Gestión de Riesgos de la Información
Este elemento es una ampliación de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre este tema.
¿Qué tan bien gestiona su organización los riesgos asociados con la calidad de la información? La gestión del riesgo de la información se está convirtiendo en una de las principales prioridades del programa de la Organización. (Tal vez sea de interés más investigación sobre el concepto). La creciente sofisticación de las capacidades de TI, junto con la dinámica en constante cambio de la competencia global, están obligando a las empresas a hacer un uso más eficaz de su información. (Tal vez sea de interés más investigación sobre el concepto). La información se está convirtiendo en un recurso y un activo básico para todas las organizaciones; sin embargo, también trae consigo muchos riesgos potenciales para una organización, desde estratégicos, operativos, financieros, de cumplimiento y ambientales hasta sociales.
La noción de Big Data se ha convertido en un tema muy discutido en el mundo de los negocios. Casi todos los directores ejecutivos (CEO) que leen regularmente revistas de negocios tienen que preguntar: “¿Estoy en el buen camino con la gestión y utilización de datos e información en mi empresa? En la mayoría de las organizaciones están surgiendo varias tecnologías nuevas que se suman a lo que ya es una miríada de tecnologías antiguas, y esto trae consigo desafíos específicos. Muchas organizaciones están tratando desesperadamente de contratar a científicos de datos para que ayuden a superar la complejidad que se ve ahora, y la nueva disciplina de la ciencia de datos está evolucionando a un ritmo acelerado.
Los datos se convierten en el centro de atención de los ejecutivos porque son el material esencial para generar los conocimientos de información que un negocio necesita para esforzarse en el entorno cada vez más competitivo de hoy en día. El conocimiento de la información permite a las empresas comerciales asignar recursos de forma más rentable, satisfacer a sus clientes de forma más eficaz, reducir costes, ahorrar energía y materiales, y ofrecer mejores productos y servicios que los consumidores realmente desean y que tienen un precio competitivo.
Pormenores
Las autoridades públicas, los gobiernos y las comunidades locales pueden utilizar el análisis para minimizar las cargas financieras impuestas a los contribuyentes, reducir la delincuencia, optimizar el transporte, mejorar la fiabilidad y la calidad de los servicios públicos y ciudadanos, y disminuir la contaminación ambiental. [rtbs name=”contaminacion”] Las organizaciones sin fines de lucro también pueden aprovechar considerablemente la información para aumentar la velocidad de la logística de apoyo en las regiones en crisis, lograr una mejor asignación de recursos para resolver los desafíos globales y acelerar el progreso médico en la lucha contra las enfermedades. No es una exageración decir que el análisis avanzado de datos conducirá a un planeta más inteligente y esperemos que mejor.
Sin embargo, aunque los datos y la información se están convirtiendo en activos clave para todas las organizaciones, su uso conlleva sin duda muchos riesgos potenciales desde el punto de vista estratégico, operativo, financiero, de cumplimiento, de gobernanza, medioambiental y social. La gobernanza de la información está ejerciendo cada vez más la mentalidad de muchas organizaciones, sobre todo debido a los requisitos legales y reglamentarios más estrictos que se imponen tanto a las entidades del sector privado como a las del sector público. Todas las organizaciones manejan información. (Tal vez sea de interés más investigación sobre el concepto). El gobierno de la información es absolutamente vital para la identificación temprana del riesgo potencial, la prevención del riesgo y la garantía de la continuidad del negocio en caso de riesgo adverso. La exactitud de los registros de datos y el mantenimiento de los mismos es fundamental no solo para cumplir los requisitos de cumplimiento, sino también para la supervivencia a largo plazo (véase más detalles en esta plataforma general) de la organización. (Tal vez sea de interés más investigación sobre el concepto). Las organizaciones que no gestionan la información corren el riesgo de quedar expuestas a multas, sanciones y otras sanciones, por no mencionar la pérdida de reputación y el posible fracaso del negocio.
Una mala gestión de la información no es una opción. (Tal vez sea de interés más investigación sobre el concepto). Hay muchas maneras en las que la información puede verse comprometida, dañada o desestabilizada, lo que conduce a una multiplicidad de problemas. Estos van desde los que son simplemente un inconveniente hasta los que pueden causar un daño significativo a la organización. (Tal vez sea de interés más investigación sobre el concepto).
