1. No category

Riesgos de TI en el panorama
actual de los riesgos de
negocios
Cambios en el panorama de los Riesgos
de TI
La manera en que las compañías interactúan con
sus empleados, clientes y otras organizaciones está
cambiando a una velocidad sin precedentes. La
computación móvil y las nuevas tecnologías, como la
computación en nube y las redes sociales, están
derribando los muros de la oficina convencional y
demoliendo los viejos paradigmas de los Riesgos de
TI.
Desde siempre, los riesgos de ti se han considerado como
responsabilidad única del departamento de ti y no se han
considerado como un riesgo estratégico de negocios que
requiere la atención de toda la compañía.
Ahora, las empresas deben incluir la Administración de Riesgos
de TI (IT Risk Management o ITRM, por sus siglas en inglés)
dentro de su enfoque general para toda la organización.
La creciente importancia de la ITRM
El paradigma de los riesgos de ti siempre ha estado
sujeto a cambios, pero la complejidad y los tipos de
riesgo han aumentado considerablemente en los
últimos años y continuarán incrementándose.
Algunos de los riesgos clave en los cuales debemos enfocarnos
y sus consecuencias para la ITRM son:

Las tendencias como la subcontratación de los procesos de
negocio (business process outsourcing o BPO, por sus siglas
en inglés), la computación en nube y la subcontratación de TI
están generando una mayor dependencia de terceros. Por lo
tanto, la administración de la continuidad del negocio (y
garantizar la disponibilidad de las instalaciones de TI) tiene
dimensiones y complejidades externas adicionales.

Los acontecimientos como los incidentes de WikiLeaks,
elrobo de identidad y la computación móvil están obligando a
las compañías a enfocarse más en los riesgos relacionados
con la fuga de datos.

Las directrices de protección de datos de la Unión Europea
están ayudando a las compañías a tomar medidas contra el
aumento de los crímenes cibernéticos, del phishing y del
fraude en línea.
El universo de riesgos de TI
Para administrar los riesgos de ti de forma eficaz, las
empresas
necesitan tener una visión amplia y completa de todo
el panorama de riesgos de ti.
Esta perspectiva integral le proporciona a las
empresas un punto de partida para ayudarlas a
identificar y manejar los riesgos y retos actuales de
TI, así como los que puedan surgir con el tiempo.
El universo de riesgos de TI destaca la necesidad de contar con
una estrategia alineada para manejar las 10 amplias categorías
de riesgos.
Universo de
riesgos de TI
Aplicaciones
y
bases de
datos
Legal y
Proveedores
reglamentario terceros y
outsourcing
Administració Seguridad y
n
privacidad
de programas
y
del cambio
Aplicaciones
no
soportadas
• Fallas críticas
del
sistema
• Incapacidad
para
manejar la
carga
• Asuntos de
•
Incumplimiento
con
reglamentos
•
Incumplimiento
con
contratos de
licencias de
software
• Excedentes
presupuestales
• Retrasos
importantes
• Baja calidad
de los
entregables
• Control de
cambios
ineficaz
• Nivel de
servicio bajo
• Fuga de
datos
• Soporte
inadecuado
• Falta de
aseguramiento
• Intrusión de
software
malicioso
• Ataques de
virus
• Ataques a
sitios web
• Mala
administración
de
parches
Universo de
riesgos de TI
Entorno físico Dotación de
personal
Operaciones
Datos
Infraestructur
a
• Fallas en los
servicios
públicos
• Desastres
naturales
• Huelgas
• Sanciones
ambientales
• Errores del
operador
durante el
respaldo o
mantenimiento
• Fallas en los
procesos
operativos
• Revelación
de datos
sensibles
• Corrupción
de datos
• Acceso no
autorizado
• Falla en
minar la
información
• Daño a los
servidores
• Arquitectura
de TI
inflexible
• Robo
• Tecnología
obsoleta
• Pérdida de
recursos clave
de TI
• Incapacidad
para reclutar
personal de TI
• Habilidades
inadecuadas
• Falta de
conocimiento
del
negocio
Cómo los diferentes entornos de negocios
afectan el universo de riesgos de TEI
Debido a que los riesgos de TI están tan
estrechamente vinculados a los riesgos de negocios,
los integrantes del consejo deben hacer preguntas
críticas sobre la eficacia de la administración de
riesgos de TI.
