¿Qué es el riesgo informático para el usuario final y debería importarle?

Un artículo de Sam Lee en el que explica la importancia de gestionar los riesgos de la EUC.

Personal de Mitratech
Personal de Mitratech Julio 27, 2016 4 min leer
Decorative image

Un artículo de Sam Lee, Director de Riesgo Operativo, EMEA, SMBC, Torchlight Services

Lo creamos o no, nos guste o no, el riesgo de las aplicaciones informáticas para usuarios finales (EUC) ha prevalecido desde la aparición de herramientas como las bases de datos Access, las hojas de cálculo Excel y cualquier otra aplicación que ponga en manos del usuario "medio" el diseño de procesos basados en sistemas.

 

Con el tiempo, estas herramientas se han convertido en fundamentales para muchas operaciones financieras y algunas de sus ventajas (flexibilidad, facilidad de modificación, etc.) han empezado a plantear riesgos para las empresas que tanto dependen de ellas. ¿Qué es el riesgo informático para el usuario final?

A grandes rasgos, el riesgo se divide en dos categorías

  • Aquellos riesgos de los que tomamos conciencia debido a un acontecimiento, a través de las experiencias del mercado y derivados de nuestras actividades empresariales, inspiración individual, inspiración normativa u orientación. Estos riesgos están vinculados a la madurez de la organización en materia de riesgos, a su conocimiento y a su nivel de concienciación/integración del riesgo.
  • Aquellos que se desarrollan lentamente a lo largo del tiempo y de cuya existencia no somos conscientes durante algún tiempo. El riesgo informático del usuario final entra dentro de este grupo.

A medida que aumenta la complejidad de las aplicaciones para el usuario final (por ejemplo, cuando se utilizan para la modelización, la valoración, las hojas de cálculo para albergar datos críticos para la empresa o confidenciales) y trasciende su ubicuidad, nos estamos volviendo insensibles a los riesgos asociados a tales herramientas.

Facilidad de uso del libro electrónico Banner gráfico

¿Y qué? Ahí está el problema: si tienes una hoja de cálculo o una base de datos que:

  • Tiene muchos miles de líneas de código;
  • Utiliza múltiples macros;
  • Se alimenta de otras hojas de cálculo o bases de datos (o incluso sistemas);
  • Por definición, no se someterán a controles de cambio sólidos ni a pruebas de seguridad;
  • Casi igualmente por definición, no estará formalmente documentada en cuanto a su propósito ni estará sujeta a un ciclo de revisión;
  • O cualquier combinación de las anteriores;

...entonces uno puede no saber si se ha producido un cambio (ya sea de buena fe, accidental o malintencionado) y cuál es su impacto.

Una buena gestión del riesgo operativo no consiste en esperar a que se produzca un acontecimiento para confirmar la existencia de un riesgo. Debe consistir en comprender si existe un riesgo, evaluarlo y decidir qué hacer con esa información en función de su impacto, ya sea financiero, relacionado con los clientes, reputacional, normativo u operativo.

Otro problema al que se enfrentan muchas organizaciones es: ¿quién debe "asumir" este riesgo EUC? No es infrecuente que, una vez comprendido, este riesgo rebote de un pilar a otro. Se gana erróneamente un distintivo de "TI" sólo porque emplea soluciones "TI".

Sin embargo, la realidad es que, como ocurre con la mayoría de los riesgos operativos, el riesgo EUC es propiedad de la empresa. Con la plétora de riesgos empresariales que figuran en las agendas de los consejos de administración, la alta dirección y los comités de riesgos, este es uno más.

Es imprescindible disponer de un marco de gestión de riesgos

Es necesario para:

  • Definir qué es el riesgo EUC para la organización.
  • Definir en qué consisten las EUC de alto riesgo.
  • Definir los controles adicionales necesarios para gestionar las aplicaciones de alto riesgo.
  • Establecer protocolos adecuados de información y seguimiento para la supervisión.
  • Establecer protocolos de actuación en caso de que los niveles de riesgo se deterioren/el seguimiento revele excepciones.
  • Establecer una escalada adecuada.

Todo ello debe ser congruente con el marco más amplio de gestión del riesgo operativo y alimentarlo.

Tal vez, la forma más segura de ejecutar y mitigar los riesgos de las aplicaciones EUC sea adoptar un enfoque basado en sistemas para respaldar el marco de control. Un enfoque manual es prohibitivo y oneroso desde una perspectiva de coste-beneficio y riesgo-recompensa.

El futuro

Las EUC están aquí para quedarse y es improbable que nuestra dependencia de ellas disminuya, lo que significa que los riesgos que presentan deben ser comprendidos y evaluados. Pero lo cierto es que, para que esto ocurra, lo primero es que el riesgo atraiga la atención de los directivos.

Esto en sí mismo está resultando todo un reto, lo cual es enormemente sorprendente dado el potencial de pérdidas financieras y de reputación significativas que el riesgo EUC representa para las organizaciones. Recientemente, el proveedor de estudios Chartis estimó que el valor en riesgo de EUC para las 50 mayores instituciones financieras supera los 12.000 millones de dólares. Sería bastante imprudente seguir ignorándolo.

.vc_custom_1588816529952{margin-right: 0px !important;margin-left: 0px !important;background-image: url(https://mitratech.com/wp-content/uploads/Blue-Vertical-Gradient-Blogroll-Header-Background.png?id=28140) !important;background-position: center !important;background-repeat: no-repeat !important;background-size: cover !important;}

Descubra PolicyHub

Es la solución de gestión de políticas fácil de usar, para que puedas reforzar el cumplimiento normativo.

Más información

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.