• No se han encontrado resultados

Análisis de marcos de gestión del riesgo de TI - los marcos 4A, Risk IT y la construcción de una herramienta de analisis

N/A
N/A
Info
Descargar
Protected

Academic year: 2020

Share "Análisis de marcos de gestión del riesgo de TI - los marcos 4A, Risk IT y la construcción de una herramienta de analisis"

Copied!
124
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 124 página )

Texto completo

(1)ANÁLISIS DE MARCOS DE GESTIÓN DEL RIESGO DE TI: Los Marcos 4A, Risk IT y la Construcción de una Herramienta de Análisis. Documento presentado por: John Jairo Santa Delgado Asesorado por: Andrea Herrera Suescún Presentado al: Departamento de Ingeniería de Sistemas y Computación Como requisito para la obtención del grado de Ingeniero de Sistemas y Computación. Universidad de los Andes Bogotá, Colombia Mayo de 2009.

(2) A mis padres, de quienes siempre he tenido apoyo incondicional. Este proyecto no habría sido posible sin todos sus esfuerzos, que finalmente me han hecho la persona que soy.. 2.

(3) AGRADECIMIENTOS. A Juliana Antolinez, por su ayuda incondicional A Andrés Padilla, por sus brillantes recomendaciones ortográficas A Miguel Yañez, por sus constantes críticas A Andrea Herrera, por guiarme durante todo el desarrollo A mis amigos, por que indirectamente algo de ustedes queda en este proyecto. 3.

(4) ÍNDICE GENERAL. Contenido PARTE A ......................................................................................................................................................... 8 I.. ARTÍCULO ............................................................................................................................................ 9. II.. PRESENTACIÓN ................................................................................................................................ 14. PARTE B ....................................................................................................................................................... 23 III.. CAPÍTULO 1 - INTRODUCCIÓN.................................................................................................. 24. 1.1 1.2 1.3 1.3.1 1.3.2 1.4 1.5 1.6 IV.. ANTECEDENTES ............................................................................................................................................. 24 JUSTIFICACIÓN .............................................................................................................................................. 26 OBJETIVO GENERAL Y ESPECÍFICOS ................................................................................................................... 27 OBJETIVO GENERAL .................................................................................................................................. 27 OBJETIVOS ESPECÍFICOS ............................................................................................................................. 28 ALCANCE ..................................................................................................................................................... 28 METODOLOGÍA ............................................................................................................................................. 28 RESULTADOS ESPERADOS................................................................................................................................ 29 CAPÍTULO 2- MARCO TEÓRICO ............................................................................................... 30. 2.1 MARCO DE GESTIÓN DE RIESGOS 4A ................................................................................................................ 30 2.1.1 INTRODUCCIÓN AL MARCO 4A ................................................................................................................... 30 2.1.2 FUNCIONAMIENTO DEL MARCO 4A ............................................................................................................. 34 2.2 MARCO DE GESTIÓN DE RIESGOS RISK IT .......................................................................................................... 50 2.2.1 INTRODUCCIÓN AL MARCO RISK IT.............................................................................................................. 50 2.2.2 FUNCIONAMIENTO DEL MARCO RISK IT........................................................................................................ 59 V.. CAPÍTULO 3 - TRABAJO DESARROLLADO.................................................................................. 72 3.1 3.2 3.2.1 3.2.2 3.3 3.3.1 3.3.2 3.4 3.5. VI.. INTRODUCCIÓN ............................................................................................................................................. 72 CONSTRUCCIÓN DE UNA HERRAMIENTA DE ANÁLISIS........................................................................................... 72 CARACTERÍSTICAS CLAVE DE UN BUEN MARCO DE GESTIÓN DE RIESGOS DE TI .................................................... 73 ¿CÓMO MEDIR LAS CARACTERÍSTICAS CLAVE? .............................................................................................. 74 APLICACIÓN DE LA HERRAMIENTA .................................................................................................................... 87 MARCO 4A ............................................................................................................................................. 87 MARCO RISK IT .....................................................................................................................................100 PRESENTACIÓN DE LOS RESULTADOS ..............................................................................................................111 ANÁLISIS DE RESULTADOS Y CONSTRUCCIÓN DEL DOFA ....................................................................................113 CAPÍTULO 4 - CONCLUSIONES Y TRABAJOS FUTUROS .................................................... 116. 4.1 CONCLUSIONES ...........................................................................................................................................116 4.1.1 SOBRE EL MARCO 4A..............................................................................................................................116 4.1.2 SOBRE EL MARCO RISK IT ........................................................................................................................118 4.1.3 PUNTOS CRÍTICOS: COHERENCIAS, APALANCAMIENTOS Y CONTRASTES ............................................................120 4.1.4 SOBRE LA HERRAMIENTA DE ANÁLISIS........................................................................................................120 4.2 TRABAJOS FUTUROS ....................................................................................................................................121 VII.. ANEXOS ........................................................................................................................................ 122. VIII.. BIBLIOGRAFÍA ............................................................................................................................ 124. 4.

(5) ÍNDICE DE FIGURAS Capítulo 2 Figura 2. 1 Propagación del Riesgo de TI en la Cadena de Valor ............................................ 31 Figura 2. 2 Marco 4A como Medio de Comunicación entre TI y No-TI ................................. 31 Figura 2. 3 Ciclo de Gestión de Riesgos - Marco 4A. .............................................................. 34 Figura 2. 4 Cómo Simplificar la Base de Activos. ................................................................... 38 Figura 2. 5 Análisis de la Tendencia del Valor y Riesgo en una Aplicación Legada............... 40 Figura 2. 6 El Proceso de Gobierno de Riesgos de TI. ............................................................. 42 Figura 2. 7 Estructura de Roles Multicapa para el Proceso de Gobierno de Riesgos............... 42 Figura 2. 8 La Cultura “Risk-aware” Como Línea de Defensa ante el Riesgo de TI ............... 45 Figura 2. 9 Tipos de Riesgo y Dicotomía Riesgo-Oportunidad. Marco Risk IT. ..................... 52 Figura 2. 10 Riesgo y Oportunidad y los 3 Marcos ITGI. ........................................................ 53 Figura 2. 11 Construcción del Marco Risk IT: Principios, Cualidades y Componentes. ......... 55 Figura 2. 12 Opciones y Priorización de Respuesta al Riesgo de TI........................................ 61 Figura 2. 13 El Trébol de Información: La Base del Marco Risk IT........................................ 63 Figura 2. 14 Atributos del Escenario de Riesgo. Marco Risk IT.............................................. 65 Figura 2. 15 Descripción del Modelo de Proceso y Construcción del Dominio. Risk IT ........ 66 Figura 2. 16 Objetivos y Métricas de los 3 Dominios del Marco Risk IT................................ 69 Figura 2. 17 Niveles del Modelo de Madurez. Marco Risk IT. ................................................ 70 Capítulo 3 Figura 3. 1 Universo de Factores Particionado en las 5 Características ................................... 73 Figura 3. 2 Regla de Medición para Ítems y Características .................................................... 75 Figura 3. 3 Construcción del Análisis Propuesto por la Herramienta....................................... 76 Figura 3. 4 Construcción de la Característica de Propósito y Definición................................. 76 Figura 3. 5 Construcción de la Característica Funcionamiento – Nivel Global ....................... 78 Figura 3. 6 Construcción de la Característica Funcionamiento – Nivel Estratégico ................ 80 Figura 3. 7 Construcción de la Característica Funcionamiento – Nivel Táctico ...................... 82 Figura 3. 8 Construcción de la Característica Funcionamiento – Nivel Operativo .................. 83 Figura 3. 9 Construcción de la Característica Medición y Autogestión ................................... 84 Figura 3. 10 Construcción de la Característica Medición y Autogestión ................................. 85 Figura 3. 11 Construcción de la Característica Integración...................................................... 86 Figura 3. 12 Calificación Total de las 5 Características – Marco 4A ..................................... 112 Figura 3. 13 Calificación Alternativa de las 5 Características – Marco Risk IT .................... 112 Figura 3. 14 Calificación de los 4 Niveles de la Característica Funcionamiento ................... 113. 5.

(6) ÍNDICE DE TABLAS Capítulo 2 Tabla 2. 1 Los 4 Objetivos Empresariales del Marco 4A ......................................................... 32 Tabla 2. 2 Las 3 Disciplinas del Marco 4A .............................................................................. 32 Tabla 2. 3 Tipos de Riesgo de TI – Marco Risk IT .................................................................. 51 Tabla 2. 4 Los 3 Objetivos del Marco Risk IT ......................................................................... 54 Tabla 2. 5 Principios del Marco Risk IT................................................................................... 56 Tabla 2. 6 Casos de Prioridad para los Planes de Acción ante el Riesgo. Marco Risk IT........ 60 Tabla 2. 7 Prototipo de Entradas y Salidas de Información. Marco Risk IT ............................ 67 Tabla 2. 8 Prototipo de Tabla RACI. Marco Risk IT................................................................ 68 Tabla 2. 9 Tabla Prototipo de Objetivos y Métricas. Marco Risk IT ....................................... 69 Capítulo 3 Tabla 3. 1 Resultados Ítem Definición del Riesgo ................................................................... 88 Tabla 3. 2 Resultados Ítem Clasificación del Universo de Riesgos ......................................... 88 Tabla 3. 3 Resultados Ítem Relación Riesgo-Valor.................................................................. 88 Tabla 3. 4 Resultados Ítem Enfoque del Marco........................................................................ 89 Tabla 3. 5 Resultados Característica Propósito y Definición del Riesgo de TI........................ 89 Tabla 3. 6 Resultados Ítem Calidad de la Identificación de los Riesgos .................................. 90 Tabla 3. 7 Resultados Ítem Propuesta Cultural......................................................................... 91 Tabla 3. 8 Resultados Ítem Adecuamiento de la Base Tecnológica ......................................... 91 Tabla 3. 9 Resultados Ítem Propuesta de Comunicación.......................................................... 92 Tabla 3. 10 Resultados Ítem Construcción del Portafolio de Programas ................................. 92 Tabla 3. 11 Resultados Característica Funcionamiento............................................................ 92 Tabla 3. 12 Resultados Ítem Construcción del Perfil de Riesgos y Trade-Offs ....................... 93 Tabla 3. 13 Resultados Ítem Habilitación de Oportunidades Mediante la Toma de Riesgos... 93 Tabla 3. 14 Resultados Características Funcionamiento .......................................................... 94 Tabla 3. 15 Resultado Ítems Propuestas de Gobierno .............................................................. 94 Tabla 3. 16 Resultado Ítem Manejo del Cambio ...................................................................... 95 Tabla 3. 17 Resultados Características de Funcionamiento...................................................... 95 Tabla 3. 18 Resultados Ítem Respuesta al Riesgo .................................................................... 95 Tabla 3. 19 Resultados Ítem Prácticas Sugeridas ..................................................................... 96 Tabla 3. 20 Resultados Característica Funcionamiento............................................................ 96 Tabla 3. 21 Resultados Ítem Monitoreo de los Resultados de los Planes de Acción ............... 96 Tabla 3. 22 Resultados Ítem Realimentación de Información.................................................. 97 Tabla 3. 23 Resultados Característica Medición y Autogestión ............................................... 97 Tabla 3. 24 Resultados Ítem Propuesta de Adaptación Inicial ................................................. 98 Tabla 3. 25 Resultados Ítem Mejoramiento Continuo de la Gestión........................................ 98 Tabla 3. 26 Resultados Característica Adaptación ................................................................... 98 Tabla 3. 27 Resultados Ítem Gestión Relaciones con Otros Esfuerzos de la Organización..... 99 Tabla 3. 28 Resultados Ítem Apalancamientos......................................................................... 99 Tabla 3. 29 Resultado Característica Integración ..................................................................... 99 6.

(7) Tabla 3. 30 Resultado Ítem Definición del Riesgo de TI ...................................................... 100 Tabla 3. 31 Resultados Ítem Clasificación del Universo de Riesgos ..................................... 101 Tabla 3. 32 Resultados Ítem Relación Riesgo-Valor.............................................................. 101 Tabla 3. 33 Resultados Ítem Enfoque de Marco..................................................................... 101 Tabla 3. 34 Resultados Característica Propósito y Definición ............................................... 102 Tabla 3. 35 Resultados Ítem Calidad de la Identificación de los Riesgos .............................. 102 Tabla 3. 36 Resultados Ítem Propuesta Cultural..................................................................... 103 Tabla 3. 37 Resultados Ítem Adecuamiento de la Base Tecnológica ..................................... 103 Tabla 3. 38 Resultados Ítem Propuesta de Comunicación...................................................... 103 Tabla 3. 39Resultado Ítem Construcción Portafolio de Programas y Planes de Acción ........ 104 Tabla 3. 40 Resultados Característica Funcionamiento.......................................................... 104 Tabla 3. 41 Resultados Ítem construcción de Perfil de Riesgos y Trade-offs ........................ 105 Tabla 3. 42 Resultados Ítem Habilitación de Oportunidades Mediante la Toma de Riesgos. 105 Tabla 3. 43 Resultados Característica Funcionamiento.......................................................... 105 Tabla 3. 44 Resultados Ítem Propuesta de Gobierno.............................................................. 106 Tabla 3. 45 Resultados Ítem Manejo del Cambio................................................................... 106 Tabla 3. 46 Resultado Características de Funcionamiento ..................................................... 106 Tabla 3. 47 Resultados Ítem Respuesta al Riesgo .................................................................. 107 Tabla 3. 48 Resultados Ítem Practicas Sugeridas ................................................................... 107 Tabla 3. 49 Resultados Características Funcionamiento ........................................................ 107 Tabla 3. 50 Resultados Ítem Monitoreo de los Resultados de los Planes de Acción ............. 108 Tabla 3. 51 Resultados Ítem Realimentación de la Información ............................................ 108 Tabla 3. 52 Resultados Característica Medición y Autogestión ............................................. 108 Tabla 3. 53 Resultados Ítem Propuesta de Adaptación Inicial ............................................... 109 Tabla 3. 54 Resultados Ítem Mejoramiento Continuo de Gestión.......................................... 109 Tabla 3. 55 Resultado característica Adaptación.................................................................... 110 Tabla 3. 56 Resultados Ítem Gestión Relaciones con Otros Esfuerzos de la Organización... 110 Tabla 3. 57 Resultados Ítem Apalancamientos....................................................................... 111 Tabla 3. 58 Resultados Característica Integración................................................................. 111 Tabla 3. 59 Resultados de la Aplicación de la Herramienta ................................................... 111 Tabla 3. 60 Ítems no desarrollados por los Marcos 4A y Risk IT .......................................... 115 Capítulo 4 Tabla 4. 1 DOFA Marco 4A ................................................................................................... 118 Tabla 4. 2 DOFA Marco Risk IT ............................................................................................ 120. 7.

(8) PARTE A. 8.

(9) I.. ARTÍCULO. John Jairo Santa Delgado Universidad de los Andes Carrera 1 N° 18A 10 Bogotá, Colombia Tel: 571 3394949. [email protected]. ABSTRACT. 2. LOS 2 MARCOS DE GESTIÓN. Este artículo trata sobre el análisis de 2 marcos de gestión de Riesgos de TI, intrínsecamente diferentes, que busca encontrar puntos de integración y discrepancia con el objetivo del desarrollo de sinergias entre ellos con el objetivo de presentar mejores recomendaciones a organizaciones interesadas en desarrollar estos marcos.. Como se menciona en la introducción, este estudio tendrá en cuenta 2 marcos de gestión de riesgos de TI: el 4A y el Risk IT. A continuación se describen los aspectos principales de cada marco que fueron considerados durante el proceso de análisis de éstos.. Categories and Subject Descriptors. 2.1 EL MARCO 4A. H.1.1 [Systems and Information Theory]: General systems theory – IT Risk Management. Términos Generales Management, Performance, Reliability, Security, Human Factors, Standardization, Theory. Keywords Riesgo de TI, Gobierno de TI, Cultura Organizacional.. 1. INTRODUCCIÓN La gestión de riesgos de TI es, bajo la mayoría de contextos, un beneficio para cualquier organización. Permite afrontar situaciones adversas bajo un entorno relativamente predecible y reducir el posible impacto al negocio. Por lo tanto, es justificable la adecuada gestión, parcial o total, de los procesos de negocio de cara al riesgo de TI. Adicionalmente, diversos aspectos del contexto económico y tecnológico actual han incrementado la importancia de la gestión de riesgos de TI, razón por la cual ha surgido un interés importante en cuanto al desarrollo de propuestas para la gestión del riesgo de TI.. El marco de gestión de riesgos 4A es una metodología propuesta por Westerman y Hunter [1] enfocada en facilitar la comunicación entre TI y el resto del negocio. El marco propone entender el riesgo de TI con una visión holística, en la cual se analizan todas las posibles consecuencias del riesgo en el sistema “como un todo”, no como peligros confinados a una división en particular. La invitación del marco es a realizar la toma de decisiones sobre el riesgo de TI de manera transversal al negocio. Para comprender claramente el impacto del riesgo de TI en el negocio, el marco 4A propone un mecanismo de objetivos empresariales que permiten “traducir” éstos riesgos a términos del negocio. Estos objetivos empresariales para TI, o 4As en inglés, son: Disponibilidad (Availiability), Acceso (Access), Precisión (Accuracy) y Agilidad (Agility), y se definen en la Tabla 1.. Tabla 1. Los 4 Riesgos – Marco 4A  Disponibilidad: mantener los sistemas (y sus procesos de negocio) funcionando y recuperarse de interrupciones.  Acceso: asegurar acceso apropiado a los datos y sistemas de manera que las personas autorizadas tengan acceso a sus necesidades y las no autorizadas no. (Esta categoría incluye el potencial de mal-uso de información sensible). No obstante, actualmente existen diversas herramientas para gestionar los riesgos de TI. Entonces, surge el problema, desde el punto de vista de un negocio, de elegir la herramienta más adecuada para sus necesidades. Adicionalmente, existen dificultades para comparar las calidades de herramientas distintas y también para encontrar sus puntos de integración y/o de discrepancia. En conclusión, la organización generalmente no sabe qué hacer con los marcos de gestión que existen actualmente. Durante el desarrollo de este proyecto de investigación, se analizarán 2 marcos de gestión de riesgos intrínsecamente diferentes: el marco 4A y el Risk IT. Adicionalmente, se construirá una herramienta que permitirá evaluar cada marco para ser posteriormente comparado. Finalmente, se presentarán un conjunto de recomendaciones dirigidas a las organizaciones en busca de una implementación de la gestión de riesgos de TI..  Precisión: proveer información correcta, a tiempo y completa que cumple los requerimientos de la gerencia, el personal, los clientes, los proveedores y los entes reguladores.  Agilidad: poseer la capacidad de cambiar con costos y velocidad controlados - por ejemplo, adquiriendo una firma, completando un rediseño mayor de un proceso, o lanzando un nuevo producto/servicio. (Esta categoría incluye condiciones de TI que reducen las opciones de reacción empresariales).1 Luego, el marco define el riesgo de TI como “el potencial de un evento inesperado relacionado con TI de amenazar cualquiera de los. 1. Tomada y Traducida de [1].. 9.

(10) objetivos empresariales”2. De la definición, “amenazar cualquiera de los objetivos” implica entender cada riesgo de TI bajo las implicaciones que tenga sobre cada uno de los objetivos empresariales. En otras tras palabras, un solo riesgo de TI puede tener efectos sobre varios de los objetivos empresariales. Es importante aclarar en este momento que el objetivo de la gestión de riesgos no es eliminarlos por completo, si no construir un perfil de riesgos adecuadoo para el negocio. Esto requiere analizar el “trade “tradeoff” de cada riesgo y encontrar un balance óptimo en el cual se evite tanto inversión excesiva como insuficiente para lograr un transparente funcionamiento del negocio. Realizar el análisis de riesgos de TI bajo el contexto de las 4As permite definir el perfil de riesgos deseado por la gerencia, y para el marco 4A, ésta es la primera tarea de la gestión de riesgos de TI. No obstante obstante, este análisis solo deja claro el mapa de riesgos objetivo y la importanci importancia relativa de cada uno, más aun falta el desarrollo de las capacidades organizacionales para llevar a cabo la implementación de la gestión: construir y ejecutar el plan. El marco 4A, para desarrollar las capacidades necesarias, propone 3 disciplinas para apoyar poyar la gestión de riesgos de TI. Estas disciplinas permiten desarrollar, mantener y mejorar el perfil de riesgos definido previamente por la gerencia. Las 3 disciplinas propuestas por el marco son:. Tabla 2.. Las 3 Disciplinas. organización, admitiendo y estimulando la toma de riesgos de TI de forma administrada y con responsabilidades definidas. Cada negocio debe escoger, bajo las características específicas en las que está inmerso, una disciplina “foco” como punto de partida para comenzar a implementar y perfeccionar la gestión de riesgos rie de TI. Esto es debido a que puede ser más fácil vender la idea a la gerencia e implementarla iniciando por cierta disciplina acorde al status quo de la organización; aprovechando características culturales, tecnológicas, arquitecturales, organizacionales organizaciona y factores externos del negocio; y apoyando el desarrollo colateral de las otras disciplinas. Finalmente, ell proceso de gestión de riesgos propuesto por el marco 4A se puede asimilar al de un mejoramiento continuo: forma un ciclo de subprocesos que adecuan cuan constantemente la administración del riesgo de TI para suplir fielmente las necesidades cambiantes del negocio. El primer proceso, el de análisis de riesgos de TI bajo las 4As, es el punto de inicio del ciclo. Siguiente a éste, debe definirse el perfill de riesgos deseado acorde a las características específicas del negocio. Finalmente, se construyen e interiorizan las 3 disciplinas propuestas creando las capacidades organizacionales de gestión de riesgos necesarias. El ciclo se cierra con la implementación implementa de las disciplinas, realimentando de información el proceso de análisis de las 4As. Este ciclo es el mostrado en la Figura 1. A continuación se describe en detalle cómo realizar cada etapa del ciclo del proceso de gestión..  Una base de activos bien estructurada – base de tecnología instalada de infraestructura y aplicaciones; y de personal de soporte y procedimientos; que es bien comprendida, administrada y no más compleja que lo absolutamente necesario.  Un proceso de gobierno de riesgos bien diseñado y ejecutado que provea una visión de los riesgos a nivel global, de manera que la alta gerencia pueda priorizar e invertir apropiadamente en la gestión de riesgos, habilitando a la administración media para gestionar independientemente mente la mayoría de riesgos en sus áreas respectivas.  Una cultura “risk-aware” aware” (informada sobre el riesgo) en la cual todos tienen un conocimiento adecuado del riesgo y las discusiones sobre riesgo, abiertas y no-intimidantes, intimidantes, suceden habitualmente.3 Cada una de las anteriores disciplinas ataca el riesgo desde distintos frentes y es complementaria a las demás. Una base de activos bien estructurada disminuye la probabilidad de problemas de infraestructura y aplicaciones junto con una resolución de fallas más ágil debido a la reducida complejidad del sistema; genera un mayor expertise del personal técnico (dado que administran una menor diversidad de sistemas); y finalmente facilita el mantenimiento y la realización de cambios dada la mejor comprensión de un ssistema menos complejo. Como segunda disciplina, un proceso de gobierno de riesgos de TI bien diseñado e implementado proporciona una visión global del riesgo a largo de la organización, permite comparar y clasificar tipos de riesgos asignándoles prioridade prioridades relativas y canaliza la inversión hacia los riesgos de mayor prioridad. Finalmente, una cultura “risk-aware” aware” propicia un ambiente de comunicación de riesgos constante y transparente entre toda la. 2 3. Traducción de [1] Recopilación y Traducción de [1]. Figura 1.. Ciclo de Gestión Marco 4A. 2.2 EL MARCO RISK IT El marco Risk IT es una iniciativa dirigida hacia la gestión de riesgos de TI del “IT Governance Institute” (ITGI); una institución sin ánimo de lucro, dedicada a la investigación, que desarrolla guías para la comunidad empresarial enfocadas en el análisis de problemas relacionados con los activos de TI. ITGI ha desarrollado, entre otros, reconocidos marcos en relación con TI como COBIT4 y Val IT. Risk IT corresponde a un estudio que recopila experiencias exper de expertos, prácticas y metodologías existentes y emergentes, que se reúnen para construir una guía para la gestión de riesgos de TI. Para comprender el marco Risk IT primero debe entenderse su concepto propio del riesgo de TI. El marco lo define como “aquel 4. Control Objectives for Information and Related Technology. 10.

