Upload
juan-luis-gallego-alvarez
View
224
Download
0
Embed Size (px)
Citation preview
El universo de riesgos de TI
• Para administrar los riesgos de TI de forma eficaz, las empresas necesitan tener una visión amplia y completa de todo el panorama de los riesgos de TI.• Nosotros hemos creado un marco para proporcionar esta visión,
llamado el universo de riesgos de TI.
• El universo de riesgos de TI destaca la necesidad de contar con una estrategia alineada para manejar las 10 amplias categorías de riesgos. Estas son relativamente estables, pero los riesgos dentro de ellas variarán de una compañía a otra y cambiarán a medida que pase el tiempo.
Categorías del universo de riesgos de TI
Universo de riesgos de TI
PROVEEDORES TERCEROS Y
OUTSORCING
NIVEL DE SRVICIO BAJO FUGA DE DATOS FALTA DE
ASEGURAMIENTO
ADMINISTRACION DE PROGRAMAS Y
DEL CAMBIO
EXCEDENTES PRESUPUESTALES
RETRASOS IMPORTANTES
BAJA CALIDAD DE LOS ENTREGABLES
CONTROL DE CAMBIOS INEFICAZ
Categorías del universo de riesgos de TI
UNIVERSO DE RIESGOS DE TI
SEGURIDAD Y PRIVACIDAD
INTRUSION DE SOFTWARE MALICIOSO
ATAQUES DE VIRUS ATAQUES A SITIOS WEB
MALA ADMINISTRACION
DE PARCHES
ENTORNO FISICO
FALLAS EN LOS SERVICIOS PUBLICOS
DESASTRES NATURALES HUELGAS SANCIONES
AMBIENTALES
Categorías del universo de riesgos de TI
UNIVERSO DE RIESGOS DE TI
DOTACION DE PERSONAL
PERDIDA DE RECURSOS CLAVE DE
TI
INCAPACIDAD PARA RECLUTAR PERSONAL
DE TI
HABILIDADES INADECUADAS
FALTA DE CONOCIMIENTO DEL
NEGOCIO
OPERACIONES
ERRORES DEL OPERADOR DURANTE
EL RESPALDO O EL MANTENIMIENTO
FALLAS EN LOS PROCESOS
OPERATIVOS
Categorías del universo de riesgos de TI
UNIVERSO DE RIESGOS DE TI
DATOS
REVELACION DE DATOS SENCIBLES
CORRUPCION DE DATOS
ACCESO NO AUTORIZADO
FALLA EN MINAR LA INFORMACION
INFRAESTRUCTURA
DAÑO A LOS SERVIDORES
ARQUITECTURA DE TI INFLEXIBLE ROBO TECNOLOGIA
OBSOLETA
Categorías del universo de riesgos de TI
UNIVERSO DE RIESGOS DE TI
APLICACIONES Y BASES DE DATOS
APLICACIONES NO SOPORTADAS
FALLAS CRITICAS DEL SISTEMA
INCAPACIDAD PARA MANEJAR LA
CARGA
ASUNTOS DE CONFIGURACION
LEGAL Y REGLAMENTARIO
INCUMPLIMIENTO CON
REGLAMENTOS
INCUMPLIMIENTO CON CONTRATOS DE LICENCIA DE
SOFTWARE
Cómo los diferentes entornos de negocios afectan el universo de riesgos de TI• Debido a que los riesgos de TI están tan estrechamente vinculados a
los riesgos de negocios, los integrantes del consejo deben hacer preguntas críticas sobre la eficacia de la administración de riesgos de TI. No es necesario que cuenten con un amplio conocimiento sobre TI para poder identificar estas preguntas importantes y reveladoras.• Únicamente necesitan tener dos cosas en claro: • Qué tanto depende su compañía de sistemas de TI rentables,
ininterrumpidos y seguros (TI defensiva) • Qué tanto depende esta de lograr una ventaja competitiva a través de
las TI (TI ofensiva) o de ambas.
• Una vez que una empresa tiene conocimiento de la modalidad en la que se encuentra, se puede enfocar en lo que sí es importante para sus circunstancias específicas e implementar un gobierno y controles personalizados en la medida de lo necesario.
• Cabe destacar que las grandes empresas casi nunca se encuentran en una sola modalidad. Pueden encontrarse en varias modalidades del cuadrante al mismo tiempo, dependiendo de la parte de la empresa bajo análisis y de las aplicaciones centrales que se utilicen en esa parte de la misma.
El entorno de negocios y la ITRM
• DefensivaModalidad de fábricaSi un sistema falla más de un minuto, hay una pérdida inmediata en el
negocio Una disminución en el tiempo de respuesta por más de un segundo tiene consecuencias serias para los usuarios internos y externos. La mayoría de las actividades centrales de negocios se realizan en línea.
El trabajo de sistemas en su mayoría es de mantenimiento.El trabajo de sistemas ofrece poca distinción estratégica y reducción
drástica de costos.
• Modalidad de apoyo• Incluso con interrupciones constantes de hasta 12 horas en el servicio, no hay
consecuencias importantes. • El tiempo de respuesta para el usuario puede tomar hasta 5 segundos en las
operaciones en línea.• La mayoría de los sistemas internos no son visibles para los proveedores ni
para los clientes. Hay poca necesidad de contar con la capacidad de una extranet.• Las compañías rápidamente pueden regresar a procedimientos manuales en
el 80% de las operaciones de valor. • El trabajo de sistemas en su mayoría es de mantenimiento.
