El universo de riesgos de TI

El universo de riesgos de TI
• Para administrar los riesgos de TI de forma eficaz, las empresas
necesitan tener una visión amplia y completa de todo el panorama de
los riesgos de TI.
• Nosotros hemos creado un marco para proporcionar esta visión,
llamado el universo de riesgos de TI.
• El universo de riesgos de TI destaca la necesidad de contar con una
estrategia alineada para manejar las 10 amplias categorías de riesgos.
Estas son relativamente estables, pero los riesgos dentro de ellas
variarán de una compañía a otra y cambiarán a medida que pase el
tiempo.
Categorías del universo de riesgos de TI
Universo de
riesgos de TI
PROVEEDORES
TERCEROS Y
OUTSORCING
NIVEL DE SRVICIO
BAJO
FUGA DE DATOS
ADMINISTRACION
DE PROGRAMAS Y
DEL CAMBIO
FALTA DE
ASEGURAMIENTO
EXCEDENTES
PRESUPUESTALES
RETRASOS
IMPORTANTES
BAJA CALIDAD DE
LOS
ENTREGABLES
CONTROL DE
CAMBIOS
INEFICAZ
Categorías del universo de riesgos de TI
UNIVERSO DE
RIESGOS DE TI
SEGURIDAD Y
PRIVACIDAD
INTRUSION DE
SOFTWARE
MALICIOSO
ATAQUES DE
VIRUS
ATAQUES A SITIOS
WEB
ENTORNO FISICO
MALA
ADMINISTRACION
DE PARCHES
FALLAS EN LOS
SERVICIOS
PUBLICOS
DESASTRES
NATURALES
HUELGAS
SANCIONES
AMBIENTALES
Categorías del universo de riesgos de TI
UNIVERSO DE
RIESGOS DE TI
DOTACION DE
PERSONAL
PERDIDA DE
RECURSOS CLAVE DE
TI
INCAPACIDAD PARA
RECLUTAR PERSONAL
DE TI
OPERACIONES
HABILIDADES
INADECUADAS
FALTA DE
CONOCIMIENTO DEL
NEGOCIO
ERRORES DEL
OPERADOR DURANTE
EL RESPALDO O EL
MANTENIMIENTO
FALLAS EN LOS
PROCESOS
OPERATIVOS
Categorías del universo de riesgos de TI
UNIVERSO DE
RIESGOS DE TI
DATOS
REVELACION DE
DATOS SENCIBLES
CORRUPCION DE
DATOS
INFRAESTRUCTURA
ACCESO NO
AUTORIZADO
FALLA EN MINAR LA
INFORMACION
DAÑO A LOS
SERVIDORES
ARQUITECTURA DE
TI INFLEXIBLE
ROBO
TECNOLOGIA
OBSOLETA
Categorías del universo de riesgos de TI
UNIVERSO DE
RIESGOS DE TI
APLICACIONES Y
BASES DE DATOS
APLICACIONES NO
SOPORTADAS
FALLAS CRITICAS
DEL SISTEMA
INCAPACIDAD
PARA MANEJAR
LA CARGA
LEGAL Y
REGLAMENTARIO
ASUNTOS DE
CONFIGURACION
INCUMPLIMIENTO
CON
REGLAMENTOS
INCUMPLIMIENTO
CON CONTRATOS
DE LICENCIA DE
SOFTWARE
Cómo los diferentes entornos de negocios
afectan el universo de riesgos de TI
• Debido a que los riesgos de TI están tan estrechamente vinculados a
los riesgos de negocios, los integrantes del consejo deben hacer
preguntas críticas sobre la eficacia de la administración de riesgos de
TI. No es necesario que cuenten con un amplio conocimiento sobre
TI para poder identificar estas preguntas importantes y reveladoras.
• Únicamente necesitan tener dos cosas en claro:
• Qué tanto depende su compañía de sistemas de TI rentables,
ininterrumpidos y seguros (TI defensiva)
• Qué tanto depende esta de lograr una ventaja competitiva a través de
las TI (TI ofensiva) o de ambas.
• Una vez que una empresa tiene conocimiento de la modalidad en la
que se encuentra, se puede enfocar en lo que sí es importante para
sus circunstancias específicas e implementar un gobierno y controles
personalizados en la medida de lo necesario.
• Cabe destacar que las grandes empresas casi nunca se encuentran en
una sola modalidad. Pueden encontrarse en varias modalidades del
cuadrante al mismo tiempo, dependiendo de la parte de la empresa
bajo análisis y de las aplicaciones centrales que se utilicen en esa
parte de la misma.
El entorno de negocios y la ITRM
• Defensiva
Modalidad de fábrica
Si un sistema falla más de un minuto, hay una pérdida inmediata en el
negocio Una disminución en el tiempo de respuesta por más de un
segundo tiene consecuencias serias para los usuarios internos y
externos. La mayoría de las actividades centrales de negocios se
realizan en línea.
El trabajo de sistemas en su mayoría es de mantenimiento.
El trabajo de sistemas ofrece poca distinción estratégica y reducción
drástica de costos.
• Modalidad de apoyo
• Incluso con interrupciones constantes de hasta 12 horas en el servicio, no
hay consecuencias importantes.
• El tiempo de respuesta para el usuario puede tomar hasta 5 segundos en
las operaciones en línea.
• La mayoría de los sistemas internos no son visibles para los proveedores ni
para los clientes. Hay poca necesidad de contar con la capacidad de una
extranet.