(11) Riesgo, Descripción del Impacto del Riesgo en el Negocio y finalmente Indicadores Clave de Riesgo. Riesgo. riesgo asociado con el uso, propiedad, operación, involucramiento, influencia y adopción de TI dentro de una organización”5 y lo identifica como riesgo corporativo, dado que consiste de eventos relacionados con TI que potencialmente puedan afec afectar el negocio; esto en la medida que crea desafíos para cumplir los objetivos estratégicos y compromete la posibilidad de aprovechar nuevas oportunidades. Adicionalmente, el marco clasifica los riesgos de TI dentro de 3 categorías, tal como se describe en la siguiente tabla:. . Tabla 3.. Clasificación de Riesgos Risk IT  Riesgo en la Entrega de Servicios de TI: asociado con el rendimiento y la disponibilidad de los servicios de TI.. Modelo del Proceso de Gestión de Riesgos: Riesgos Corresponde a un conjunto de procesos, agrupados dentro de 3 dominios, que permiten identificar todas las actividades requeridas para realizar una gestión de riesgos de TI adecuada. Los 3 dominios; Gobierno de Riesgos, Evaluación de Riesgos y Respuesta al Riesgo,, clasifican el conjunto de 9 procesos propuestos de la siguiente forma: . Gobierno de Riesgos:  Establecer y Mantener una Visión Común y Estándar del Riesgo  Integrar con la Gestión de Riesgos Corporativos  Tomar Decisiones de Negocio Consientes del Riesgo de TI. . Evaluación de Riesgos:  Recopilar Información  Analizar el Riesgo  Mantener el Perfil de Riesgos. . Respuesta al Riesgo:  Articular el Riesgo  Manejar el Riesgo  Reaccionar ante Eventos.  Riesgo en la Entrega de Soluciones de TI: asociado con la contribución de TI en el desarrollo de nuevas o mejoradas soluciones para el negocio, usualmente en la forma de proyectos y programas de acción.  Riesgo en la Habilitación de Beneficios de TI: asociado con la posible pérdida de oportunidad de usar tecnología para mejorar la eficiencia y eficacia de los procesos de negocio, o de usar la tecnología como habilitadora de nuevas iniciativas de negocio. El marco Risk IT está construido con base en un conjunto de principios que consiguientemente definen las cualidades básicas que debería poseer un buen proceso de gestión de riesgos de TI. Bajo éstas cualidades se especifican 2 componentes que describen técnicas y modelos de proceso que llevan a cabo la gestión de riesgos de una organización. La Figura 2 muestra la construcción del marco Risk IT. A continuación se describen en detalle los 2 componentes del marco.. Cada uno de los procesos propuestos por el marco se describe mediante nte la definición de un conjunto de Actividades principales, el flujo de información expresado a través de Entradas y Salidas requeridas, una tabla RACI6 de roles y responsabilidades, y un conjunto de Objetivos y Métricas. Métricas Adicionalmente, para cada dominio se define el concepto del nivel de Madurez. La Figura 3 muestra, bajo este conjunto de elementos, la construcción de un dominio junto con la descripción propuesta para uno de sus procesos.. Figura 2.. Construcción del Marco Risk IT . 5. Base del Marco Risk IT:: Contiene las herramientas necesarias para construir el perfil de riesgos de la organización. Adicionalmente, representa la base de comunicación del marco definiendo la importancia, objetivos y tipos de comunicación en relación con el riesgo de TI. Para realizar estas tareas, propone la construcciónn de 3 herramientas: Escenarios de. Definición textual [2]. Figura 3.. Descripción del Modelo de Proceso y Construcción del Dominio. 6. RACI: Responsible, Accountable, Consulted, Informed. 11.

(12) 3. HERRAMIENTA DE ANÁLISIS La construcción de este estudio ha desarrollado, hasta el momento, una descripción sólida de los marcos propuestos que ahora permitirá realizar un análisis con miras a definir sus similitudes, diferencias y puntos críticos de integración y discrepancia. El estudio buscará asignar una “calificación relativa” a cada aspecto de los marcos 4A y Risk IT concluyendo en un conjunto de recomendaciones de decisión, implantación y desarrollo de éstos dent dentro de una organización. Sin embargo, para realizar esta tarea debe utilizarse una herramienta adecuada que defina un procedimiento específico de análisis otorgando consistencia al estudio: ambos marcos deben medirse bajo la misma regla. Adicionalmente, est esta herramienta debe ser útil para el análisis específico de marcos de Gestión de Riesgos de TI y tener la facilidad de presentar clara y concisamente los resultados obtenidos. No obstante, y debido a la singularidad del tema de gestión de riesgos, no se conocen nocen herramientas desarrolladas específicamente con este fin. Por tal razón, este estudio desarrollará una herramienta que permitirá evaluar los distintos aspectos relevantes de un marco de Gestión de Riesgos de TI. Finalmente, aprovechando la sencillez y claridad al presentar características mediante un DOFA, los resultados arrojados por la herramienta de análisis serán compilados y mostrados bajo matrices DOFA. Para construir una herramienta de análisis de marcos de Gestión de Riesgos de TI, primero deben en definirse un conjunto de factores que logren definir y caracterizar claramente un marco. Entonces, la herramienta debería enfocarse justamente en analizar dichas características. Adicionalmente, es necesario definir cómo medir el rendimiento del marco bajo ajo cada una de estos factores clave.. 3.1 CARACTERÍSTICAS CLAVE A MEDIR Al tratar de evaluar un marco de Gestión de Riesgos de TI pueden surgir un sinnúmero de preguntas que buscan ca caracterizar diversos factores de éste.. Sin embargo, es posible particionar de forma general el universo de factores en 5 características: ¿Cuál es su Propósito y Definición de Riesgo de TI? ¿Cómo Funciona el Marco? ¿Qué propone para Medirse y Autogestionarse? ¿Cómo se Integra al Negocio y a TI? I? ¿Cómo se puede Adaptar a Diversas Organizaciones y Situaciones? Entonces, podría definirse un “buen marco” como aquel que sobresalga en cada una de estas 5 preguntas. La Figura 4 muestra el universo de factores particionado en las 5 características y a continuación se desarrollan sus significados. TI?:  ¿Cuál es su Propósito y Definición del Riesgo de TI? analiza el enfoque y objetivo del marco teniendo en cuenta la calidad y alcance de su definición del riesgo de TI y los instrumentos que utiliza para asignar la importancia adecuada del proceso de gestión de riesgos dentro de la organización. Criterios7 de evaluación:  Definición del Riesgo de TI  Clasificación del Universo de Riesgos  Relación Riesgo/Valor  Enfoque del Marco 7. Se recomienda ver el documento para más detalle en la definición de cada criterio.. Figura 4.. Universo de Factores Particionado en las 5 Características  ¿Cómo Funciona?:: busca describir la calidad y completitud de todas las acciones propuestas para manejar el riesgo, desde el nivel estratégico hasta el nivel operativo. Criterios de evaluación:  Calidad de la Identificación de los Riesgos  Propuesta Cultural  Adecuamiento de la Base Tecnológica  Propuesta de Comunicación  Construcción del Portafolio de Programas y Planes Acciones ante el Riesgo  Construcción del Perfil de Riesgos de TI y sus Trade-offs  Habilitación de Oportunidades mediante Toma de Riesgos TI  Propuesta de Gobierno  Manejo del Cambio  Respuesta al Riesgo  Prácticas Sugeridas  ¿Cómo se Mide y Gestiona a sí mismo?: mismo? destaca los instrumentos y herramientas propuestas por el marco para medir su propia eficiencia y eficacia, y el esfuerzo requerido para desarrollar las métricas necesarias. Criterios de evaluación:  Monitoreo de los Resultados de los Planes de Acción  Realimentación de Información  ¿Cómo se Adapta?:: un marco es una tan solo una guía de prácticas. Entonces, cada organización debe seleccionar y personalizar los componentes de la propuesta del marco para alinearlo a su situación específica. No obstante, diferentes marcos son adaptables a distintos niveles, por lo cual cu esta pregunta analiza la facilidad de éstos para ser moldeados a la medida de la organización. Adicionalmente, las organizaciones se encuentran en constante cambio, razón por la cual el marco debe presentar herramientas para adaptarse a estos cambios organizacionales. Criterios de evaluación:  Propuesta de Adaptación Inicial  Mejoramiento Continuo de la Gestión. 12.