Puntualización
Sin embargo, la gestión de los riesgos de la información a menudo se logra de manera deficiente porque las organizaciones le dan poca prioridad y, de hecho, poca visibilidad. Muchos ven la información como intangible y no saben cuál es la mejor manera de administrarla.Entre las Líneas En consecuencia, y debido a los retos que plantea, no se le dedica todo el tiempo y la atención que con razón merece. El hecho es que en la economía actual, cada vez más intensiva y basada en la información, los nuevos riesgos derivados de la información con niveles de mala calidad pueden aparecer y aparecen rápidamente.
Las organizaciones deben reconocer que la gestión del riesgo de la información es de vital importancia estratégica y un componente clave de la estrategia general de la empresa. La gestión del riesgo de la información es importante para todas las organizaciones, independientemente de su tamaño o estructura, y es necesario alentar a las personas de las organizaciones a que gestionen los riesgos asociados y consideren dicha gestión como parte integrante de sus operaciones cotidianas. Sin una apreciación del papel que desempeñan, los empleados pueden llevar a cabo actividades o, por el contrario, no llevar a cabo actividades que, en consecuencia, dejan a la organización expuesta a riesgos innecesarios. Muchas organizaciones luchan por entender cómo medir y cuantificar el impacto que tiene la calidad de la información en el desempeño.
Afortunadamente, la disciplina bien establecida de la gestión de riesgos ofrece una variedad de conceptos y métodos reconocidos para controlar el impacto de eventos inciertos.Entre las Líneas En la disciplina de gestión de datos e información, hasta ahora, la gestión de riesgos se ha utilizado para gestionar los riesgos relacionados con la divulgación de información o que se derivan de fallos de los sistemas de TI, pero no directamente para gestionar los riesgos cuando los activos de datos e información son de mala calidad.
Una Conclusión
Por lo tanto, los procesos de gestión de riesgos de la información existentes solo abordan un subconjunto muy pequeño de la gama de riesgos causados por una gestión deficiente de los datos y la información.
Calidad de datos
La gente en la profesión de la calidad de datos debe sentirse orgullosa de haber creado un cuerpo de pensamiento, enfoques, métodos y herramientas que funcionan! Cuando se aplican con una diligencia razonable, los departamentos y las empresas que primero dirigen sus esfuerzos de calidad de datos hacia la prevención de errores en la fuente, se centran en las necesidades más importantes de los clientes más importantes, identifican y eliminan las causas fundamentales de los errores e incorporan controles para evitar que las causas fundamentales vuelvan a aparecer casi siempre con éxito. Hacen grandes mejoras, a veces de un orden de magnitud o más. Y cosechan enormes beneficios!
Al mismo tiempo, los profesionales de la calidad de datos tienen que hacerse la pregunta difícil: “Entonces, ¿por qué no todos recogen el mantra de la calidad de datos?” Pienso y discuto esta cuestión con otros todo el tiempo. Hay muchas razones: algunos dirigen toda su atención a la limpieza y nunca llegan a las causas de fondo, otros no se mantienen al margen, y muchos tratan la calidad de los datos únicamente como un problema de TI. Otros no han sido capaces de establecer y comunicar un caso de negocio lo suficientemente poderoso como para avanzar en el esfuerzo! No tengo demasiada simpatía por aquellos que no se acercan a la calidad de los datos correctamente, que no tienen los medios para mantenerla y que asignan el esfuerzo al grupo equivocado.
Sin embargo, siento una gran simpatía por aquellos que no han sido capaces de establecer el caso empresarial.Entre las Líneas En la profesión de la calidad de datos tenemos que tomar una medida de responsabilidad aquí: no hemos desarrollado los casos de negocio completos, poderosos y convincentes, ni los hemos presentado de manera convincente, ni hemos construido la base de apoyo necesaria para convencer sistemáticamente a una masa crítica de personas de que la mejora de la calidad de los datos vale la pena. No malinterprete aquí: hemos desarrollado casos de negocios “suficientemente buenos” para los pocos líderes, pero no para los muchos. Tampoco hemos establecido los métodos que la gente “menos que experta” puede usar para construir sus casos de negocios y tener una oportunidad justa.
