El universo de riesgos de TI
El universo de riesgos de TI • Para administrar los riesgos de TI de forma eficaz, las empresas necesitan tener una visión amplia y completa de todo el panorama de los riesgos de TI. • Nosotros hemos creado un marco para proporcionar esta visión, llamado el universo de riesgos de TI. • El universo de riesgos de TI destaca la necesidad de contar con una estrategia alineada para manejar las 10 amplias categorías de riesgos. Estas son relativamente estables, pero los riesgos dentro de ellas variarán de una compañía a otra y cambiarán a medida que pase el tiempo. Categorías del universo de riesgos de TI Universo de riesgos de TI PROVEEDORES TERCEROS Y OUTSORCING NIVEL DE SRVICIO BAJO FUGA DE DATOS ADMINISTRACION DE PROGRAMAS Y DEL CAMBIO FALTA DE ASEGURAMIENTO EXCEDENTES PRESUPUESTALES RETRASOS IMPORTANTES BAJA CALIDAD DE LOS ENTREGABLES CONTROL DE CAMBIOS INEFICAZ Categorías del universo de riesgos de TI UNIVERSO DE RIESGOS DE TI SEGURIDAD Y PRIVACIDAD INTRUSION DE SOFTWARE MALICIOSO ATAQUES DE VIRUS ATAQUES A SITIOS WEB ENTORNO FISICO MALA ADMINISTRACION DE PARCHES FALLAS EN LOS SERVICIOS PUBLICOS DESASTRES NATURALES HUELGAS SANCIONES AMBIENTALES Categorías del universo de riesgos de TI UNIVERSO DE RIESGOS DE TI DOTACION DE PERSONAL PERDIDA DE RECURSOS CLAVE DE TI INCAPACIDAD PARA RECLUTAR PERSONAL DE TI OPERACIONES HABILIDADES INADECUADAS FALTA DE CONOCIMIENTO DEL NEGOCIO ERRORES DEL OPERADOR DURANTE EL RESPALDO O EL MANTENIMIENTO FALLAS EN LOS PROCESOS OPERATIVOS Categorías del universo de riesgos de TI UNIVERSO DE RIESGOS DE TI DATOS REVELACION DE DATOS SENCIBLES CORRUPCION DE DATOS INFRAESTRUCTURA ACCESO NO AUTORIZADO FALLA EN MINAR LA INFORMACION DAÑO A LOS SERVIDORES ARQUITECTURA DE TI INFLEXIBLE ROBO TECNOLOGIA OBSOLETA Categorías del universo de riesgos de TI UNIVERSO DE RIESGOS DE TI APLICACIONES Y BASES DE DATOS APLICACIONES NO SOPORTADAS FALLAS CRITICAS DEL SISTEMA INCAPACIDAD PARA MANEJAR LA CARGA LEGAL Y REGLAMENTARIO ASUNTOS DE CONFIGURACION INCUMPLIMIENTO CON REGLAMENTOS INCUMPLIMIENTO CON CONTRATOS DE LICENCIA DE SOFTWARE Cómo los diferentes entornos de negocios afectan el universo de riesgos de TI • Debido a que los riesgos de TI están tan estrechamente vinculados a los riesgos de negocios, los integrantes del consejo deben hacer preguntas críticas sobre la eficacia de la administración de riesgos de TI. No es necesario que cuenten con un amplio conocimiento sobre TI para poder identificar estas preguntas importantes y reveladoras. • Únicamente necesitan tener dos cosas en claro: • Qué tanto depende su compañía de sistemas de TI rentables, ininterrumpidos y seguros (TI defensiva) • Qué tanto depende esta de lograr una ventaja competitiva a través de las TI (TI ofensiva) o de ambas. • Una vez que una empresa tiene conocimiento de la modalidad en la que se encuentra, se puede enfocar en lo que sí es importante para sus circunstancias específicas e implementar un gobierno y controles personalizados en la medida de lo necesario. • Cabe destacar que las grandes empresas casi nunca se encuentran en una sola modalidad. Pueden encontrarse en varias modalidades del cuadrante al mismo tiempo, dependiendo de la parte de la empresa bajo análisis y de las aplicaciones centrales que se utilicen en esa parte de la misma. El entorno de negocios y la ITRM • Defensiva Modalidad de fábrica Si un sistema falla más de un minuto, hay una pérdida inmediata en el negocio Una disminución en el tiempo de respuesta por más de un segundo tiene consecuencias serias para los usuarios internos y externos. La mayoría de las actividades centrales de negocios se realizan en línea. El trabajo de sistemas en su mayoría es de mantenimiento. El trabajo de sistemas ofrece poca distinción estratégica y reducción drástica de costos. • Modalidad de apoyo • Incluso con interrupciones constantes de hasta 12 horas en el servicio, no hay consecuencias importantes. • El tiempo de respuesta para el usuario puede tomar hasta 5 segundos en las operaciones en línea. • La mayoría de los sistemas internos no son visibles para los proveedores ni para los clientes. Hay poca necesidad de contar con la capacidad de una extranet. • Las compañías rápidamente pueden regresar a procedimientos manuales en el 80% de las operaciones de valor. • El trabajo de sistemas en su mayoría es de mantenimiento. Ofensiva • Modalidad estratégica • Si un sistema falla por más de un minuto, hay una pérdida inmediata en el negocio. • Una disminución en el tiempo de respuesta por más de un segundo tiene consecuencias serias para los usuarios internos y externos. • Modalidad de cambio • Los nuevos sistemas prometen transformaciones importantes en los procesos y servicios. • Los nuevos sistemas prometen grandes reducciones de costos. • Los nuevos sistemas cerrarán importantes brechas de costos, servicios o de desempeño de los procesos con los competidores. • Las TI constituyen más del 50% de la inversión de capital. • Las TI constituyen más del 15% del gasto corporativo. Las MEGATENDENCIAS de TI ayudan a identificar los riesgos importantes en este tema • Para poder apreciar mejor el universo de riesgos de TI y para crear un enfoque de ITRM, resulta útil entender que los riesgos se ven muy afectados por varias tendencias importantes, conocidas como MEGATENDENCIAS. • Cada una de estas MEGATENDENCIAS trae consigo grandes oportunidades y retos nuevos y complejos. Cada una se vincula con el universo de riesgos de TI de varias formas. 