4 tipos de riesgo informático para el usuario final (EUC) que debe tener en cuenta
4 tipos de riesgo informático para el usuario final (EUC) que debe tener en cuenta

4 tipos de riesgo informático para el usuario final (EUC) que debe tener en cuenta

Emily Bogin |

Cómo definir y clasificar los riesgos EUC en función del impacto organizativo

Cualquier aplicación que respalde un proceso crítico desarrollado o gestionado por usuarios finales en lugar de por un departamento de TI o un equipo profesional de ingeniería de software entra dentro del ámbito de la informática de usuario final (EUC). Y aunque estas aplicaciones pueden ser muy útiles para ayudar a los equipos a aumentar la eficiencia en su trabajo diario, los equipos de TI rara vez las gestionan con los mismos protocolos de gobierno o controles de seguridad que tienen para sus aplicaciones personalizadas .

Esto significa, especialmente en el entorno actual, que es muy probable que le pregunten por su programa de gestión de EUC. Pero, ¿qué respuestas debe tener a mano para decir con confianza: "Tengo implantada una política de EUC eficaz"?

Antes de poder mitigar eficazmente los riesgos de EUC mediante una combinación de controles y decisiones empresariales, es necesario poder definirlos y clasificarlos.

Aplicaciones EUC mal gestionadas: ¿cuál es el coste real?

El mundo financiero se vio sacudido por el incidente de la "doble contabilidad" en Marks and Spencer, que dio lugar al anuncio erróneo de un aumento de las ventas del 1,3% cuando, en realidad, éstas se habían desplomado un 0,4%. Del mismo modo, el gigante de los servicios de apoyo Mouchel sufrió un catastrófico hundimiento después de que un error contable le costara 8,6 millones de libras, lo que provocó que sus acciones cayeran en picado un 30%. Aunque las repercusiones financieras de estos errores de EUC fueron sustanciales, la percepción general del mercado de un control financiero inadecuado resultó ser incluso más perjudicial que los propios costes.

Pero aunque los riesgos asociados a los EUC pueden tener un gran impacto en su organización, no tienen por qué quitarle el sueño a su equipo. En su lugar, un marco programático para gestionar el riesgo de las EUC le garantiza que conoce cuáles son sus riesgos, que dispone de los controles adecuados para mitigarlos y que puede hacer recomendaciones a su equipo de TI. Por ejemplo, si un EUC de alto riesgo y alto uso debe transformarse en una aplicación propiedad de TI con una mejor supervisión, o si tiene más sentido dejarlo como está. Una laguna en su programa de gestión de riesgos de EUC puede tener repercusiones en su reputación que duren generaciones, por lo que es importante construirlo sobre una base sólida. Esto significa dedicar tiempo a identificar y clasificar todos los niveles de riesgo de EUC que afectan a su organización.

4 tipos de riesgo EUC

Para cualquier EUC que sea competencia de su departamento (especialmente las consideradas de alto riesgo), tendrá que asegurarse de que existen los controles adecuados, de que están documentados y de que se someten a una revisión anual y a una hoja de ruta. Y para hacerlo correctamente, tendrá que definir y clasificar estas EUC en función del impacto organizativo y el nivel de riesgo.

Cuando revise todas las EUC de su organización, clasifique los riesgos que presentan en las siguientes áreas clave:

Riesgo financiero

  • Exactitud de los datos y pérdidas: los datos EUC inexactos o incompletos provocan errores de cálculo financiero, lo que puede dar lugar a pérdidas económicas o problemas de cumplimiento de la normativa.
  • Utilización de recursos: El uso ineficaz de los recursos, incluidos el hardware, las licencias de software y el personal, genera gastos innecesarios.
  • Riesgos de vendedores o proveedores: La dependencia de vendedores o proveedores específicos expone a la organización a riesgos financieros si estas entidades no cumplen o experimentan inestabilidad financiera.

Riesgo operativo

  • Tiempo de inactividad: El tiempo de inactividad del sistema EUC puede interrumpir las operaciones empresariales, causando pérdidas de productividad y reducción de ingresos. El tiempo de inactividad puede deberse a problemas técnicos, fallos de software o ciberataques, y causar problemas de continuidad de la actividad.
  • Acuerdos de nivel de servicio (SLA): El incumplimiento de los SLA puede acarrear sanciones, incumplimientos contractuales y daños en las relaciones con los clientes.

Riesgo reglamentario

  • Incumplimiento: El incumplimiento de los requisitos normativos, como BCBS 239, SR 11-7, Solvencia II o normas específicas del sector, puede acarrear sanciones legales, multas y daños a la reputación.

Riesgo para la reputación

  • Percepción pública negativa: Cualquier problema relacionado con la EUC, como filtraciones de datos, fallos del sistema o infracciones de la normativa, puede empañar la reputación de la organización. Esto puede provocar un desplome de los precios de las acciones, la rotación de ejecutivos y dificultades para captar y conservar clientes.
  • Confianza del cliente: Los problemas relacionados con la EUC pueden erosionar la confianza y la lealtad de los clientes. Recuperar la confianza siempre requiere un esfuerzo y unos recursos considerables, si es que es posible.

Aunque la categorización del riesgo constituye un buen punto de partida para su estrategia de gestión de riesgos de EUC, aún no ha terminado. Tendrá que implantar los controles adecuados para cada EUC, en función del nivel de riesgo.

Por no mencionar que el mantenimiento de los controles, el cumplimiento de la normativa y la comunicación eficaz con las partes interesadas son retos constantes. E incluso si dispone de la mejor política de EUC del mundo, debe ser capaz de demostrar que se aplica y es eficaz.

Es mucho lo que hay que abarcar, y por eso hemos creado una lista de comprobación exhaustiva para la gestión de riesgos informáticos de usuario final (EUC ) que le ayudará a orientar su marco para identificar, cuantificar y gestionar los riesgos informáticos de usuario final (EUC).

lista de comprobación informática para el usuario final

Más para ti: