Embed Size (px)
Citation preview
Cambios en el panoramade los riesgos de TIEL PORQUÉ Y EL CÓMO DE LA ACTUAL ADMINISTRACIÓN DE
RIESGOS DE TI
Riesgos de TI en el panoramaactual de los riesgos de negocios
Cambios en el panorama de los Riesgos de TI
La manera en que las compañías interactúan con sus empleados, clientes y
otras organizaciones está cambiando a una velocidad sin precedentes. La
computación móvil y las nuevas tecnologías, como la computación en nube
y las redes sociales, están derribando los muros de la oficina convencional
y demoliendo los viejos paradigmas de los Riesgos de TI.
Los riesgos de TI están firmemente vinculados a los riesgos de negocios.
La creciente importancia de la ITRM
Algunos de los riesgos clave en los cuales debemos enfocarnos y
sus consecuencias para la ITRM son:
Las tendencias como la subcontratación de los procesos de negocio la computación en nube y la subcontratación de TI están generando una mayor dependencia de terceros.
Los acontecimientos como los incidentes de WikiLeaks, el robo de identidad y la computación móvil están obligando a las compañías a enfocarse más en los riesgos relacionados con la fuga de datos.
Las directrices de protección de datos de la Unión Europea están ayudando a las compañías a tomar medidas contra el aumento de los crímenes cibernéticos, del phishing y del fraude en línea.
El entorno de negocios y la ITRM
El crecimiento de las tecnologías, como la computación móvil, la computación en nube y la virtualización, así como la rápida adopción de las plataformas de redes sociales y del comercio/pagos en línea no muestran señales de que disminuirán. Se seguirán creando tecnologías, cada una de las cuales planteará un nuevo conjunto de riesgos y retos cuya naturaleza difícilmente podrá predecirse. Algunas compañías han adoptado la nueva tecnología y la han aprovechado para ayudar a que sus negocios crezcan.
Los crímenes cibernéticos son un riesgo impredecible que inevitablemente ha dado pie a más normas y una mayor supervisión por parte del gobierno. Por ende, las directrices de protección de datos de la Unión Europea, la Ley Sarbanes-Oxley y las normas de seguridad de datos de la Industria de Tarjetas de Pago también se han vuelto impulsores importantes para la inversión en procesos y procedimientos relacionados con la ITRM.
El universo de riesgos de TI
Esta perspectiva integral le proporciona a las empresas un punto de partida para ayudarlas a identificar y manejar los riesgos y retos actuales de TI, así como los que puedan surgir con el tiempo.
El universo de riesgos de TI destaca la necesidad de contar con una estrategia alineada para manejar las 10 amplias categorías de riesgos. Estas son relativamente estables, pero los riesgos dentro de ellas variarán de una compañía a otra y cambiarán a medida que pase el tiempo.
Universo de riesgos de TI
Proveedoresterceros youtsourcing
Administraciónde programas ydel cambio
Seguridad yprivacidad
Entorno físico Dotación depersonal
• Nivel de servicio bajo• Fuga de datos• Soporte inadecuado• Falta de aseguramiento
• Excedentespresupuestales• Retrasos importantes• Baja calidad de losentregables• Control de cambiosineficaz
• Intrusión de softwaremalicioso• Ataques de virus• Ataques a sitios web• Mala administración deparches
• Fallas en los serviciospúblicos• Desastres naturales• Huelgas• Sancionesambientales
• Pérdida de recursos clavede TI• Incapacidad para reclutarpersonal de TI• Habilidades inadecuadas• Falta deconocimiento delnegocio
Operaciones Datos Infraestructura Aplicaciones ybases de datos
Legal yreglamentario
• Errores del operadordurante el respaldo omantenimiento• Fallas en los procesosoperativos
• Revelación de datossensibles• Corrupción de datos• Acceso no autorizado• Falla en minar lainformación
• Daño a los servidores• Arquitectura de TIinflexible• Robo• Tecnología obsoleta
• Aplicaciones nosoportadas• Fallas críticas delsistema• Incapacidad paramanejar la carga• Asuntos deconfiguración
• Incumplimiento conreglamentos• Incumplimiento concontratos de licencias desoftware
Cómo los diferentes entornos de negocios afectan el universo de riesgos de TI
Las mega tendencias de TI ayudan aidentificar los riesgos importantes en este tema
Para poder apreciar mejor el universo de riesgos de TI y para crear un enfoque de ITRM, resulta útil entender que los riesgos se ven muy afectados por varias tendencias importantes, conocidas como megatendencias.
