ITIL 4 y la Gestión de Riesgos están estrechamente vinculados,aunque no siempre fue así -antes del lanzamiento de su última versión, en 2019, no había una definición clara de la relación-.
Ambos conceptos se centran en ayudar a las organizaciones a administrar sus departamentos de IT de forma eficaz y, lo que es más importante, de manera segura.
Además de su importancia para el mundo de la Gestión de Servicios de IT (ITSM), la nueva versión de ITIL incorpora conocimientos sobre prácticas dedicadas a la Gestión de Riesgos.
En este artículo esbozaremos la forma en que ITIL 4 define la Gestión de Riesgos. También explicaremos los procesos de esta última que describe el marco, las principales funciones y responsabilidades involucradas, las mejores prácticas a seguir y algunos ejemplos. Porque para enfrentar las amenazas es fundamental tomar medidas eficaces y mensurables. Y para eso existen ITIL 4 y la Gestión de Riesgos. Así que comencemos.
El marco de la Gestión de Riesgos de ITIL
ITIL define el riesgo como “un posible acontecimiento que podría causar daños o pérdidas o dificultar la consecución de los objetivos”. También contempla la incertidumbre del resultado. Incluso se utiliza para medir la probabilidad de los resultados positivos y negativos.
En otras palabras, un riesgo es cualquier cuestión que pueda dañar o interrumpir la prestación de un servicio o causar imprevisibilidad en el entorno del servicio.
La Gestión de Riesgos es cubierta por ITL con la práctica de la Gestión General del Riesgo dentro del Sistema de Valor del Servicio o SVS. El marco define el objetivo de dicha actividad como la forma de “asegurar que la organización entiende y maneja efectivamente el riesgo”.
Porque si no conocemos o entendemos nuestros riesgos actuales o futuros, ¿cómo podemos tomar las medidas adecuadas? O si las amenazas no se registran, evalúan e investigan, ¿cómo saber cuál es el curso de acción más apropiado?
En síntesis, la Gestión de Riesgos es la práctica que garantiza que dichos riesgos se gestionan eficazmente, reduciendo el nivel general de amenaza en tu organización. También anticipa y mitiga el peligro, por lo que es imprescindible para las prácticas de soporte proactivas.
Directrices de ITIL 4 y la Gestión de Riesgos
La guía ITIL reconoce que para gestionar los servicios de IT de manera eficaz y rentable, el riesgo debe ser controlado. Esto es esencial para garantizar que tu modelo de soporte funcione de forma sostenible y que las prestaciones informáticas sigan siendo adecuadas para su uso y propósito.
En ese contexto, ITIL 4 y la Gestión de Riesgos se complementan: esta última coordina las acciones dentro del marco, asegurando que los riesgos sean identificados, reunidos y resueltos.
La Gestión de Riesgos forma parte integral de todas las actividades organizacionales, siendo fundamental para el SVS de la organización.
Más allá de la teoría, ITIL proporciona directrices concretas para abordar la Gestión de Riesgos. El marco desglosa y describe las siguientes subprácticas:
- Apoyo a la Gestión de Riesgos: coordina las actividades de esta práctica, estableciendo los roles y responsabilidades, contribuyendo a la identificación del riesgo, a su evaluación sobre la base de una matriz específica y a su gestión adecuada, en consonancia con las directrices de la organización.
- Análisis del riesgo y del impacto en el negocio: mide ese impacto en la organización así como la probabilidad de que ocurra el evento.
- Evaluación de la mitigación de los riesgos: define las acciones para mitigarlos y garantiza que cuente con un propietario responsable para asegurar que nada se pierda, ignore u olvide.
- Monitoreo del riesgo: se encarga de supervisar continuamente el proceso o la mitigación del riesgo y de garantizar que se tomaron las medidas adecuadas. Se trata de la subpráctica que puede alimentar más fácilmente la Mejora Continua, ya que incluye recomendaciones para futuras optimizaciones.
Matriz de la Gestión de Riesgos de ITIL
Para saber por dónde comenzar hay que asignar prioridad a los riesgos. Para ello existe la matriz, que otorga al riesgo un puntaje tangible y consensuado, de forma que sea entendido por tu equipo.
La matriz también elimina la idea de “no estoy seguro de cómo puntuar esto, así que asignémosle a todo un puntaje alto”. Pero si todo es de alta prioridad, ¿qué se aborda primero?
Para crear tu matriz de la Gestión de Riesgos de ITIL, considera los siguientes puntos: qué posibilidad existe de que se produzca un evento de riesgo, cuál será el impacto y cuán graves serán las consecuencias.
Aquí te presentamos una matriz de riesgo sencilla que puedes utilizar en tu organización:
| Probabilidad/ Impacto | Menor | Moderado | Grave |
| Improbable | Baja | Media | Alta |
| Probable | Baja | Media | Alta |
| Muy probable | Media | Alta | Alta |
Mejores prácticas de ITIL 4 y la Gestión del Riesgos
ITIL 4 y la Gestión de Riesgos compilan una serie de mejores prácticas que guiarán tu trabajo.