(13)  ¿Cómo se Integra?:: los marcos no trabajan solos dentro de una organización: se encuentran inmersos en actividades y procesos tanto de TI, como de distintas áreas de la organización. Tal como se ha descrito en el marco teórico, la gestión de Riesgos de TI es un aspecto corporativo que considera todo el negocio y no se encuentra concentrado en TI, razón por la cual interactúa con distintos componentes de la organización. Entonces, esta característica evalúa la calidad y complejidad de la interacción, junto con posibles apalancamientos en otras áreas, herramientas y programas de la organización. Criterios de evaluación: Otros Esfuerzos de  Gestión de las Relaciones con Otr la Organización  Apalancamientos. 4. CONCLUSIONES Del análisis de los resultados obtenidos se construyen las conclusiones aquí presentadas. Estas son presentadas en una tabla DOFA, tal como se muestra a continuación:. Tabla 4.. DOFA Marco 4A. sólo analiza los Es interesante notar de este acercamiento que no só aspectos internos del marco, sino que también tiene en cuenta aspectos externos que inciden el buen desarrollo de éste en una organización; es decir, cómo se relaciona con su propio ambiente.. 3.2 LA REGLA DE EVALUACIÓN Ahora, para cada característica, habiéndoles definido el conjunto de Ítems relevantes, se les asignará un nivel de calidad cualitativo, basado en el análisis del autor, que finalmente ente serán ponderados en la calificación final de la característica. Los niveles inician en 0, o no noexistente, representando la ausencia total de la característica o ítem y terminan en 4, o alto, representando un sobresaliente rendimiento del marco. Los niveles veles de calidad se muestran a continuación:. Tabla 5.. DOFA Marco Risk IT. Figura 5.. Regla de Evaluación Cualitativa. 3.3 APLICACIÓN DE LA HERRAMIENTA DE ANÁLISIS Los resultados obtenidos en cada característica para cada marco son mostrados en la siguiente tabla. Adicionalmente se presenta la calificación alternativa, la cual será necesaria para comparar directamente aspectos similares de cada marco. Finalmente se encuentra el promedio total ponderado, el cual sirve como estimativo de la calidad del marco.. 5. REFERENCIAS [1] Westerman, George y Hunter, Richard. IT Risk: Turning Business Threats into Competitive Advantage. Boston : Harvard Business School Press, 2007. [2] IT Governance Institute (ITGI). Enterprise Risk: Identify, Govern and Manage IT Risk. The Risk IT Framework. Rolling Meadows : ITGI, 2009. Exposure Draft.. Figura 6.. Resultados de la Herramienta. 13.

(14) II.. PRESENTACIÓN. ANÁLISIS DE MARCOS DE GESTIÓN DEL RIESGO DE TI: Los Marcos 4A, Risk IT y la Construcción de una Herramienta de Análisis Presentado por: John Jairo Santa Asesora: Andrea Herrera Suescún. Grupo de investigación: Tecnologías de Información, Organizaciones y Negocios. AGENDA. • Introducción. • Objetivos. • Marco Teórico. • Marco 4A • Marco Risk IT. • • • •. Herramienta de Análisis. Aplicación de la Herramienta. Análisis de Resultados. Conclusiones.. Grupo de investigación: Tecnologías de Información, Organizaciones y Negocios. 14.

(15) INTRODUCCIÓN. Contexto • Rápida adopción de las TI como solución de negocio • Automatización de tareas cotidianas • Dependencia en las Soluciones de TI • Transferencia del Riesgo: del Empleado al Sistema. Grupo de investigación: Tecnologías de Información, Organizaciones y Negocios. "There are risks and costs to a program of action, but they are far less than the long-range risks and costs of comfortable inaction" John F. Kennedy. Grupo de investigación: Tecnologías de Información, Organizaciones y Negocios. 15.

(16) INTRODUCCIÓN Problemática • Crecientes Riesgos de TI: la nueva gran preocupación • Riesgo de TI = Riesgo Corporativo • Diversos Marcos de Gestión del Riesgo • Las Organizaciones no saben que hacer! Algunos Ejemplos • Comair (Delta AA) • LHC CERN Grupo de investigación: Tecnologías de Información, Organizaciones y Negocios. OBJETIVOS. Objetivo General  Analizar, contrastar y unificar visiones de la gestión de riesgos de TI esencialmente diferentes, mediante el estudio de un enfoque teórico dirigido al negocio, y uno práctico dirigido a TI, con el fin de generalizar la comprensión y buenas prácticas del concepto de riesgo de TI.. +. +. Grupo de investigación: Tecnologías de Información, Organizaciones y Negocios. 16.

(17) MARCO TEÓRICO 2 Marcos de Gestión de Riesgos de TI Risk IT. Marco 4A. • Westerman y Hunter (HBS). • IT Governance Institute. • Enfoque Teórico-Académico. • Enfoque Práctico. • Visión Holística. • Actualmente en Desarrollo. • El Riesgo de TI en Términos. • Riesgo – Oportunidad. del Negocio. • Integración con COBIT y Val IT. Grupo de investigación: Tecnologías de Información, Organizaciones y Negocios. MARCO 4A. Las 4As: • Disponibilidad • Acceso • Precisión • Agilidad Las 3 Disciplinas: • Base • Gobierno • Cultura. Grupo de investigación: Tecnologías de Información, Organizaciones y Negocios. 17.

(18) MARCO RISK IT. Los 3 Tipos de Riesgo: • Entrega de Servicios • Entrega de Soluciones • Habilitación de Beneficios Los 2 Componentes: • Base • Modelo de Proceso Los 3 Dominios: • Gobierno • Evaluación • Respuesta Grupo de investigación: Tecnologías de Información, Organizaciones y Negocios. HERRAMIENTA DE ANÁLISIS Las 5 Características Clave: •. Propósito y Definición. •. Funcionamiento. •. Autogestión. •. Adaptación. •. Integración. ¿Cómo Medir la Calidad de un Marco? ¿Cómo Evaluar las Características?. Grupo de investigación: Tecnologías de Información, Organizaciones y Negocios. 18.

(19) HERRAMIENTA DE ANÁLISIS • Para cada característica se han definido un conjunto de Criterios (agrupados en ítems) • Total: 55 Criterios • La Evaluación de Criterios se realiza mediante una Regla Cualitativa (~Modelo de Madurez). Grupo de investigación: Tecnologías de Información, Organizaciones y Negocios. HERRAMIENTA DE ANÁLISIS. Grupo de investigación: Tecnologías de Información, Organizaciones y Negocios. 19.

(20) APLICACIÓN DE LA HERRAMIENTA. Grupo de investigación: Tecnologías de Información, Organizaciones y Negocios. RESULTADOS: CALIFICACIÓN TOTAL. Grupo de investigación: Tecnologías de Información, Organizaciones y Negocios. 20.

(21) RESULTADOS: CALIFICACIÓN ALTERNATIVA. Grupo de investigación: Tecnologías de Información, Organizaciones y Negocios. DOFA – 4A INTERNOS FORTALEZAS • Buena Adaptación a Distintas Situaciones y Organizaciones • Excelente Definición del Riesgo de TI. • Propuesta de Adecuamiento de Base Tecnológica. DEBILIDADES • Dificultades de Integración con otros Esfuerzos Organizacionales • No Monitoreo de los Resultados de los Planes de Acción • Visión Teórica hace mas difícil desarrollar el marco.. EXTERNOS OPORTUNIDADES • Complementarse de Risk IT en Medición y Autogestión • Desarrollar el Concepto de RiesgoValor fortalece aún mas la buena definición de Riesgo de TI. • Good-will + Visión Teórica. AMENAZAS • Baja Participación en el Mercado (Baja Popularidad). Grupo de investigación: Tecnologías de Información, Organizaciones y Negocios. 21.

