Las empresas son cada vez más conscientes de la posibilidad de sufrir riesgos y esta mayor concientización hace, a juicio de Gartner, que se revele las grandes diferencias en el uso y aplicación del término “riesgo” que hay dentro de la estructura empresarial, especialmente en el departamento de tecnologías. Según Paul Proctor, vicepresidente y analista de Gartner, “el término riesgo se ha sido añadido a muchas funciones tradicionales de las TI como seguridad, continuidad de negocio, gestión y privacidad, sin que fuera acompañado de cambios en los procesos y metodologías usados para entender y gestionar el riesgo asociado a esas áreas”. La disociación a la que se refiere Proctor “empobrece la implantación de la gestión de riesgos como una disciplina, limitando su efectividad”. Asimismo, causa escasa transparencia entre los procesos y la falta de una visión completa del riesgo, necesario para valorar la exposición de la organización y las medidas para mitigar los efectos de esta situación. “Aunque no hay una única definición que valga para todas las organizaciones, es importante empezar desde un marco de trabajo común y global para eliminar solapamientos, evitar lagunas de cobertura y garantizar el buen gobierno”. Además, la consultora ha elaborado una lista de recomendaciones para que los responsables de TI puedan entender y gestionar los riesgos de manera que contribuyan a la gestión de toda la organización: – Implementar un marco de trabajo para la valoración y monitorización de riesgos – Establecer las tareas de los directores de riesgo según sus áreas de responsabilidad – Identificar y definir los riesgos a los que se expone la empresa y lo que constituye un evento de riesgo o “casi” para que esos incidentes puedan ser asociados a riegos específicos – Determinar el nivel de amenaza y centrarse en los riesgos con mayor nivel de impacto en el rendimiento – Establecer niveles de control de procesos proporcionales a la amenaza percibida – Registrar y guardar información sobre incidentes de riesgo o posibles sucesos – Realizar valoraciones de riesgo periódicas para determinar cambios en el perfil de riesgos de operación y el rendimiento del control de evaluación.