Únicamente necesitan tener dos cosas en claro:
• Qué tanto depende su compañía de sistemas de TI rentables,
ininterrumpidos y seguros (TI defensiva)
• Qué tanto depende esta de lograr una ventaja competitiva a
través de las TI (TI ofensiva) o de ambas
Las megatendencias de ti ayudan a
identificar los riesgos importantes en
este tema
Para poder apreciar mejor el universo de riesgos de TI y para
crear un enfoque de ITRM, resulta útil entender que los riesgos
se ven muy afectados por varias tendencias importantes,
conocidas como megatendencias.
Megatendencias
Beneficio de
negocios
Riesgos de
negocios/TI
Categorías
afectadas del
universo de
riesgos de TI
Consumerización
emergente
• Computación móvil:
Conectividad en
cualquier
momento y en cualquier
lugar/capacidad de alto
volumen de almacenaje
de
datos portátil
• Medios sociales:
Capacidades
nuevas y avanzadas para
compartir información,
tal
como crowdsourcing
• Mayor vulnerabilidad
debido al acceso en
cualquier momento y lugar
• Riesgo de intercambio
involuntario,
exageración de comentarios
casuales y
revelación de los datos
personales y de la
compañía. La disponibilidad
de los datos en la
web facilita los ataques
cibernéticos
• Los empleados podrían
violar las políticas
relacionadas con la fuga de
datos
• Seguridad y privacidad
• Datos
• Legal y reglamentario
•
Megatendencias
Beneficio de
negocios
Riesgos de
negocios/TI
Categorías
afectadas del
universo de riesgos
de TI
El auge de la
computación en
nube
• Menor costo total
de
propiedad
• Enfoque en las
actividades
centrales y menor
esfuerzo por
administrar la
infraestructura y
aplicaciones
de TI
• Contribuye a
reducir la huella
de carbono global
• Falta de gobierno y supervisión de la
infraestructura, aplicaciones y bases de
datos
de TI
• Dependencia del proveedor
• Afectaciones posibles a la privacidad y
seguridad
• Disponibilidad de TI a ser afectada por el
uso
de la nube
• Mayor riesgo al incumplimiento
reglamentario
(SOX, PCT, etc.). La nube también genera
retos
en el cumplimiento de la auditoría.
• La nube podría afectar la agilidad de las TI
y de
las empresas. La plataforma establecida por
el
• Seguridad y
privacidad
• Datos
• Proveedores terceros
y externos
• Aplicaciones y bases
de datos
• Infraestructura
• Legal y reglamentario
Megatendencias Beneficio de
negocios
Riesgos de
negocios/TI
Categorías
afectadas del
universo de
riesgos de TI
La importancia
cada vez
mayor de la
continuidad de
las operaciones
• Disponibilidad las 24
horas
del día, 7 días a la
semana,
365 días al año de los
sistemas de TI para
permitir
la continuidad en el
servicio
al cliente, las
operaciones, el
comercio electrónico, etc.
• Planes de continuidad del negocio y
de
recuperación en caso de desastres
que
fallan y provocan pérdidas financieras
o
Reputacionales.
• Infraestructura
• Aplicaciones y bases
de datos
• Dotación de personal
• Operaciones
• Entorno físico
Mayor
perseverancia
del crimen
cibernético
• N/A
• Propagación de códigos maliciosos
en los
sistemas de la compañía que
provocan caídas
en el sistema
• Riesgo de robo de información
personal,
• Seguridad y
privacidad
• Datos
Megatendencias Beneficio de
negocios
Riesgos de
negocios/TI
Categorías
afectadas del
universo de
riesgos de TI
Mayor exposición
a amenazas
internas
• N/A
• Que se asignen derechos de acceso
que van
más allá de lo que se requiere en la
función
de los empleados o contratistas
• Que no se eliminen los derechos de
acceso
de empleados o contratistas cuando
dejan de
trabajar en la empresa
• Datos
• Aplicaciones y bases
de datos
• Entorno físico
El acelerado
programa de
cambio
• La adopción rápida de
nuevos
modelos de negocios o la
reducción de costos le da
a
las empresas una ventaja
competitiva
• Que no se entreguen los proyectos y
programas de TI dentro del
presupuesto,
oportunidad, calidad y alcance,
provocando
una fuga de valor
• Administración de
programas y del
cambio
Consumerización emergente: Esto se refiere a cuando una
nueva tecnología de la información surge por primera vez en el
mercado del consumidor y después se propaga a las empresas.