(22) DOFA – RISK IT EXTERNOS. INTERNOS FORTALEZAS. OPORTUNIDADES. • Buena Integración con Otros Esfuerzos Organizacionales • Funcionamiento detallado hasta nivel Operativo. • Buen Monitoreo y Definición de Madurez. • Complementarse de 4A en Medición y Autogestión • Participación en el Mercado (Convertirse en Estándar) • COBIT. AMENAZAS. DEBILIDADES • No Desarrolla Adecuamiento de la Base Tecnológica • Difícil Adaptación a Distintas Situaciones Organizacionales. • Estado Actual: Draft. Grupo de investigación: Tecnologías de Información, Organizaciones y Negocios. BIBLIOGRAFÍA. • Westerman, George y Hunter, Richard. IT Risk: Turning Business Threats into Competitive Advantage. Boston : Harvard Business School Press, 2007. • IT Governance Institute (ITGI). Enterprise Risk: Identify, Govern and Manage IT Risk. The Risk IT Framework. Rolling Meadows : ITGI, 2009. Exposure Draft.. Grupo de investigación: Tecnologías de Información, Organizaciones y Negocios. 22.

(23) PARTE B. 23.

(24) III. CAPÍTULO 1 - INTRODUCCIÓN 1.1 Antecedentes "There are risks and costs to a program of action, but they are far less than the long-range risks and costs of comfortable inaction" John F. Kennedy. Desde los inicios del ser humano el riesgo ha existido inherente a cada acción que realizamos. En la era paleolítica, los cazadores y recolectores se enfrentaron a perder su vida durante la caza a cambio de alimento; el hombre sedentario en la edad media enfrentó el riesgo de las pestes para vivir en las ciudades; en la era industrial se desafió el medio ambiente para industrializar; y en el último siglo se afrontaron las grandes guerras para gobernar. El riesgo ha sido siempre inevitable y necesario, e imposible de predecir por su comportamiento probabilístico. Es un peligroso juego en el cual se puede ganar y perder. Hoy es necesario enfrentarlo: gestionarlo y administrarlo. La sociedad actual se encuentra inmersa en un mundo altamente tecnológico, apoyada crecientemente por herramientas automatizadas y sistemas de información que han permitido importantes mejoras de productividad. La computación, o herramientas de Tecnologías de Información (TI), son un subconjunto de la tecnología responsable de gran parte del progreso humano reciente. Su nacimiento es comparable con el de la matemática, la imprenta y las universidades, respecto a su efecto en la velocidad de generación de conocimiento. Los substanciales beneficios que conllevan las TI han causado su rápida adopción en diversas industrias. Sin embargo, debido a la creciente dependencia de la sociedad y, de manera más general de su unidad básica de producción: la empresa; las TI se han convertido en un gran factor de riesgo, y quizás, uno de los más importantes de este siglo. Pero, ¿Por qué afectan las TI el funcionamiento, específicamente, de un negocio y qué tan profundamente lo hacen? Para entenderlo debe comprenderse cómo utilizan los negocios las TI y entonces encontrar su interdependencia. La necesidad de implantar soluciones con TI surge de la obligación de responder más ágil y eficazmente a las necesidades de los clientes. Las capacidades computacionales actuales permiten que algunos sistemas entreguen soluciones en tiempos inimaginables para las capacidades humanas. Por esta razón, en algunas tareas el ser humano ha quedado a un lado y éstas han sido delegadas a sistemas especializados: se ha transferido parte del. 24.

(25) riesgo de operación del negocio, del trabajador al sistema de TI. Estas actividades transferidas, relacionadas muchas veces con tareas básicas como contabilidad, manejo de recursos y administración de información crítica, son la base para el correcto funcionamiento de una empresa. Adicionalmente, las tareas o procesos de TI pueden extenderse a otras más complejas y estratégicas, como la construcción de ventajas competitivas para el negocio, por lo cual es aun más indispensable la continuidad de estas actividades. Esto, finalmente, da un gran peso operativo al área de TI de un negocio, por lo cual se vuelve de vital importancia la administración del riesgo de TI.. "Quien olvida su historia está condenado a repetirla" Jorge Agustín Nicolás Ruíz. El caso de Comair, una empresa subsidiaria de Delta Air Lines, resalta algunas consecuencias de la materialización del riesgo de TI. En diciembre de 2004, Comair experimentó un incidente con su sistema de planeación de horarios para tripulaciones [1]. Éste sistema, de misión crítica para la operación del negocio, dejó de funcionar el 24 de Diciembre causando una total interrupción de sus vuelos, ¡en la época más ocupada del año! Éste acontecimiento dejó como resultado pérdidas equivalentes a las utilidades operativas de todo un trimestre. Otro caso es el de “CardSystems Solutions Inc., procesadora de tarjetas de crédito. A mediados del 2005 reportó que individuos desconocidos obtuvieron acceso a las transacciones de 40 millones de tarjetahabientes. Visa y Mastercard, clientes de CardSystems, cancelaron su negocio con la empresa, que luego fue vendida” [1]. Finalmente está el caso del LHC de CERN. Este acelerador de partículas, catalogado como el más grande del mundo, intenta recrear condiciones similares a las del “Big-bang” mediante altas energías; por lo tanto sus experimentos deben ser minuciosamente controlados. Sin embargo, el 10 de septiembre de 2008 un grupo de hackers ingresó a uno de los sistemas del LHC y modificó su sitio web. Afortunadamente el ataque no tuvo intenciones maliciosas y colaboró a identificar vulnerabilidades del sistema. La intrusión, de haber sido mal intencionada, no sólo pudo haber causado daños en los modernos instrumentos del laboratorio, ¡también pudo haber interferido con las pruebas y experimentos posiblemente causando una catástrofe! ¡Ojalá todos los negocios tuvieran la suerte de CERN! No obstante, este es un caso muy poco común y las intrusiones suelen terminar en un desastroso “Bigbang”. Comair, CardSystems Solutions Inc. y CERN tuvieron algo en común: la inapropiada administración de riesgos de TI. Su efecto, sin embargo, se extendió desde TI hasta afectar directamente la operación y objetivos del negocio: se manifestó el riesgo de TI como riesgo corporativo. Esto es finalmente el. 25.

(26) núcleo del concepto de riesgo de TI. Westerman y Hunter [1] definen el riesgo de TI como “el potencial de un evento inesperado relacionado con una falla o mal manejo de TI de amenazar un objetivo empresarial, dejando de estar confinado al área de TI de un negocio.”8. Finalmente, esto hace que el riesgo de TI sea de interés corporativo, y no un problema limitado estrictamente al área de TI.. 1.2 Justificación La administración y gestión de riesgos de TI es, bajo la mayoría de contextos, un beneficio para cualquier organización. Permite afrontar situaciones adversas bajo un entorno relativamente predecible y reducir el posible impacto al negocio. Por lo tanto, es justificable la adecuada gestión, parcial o total, de los procesos de negocio de cara al riesgo de TI. Adicionalmente, diversos aspectos del contexto económico y tecnológico actual han incrementado la importancia de la gestión de riesgos de TI. La recesión económica mundial, impulsada esencialmente por la crisis financiera, afecta de manera general a las empresas en varios frentes; principalmente debido a estrategias enfocadas en la reducción de costos. Uno de esos frentes es el área de TI: las dos formas tradicionales de reducir costos son la reducción de empleados y la contracción del nivel de inversión en proyectos. ¿Cómo afectan estos dos aspectos los niveles de riesgo de TI de una organización? Uno de los grandes riesgos de TI para una empresa es el acceso no autorizado o indebido a sus recursos críticos. Se ha identificado que una fuente específica de este riesgo son los empleados insatisfechos y ex-empleados. “Históricamente, el riesgo de robo y sabotaje interno ha probado ser mayor cuando las compañías se ven enfrentadas a despidos masivos y consolidaciones, como las del sector financiero recientemente.” [2]. Los trabajadores internos son, según Vijayan [3], una de las mayores amenazas para los datos y secretos corporativos. Dado el acceso privilegiado al sistema tienen la posibilidad de generar más daño. Por lo tanto las organizaciones probablemente enfrentarán, a cambio de la reducción de costos reflejados en los despidos correspondientes, una creciente amenaza de acceso indebido a sus recursos, plasmada en un mayor riesgo de infiltración y sabotaje de sistemas. Otro gran riesgo es el relacionado con la contracción de la inversión en proyectos de TI. Reducir el portafolio de inversión implica replantear las metas de tiempo de algunos proyectos y el aplazamiento de otros. De no analizar cuidadosamente estos cambios se puede afectar adversamente la competitividad del negocio y/o aplazar algunos objetivos corporativos. Por otro lado, es también probable perder algunos empleados proactivos, impulsados por la reducida libertad de innovación a 8. Definición del Riesgo de TI según Westerman y Hunter. [1]. 26.

