Gestión de riesgos de TI para organizaciones sin fines de lucro

Dan Whelan, Business and Professional Services Leader; Charles Barley Jr., Principal, y Nate Andrew, Director de RSM US

Para muchas organizaciones sin fines de lucro, los efectos de la pandemia se han visto amplificados por una disminución general en la disponibilidad de fondos. Los presupuestos personales y corporativos por igual se han ajustado, reduciendo en gran medida la cantidad de donaciones individuales, gastos y financiación programática, que es el elemento vital de muchas organizaciones sin fines de lucro. Al mismo tiempo, los riesgos de la tecnología de la información (TI) nunca han sido mayores y solo continúan aumentando, y las organizaciones deben mantenerse al día con las amenazas y los requisitos normativos emergentes.

Desafortunadamente, muchas organizaciones sin fines de lucro se han visto obligadas a hacer más con menos debido a las reducciones en sus ya limitados recursos internos, lo que aumenta la dificultad de mantener las operaciones y potencialmente disminuye la visibilidad de los posibles riesgos tecnológicos. En este entorno desafiante, su organización debe comprender cómo implementar estrategias para proteger su tecnología y sus activos de información, lo que le permitirá cumplir mejor su misión.     

Las preocupaciones de TI dentro de muchas organizaciones se centran en tres áreas clave: riesgo de TI, estrategia de TI y seguridad de TI. En muchos casos, las organizaciones sin fines de lucro no tienen un universo o estrategia de riesgo de TI definido, lo que lleva a exposiciones, actividades y aplicaciones de riesgo no identificadas que no están alineadas con los objetivos de misión crítica y no pueden acceder a los datos de manera eficiente cuando sea necesario. Además, muchas organizaciones no establecen indicadores clave de rendimiento (KPI) que ayuden a tomar mejores decisiones o tienen sistemas que puedan escalar con el crecimiento o automatizar procesos manuales.

Si bien los desafíos estratégicos y basados ​​en riesgos de TI pueden obstaculizar las operaciones, los problemas de seguridad de TI pueden presentar amenazas significativas para su entorno de TI, lo que puede resultar en una pérdida de datos, daño a la reputación o incluso multas y sanciones relacionadas con la exposición de información confidencial. Con tecnología obsoleta o ineficaz, muchas organizaciones sin fines de lucro tienen sistemas vulnerables y controles débiles, lo que puede exponer información clave de donantes, empleados y voluntarios a usuarios no autorizados y amenazas externas.

Su organización puede implementar múltiples procesos para proteger las aplicaciones críticas, los sistemas de soporte y las bases de datos para garantizar la confidencialidad de sus activos de información clave. Éstas incluyen:

• Evaluación de riesgos de TI:  Los riesgos tecnológicos a los que se enfrenta son multifacéticos y dinámicos, desde la continuidad del negocio hasta la ciberseguridad. Un primer paso importante para abordar los riesgos más importantes es identificarlos y priorizarlos en función de su exposición y el impacto potencial en su organización. Realizar una evaluación integral de riesgos de TI puede ayudar a sentar las bases para futuras iniciativas estratégicas, así como a identificar áreas de importancia inmediata que la organización debe abordar.   
• Evaluación de brechas de TI:  Una evaluación generalmente proyectará las necesidades de sistemas y TI de su organización en años futuros. Documentará oportunidades para mejorar su estructura de gobierno, políticas y procedimientos, y evaluará el uso de KPI y tableros para tomar decisiones estratégicas que se alineen con sus objetivos y metas comerciales. Además, la evaluación de la brecha puede centrarse en las expectativas de privacidad reglamentarias y las expectativas generales de protección de datos.   
• Evaluación integral de riesgos de seguridad de la información en toda la empresa:  Esta evaluación evalúa todo su entorno de seguridad y proporciona una comprensión de los riesgos prevalentes dentro de su organización, evaluando las amenazas para que pueda dirigir los esfuerzos y los controles hacia los riesgos más importantes. Esta evaluación también enfatiza la documentación de los procesos y controles clave de su organización para determinar si mitigan sus riesgos y escalan de manera efectiva con el crecimiento.

A medida que las amenazas continúan evolucionando, el entorno de controles de TI para las organizaciones sin fines de lucro se vuelve más difícil de monitorear y amenazante para las operaciones. Para ayudar a identificar y gestionar los riesgos de TI más críticos y lograr el cumplimiento de las pautas normativas, las organizaciones deben implementar una postura de privacidad, seguridad y riesgo de TI eficaz que considere tanto las necesidades actuales como las demandas futuras. Después de todo, una onza de prevención vale una libra de cura.

 

NOTA ORIGINAL

https://rsmus.com/what-we-do/industries/not-for-profit/it_risk_managemen...