En concreto, resulta fundamental que los riesgos sean:
- Identificados y añadidos a un registro de riesgos para que nada se pase por alto ni se olvide. La ubicación centralizada permitirá la difusión a toda la comunidad de GRC, además de ser visible para todos.
- Evaluados para priorizar la actividad de reparación en función de la probabilidad y el impacto definidos en la matriz.
- Abordados según se requiera, teniendo en cuenta las siguientes opciones:
-Evitar: estructurar tu prestación de servicios de IT en forma proactiva, evitando que ocurra el riesgo de antemano. Un ejemplo podría ser cuando un segundo técnico del service desk vuelve a comprobar la configuración de la laptop antes de enviarla al usuario final para asegurarse de que todo está bien.
-Mitigar: hacer un cambio en la prestación de servicios para minimizar los efectos de los riesgos, que posiblemente ocurran con frecuencia. Un caso es cuando los teléfonos móviles se caen y dañan, causando molestias tanto al service desk como a los usuarios finales, ya que el primero debe dedicar tiempo a reconstruirlos y configurarlos por completo, mientras que el cliente no cuenta con el dispositivo por un tiempo. Sin embargo, este riesgo puede mitigarse utilizando fundas protectoras y protectores de pantalla.
-Contingencia planificada: disponer de un plan para hacer frente al riesgo cuando ocurra el evento. En ITIL, lo llamamos Tienda de Hardware o Definitive Hardware Store (DHS). Se trata de un proveedor de dispositivos preconfigurados, como laptops y teléfonos móviles, para cambiarlos fácilmente en caso de pérdida o daño.
-Trasladar el riesgo: en ocasiones necesitamos ayuda extra para garantizar que el riesgo se afronta con eficacia. Un ejemplo es recurrir a recursos externos para el mantenimiento de los equipos de impresión y escaneado, si resulta difícil hacerlo en la empresa. Sin embargo, ten en cuenta que tú sigues siendo el responsable último del servicio. Las responsabilidades de cada uno deben estar plasmadas a nivel contractual y en los Acuerdos de Nivel de Servicio para saber qué se espera de cada parte.
-Aceptar los riesgos: cuando no estás cubiertos por las prácticas descritas anteriormente, las organizaciones pueden aceptarlos como demasiado difíciles u onerosos para controlar. No obstante, deben revisarse periódicamente para asegurarse de que sigue siendo la medida más adecuada.
Un software de service desk respalda varias de las mejores prácticas de la Gestión de Riesgos de ITIL. Por ejemplo, puedes aprovechar las funciones de InvGate Service Desk para implementar un enfoque proactivo de IT y evitar que los riesgos ocurran desde el principio. Recuerda que tienes la posibilidad de explorar sus capacidades con nuestra prueba gratuita de 30 días.
ITIL 4 y la Gestión de Riesgos: ¿Cuáles son los roles y responsabilidades?
Para que la práctica resulte eficaz es necesario asignar roles y responsabilidades. Estos son los que proponen ITIL 4 y la Gestión de Riesgos:
| Rol | Responsabilidades |
| Gerente de Riesgos |
El propietario de la práctica de Gestión de Riesgos de ITIL. Sus responsabilidades clave incluyen:
|
| Analista de Riesgos | Apoya al Gerente de Riesgos en sus funciones. |
| Propietario del Riesgo | Persona responsable de aplicar las medidas de mitigación de un riesgo específico. |
Conclusión
La Gestión de Riesgos garantiza que los riesgos se gestionen a lo largo de toda su progresión. Esto significa que se identifican, evalúan y gestionan adecuadamente. Por lo tanto, es fundamental para una práctica de ITSM fuerte y proactiva, ayudando a proteger a tu organización, reduciendo costos y tiempos de inactividad.
Si bien no fue abordado en detalle en las versiones anteriores, ITIL 4 incorporó la Gestión de Riesgos como parte de las actividades generales de gestión. Este avance es útil por muchas razones, pero sobre todo porque proporciona conocimientos, directrices y procesos para definir el alcance de la práctica y abordar sistemáticamente las amenazas.
Además, implica que tu service desk puede encargarse de la mayoría de las tareas orientadas a abordar el riesgo. Si quieres saber en qué te ayuda InvGate Service Desk en todo este proceso, coordina una llamada con nuestros expertos.
Preguntas frecuentes
¿La Gestión de Riesgos es parte de la ITSM?
Sí, la Gestión de Riesgos es absolutamente parte de la ITSM. Se trata de una práctica general dentro del Sistema de Valor del Servicio en el marco de ITIL y apoya otras para una Gestión del Servicio eficaz y segura.
¿Cuál es la diferencia entre riesgo e impacto en ITIL?
El riesgo es la amenaza general en la organización, mientras que el impacto representa el “sufrimiento” que siente la organización si se produce ese evento en particular.
