Dan Whelan, Business and Professional Services Leader; Charles Barley Jr., Principal, y Nate Andrew, Director de RSM US

Para muchas organizaciones sin fines de lucro, los efectos de la pandemia se han visto amplificados por una disminución general en la disponibilidad de fondos. Los presupuestos personales y corporativos se han ajustado, reduciendo en gran medida la cantidad de donaciones individuales, gastos y financiamiento programático, que es el elemento vital de muchas organizaciones sin fines de lucro.

Al mismo tiempo, los riesgos de la tecnología de la información (TI) nunca han sido mayores y sólo continúan aumentando y las organizaciones deben mantenerse al día con las amenazas y los requisitos normativos emergentes.

Desafortunadamente, muchas organizaciones sin fines de lucro se han visto obligadas a hacer más con menos debido a las reducciones en sus ya limitados recursos internos, lo que aumenta la dificultad de mantener las operaciones y disminuye potencialmente la visibilidad de los posibles riesgos tecnológicos.

En este entorno desafiante, toda organización debe comprender cómo implementar estrategias para proteger su tecnología y sus activos de información para cumplir mejor su misión.

Las preocupaciones de TI dentro de muchas organizaciones se centran en tres áreas clave: riesgo de TI, estrategia de TI y seguridad de TI. En muchos casos, las organizaciones sin fines de lucro no tienen un universo o estrategia de riesgo de TI definido, lo que genera exposiciones, actividades y aplicaciones de riesgo no identificadas que no están alineadas con los objetivos de misión crítica y no pueden acceder a los datos de manera eficiente cuando sea necesario.

Además, muchas organizaciones no establecen indicadores clave de rendimiento (KPI) que ayuden a tomar mejores decisiones o tienen sistemas que puedan escalar con el crecimiento o automatizar procesos manuales.

Si bien los desafíos estratégicos de TI pueden obstaculizar las operaciones, los problemas de seguridad de TI pueden presentar amenazas significativas para cualquier entorno de TI, lo que puede resultar en una pérdida de datos, daño a la reputación o incluso multas y sanciones relacionadas con la exposición de información confidencial.

Con tecnología obsoleta o ineficaz, muchas organizaciones sin fines de lucro tienen sistemas vulnerables y controles débiles, lo que puede exponer información clave de donantes, empleados y voluntarios a usuarios no autorizados y amenazas externas.

Las regulaciones de privacidad de datos continúan evolucionando, sin embargo, muchas organizaciones no las conocen o no creen que se apliquen a sus casos cuando, en realidad, lo hacen. Por ejemplo, es posible que sus sistemas de TI deban cumplir con regulaciones de privacidad, como el Reglamento general de protección de datos (GDPR) de la Unión Europea (UE) que proporciona protección de datos para los residentes de la UE, sin importar si esos datos residen dentro de la UE o no.

De manera similar, la Ley de Privacidad del Consumidor de California (CCPA) se adoptó en 2018 para proteger los datos personales de los ciudadanos de California. Si bien la ley generalmente no es aplicable a organizaciones sin fines de lucro, hay ciertos casos en los que sí lo es.

Por lo tanto, tanto el GDPR como la CCPA podrían ser aplicables a organizaciones que recopilan o procesan datos de residentes de la UE y California, sin importar si se basan en esos límites geográficos específicos. Varios estados individuales adicionales han promulgado o están planeando leyes de privacidad de datos similares, lo que complica aún más el panorama.

Toda organización puede implementar múltiples procesos para proteger las aplicaciones críticas, los sistemas de soporte y las bases de datos para garantizar la confidencialidad de sus activos de información clave. Por ejemplo:

  • Evaluación de riesgos de TI: los riesgos tecnológicos a los que se enfrenta cualquier compañía son multifacéticos y dinámicos, desde la continuidad del negocio hasta la ciberseguridad. Un primer paso para abordar los riesgos más importantes es identificarlos y priorizarlos en función de su exposición y el impacto potencial en una organización. Realizar una evaluación integral de riesgos de TI puede ayudar a sentar las bases para futuras iniciativas estratégicas, así como a identificar áreas de importancia inmediata que la organización debe abordar.
  • Evaluación de brechas de TI: una evaluación generalmente proyectará las necesidades de sistemas y TI de cualquier organización en futuros años. Documentará oportunidades para mejorar la estructura de gobierno, políticas y procedimientos, y evaluará el uso de KPI y tableros para tomar decisiones estratégicas que se alineen con sus objetivos y metas comerciales. Además, la evaluación de la brecha puede centrarse en las expectativas de privacidad regulatorias y las expectativas generales de protección de datos.
  • Evaluación integral de riesgos de seguridad de la información en toda la empresa: esta evaluación se lleva a cabo en todo el entorno de seguridad y proporciona una comprensión de los riesgos prevalentes dentro de la organización, evaluando las amenazas para dirigir los esfuerzos y los controles hacia los riesgos más importantes. Esta evaluación también enfatiza la documentación de los procesos y controles clave de la organización para determinar si mitigan los riesgos y escalan de manera efectiva con el crecimiento.

A medida que las amenazas continúan evolucionando, el entorno de controles de TI para las organizaciones sin fines de lucro se vuelve más difícil de monitorear y amenazante para las operaciones.

Para ayudar a identificar y gestionar los riesgos de TI más críticos y lograr el cumplimiento de las pautas reglamentarias, las organizaciones deben implementar una postura de privacidad, seguridad y riesgo de TI eficaz que considere tanto las necesidades actuales como las demandas futuras. Después de todo, una onza de prevención vale una libra de cura.

NOTA ORIGINAL: https://rsmus.com/what-we-do/industries/not-for profit/it_risk_management_for_nonrprofits.html