Perspectivas
No faltan pensadores y expertos a los que les gusta dividir el mundo de los negocios y las organizaciones en sus componentes. Las primeras décadas del siglo XXI van a ser identificadas, en parte, por organizaciones que profundizan en la comprensión de las diversas disciplinas en torno a los datos y la información. (Tal vez sea de interés más investigación sobre el concepto). Esto es algo bueno hasta cierto punto. Después de todo, nuestro mundo se complica con el tiempo, no menos.Si, Pero: Pero el mundo de los negocios tiende a llegar a un punto en el que los expertos solo hablan de cosas y no hacen nada.
Este es el caso de la gestión de los activos de información. (Tal vez sea de interés más investigación sobre el concepto). Se reconoce plenamente que el componente de información es vital para nuestro mundo empresarial y político. Esto incluye la gestión de transacciones, hojas de cálculo, correos electrónicos, medios de comunicación, etc. Por primera vez en la historia de la humanidad, los principales medios de comunicación, el marketing y el gobierno están abordando directamente el uso de datos e información para mejorar la sociedad, optimizar las empresas y responder a preguntas no planteadas. Todos estos mensajes son ricos en tecnología, optimistas y de color de rosa.
Nadie habla de la otra cara de la moneda. Pueden pasar cosas malas. Los ejecutivos y los profesionales del marketing odian la percepción de lo negativo. A la mayoría de los que trabajamos en calidad de la información y gobernabilidad se nos ha dicho que hagamos “girar” nuestros hallazgos porque el jefe odia las malas noticias.Si, Pero: Pero cuando hablas de las cosas malas, empiezas a manejar (gestionar) el riesgo. Y gestionar el riesgo es algo bueno.
Una Conclusión
Por lo tanto, hablar de lo que se percibe como malo significa abrir otro aspecto al valor de los activos de información.
Se puede cuantificar el riesgo y, por lo tanto, la gestión del riesgo. Y para las organizaciones que desean administrar los activos de información, la gestión del riesgo es un nuevo ángulo para vender un conjunto de actividades que se necesitan desesperadamente a los altos directivos que no quieren tomarse el tiempo para aprender sobre el valor de los datos.
Hasta ahora, asociar la gestión de riesgos con un programa de información parecía esotérico. La primera vez que presenté el riesgo como un medio para el fin que llamamos gobierno de datos, me dijeron que estaba fuera de la zona de confort para los administradores de la información. (Tal vez sea de interés más investigación sobre el concepto). Eso era cierto. También me dijeron que estaba siendo demasiado esotérico y que debía ceñirme a los beneficios en torno a “mejores datos e informes más precisos”. Eso no era cierto. Puede que sea difícil, pero hay que hacerlo. Me alegro de que alguien estuviera escuchando.
Investigar el entorno político, legal y regulatorio
El entorno político, legal y regulatorio puede ser muy influyente en cuanto a la forma en que se llevan a cabo las actividades comerciales.[rtbs name=”operaciones-empresariales”]Las organizaciones deben cumplir con las leyes y regulaciones de cada país en el que hacen negocios. Las normas y reglamentos pueden cambiar con frecuencia y a menudo son ambiguos; también dependen de la cultura política de un país. Muchas industrias están fuertemente reguladas en todo el mundo, como la banca y las finanzas, los servicios públicos, el transporte, el petróleo y el gas, y la minería. Las regulaciones tendrán una gran influencia en su modelo de negocio.
Otros Elementos
Además, el sistema jurídico puede diferir de un país a otro (por ejemplo, el derecho civil, el derecho consuetudinario, el derecho religioso) y a menudo requiere conocimientos muy especializados. La introducción de nuevas leyes fiscales puede cambiar la base de sus decisiones de inversión. (Tal vez sea de interés más investigación sobre el concepto).
Otros Elementos
Además, en algunos países, puede ser más difícil para usted proteger la propiedad intelectual de su organización. (Tal vez sea de interés más investigación sobre el concepto). Un ejemplo más extremo es si los países en los que se hacen negocios se ven envueltos en conflictos, tales como guerras, guerras civiles y revoluciones – esto puede invalidar completamente lo que inicialmente fueron decisiones de negocios muy sólidas.
¿Qué es Gestión de Riesgos de la Información?
Los directivos tienen que hacer frente a los nuevos retos que plantea la creciente importancia de que los datos y la información se consideren activos clave.