El auge de la computación en nube: Esto se refiere a una
manera de utilizar el internet para tener acceso a los datos
utilizando el software de un tercero que opera en el hardware
de otro tercero, posiblemente a través del centro de datos
de algún otro tercero.
La importancia cada vez mayor de la continuidad de
operaciones: A medida que aumenta la complejidad e interconexión
de las compañías, también se ha incrementado el impacto que tiene
la falta de disponibilidad de cualquier recurso de TI.
Mayor perseverancia del crimen cibernético: Cada vez más, las
compañías son víctimas del crimen cibernético. Las estadísticas del
FBI muestran que los índices de crímenes cibernéticos en 2009 y
2010 aumentaron más que nunca y se incrementaron en 20% desde
2008.
Mayor exposición a amenazas internas: Los incidentes relacionados con
WikiLeaks exhibidos recientemente han mostrado que la seguridad interna
es al menos tan importante como las amenazas externas. En un incidente,
un exempleado descontento de un banco suizo le entregó a WikiLeaks los
datos de las cuentas bancarias de más de 2,000 personas prominentes,
potencialmente exhibiendo una evasión fiscal.
El acelerado programa de cambio: El cambio continúa siendo una
‘constante’ en las TI. Desde siempre, las compañías han hecho un
esfuerzo por construir y profesionalizar un panorama ERP para apoyar sus
procesos centrales.
Tomar responsabilidad por la administración
de los riesgos de TI
Un reto clave para las grandes empresas es cómo incorporar
eficazmente los esfuerzos de ITRM en toda la organización.
Por ende, estas necesitan implementar controles a través de
estas diferentes líneas de defensa para regresar a los riesgos
de TI inherentes a un nivel que esté alineado con el apetito de
riesgo estratégico de la empresa.
Programa de Administración de Riesgos
de TI
Monitoreo y presentación de información del gobierno y
cumplimiento de riesgos de TI.
La propiedad, responsabilidad y supervisión son los fundamentos de
cualquier programa de administración de riesgos.
Es aquí donde las empresas implementan sus procesos y evalúan su
complimiento con las políticas, normas, procedimientos y requisitos
reglamentarios.
Impulsores de negocios, requisitos reglamentarios y la
estrategia de riesgos (TI).
La mayoría de las empresas no dedican suficiente tiempo para
definir claramente los asuntos de negocios críticos o los impulsores
de negocios que generan la necesidad de contar con un programa
de ITRM.
Esta visión debe incluir una guía sobre la tolerancia y procesos de
riesgo, expectativas para la función de administración de riesgos y la
inclusión de los procesos de riesgo, tal como la seguridad de TI a las
operaciones estándar de TI.
Organización/Identificación y análisis de
riesgos/Políticas y normas.
La ITRM debe contar con una definición adecuada de las funciones y
responsabilidades.
Esto debe especificar quién es el dueño y el responsable de definir
los procedimientos de riesgos de TI de la empresa, y de supervisar y
ofrecer la guía necesaria para elaborarlos.
Marco de proceso, riesgo y control.
Las empresas deben contar con un modelo que incorpore un marco
del proceso, riesgos y controles de TI (biblioteca) con base en los
requisitos reglamentarios, internos y de prácticas líder. Además, las
empresas deben diseñar metodologías y procedimientos para
permitir un proceso de evaluación de riesgos sustentable y repetible
del riesgo de TI para apoyar los objetivos de la ITRM.
Procesos de riesgo y procedimientos operativos.
Los procesos y procedimientos operativos son la parte medular de la
fase de ejecución de un programa de ITRM y deben estar
directamente relacionados con la norma de administración de
riesgos seleccionada. Este es el punto crítico para la ITRM.
El valor percibido de la ITRM
En el entorno de negocios actual, las compañías tienen que
demostrar valor a partir de los procedimientos que ponen en marcha,
bien sea que hayan surgido o no, de inversiones recientes.