Los riesgos de negocios se dan por el ambiente de negocios (estilo/cultura administrativa; apetito de riesgo; y factores del sector industrial como competencia, reputación, y regulaciones nacionales e internacionales) y, por lo tanto, los riesgos específicos de TI pueden darse de forma similar. Así, es importante considerar los riesgos de TI dentro del contexto amplio del negocio. Esto puede ser útil para crear definiciones empresariales de riesgos de TI en términos de negocios para asegurar un entendimiento común.
Internacionalmente se han publicado varios marcos de análisis de riesgos, la mayoría de los cuales reflejan que riesgos de TI forman parte de una jerarquía, con los riesgos estratégicos del negocio en el más alto nivel. Como un ejemplo, el modelo de la Oficina Gubernamental de Comercio de inglaterra (Office of Government Commerce (OGC, UK)), en su marco de administración de riesgos (M_o_R), tiene definidos cuatro niveles para ayudar a entender que riesgos de TI son considerados por los ejecutivos del negocio partiendo de la estrategia y hacia las operaciones:
Estratégico - los riesgos para IT de no cumplir con los objetivos del negocio, por ejemplo comerciales, financieros, políticos, ambientales, direccionales, culturales, de adquisiciones, calidad, continuidad del negocio y crecimiento.
Táctico - Compras/adquisiciones, finanzas, organizacional, proyectos, seguridad y continuidad del negocio.
Proyectos - Gente, tecnico, costos, planeación, recursos, soporte operacional, calidad, fallas de proveedores y seguridad
Operacional - Gente, técnico, costos, programaciones, recursos, soporte operacional, calidad, falla de proveedores, seguridad, fallas de infraestructura, continuidad del negocio y relaciones con el cliente
Para que TI sea efectivamente gerenciada, la alta gerencia debe ser capaz de reconocer e identificar riesgos de TI y asegurarse de manejar los más significativos.
Dada la complejidad y naturaleza rapidamente cambiante de las TI, la educación y la concientización son esenciales para asegurar que riesgos estan reconocidos, y no solo al nivel gerencial sino a través de toda la organización.
Debe existir un catálogo de riesgos y amenazas, con sus correspondientes manejos de contingencia y procedimientos de mitigación; así cuando el evento que es consecuencia del riesgo ocurra estaremos prevenidos para solucionarlo lo más pronto posible.