Los enfoques existentes, especialmente los de gobernanza, gestión de riesgos y cumplimiento (GRC), todavía no están diseñados lo suficiente para las PYMES. Diversos estudios manifiestan que la segregación de los responsables de las tareas de GRC a menudo es difícil en las MYPES y, por lo tanto, debe proponerse en la organización un control de TI especial y ciertas estructuras de proyectos de TI compatibles con las PYMES. Por lo tanto, este artículo tiene como objetivo responder la siguiente pregunta: ¿Cómo se puede diseñar un enfoque de gobierno de TI, gestión de riesgos y cumplimiento, con el que las PYMES puedan controlar la transformación digital de una manera legalmente segura y que cumpla con las evaluaciones y las recomendaciones de gestión sobre competencias, medidas de apoyo y herramientas prácticas? ¿Se puede aplicar para las MYPES?

Características de MYPES

Es más que conocido que la cantidad de ventas y de trabajadores son las principales características que diferencian el tamaño de las empresas, sin embargo, hay que considerar que también hay diferencias cualitativas. Entre ellas, se caracteriza los límites de presupuestos y las decisiones estratégicas holísticas con una aceptación de riesgo adecuada a su alcance operacional. Una gran diferencia es que las MYPES, en su mayoría, no cuentan con una área de TI. Es por ello que los desafíos para las MYPES es la innovación tecnológica, digitalización y escasez de trabajadores calificados, lo cual conlleva a la falta de protección de datos. Además del cumplimiento de TI, las MYPES también tienen mucho que ponerse al día en lo que respecta al gobierno de TI. Faltan puestos importantes responsables: un oficial de seguridad de TI solo está disponible en el 13% de las pequeñas empresas. Existen barreras de inducción en las pequeñas y medianas empresas, en particular para los marcos de gobernanza de peso pesado como COBIT. Sin embargo, los estudios actuales muestran que, a pesar de una percepción de riesgo significativamente mayor entre las PYME en los últimos años, la disposición para implementar activamente medidas de seguridad de TI y cumplimiento de TI sigue siendo baja, por lo tanto, hablan de una "brecha de implementación" y las razones se centran en la falta de cultura de seguridad de TI.

GRC para TI

Se define GRC de TI como una visión integrada de planificación y control de oportunidades y riesgos de una empresa, que resultan del uso de información como factor de producción en la "era de la digitalización". Esto puede ser más palpable para grandes empresas, pero hay que considerar que todavía necesita una adaptación para las MYPES. Hay un enfoque GRC para empresas medianas, pero esto ignora en gran medida los requisitos especiales y el alcance de la transformación digital, que mientras tanto también ha llegado a las MYPES. El análisis de la literatura sobre los enfoques de GRC muestra que los enfoques, estándares y métricas existentes, no son en gran medida adecuados para empresas medianas y, por lo tanto, son en gran medida desconocidos o no están muy extendidos entre las MYPES. Por ejemplo, el modelo de madurez de cinco etapas del NIST en forma de Marco de Evaluación Federal de Seguridad de la Tecnología de la Información no está muy extendido. El modelo de referencia de proceso COBIT-5 y actualmente COBIT 2019 es en parte conocido por las MYPES, pero no se usa ampliamente. COBIT-5 consta de los dos dominios de procesos generales "Gobernanza" y "Gestión", así como un total de 37 procesos.

GRC en crecimiento

Los diversos resulLas completas suites GRC de grandes proveedores están dirigidas a grandes empresas con su gama de funciones y complejidad de módulos. Al analizar 36 herramientas GRC y SGSI comerciales generalizadas, se obtuvieron como resultados de que, por lo general, no cumplen completamente con los requisitos de la norma ISO 27001. Otro estudio descubrió que el mercado de implementación SGSI cuenta con herramientas con un soporte de proceso SGSI incompleto. En Perú, el enfoque de seguridad de TI en empresas consideradas Proveedores de Servicios Electrónicos PSE de Facturación Electrónica, se rigen en base a la norma internacional ISO 27001, ya que es una exigencia estándar de facto, sin embargo, los responsables de las MYPES PSE se pierden rápidamente en más de 4000 páginas de documentación a pesar de la opción de “NTP ISO 27001:2014”. Los productos de software SGSI de código abierto o basados ​​en licencia, son adecuados si una empresa mediana quiere implementar la protección básica o tratar de obtener la certificación según ISO 27001. Sin embargo, estas herramientas implican una implementación significativa del SGSI y un esfuerzo operativo que las pequeñas empresas tienden a evitar.

Consejo audit

Los beneficios de GRC para el área de TI en empresas pequeñas o medianas, es un factor de crecimiento crucial. Las partes interesadas necesitan estar en constante comunicación con los datos de manera estratégica para la toma de decisiones. Sin embargo, sin una buena herramienta y estrategia determinada, se producirán inconvenientes y la realización de beneficios no tendrán buen puerto. Los servicios de audit otorgan un enfoque integrado acorde a la estructura organizacional de nuestros clientes, y con apoyo de la plataforma aValue, se automatiza a gran medida las implementaciones y auditorías correspondientes a GRC de TI.

Fuentes:

• Andreas Johannsen, Daniel Kant, (2020) IT-Governance, Risiko- und Compliance-Management (IT-GRC) für KMU – Literaturanalyse und Ansatzbildung