(27) través de proyectos de TI, tal como lo menciona Rick Belmonte en una entrevista [4]: “Es posible que pierda más empleados que no quiero perder, porque los buenos prefieren hacer nuevos proyectos, no solo mantener sistemas viejos.”9. La creciente dependencia en las TI no es solo un riesgo para los negocios, también se está convirtiendo en una amenaza para países enteros. El caso de India, un país que ha desarrollado de manera notable su industria del software, se encuentra en el dilema de la dependencia en soluciones TI. Habiendo implementado innumerables herramientas de TI para apoyar activos gubernamentales como: plantas nucleares, servicios públicos domiciliarios, grandes centros de manufactura y propiedades públicas y privadas entre otros, existe un alto riesgo de ataques terroristas a través de vulnerabilidades de los sistemas de TI correspondientes. Tan así que el gobierno y muchas empresas Indias se encuentran en constantes discusiones para tomar medidas preventivas. Jagan Vaman, CEO de Secude Solutions India Private10, ha identificado este nuevo riesgo y propone como medida implementar uno de los marcos de gestión de riesgos analizados por este proyecto, el marco 4ª [5]. No obstante, este riesgo no será un problema solo de India. Muchos otros países entrarán, de mayor o menor forma, en los niveles de implementación de soluciones de TI de los países más desarrollados, presentando de igual manera este grave riesgo para la seguridad nacional. Las tres razones mencionadas anteriormente, sumadas a muchas otras no menos importantes, justifican la creciente importancia de la gestión de riesgos. Sin embargo, enfrentar el riesgo sea cual sea su tipo, siempre será algo humano. ¿Qué arriesgarán las organizaciones en estos tiempos de crisis?. “What you risk reveals what you value” Jeanette Winterson. 1.3 Objetivo general y Específicos 1.3.1 Objetivo General •. Analizar, contrastar y unificar visiones de la gestión de riesgos de TI esencialmente diferentes, mediante el estudio de un enfoque teórico dirigido al negocio, y uno práctico dirigido a TI, con el fin de generalizar la comprensión y buenas prácticas del concepto de riesgo de TI.. 9. Entrevista a Rick Belmonte, CIO Lowe Enterprises. [5] Secude Solutions India Private Inc. presta servicios de seguridad en sistemas ERM y protección de datos. Ver www.secude.in 10. 27.

(28) 1.3.2 Objetivos Específicos •. Estudiar los marcos 4ª [1] y Risk IT [6] de administración de riesgos de TI por medio de un análisis DOFA11 para caracterizar y comparar estos marcos eficazmente.. •. Introducir buenas prácticas propuestas por Risk IT dentro del marco teórico 4A analizando su pertinencia y coherencia con esta teoría.. •. Utilizar la característica de enfoque al negocio del marco 4A para complementar la orientación y perspectiva del marco Risk IT.. •. Hallar puntos críticos tanto de integración como de discrepancia de los marcos 4A y Risk IT con el fin de encontrar dificultades y apalancamientos de la aplicación de ambos marcos en una organización, apoyándose en casos de estudio representativos mediante la comparación de sus implementaciones específicas.. •. Usando como insumo casos de estudio de empresas relacionados con la gestión de riesgos de TI, realizados por terceros, se complementará el empalme entre los marcos 4A y Risk IT.. 1.4 Alcance El trabajo de investigación se enfocará hacia el análisis de un subconjunto de conceptos y nociones de riesgo de TI: el marco 4A y Risk IT. El análisis utilizará 4 casos de estudio de riesgo de TI ya existentes, 2 enfocados al marco 4A y 2 al Risk IT. Para describir, analizar y comparar eficazmente los 2 marcos de referencia se aplicará específicamente el método DOFA, por su facilidad de interpretación y pertinencia para realizar comparaciones. Adicionalmente, como herramienta intermedia se construirá un marco de análisis defina un método apropiado para comparar los 2 marcos de riesgo de TI. El objetivo de este estudio se concentrará en la conciliación de los marcos de estudio en cuestión enfocándose en proporcionar una mejor guía para la implementación de gestión de riesgos en una organización. El estudio será realizado durante el primer semestre del 2009.. 1.5 Metodología El desarrollo del proyecto iniciará con una investigación bibliográfica refiriéndose a los autores originales del marco 4A y Risk IT de gestión de riesgos. Posteriormente se desarrollará una herramienta de análisis, basada en las cualidades de ambos marcos, con el fin de poder desarrollar un proceso de análisis y comparación apropiado. Finalmente, a cada marco se le aplicará la metodología. 11. DOFA: Debilidades, Oportunidades, Fortalezas, Amenazas.. 28.

(29) DOFA, basándose en los resultados arrojados por la herramienta desarrollada, para describir de manera concisa y pertinente sus características esenciales. Inicialmente se utilizarán casos de estudio para la profundización de los conceptos de 4A y Risk IT. Posterior a un análisis detallado de los casos, se complementará cada uno con el otro marco de referencia. Finalmente se analizarán los resultados arrojados por los casos y el estudio DOFA con el objetivo de encontrar puntos críticos de integración entre los marcos 4A y Risk IT.. 1.6 Resultados esperados El estudio revelará coherencias, apalancamientos y contrastes entre 2 marcos del análisis de riesgos de TI con enfoques intrínsecamente diferentes, el 4A y Risk IT. Formulará maneras de aplicar los 2 marcos de riesgo de manera efectiva y eficiente en una organización, presentando una clasificación de las mejores prácticas coherentes entre el marco 4A y Risk IT. Finalmente, expondrá dificultades de coherencia de estos marcos y presentará recomendaciones para la adaptación de ambos en una organización. La conclusión del análisis tratará de ser generalizada, donde aplique, para las corrientes de pensamiento teóricas y prácticas del análisis de riesgo de TI. A continuación, el Capítulo 2 describe los dos marcos teóricos de interés de una forma concisa y con un enfoque analítico, resumiendo los conceptos principales de cada marco necesarios para un posterior análisis y destacando los preceptos base bajo los cuales estos marcos fueron construidos.. 29.

(30) IV. CAPÍTULO 2- MARCO TEÓRICO 2.1 Marco de Gestión de Riesgos 4A 2.1.1 Introducción al Marco 4A El problema de los Riesgos de TI Para gestionar eficazmente los riesgos de TI es necesaria una comprensión clara y profunda del impacto que éstas tienen en el negocio; es decir, debe existir una comunicación eficiente entre el área de TI y las demás que permita expresar las consecuencias de una decisión en términos evidentes para el negocio. Sin embargo, los complicados tecnicismos manejados por el área de TI dificultan esta tarea gerencial. Por tal razón los ejecutivos del negocio, expertos en toma de decisiones frente al riesgo, dudan al tratar de gestionar los riesgos de TI. Esta problemática genera la necesidad de una herramienta que propicie un marco de intercambio de información, eficaz y eficiente en lo que concierne al riesgo de TI, entre el área de TI y el resto de la organización.. Filosofía: La Visión Holística El marco de gestión de riesgos 4A es una guía propuesta por Westerman y Hunter [1] enfocada en facilitar la comunicación entre TI y el resto del negocio. El marco propone entender el riesgo de TI con una visión holística, en la cual se analizan todas las posibles consecuencias del riesgo en el sistema “como un todo”, no como peligros confinados a una división en particular. La invitación del marco es a realizar la toma de decisiones sobre el riesgo de TI de manera transversal al negocio. Como herramienta de perspectiva transversal, la cadena de valor muestra como una organización crea valor para sus clientes, siendo allí fácil y evidentemente identificable el alcance e impacto de un riesgo de TI en el negocio. La Figura 2. 1 muestra como un riesgo de TI se propaga a través de varios procesos de la cadena valor. Debe notarse que los riesgos de TI pueden aparecer en cualquier punto de la cadena de valor e igualmente extenderse a través de varios de los procesos. Analizar un riesgo de TI confinándolo a un solo proceso de la cadena de valor, a un área funcional, o a una división técnica de TI (pe: infraestructura o aplicaciones) limita su perspectiva global, sin la cual un ejecutivo del negocio tendría dificultades para gestionar éstos riesgos.. 30.

