¿Qué es el riesgo informático para el usuario final (EUC)?
Un artículo de Sam Lee, Director de Riesgo Operativo, EMEA, SMBC, Torchlight Services
La informática de usuario final es un sistema en el que los usuarios pueden crear aplicaciones funcionales además del proceso de desarrollo dividido en diseño, creación, prueba y publicación que suelen seguir los ingenieros de software. Microsoft Excel es quizás uno de los ejemplos más conocidos de plataforma EUC.
Teniendo esto en cuenta, el riesgo de las EUC es, por tanto, la posibilidad de que se produzcan errores en documentos empresariales clave de las EUC, como las hojas de cálculo. La flexibilidad de las EUC puede llevar a cometer errores en estos documentos críticos de la empresa. Dado que los datos producidos por las EUC son generalmente aceptados y utilizados por la dirección y otros usuarios finales, esto puede conducir rápidamente a datos incorrectos y, a su vez, aumentar el riesgo de pérdidas financieras y de reputación.
¿Por qué es importante el riesgo EUC?
Aunque el riesgo EUC es universal, no es tan conocido, o tal vez ni siquiera reconocido, como otros riesgos empresariales, como los operativos, financieros y normativos (o sus subcategorías). "A menudo se pregunta: "¿Por qué debo preocuparme por el riesgo EUC?Hay dos razones.
Ante todo, el riesgo EUC está presente en cualquier organización que dependa de hojas de cálculo, bases de datos y otras herramientas informáticas "artificiales" que se sitúan fuera del ciclo de aplicación de TI. El nivel de riesgo depende del marco de gestión de riesgos de la organización, pero es poco probable que una empresa no utilice las aplicaciones mencionadas.
En segundo lugar, el riesgo de EUC contribuye a toda una serie de otros riesgos operativos, normativos y de conducta. Existe una gran interconectividad entre el riesgo de EUC y otros riesgos, todos los cuales contribuyen acumulativamente al riesgo empresarial. El siguiente diagrama lo muestra muy claramente.
Por lo tanto, hay que desafiar a cualquier organización que argumente que el riesgo EUC no es relevante para ella de alguna forma o manera. Es imperativo que las organizaciones comprendan el significado del riesgo EUC.
La buena noticia es que es posible gestionar y controlar el riesgo informático del usuario final, aunque esté fundamentalmente presente en toda la organización. Entonces, ¿cuál es el lugar lógico para empezar?
El riesgo de la informática de usuario final es una amenaza que a menudo se subestima, ya que los datos de los EUC constituyen la base de decisiones empresariales e informes críticos. He aquí algunos consejos para gestionar el riesgo de los EUC:
Conozca la población de EUC en su organización: los tipos de aplicaciones EUC utilizadas, cuántas hay de cada tipo y cuál es el nivel de complejidad o riesgo inherente de los diferentes archivos, es decir, cuáles están muy codificados, utilizan macros, dependen de conexiones con otras hojas de cálculo, bases de datos, etc.
Determinar la "criticidad" de los EUC para la empresa. La criticidad debe evaluarse en función del impacto cuantitativo (pérdida de dólares) y cualitativo (riesgo para la reputación, exposición de los clientes, sanción reglamentaria, pérdida de funcionalidad de la empresa) en la empresa si estos archivos se perdieran o resultaran dañados o alterados sin saberlo. Por ejemplo, evalúe cuál sería el coste para la empresa si el creador de una aplicación de hoja de cálculo vital abandonara la organización. ¿Tendría otro miembro del equipo un conocimiento profundo del funcionamiento de la aplicación y de las necesidades de mantenimiento? ¿Sería capaz de comprobar la integridad de la aplicación en caso de cambios involuntarios o malintencionados en los códigos o macros de la aplicación?
Diseñar una política para la creación de un inventario de EUC, incluidas las definiciones de los distintos niveles de riesgo y los controles asociados que deben establecerse en función de la criticidad de los archivos. Además, la política también debe incluir normas para documentar, probar y mantener el inventario de EUC en función de su categorización de criticidad. Obviamente, cuanto mayor sea la criticidad, más estrictas serán las normas y más rigurosas las políticas.
Cree un mapa de calor de las EUC críticas y, mediante Indicadores Clave de Riesgo, muestre dónde se encuentran las EUC morosas. Esta representación ayudará a la organización a tomar medidas correctivas.
Concéntrese en las EUC más críticas, comprenda su uso y relaciónelas con los riesgos potenciales más amplios identificados en la biblioteca de riesgos de la organización. Por ejemplo, evalúe si alguna de las aplicaciones de hojas de cálculo afecta a otros riesgos, como el fraude interno o la información financiera, gobernanza de datos, etc.
Adoptar manualmente este tipo de enfoque integral y granular es casi imposible, debido a la magnitud del uso de hojas de cálculo y EUC en la mayoría de las organizaciones. No solo es difícil identificar e inventariar de forma holística las EUC, sino también determinar las interconexiones y el impacto correspondiente de las hojas de cálculo críticas en otros riesgos de la empresa.
También es casi imposible realizar manualmente un seguimiento eficaz de los cambios en el código, las macros, etc., tanto si son deliberados y de buena fe como si no. Adoptar una tecnología que automatice la detección, el inventario, la aplicación de políticas, el control y la gestión general del entorno EUC es la forma más rentable y segura de avanzar.
Descubra PolicyHub
Es la solución de gestión de políticas más fácil de usar, para que pueda reforzar el cumplimiento.