Informaciones
Los datos y la información son activos tan importantes para una organización que es vital entender cómo impactan el rendimiento (véase una definición en el diccionario y más detalles, en la plataforma general, sobre rendimientos) empresarial de una organización. (Tal vez sea de interés más investigación sobre el concepto).
Informaciones
Los datos y la información tienen un impacto en cada parte de la organización; no tomar en serio estos impactos en el negocio puede conducir a riesgos que dañan a la organización.
Total Information Risk Management (TIRM) es una colección de conceptos, métodos y técnicas que hemos desarrollado para abordar estos nuevos desafíos. El proceso TIRM ha avanzado después de llevar a cabo una investigación pionera en la Universidad de Cambridge, financiada por el British Engineering and Physical Sciences Research Council (EPSRC). Nuestra investigación se llevó a cabo en colaboración con muchas otras universidades internacionales y muchas organizaciones diferentes en varios sectores industriales.
TIRM se basa en el extenso cuerpo de conocimientos en la bien establecida disciplina de gestión de riesgos, así como en la nueva disciplina de gestión de datos e información. (Tal vez sea de interés más investigación sobre el concepto). Proporciona a las organizaciones las herramientas necesarias para comprender, medir y controlar el impacto empresarial de los activos de datos e información, de forma eficaz y eficiente.
Antecedentes de la gestión de riesgos de la información
Activos de datos e información
Dentro del marco de gestión de riesgos de la información, en esta subsección se presentan conceptos clave sobre los activos de datos e información, incluyendo una discusión sobre las características de los activos de datos e información, la calidad de los activos de datos e información y su impacto en el negocio.
Gestión de la información de la empresa
Dentro del marco de gestión de riesgos de la información, en esta subsección se ofrece una introducción al concepto de gestión de la información empresarial, investiga la influencia de los grandes datos en las MIE y analiza los principales retos y presiones actuales para las MIE.
Cómo los datos y la información crean riesgo
Dentro del marco de gestión de riesgos de la información, en esta subsección se presenta un modelo de cómo los datos y la información crean riesgo en una organización. (Tal vez sea de interés más investigación sobre el concepto). Se explica cómo una mala gestión de la información conduce a problemas de calidad de los datos y de la información, que a su vez conducen a un menor rendimiento (véase una definición en el diccionario y más detalles, en la plataforma general, sobre rendimientos) de los procesos de negocio y, en última instancia, crean riesgos en las organizaciones y afectan a los objetivos básicos de la empresa.
Introducción a la gestión de riesgos empresariales
Dentro del marco de gestión de riesgos de la información, en esta subsección se presenta los elementos más importantes de la gestión de riesgos. Explicamos el riesgo y la gestión de riesgos, lo que hace un proceso de gestión de riesgos, y cómo se puede evaluar y tratar el riesgo en general.
Otros Elementos
Además, se muestra cómo se pueden determinar el apetito de riesgo y los criterios de riesgo, y se discute el papel del director de riesgos.
Revisor: Lawrence
Nuestro proceso ayuda a su organización a comprender los “puntos débiles” relacionados con la mala calidad de los datos y de la información, de modo que pueda concentrarse en los problemas que tienen un gran impacto en los objetivos principales del negocio. Este texto le proporciona todos los conceptos, directrices y herramientas fundamentales para garantizar que la información básica del negocio se identifique, proteja y utilice de forma eficaz, y que esté escrita en un lenguaje claro y fácil de entender para los gerentes no técnicos.
En nuestra opinión, los enfoques actuales de la gestión de datos e información no crean un vínculo lo suficientemente claro entre los datos y su valor comercial real. Muchos de los libros de gestión de datos existentes tratan de los aspectos técnicos de la gestión de datos, pero sólo unos pocos discuten en detalle cómo deben ser gobernados los datos y la información.
Una de las preguntas más integrales sobre la gestión de datos e información sigue sin respuesta: es muy difícil proporcionar pruebas reales de dónde los datos y la información realmente impactan el negocio, y es aún más difícil decir hasta qué punto puede verse afectada una organización. Este texto ofrece un enfoque innovador de TIRM, que logra un vínculo claro entre los datos, la información y el negocio. Demostramos la mejor manera de lograrlo mediante la integración de métodos y técnicas de gestión de riesgos con la disciplina de la gestión de datos e información.