(31) Figura 2. 1 Propagación del Riesgo de TI en la Cadena de Valor. Definición del Riesgo de TI y las 4As Para comprender claramente el impacto del riesgo de TI en el negocio, el marco 4A propone un mecanismo de objetivos empresariales presariales que permiten “traducir” éstos riesgos a términos del negocio (ver Figura 2. 2). ). Estos objetivos empresariales para TI, o 4As en inglés, son son: Disponibilidad (Availiability), Acceso (Access), Precisión (Accuracy) y Agilidad (Agility), y se definen en la Tabla 2. 1.. Luego, el marco define el riesgo de TI como “el potencial de un evento inesperado relacionado con TI de amenazar cualquiera de los objetivos empresariales”12. De la definición, “amenazar cualquiera cual de los objetivos” implica entender cada riesgo de TI bajo las implicaciones que tenga sobre cada uno de los objetivos empresariales. En otras palabras, un solo riesgo de TI puede tener efectos sobre varios de los objetivos empresariales.. Figura 2. 2 Marco 4A como Medio de Comunicación entre TI y No No-TI TI. Es importante aclarar en este momento que el objetivo de la gestión de riesgos no es eliminarlos por completo, si no construir un perfil de riesgo adecuado para el negocio negocio.. Esto requiere analizar el “trade“trade off” de cada riesgo y encontrar un balance óptimo en el cual se evite tanto inversión excesiva como 12. Traducción de [1]. 31.

(32) insuficiente para lograr un transparente funcionamiento del negocio. Adicionalmente el análisis debe tener en cuenta que existen riesgos más tolerables que otros, por lo cual la gestión debe enfocarse a manejar los críticos primero. Realizar el análisis de riesgos de TI bajo el contexto de las 4As permite definir el perfil de riesgos deseado por la gerencia, y para el marco 4A, ésta es la primera tarea de la gestión de riesgos de TI. La realización de este análisis se describe más en detalle en la sección 2.1.3.  .  . Disponibilidad: mantener los sistemas (y sus procesos de negocio) funcionando y recuperarse de interrupciones. Acceso: asegurar acceso apropiado a los datos y sistemas de manera que las personas autorizadas tengan acceso a sus necesidades y las no autorizadas no. (Esta categoría incluye el potencial de mal-uso de información sensible) Precisión: proveer información correcta, a tiempo y completa que cumple los requerimientos de la gerencia, el personal, los clientes, los proveedores y los entes reguladores. Agilidad: poseer la capacidad de cambiar con costos y velocidad controlados - por ejemplo, adquiriendo una firma, completando un rediseño mayor de un proceso, o lanzando un nuevo producto/servicio. (Esta categoría incluye condiciones de TI que reducen las opciones de reacción empresariales).13 Tabla 2. 1 Los 4 Objetivos Empresariales del Marco 4A. No obstante, realizar el análisis bajo el marco de las 4As es solo el primer paso: diseñar el plano. Este análisis solo deja claro el mapa de riesgos objetivo y la importancia relativa de cada uno, más aun falta el desarrollo de las capacidades organizacionales para llevar a cabo la implementación de la gestión: construir y ejecutar el plan.. Las 3 Disciplinas El marco 4A, para desarrollar las capacidades necesarias, propone 3 disciplinas para apoyar la gestión de riesgos de TI. Estas disciplinas permiten desarrollar, mantener y mejorar el perfil de riesgos definido previamente por la gerencia. Las 3 disciplinas propuestas por el marco son: . . . Una base de activos bien estructurada – base de tecnología instalada de infraestructura y aplicaciones; y de personal de soporte y procedimientos; que es bien comprendida, administrada y no más compleja que lo absolutamente necesario. Un proceso de gobierno de riesgos bien diseñado y ejecutado que provea una visión de los riesgos a nivel global, de manera que la alta gerencia pueda priorizar e invertir apropiadamente en la gestión de riesgos, habilitando a la administración media para gestionar independientemente la mayoría de riesgos en sus áreas respectivas. Una cultura “risk-aware” (informada sobre el riesgo) en la cual todos tienen un conocimiento adecuado del riesgo y las discusiones sobre riesgo, abiertas y no-intimidantes, suceden habitualmente.14 Tabla 2. 2 Las 3 Disciplinas del Marco 4A. 13 14. Tomada y Traducida de [1] Recopilación y Traducción de [1]. 32.

(33) Cada una de las anteriores disciplinas ataca el riesgo desde distintos frentes y es complementaria a las demás. Una base de activos bien estructurada disminuye la probabilidad de problemas de infraestructura y aplicaciones15 junto con una resolución de fallas más ágil debido a la reducida complejidad del sistema; genera un mayor expertise del personal técnico (dado que administran una menor diversidad de sistemas); y finalmente facilita el mantenimiento y la realización de cambios dada la mejor comprensión de un sistema menos complejo. Como segunda disciplina, un proceso de gobierno de riesgos de TI bien diseñado e implementado proporciona una visión global del riesgo a lo largo de la organización, permite comparar y clasificar tipos de riesgos asignándoles prioridades relativas y canaliza la inversión hacia los riesgos de mayor prioridad. Finalmente, una cultura “riskaware” propicia un ambiente de comunicación de riesgos constante y transparente entre toda la organización, admitiendo y estimulando la toma de riesgos de TI de forma administrada y con responsabilidades definidas. Cada negocio debe escoger, bajo las características específicas en las que está inmerso, una disciplina “foco” como punto de partida para comenzar a implementar y perfeccionar la gestión de riesgos de TI. Esto es debido a que puede ser más fácil vender la idea a la gerencia e implementarla iniciando por cierta disciplina acorde al status quo de la organización; aprovechando características culturales, tecnológicas, arquitecturales, organizacionales y factores externos del negocio; y apoyando el desarrollo colateral de las otras disciplinas. El desarrollo de cada disciplina se encuentra de forma más detallada en la sección 2.1.2. Recapitulando, el marco 4A se resume como un método cuyo objetivo es facilitar la comunicación entre TI y el resto de la organización. Más específicamente, la guía propone una clasificación en 4 objetivos empresariales particionando eficazmente las funciones de TI de cara a la organización. Esta clasificación tiene como objetivo poner en términos directos al negocio los efectos de un riesgo de TI. Adicionalmente uno de sus objetivos, y tal vez el más práctico y tangible, es la construcción de las 3 disciplinas guía, definiendo los pilares de las capacidades organizacionales necesarias para realizar una gestión integral de riesgos de TI. En una sola frase, el marco promueve simplificar la infraestructura, establecer un proceso de gobierno de riesgos de TI y tomar-comunicar eficiente y eficazmente los riesgos de TI.. 15. Entiéndase con la definición de infraestructura y aplicaciones definida en [1]. 33.

(34) 2.1.2 Funcionamiento del Marco 4A El proceso de gestión de riesgos propuesto por el marco 4A se puede asimilar al de un mejoramiento continuo: forma un ciclo de subprocesos que adecuan constantemente la administración del riesgo de TI para suplir fielmente las necesidades cambiantes del ne negocio. gocio. El primer proceso, el de análisis de riesgos de TI bajo las 4As, es el punto de inicio del ciclo. Siguiente a éste, debe definirse el perfil de riesgos deseado acorde a las características específicas del negocio. Finalmente, se construyen e interiorizan rizan las 3 disciplinas propuestas creando las capacidades organizacionales de gestión de riesgos necesarias. El ciclo se cierra con la implementación de las disciplinas, realimentando de información el proceso de análisis de las 4As. Este ciclo es el most mostrado en la Figura 2. 3.. A continuación se describe en detalle cómo realizar cada etapa del ciclo del proceso de gestión.. Figura 2. 3 Ciclo de Gestión de Riesgos - Marco 4A. Construido a partir de [1]. 34.

Referencias

Descargar ahora ( PDF - 124 página - 14.08 MB )

Documento similar