• Las compañías rápidamente pueden regresar a procedimientos manuales
en el 80% de las operaciones de valor.
• El trabajo de sistemas en su mayoría es de mantenimiento.
Ofensiva
• Modalidad estratégica
• Si un sistema falla por más de un minuto, hay una pérdida inmediata
en el negocio.
• Una disminución en el tiempo de respuesta por más de un segundo
tiene consecuencias serias para los usuarios internos y externos.
• Modalidad de cambio
• Los nuevos sistemas prometen transformaciones importantes en los
procesos y servicios.
• Los nuevos sistemas prometen grandes reducciones de costos.
• Los nuevos sistemas cerrarán importantes brechas de costos,
servicios o de desempeño de los procesos con los competidores.
• Las TI constituyen más del 50% de la inversión de capital.
• Las TI constituyen más del 15% del gasto corporativo.
Las MEGATENDENCIAS de TI ayudan a identificar
los riesgos importantes en este tema
• Para poder apreciar mejor el universo de riesgos de TI y para crear un
enfoque de ITRM, resulta útil entender que los riesgos se ven muy
afectados por varias tendencias importantes, conocidas como
MEGATENDENCIAS.
• Cada una de estas MEGATENDENCIAS trae consigo grandes
oportunidades y retos nuevos y complejos. Cada una se vincula con el
universo de riesgos de TI de varias formas.
1. Consumerizacion emergente
• Esto se refiere a cuando una nueva tecnología de la información surge
por primera vez en el mercado del consumidor y después se propaga
a las empresas.
• Esto da como resultado la convergencia de la industria de las TI y
electrónica de consumo, y un cambio en la innovación de las TI de las
grandes empresas al hogar.
• La computación móvil y las redes sociales son ejemplos de la
consumerización, los cuales cada vez más están siendo adoptados por
un amplio público y en muchos grupos demográficos.
2. El auge de la computación en nube
• Esto se refiere a una manera de utilizar el internet para tener acceso a
los datos utilizando el software de un tercero que opera en el
hardware de otro tercero, posiblemente a través del centro de datos
de algún otro tercero.
• Las compañías están utilizando cada vez más la “nube” para soportar
todos (o una parte de) sus sistemas. Varias encuestas sobre el uso del
internet muestran que más del 50% de las grandes corporaciones
ahora subcontratan al menos algunas partes de su TI en la nube.
• Los beneficios derivados del uso de la computación en nube incluyen
una reducción de los costos totales de propiedad, y permiten que las
compañías se enfoquen en su negocio principal, ya que se reduce el
esfuerzo general para administrar las operaciones de infraestructura.
3. La importancia cada vez mayor de la
continuidad de operaciones
• A medida que aumenta la complejidad e interconexión de las
compañías, también se ha incrementado el impacto que tiene la falta
de disponibilidad de cualquier recurso de TI.
• En el mundo actual de una “empresa sin fronteras”, hay un impacto
visible en cascada de la incapacidad de cualquier parte de la cadena
de valor de la organización para cumplir con sus compromisos.
Además, muchos negocios cada vez dependen más de que sus
sistemas de TI estén disponibles las 24 horas para sus operaciones de
ventas y atención al cliente, u otras operaciones centrales de la
compañía.
4. Mayor perseverancia del crimen
cibernético
• Cada vez más, las compañías son víctimas del crimen cibernético. Las
estadísticas del FBI muestran que los índices de crímenes cibernéticos
en 2009 y 2010 aumentaron más que nunca y se incrementaron en
20% desde 2008.
• En un inicio, los crímenes cibernéticos eran el trabajo de personas
que realizaban actividades de piratería informática (hacking), tales
como el robo de identidad para su beneficio económico personal.
• Más recientemente, los crímenes cibernéticos los llevan a cabo
grupos más organizados que trabajan juntos, utilizando más recursos,
habilidades y con un mejor alcance.
5.Mayor exposición a amenazas internas
• En un incidente, un exempleado descontento de un banco suizo le
entregó a WikiLeaks los datos de las cuentas bancarias de más de
2,000 personas prominentes, potencialmente exhibiendo una evasión
fiscal.
• Este incidente una vez más hace hincapié en que los empleados con
acceso a información crítica y restringida pueden poner a las
empresas en riesgo al revelar información al público.
• Este riesgo se ha visto alimentado por el comportamiento de
empleados conflictivos y descontentos como resultado de la crisis
financiera o de un impulso por actuar a favor del interés público.
6. El acelerado programa de cambio
• El cambio continúa siendo una ‘constante’ en las TI. Desde siempre,
las compañías han hecho un esfuerzo por construir y profesionalizar
un panorama ERP para apoyar sus procesos centrales.
• Sin embargo, las estadísticas sobre los proyectos y programas en la
materia no son alentadoras; según el informe publicado por Standish,
aproximadamente dos de cada tres proyectos se clasifica como ‘no
exitoso’, lo que significa que rebasa el presupuesto, llegó demasiado
tarde, o no está dando los beneficios anticipados.
• El bajo índice de éxito da como resultado una fuga importante de
valor en las compañías de TI, debido a que reciben menos ‘valor por
su dinero’ invertido en las TI de lo que habían anticipado.
• A fin de mejorar el índice de éxito en estos proyectos y programas, las
empresas pueden tomar medidas adicionales, tales como
implementar programas de Aseguramiento de Calidad para los
proyectos estratégicos más importantes.