Artículo invitado de Sam Lee, director de Riesgo Operativo para EMEA, SMBC, Torchlight Services.
La informática para usuarios finales es un sistema en el que los usuarios pueden crear aplicaciones funcionales al margen del proceso de desarrollo dividido en diseño, creación, prueba y lanzamiento que suelen seguir los ingenieros de software. Microsoft Excel es quizás uno de los ejemplos más conocidos de plataforma EUC.
Teniendo esto en cuenta, el riesgo de los EUC es, por lo tanto, la posibilidad de que se produzcanerrores en documentos empresariales clave creados con EUC, como hojas de cálculo. La flexibilidad de los EUC puede dar lugar a erroresen estos documentos críticos para la empresa. Dado que los datos generados por los EUC suelen ser aceptados y considerados fiables por la dirección y otros usuarios finales, esto puede dar lugar rápidamente a datos incorrectos y, a su vez, aumentar el riesgo de pérdidas financieras y de reputación.
¿Por qué es importante el riesgo de EUC?
Aunque el riesgo EUC es universal, no es tan conocido ni tan reconocido como otros riesgos empresariales, como los operativos, financieros y normativos (o sus subcategorías). A menudo se pregunta:«¿Por qué debo preocuparme por el riesgo EUC?». Hay dos razones.
En primer lugar, el riesgo de EUC está presente en cualquier organización que utilice hojas de cálculo, bases de datos y otras herramientas informáticas «creadas por el hombre» que se encuentran fuera del ciclo de aplicaciones informáticas. El nivel de riesgo viene determinado por el marco de gestión de riesgos de la organización, pero es poco probable que una empresa no utilice las aplicaciones mencionadas anteriormente.
En segundo lugar, el riesgo de EUC contribuye a toda una serie de otros riesgos operativos, normativos y de conducta. Existe una gran interconexión entre el EUC y otros riesgos, todos los cuales contribuyen de forma acumulativa al riesgo empresarial. El siguiente diagrama lo muestra muy claramente.
Por lo tanto, se debecuestionar a cualquier organización queargumente que el riesgo de EUC no es relevante para ella de alguna manera. Es imperativo que las organizaciones comprendan el significado del riesgo de EUC.
La buena noticia es que es posible gestionar y controlarel riesgo informático del usuario final,aunque esté presente de forma inherente en toda la organización. Entonces, ¿por dónde es lógico empezar?
El riesgo informático para el usuario final es una amenaza que a menudo se subestima, ya que los datos de los EUC constituyen la base para la toma de decisiones empresariales críticas y la elaboración de informes. A continuación se ofrecen algunos consejos importantes para gestionar el riesgo de los EUC:
Comprenda la población EUC de su organización: los tipos de aplicaciones EUC que se utilizan; cuántas hay de cada tipo; y cuál es el nivel de complejidad o riesgo inherente de los diferentes archivos, es decir, cuáles están muy codificados, utilizan macros, dependen de conexiones con otras hojas de cálculo, bases de datos, etc.
Determine la «criticidad» de los EUC para la empresa. La criticidad debe evaluarse en función del impacto cuantitativo (pérdida económica) y cualitativo (riesgo para la reputación, exposición de los clientes, sanciones normativas, pérdida de funcionalidad empresarial) que tendría para la empresa la pérdida, el daño o la alteración involuntaria de estos archivos. Por ejemplo, evalúe cuál sería el coste para la empresa si el creador de una aplicación de hoja de cálculo vital abandonara la organización. ¿Habría otro miembro del equipo que conociera a fondo el funcionamiento de la aplicación y supiera cómo mantenerla? ¿Serían capaces de comprobar la integridad de la aplicación en caso de cambios involuntarios o maliciosos en cualquier código o macro de la aplicación?
Diseñar una política para la creación de un inventario de EUC, incluyendo definiciones para los distintos niveles de riesgo y los controles asociados que deben implementarse en función de la criticidad de los archivos. Además, la política también debe incluir normas para documentar, probar y mantener el inventario de EUC en función de su categorización de criticidad. Obviamente, cuanto mayor sea la criticidad, más estrictas serán las normas y más rigurosas las políticas.
Cree un mapa de calor de los EUC críticos y, utilizando indicadores clave de riesgo, muestre dónde se encuentran los EUC morosos. Esta representación ayudará a la organización a tomar medidas correctivas.
Céntrese en los EUC más críticos, comprenda su uso y relacione los riesgos potenciales más amplios identificados en la biblioteca de riesgos de la organización. Por ejemplo, evalúe si alguna de las aplicaciones de hojas de cálculo afecta a otros riesgos, como el fraude interno, la información financiera, etc. gobernanza de datos, etcétera.
Llevar a cabo este tipo de enfoque integral y detalladode forma manual es casi imposible, debido al uso generalizado de hojas de cálculo y EUC en la mayoría de las organizaciones. No solo es difícil identificar e inventariar de forma holística los EUC, sino que también resulta complicado determinar las interconexiones y el impacto correspondiente de las hojas de cálculo críticas en otros riesgos empresariales.
Además, resulta prácticamente imposible realizar un seguimiento eficaz de los cambios en el código, las macros, etc., de forma manual, independientemente de si dichos cambios han sido deliberados yde buena fe o no. Adoptar una tecnología queautomaticela detección, el inventario, la aplicación de políticas, el control y la gestión general del entorno EUC es la forma más rentable y segura de avanzar.
Descubra PolicyHub
Es la solución de gestión de políticas fácil de usar, para que puedas reforzar el cumplimiento normativo.
