¿Qué es el riesgo informático para el usuario final y por qué debería importarle?

Artículo invitado de Sam Lee en el que explica la importancia de gestionar el riesgo de EUC.

Personal de Mitratech
Personal de Mitratech 27 de julio de 2016 4 min leer
Decorative image

Artículo invitado de Sam Lee, director de Riesgo Operativo para EMEA, SMBC, Torchlight Services.

Lo creas o no, te guste o no, el riesgo de las aplicaciones informáticas para usuarios finales (EUC) ha prevalecido desde la aparición de herramientas como las bases de datos Access, las hojas de cálculo Excel y cualquier otra aplicación que pone el diseño de los procesos basados en sistemas en manos del usuario «medio».

 

Con el tiempo, estas herramientas se han vuelto fundamentales para muchas operaciones financieras y algunas de sus ventajas (flexibilidad, facilidad de modificación, etc.) han comenzado a suponer riesgos para las empresas que dependen tanto de ellas. Entonces, ¿qué es el riesgo de la informática para el usuario final?

En términos generales, el riesgo se divide en dos categorías.

  • Aquellos riesgos de los que tomamos concienciadebido a un acontecimiento,a través de las experiencias del mercado y que surgen de nuestras actividades comerciales, la inspiración individual, la inspiración regulatoria o la orientación. Estos están vinculados a la madurez de la organización en materia de riesgos, su comprensión y su nivel de concienciación/integración de los riesgos.
  • Aquellos quese desarrollan lentamente con el tiempoy de cuya existencia no somos conscientes durante un tiempo.El riesgo de la informática para usuarios finales entra dentro de esta categoría.

A medida que aumenta la complejidad de las aplicaciones para usuarios finales (por ejemplo, cuando se utilizan para modelización, valoración, hojas de cálculo para almacenar datos críticos o confidenciales de la empresa) y su omnipresencia trasciende, nos estamos volviendoinsensibles a los riesgos asociados a dichas herramientas.

Facilidad de uso del libro electrónico Banner gráfico

«¿Y qué?», se preguntará alguien. Ahí radica el problema: si tienes una hoja de cálculo o una base de datos que:

  • Tiene miles de líneas de código.
  • Utiliza múltiples macros;
  • Se alimenta de/alimenta otras hojas de cálculo o bases de datos (o incluso sistemas);
  • Por definición, no estará sujeto a controles de cambio rigurosos ni a medidas de seguridad, ni será sometido a pruebas.
  • Casi igualmente, por definición, no se documentará formalmente su finalidad ni estará sujeto a un ciclo de revisión.
  • O cualquier combinación de lo anterior;

... entonces es posible que no se sepa si se ha producido un cambio (ya sea de buena fe, accidental o malicioso) y cuál es su impacto.

Una buena gestión del riesgo operativo no consiste en esperar a que se produzca un evento para confirmar la existencia de un riesgo. Debe consistir en comprender si existe un riesgo, evaluarlo y decidir qué hacer con esa información en función de su impacto, ya sea financiero, relacionado con los clientes, reputacional, normativo u operativo.

Otro problema al que se enfrentan muchas organizaciones es:¿quién debe «asumir» este riesgo relacionado con la EUC? No es raro que este riesgo se pase de un departamento a otro una vez que se comprende. Se le atribuye erróneamente a «TI» solo porque emplea soluciones de «TI».

Sin embargo, la realidad es que, al igual que ocurre con la mayoría de los riesgos operativos,el riesgo EUC es responsabilidad de la empresa. Con la gran cantidad de riesgos empresariales que figuran en las agendas de los consejos de administración, la alta dirección y los comités de riesgos, este es uno más.

Es imprescindible contar con un marco de gestión de riesgos.

Es necesario para:

  • Defina qué es el riesgo EUC para la organización.
  • Defina qué constituye un EUC de alto riesgo.
  • Defina los controles adicionales que se requieren para gestionar aplicaciones de alto riesgo.
  • Establecer protocolos adecuados de presentación de informes y supervisión para la supervisión.
  • Establecer protocolos de actuación en caso de que se produzca un deterioro de los niveles de riesgo o de que el seguimiento revele excepciones.
  • Establecer una escalada adecuada.

Todo esto debe ser congruente con el marco general de gestión del riesgo operativo y contribuir a él.

Quizás, la forma más segura de ejecutar y mitigar los riesgos de las aplicaciones EUC sea adoptarun enfoque basado en el sistemapara respaldar el marco de control. Un enfoque manual resulta prohibitivo y oneroso desde el punto de vista de la relación coste-beneficio y riesgo-recompensa.

El futuro

Los EUC han llegado para quedarse y es poco probable que nuestra dependencia de ellos disminuya, lo que significa que debemos comprender y evaluar los riesgos que plantean. Sin embargo, la realidad es que, para que todo esto suceda, lo primero es que los riesgos llamen la atención de la dirección.

Esto en sí mismo está resultando difícil, lo cual es muy sorprendente dado el potencial de pérdidas financieras y de reputación que el riesgo de EUC representa para las organizaciones. Recientemente, la empresa de investigación Chartis estimó que elvalor en riesgo de EUCpara las 50 instituciones financieras más grandessupera los 12 000 millones de dólares. Sería bastante imprudente seguir ignorándolo.

.vc_custom_1588816529952{margin-right: 0px !important;margin-left: 0px !important;background-image: url(https://mitratech.com/wp-content/uploads/Blue-Vertical-Gradient-Blogroll-Header-Background.png?id=28140) !important;background-position: center !important;background-repeat: no-repeat !important;background-size: cover !important;}

Descubra PolicyHub

Es la solución de gestión de políticas fácil de usar, para que puedas reforzar el cumplimiento normativo.

Más información

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.