Cada una de estas megatendencias trae consigo grandes oportunidades y retos nuevos y complejos. Cada una se vincula con el universo de riesgos de TI de varias formas, tal como se muestra a continuación:
1. Consumerización emergente: Esto se refiere a cuando una nueva tecnología de la información surge por primera vez en el mercado del consumidor y después se propaga a las empresas. Esto da como resultado la convergencia de la industria de las TI y electrónica de consumo, y un cambio en la innovación de las TI de las grandes empresas al hogar.
2. El auge de la computación en nube: Los beneficios derivados del uso de la computación en nube incluyen una reducción de los costos totales de propiedad, y permiten que las compañías se enfoquen en su negocio principal, ya que se reduce el esfuerzo general para administrar las operaciones de infraestructura.
3. La importancia cada vez mayor de la continuidad de operaciones: A medida que aumenta la complejidad e interconexión de las compañías, también se ha incrementado el impacto que tiene la falta de disponibilidad de cualquier recurso de TI.
4. Mayor perseverancia del crimen cibernético: Las medidas tradicionales de la seguridad de la información son relativamente ineficientes para hacer frente a las APT y esto ha obligado a las compañías a tomar medidas adicionales contra las amenazas externas.
5. Mayor exposición a amenazas internas: La experiencia nos dice que (1) las compañías no pueden decir cuáles son los elementos más valiosos e importantes de datos; (2) dónde se encuentran estos elementos; y (3) a dónde se envían estos datos.
6. El acelerado programa de cambio: A fin de mejorar el índice de éxito en estos proyectos y programas, las empresas pueden tomar medidas adicionales, tales como implementar programas de Aseguramiento de Calidad para los proyectos estratégicos más importantes.
Administración de riesgos de TI
Tomar responsabilidad por la administración de los riesgos de TI
Un reto clave para las grandes empresas es cómo incorporar eficazmente los esfuerzos de ITRM en toda la organización. No es posible que un solo control, función o capa organizacional mitigue los complejos riesgos de TI actuales. Los riesgos necesitan coordinarse, junto con las diferentes líneas de defensa que tiene cada compañía. Por ende, estas necesitan implementar controles a través de estas diferentes líneas de defensa para regresar a los riesgos de TI inherentes a un nivel que esté alineado con el apetito de riesgo estratégico de la empresa
Crear un marco de ITRM proactivo
El primer paso para crear un programa de ITRM eficaz y proactivo es identificar sus componentes centrales. Es aquí donde las empresas pueden aprovechar su marco de administración de riesgos existente para garantizar una coordinación, colaboración, cobertura de riesgos, y administración de riesgos congruente en toda compañía.
Programa de Administración de Riesgos de TI
Monitoreo y presentación de información del gobierno y cumplimiento de riesgos de TI
Es aquí donde las empresas implementan sus procesos y evalúan su complimiento con las políticas, normas, procedimientos y requisitos reglamentarios. Las capacidades de monitoreo y de presentación de información están diseñadas para proporcionarle a la administración puntos de vista organizacionales y un análisis de tendencias para los riesgos, asuntos de control y vulnerabilidades.
Impulsores de negocios, requisitos reglamentarios y la estrategia de riesgos (TI).
Estos impulsores deben estar alineados con los objetivos de negocios, los requisitos reglamentarios y las directrices del consejo de administración y la alta administración. Si no existe tal alineación, existe la posibilidad de que haya confusión al momento de coordinar los diferentes programas y comunicar la visión general del riesgo empresarial.
Organización/Identificación y análisis de riesgos/Políticas y normas.
Un programa de ITRM debe definir políticas, normas y lineamientos que sean justos para todas las partes interesadas y que proporcionen una administración eficaz de los procedimientos operativos mismos. Esto debe especificar quién es el dueño y el responsable de definir los procedimientos de riesgos de TI de la empresa, y de supervisar y ofrecer la guía necesaria para elaborarlos.
Marco de proceso, riesgo y control.
Las empresas deben contar con un modelo que incorpore un marco del proceso, riesgos y controles de TI (biblioteca) con base en los requisitos reglamentarios, internos y de prácticas líder. Además, las empresas deben diseñar metodologías y procedimientos para permitir un proceso de evaluación de riesgos sustentable y repetible del riesgo de TI para apoyar los objetivos de la ITRM.
Procesos de riesgo y procedimientos operativos.
Los procesos y procedimientos operativos son la parte medular de la fase de ejecución de un programa de ITRM y deben estar directamente relacionados con la norma de administración de riesgos seleccionada.