1. Consumerizacion emergente • Esto se refiere a cuando una nueva tecnología de la información surge por primera vez en el mercado del consumidor y después se propaga a las empresas. • Esto da como resultado la convergencia de la industria de las TI y electrónica de consumo, y un cambio en la innovación de las TI de las grandes empresas al hogar. • La computación móvil y las redes sociales son ejemplos de la consumerización, los cuales cada vez más están siendo adoptados por un amplio público y en muchos grupos demográficos. 2. El auge de la computación en nube • Esto se refiere a una manera de utilizar el internet para tener acceso a los datos utilizando el software de un tercero que opera en el hardware de otro tercero, posiblemente a través del centro de datos de algún otro tercero. • Las compañías están utilizando cada vez más la “nube” para soportar todos (o una parte de) sus sistemas. Varias encuestas sobre el uso del internet muestran que más del 50% de las grandes corporaciones ahora subcontratan al menos algunas partes de su TI en la nube. • Los beneficios derivados del uso de la computación en nube incluyen una reducción de los costos totales de propiedad, y permiten que las compañías se enfoquen en su negocio principal, ya que se reduce el esfuerzo general para administrar las operaciones de infraestructura. 3. La importancia cada vez mayor de la continuidad de operaciones • A medida que aumenta la complejidad e interconexión de las compañías, también se ha incrementado el impacto que tiene la falta de disponibilidad de cualquier recurso de TI. • En el mundo actual de una “empresa sin fronteras”, hay un impacto visible en cascada de la incapacidad de cualquier parte de la cadena de valor de la organización para cumplir con sus compromisos. Además, muchos negocios cada vez dependen más de que sus sistemas de TI estén disponibles las 24 horas para sus operaciones de ventas y atención al cliente, u otras operaciones centrales de la compañía. 4. Mayor perseverancia del crimen cibernético • Cada vez más, las compañías son víctimas del crimen cibernético. Las estadísticas del FBI muestran que los índices de crímenes cibernéticos en 2009 y 2010 aumentaron más que nunca y se incrementaron en 20% desde 2008. • En un inicio, los crímenes cibernéticos eran el trabajo de personas que realizaban actividades de piratería informática (hacking), tales como el robo de identidad para su beneficio económico personal. • Más recientemente, los crímenes cibernéticos los llevan a cabo grupos más organizados que trabajan juntos, utilizando más recursos, habilidades y con un mejor alcance. 5.Mayor exposición a amenazas internas • En un incidente, un exempleado descontento de un banco suizo le entregó a WikiLeaks los datos de las cuentas bancarias de más de 2,000 personas prominentes, potencialmente exhibiendo una evasión fiscal. • Este incidente una vez más hace hincapié en que los empleados con acceso a información crítica y restringida pueden poner a las empresas en riesgo al revelar información al público. • Este riesgo se ha visto alimentado por el comportamiento de empleados conflictivos y descontentos como resultado de la crisis financiera o de un impulso por actuar a favor del interés público. 6. El acelerado programa de cambio • El cambio continúa siendo una ‘constante’ en las TI. Desde siempre, las compañías han hecho un esfuerzo por construir y profesionalizar un panorama ERP para apoyar sus procesos centrales. • Sin embargo, las estadísticas sobre los proyectos y programas en la materia no son alentadoras; según el informe publicado por Standish, aproximadamente dos de cada tres proyectos se clasifica como ‘no exitoso’, lo que significa que rebasa el presupuesto, llegó demasiado tarde, o no está dando los beneficios anticipados. • El bajo índice de éxito da como resultado una fuga importante de valor en las compañías de TI, debido a que reciben menos ‘valor por su dinero’ invertido en las TI de lo que habían anticipado. • A fin de mejorar el índice de éxito en estos proyectos y programas, las empresas pueden tomar medidas adicionales, tales como implementar programas de Aseguramiento de Calidad para los proyectos estratégicos más importantes.
© Copyright 2024