riesgos tecnológicos.

Programa de métricas de riesgo

Un programa efectivo de métricas de riesgo produce varios beneficios, que incluyen:

  • Permitir la revisión periódica de las tendencias de riesgo y una mejor visibilidad del riesgo y las vulnerabilidades de la tecnología
  • Permitir una mayor responsabilidad y una mayor eficacia en la gestión del riesgo de la tecnología
  • Asistir en la revisión de la gestión y proporcionar indicadores de decisión para la mejora continua de la gestión de riesgos tecnológicos
  • Proporcionar insumos para priorizar las decisiones de asignación de recursos
  • Ayudar a agilizar las comunicaciones de riesgo
  • Contribuir al ahorro general de costos y a una mayor eficacia de la gestión de riesgos

Los pasos clave en el programa de métricas de riesgo son:

  • Selección y desarrollo de métricas
  • Colección de datos de métricas
  • Análisis de datos de métricas
  • Reportar los resultados de métricas

El conjunto de métricas de riesgo seleccionadas para la implementación inicial debe basarse en el nivel de madurez de la gestión de riesgos actual de la organización y debe contribuir a la mejora de las áreas de enfoque de gestión de riesgos de alta prioridad. Las métricas también deberían cubrir varias categorías de partes interesadas en la organización. La recopilación y el análisis de datos de métricas y el informe de resultados de métricas se pueden automatizar (consulte la sección de este artículo titulada “Automatización: el papel de las herramientas de GRC en un programa de métricas”). Se sugiere el modelo de tres líneas de defensa3 para establecer la propiedad del riesgo y garantizar la rendición de cuentas.

La propiedad del riesgo y el modelo de tres líneas de defensa contra el riesgo

Los gerentes de negocios tienden a pensar que el riesgo tecnológico es propiedad y está administrado por TI o la función de riesgo dentro de la organización. COBIT 5 para riesgo define el riesgo de TI como el riesgo comercial, específicamente, el riesgo comercial asociado con el uso, propiedad, operación, participación, influencia y adopción de TI dentro de una empresa.4

El modelo de tres líneas de defensa se puede utilizar como un medio principal para estructurar los roles y las responsabilidades de la toma de decisiones y el control relacionados con el riesgo para lograr una gobernanza, gestión y garantía de riesgos efectivos:

  1. La primera línea de defensa son los equipos de gestión de líneas de negocios individuales (LoBs), que son responsables de identificar y gestionar el riesgo inherente en los productos, servicios, procesos y sistemas dentro de sus LoB.
  2. La segunda línea de defensa es una función de riesgo corporativo independiente, responsable de diseñar el marco de gestión de riesgos; definir roles y responsabilidades; y proporcionar supervisión, soporte, monitoreo e informes.
  3. La tercera línea de defensa es la función de auditoría interna y es responsable de una revisión independiente de los controles, procesos y sistemas de gestión de riesgos de la organización.

La Figura 1 proporciona una descripción general de los roles y responsabilidades de las tres líneas de defensa, con ejemplos de KRI.

La necesidad de vincular KRIs a KPIs

La vinculación de los KRI a los KPI les permite a los gerentes de negocios apreciar la relación entre el riesgo y el desempeño de negocio, y la relevancia de los KRI para los objetivos de negocios y el apetito de riesgo de la organización. Esto ayuda en la colaboración interfuncional e incorpora consideraciones de riesgo en las decisiones del negocio. Vincular los KRI a los KPI también ayuda a lograr que los negocios acepten invertir en medidas de mitigación de riesgos. La Figura 2 muestra algunos ejemplos de KRIs vinculados a KPIs y el impacto al negocio de los KRI.

COBIT 5 para riesgos y KRIs

COBIT 5 para riesgo es una guía profesional de COBIT 5 que analiza los riesgos relacionados con TI y proporciona una guía detallada y práctica para los profesionales de riesgo. Específico para KRIs, define KRIs, enumera los parámetros y criterios para la selección de KRIs, describe el modelo de tres líneas de defensa, enumera los beneficios que proporcionan los KRI a una empresa y describe los desafíos comunes encontrados durante la implementación exitosa de los KRIs.

COBIT 5 para riesgo enumera algunos posibles KRIs para diferentes partes interesadas: el director de información (CIO), la función de riesgos y el director ejecutivo (CEO)/junta directiva (BoD). Algunos de estos KRI se muestran en la figura 3.

Automatización: el papel de las herramientas de GRC en un programa de métricas

Una solución de gestión de riesgos de gobierno, riesgo y cumplimiento (GRC) proporciona a una organización una visión consolidada de su riesgo. La solución permite la evaluación de riesgos y le da al personal autorizado la capacidad de asignar métricas al riesgo, recopilar cambios en el perfil de riesgo de la organización y monitorear el riesgo y las métricas contra objetivos y umbrales de tolerancia.

Los objetivos corporativos y las políticas definidas por la alta gerencia, junto con otras fuentes y estándares autorizados, contribuyen al desarrollo de un registro de riesgos. El registro de riesgos se utiliza para generar cuestionarios de evaluación de riesgos que se utilizan para realizar evaluaciones de riesgos. Los resultados de la evaluación de riesgos impulsan el desarrollo y la implementación de planes de mitigación o remediación de riesgos. Estos planes, así como los resultados, se comunican a la administración superior. Los objetivos corporativos y el registro de riesgos se utilizan para desarrollar las métricas: KPIs y KRIs, respectivamente. El panel de indicadores o los resultados se comunican regularmente a la alta gerencia. La figura 4 proporciona una descripción general de un flujo de trabajo de automatización de métricas de riesgo en una solución típica de GRC.

Conclusión

La comunicación de riesgos es un elemento clave del proceso de gestión de riesgos. La comunicación y la consulta con las partes interesadas son importantes ya que hacen juicios sobre el riesgo en función de sus percepciones de riesgo.5 Un programa efectivo de métricas de riesgo aporta objetividad a la percepción del riesgo de las partes interesadas al proporcionar un lenguaje compartido para medir la efectividad de las medidas de seguridad y mitigación de riesgos dentro de la organización. La integración de KRIs con KPIs ayuda a fortalecer la cultura de riesgo de las organizaciones al permitirles a los gerentes de negocios reconocer los beneficios comerciales de una gestión de riesgos de tecnología efectiva.

Notas finales

1 For examples of operational efficiency metrics and metrics in a security balanced scorecard, see Volchkov, A.; “How to Measure Security From a Governance Perspective,” ISACA Journal, vol. 5, 2013, https://www.isaca.org/resources/isaca-journal/issues
2 ISACA, COBIT 5 for Risk, USA, 2013
3 For a detailed description of the three-lines-of-defense model and its role within the enterprise’s wider governance framework, see COBIT 5 for Risk.
4 Op cit ISACA
5 For a detailed description of the importance of communication and consultation in risk management, see International Organization for Standardization, ISO 31000:2018, Risk management—Guidelines.

Rama Lingeswara Satyanarayana Tammineedi, CISA, CRISC, CBCP, CISSP, MBCI, PMP
Es consultor de diversas industrias en el área de ciber resiliencia, gobernanza de seguridad de la información, políticas y procedimientos de seguridad de la información, evaluaciones de seguridad, gestión de riesgos operacionales y de información, gestión de continuidad del negocio, planificación de recuperación ante desastres de TI, implementación ISO/IEC 27001, privacidad de datos, y evaluación de ITIL. Tiene más de 30 años de experiencia en TI en diversas organizaciones, empresas y tecnología, que le permiten ofrecer servicios centrados en el cliente y valor como consultor de ciberseguridad.