Ofensiva
• Modalidad estratégica• Si un sistema falla por más de un minuto, hay una pérdida inmediata
en el negocio.• Una disminución en el tiempo de respuesta por más de un segundo
tiene consecuencias serias para los usuarios internos y externos.
• Modalidad de cambio• Los nuevos sistemas prometen transformaciones importantes en los
procesos y servicios.• Los nuevos sistemas prometen grandes reducciones de costos.• Los nuevos sistemas cerrarán importantes brechas de costos, servicios
o de desempeño de los procesos con los competidores.• Las TI constituyen más del 50% de la inversión de capital.• Las TI constituyen más del 15% del gasto corporativo.
Las MEGATENDENCIAS de TI ayudan a identificar los riesgos importantes en este tema
• Para poder apreciar mejor el universo de riesgos de TI y para crear un enfoque de ITRM, resulta útil entender que los riesgos se ven muy afectados por varias tendencias importantes, conocidas como MEGATENDENCIAS.• Cada una de estas MEGATENDENCIAS trae consigo grandes
oportunidades y retos nuevos y complejos. Cada una se vincula con el universo de riesgos de TI de varias formas.
1. Consumerizacion emergente
• Esto se refiere a cuando una nueva tecnología de la información surge por primera vez en el mercado del consumidor y después se propaga a las empresas. • Esto da como resultado la convergencia de la industria de las TI y
electrónica de consumo, y un cambio en la innovación de las TI de las grandes empresas al hogar.• La computación móvil y las redes sociales son ejemplos de la
consumerización, los cuales cada vez más están siendo adoptados por un amplio público y en muchos grupos demográficos.
2. El auge de la computación en nube• Esto se refiere a una manera de utilizar el internet para tener acceso a
los datos utilizando el software de un tercero que opera en el hardware de otro tercero, posiblemente a través del centro de datos de algún otro tercero.• Las compañías están utilizando cada vez más la “nube” para soportar
todos (o una parte de) sus sistemas. Varias encuestas sobre el uso del internet muestran que más del 50% de las grandes corporaciones ahora subcontratan al menos algunas partes de su TI en la nube.
• Los beneficios derivados del uso de la computación en nube incluyen una reducción de los costos totales de propiedad, y permiten que las compañías se enfoquen en su negocio principal, ya que se reduce el esfuerzo general para administrar las operaciones de infraestructura.
3. La importancia cada vez mayor de la continuidad de operaciones• A medida que aumenta la complejidad e interconexión de las
compañías, también se ha incrementado el impacto que tiene la falta de disponibilidad de cualquier recurso de TI. • En el mundo actual de una “empresa sin fronteras”, hay un impacto
visible en cascada de la incapacidad de cualquier parte de la cadena de valor de la organización para cumplir con sus compromisos. Además, muchos negocios cada vez dependen más de que sus sistemas de TI estén disponibles las 24 horas para sus operaciones de ventas y atención al cliente, u otras operaciones centrales de la compañía.
4. Mayor perseverancia del crimen cibernético• Cada vez más, las compañías son víctimas del crimen cibernético. Las
estadísticas del FBI muestran que los índices de crímenes cibernéticos en 2009 y 2010 aumentaron más que nunca y se incrementaron en 20% desde 2008.• En un inicio, los crímenes cibernéticos eran el trabajo de personas que
realizaban actividades de piratería informática (hacking), tales como el robo de identidad para su beneficio económico personal.• Más recientemente, los crímenes cibernéticos los llevan a cabo
grupos más organizados que trabajan juntos, utilizando más recursos, habilidades y con un mejor alcance.
5.Mayor exposición a amenazas internas• En un incidente, un exempleado descontento de un banco suizo le
entregó a WikiLeaks los datos de las cuentas bancarias de más de 2,000 personas prominentes, potencialmente exhibiendo una evasión fiscal.• Este incidente una vez más hace hincapié en que los empleados con
acceso a información crítica y restringida pueden poner a las empresas en riesgo al revelar información al público.• Este riesgo se ha visto alimentado por el comportamiento de
empleados conflictivos y descontentos como resultado de la crisis financiera o de un impulso por actuar a favor del interés público.
6. El acelerado programa de cambio
• El cambio continúa siendo una ‘constante’ en las TI. Desde siempre, las compañías han hecho un esfuerzo por construir y profesionalizar un panorama ERP para apoyar sus procesos centrales.• Sin embargo, las estadísticas sobre los proyectos y programas en la
materia no son alentadoras; según el informe publicado por Standish, aproximadamente dos de cada tres proyectos se clasifica como ‘no exitoso’, lo que significa que rebasa el presupuesto, llegó demasiado tarde, o no está dando los beneficios anticipados.• El bajo índice de éxito da como resultado una fuga importante de valor
en las compañías de TI, debido a que reciben menos ‘valor por su dinero’ invertido en las TI de lo que habían anticipado.
• A fin de mejorar el índice de éxito en estos proyectos y programas, las empresas pueden tomar medidas adicionales, tales como implementar programas de Aseguramiento de Calidad para los proyectos estratégicos más importantes.