De un libro, por si sirve para algo:
Capítulo 5: Visión General del Proceso y Modelo TIRM
Este capítulo da una visión general de las diversas etapas del proceso TIRM y dicta los aspectos generales que deben ser considerados al aplicar el proceso TIRM. También damos una visión general del modelo TIRM, que es necesario para la etapa B del proceso TIRM.
Capítulo 6: Etapa A del Proceso TIRM: Establecer el Contexto
Este capítulo es el primero de tres que explican las tres etapas del proceso TIRM. Aquí se le muestra cómo establecer la motivación, las metas, el alcance inicial, las responsabilidades y el contexto del proceso de TIRM. En este capítulo se explican las áreas clave, incluyendo cómo establecer el entorno externo, cómo analizar la organización y cómo identificar los objetivos de negocio, las unidades de medida y los criterios de riesgo. También explica cómo obtener una comprensión completa del entorno de información en el que opera su negocio en particular.
Capítulo 7: Etapa B del Proceso TIRM: Evaluación del Riesgo de la Información
Este capítulo proporciona una guía paso a paso para implementar la etapa de evaluación de riesgos de la información del proceso TIRM. El capítulo demuestra cómo cuantificar el impacto empresarial de la mala calidad de los datos y la información, e ilustra cómo identificar los riesgos de la información, analizar y cuantificar los riesgos de la información, y evaluar y clasificar los riesgos de la información.
Capítulo 8: Etapa C del Proceso TIRM: Tratamiento de Información de Riesgos
Este capítulo proporciona una guía paso a paso para implementar la etapa de tratamiento de información de riesgos del proceso TIRM. Abarca la identificación de las causas de los riesgos de la información, la búsqueda de tratamientos adecuados de los riesgos de la información, el cálculo de los costes y beneficios, la selección y aplicación de tratamientos de los riesgos de la información y la verificación de su eficacia después de su aplicación.
Capítulo 9: Integrando el Proceso TIRM dentro de la Organización
Este capítulo ofrece una ilustración completa de cómo integrar el proceso TIRM dentro de una organización. Aclara las funciones y responsabilidades que conducen a una integración satisfactoria y ofrece principios rectores para una aplicación satisfactoria.
Capítulo 10: Ejemplo de Aplicación del Proceso TIRM
Utilizando un estudio de caso basado en la experiencia de los autores en la implementación de TIRM en una empresa de energía, este capítulo muestra la aplicación práctica del proceso TIRM. También demuestra los importantes beneficios que pueden derivarse de la mejora de la calidad de los datos y las existencias de información.
Capítulo 11: Técnicas de Evaluación de Riesgos para TIRM
En este capítulo se examinan las técnicas populares utilizadas para la gestión del riesgo y se explora cómo pueden utilizarse en el contexto de la gestión del riesgo de la información. Algunos de ellos pueden ser familiares y otros no tanto.
Capítulo 12: Herramientas de software: Métodos automatizados para TIRM
Este capítulo considera cómo las soluciones de software automatizadas pueden soportar el TIRM y examina cómo algunas de las etapas del proceso TIRM pueden ser automatizadas. Continúa con un debate sobre las herramientas y tecnologías de gestión de la información actualmente disponibles para detectar y mitigar los riesgos de la información.
Capítulo 13: Estableciendo el apoyo organizacional y la participación de los empleados para TIRM
Este capítulo discute estrategias y conceptos para superar la resistencia organizacional y aumentar el apoyo de los empleados a TIRM. Se basa en modelos publicados en la literatura para mostrar la mejor manera de lograr la “aceptación” por parte de los empleados.
Cambiando la actitud de sus empleados hacia la calidad de la información: La evaluación del riesgo de la información ilustra a los empleados en su propia área de trabajo el valor de tener un alto nivel de calidad de la información; esta transmisión de valor puede cambiar la forma en que los empleados piensan acerca de la información. Como muchos problemas de calidad de la información son atribuibles al comportamiento de las personas durante la recolección y procesamiento de datos, esto puede hacer una contribución positiva al desempeño.
Perfeccionamiento de sus sistemas de información: Entender cómo se combina y utiliza la información en una organización en un contexto determinado y conocer los riesgos de la información ayuda a las organizaciones a afinar sus sistemas de información para lograr un rendimiento óptimo en un contexto determinado de la organización.