• No se han encontrado resultados

Acercamiento a la gestión de riesgos de TI con Magerit y las 4A

N/A
N/A
Info
Descargar
Protected

Academic year: 2020

Share "Acercamiento a la gestión de riesgos de TI con Magerit y las 4A"

Copied!
128
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 128 página )

Texto completo

(1)ACERCAMIENTO A LA GESTIÓN DE RIESGOS DE TI CON MAGERIT Y LAS 4A Documento presentado por: Julián Felipe Pinzón Guerrero Asesorado por: Andrea Herrera Suescún Presentado al Departamento de Ingeniería de Sistemas y Computación Como requisito para la obtención del grado de Ingeniería de Sistemas y Computación Universidad de los Andes Bogotá, Colombia Noviembre, 2009.

(2) A mis padres, por SHUPLWLUGDUOHIRUPDDPLVVXHxRVHLGHDOHV«. i.

(3) AGRADECIMIENTOS A Olga Lucia Giraldo por creer en mí, abrirme las puertas de la Universidad de los Andes, luego al grupo TION y finalmente permitir que este proyecto se materializara. A Andrea Herrera que dio forma a este proyecto y con su acompañamiento aportó en gran medida a mi crecimiento académico y profesional. A la OET y sus miembros por su apoyo y comprensión. A mi familia por su apoyo constante e incansable. A mis amigos por acompañarme en algunas largas jornadas.. ii.

(4) CONTENIDO PARTE A .................................................................................................................................................... 1 I.. ARTÍCULO ........................................................................................................................... 2. II.. PRESENTACIÓN.................................................................................................................. 7. PARTE B .................................................................................................................................................. 19 III.. CAPÍTULO 1: INTRODUCCIÓN .................................................................................. 20. 1.1.. ANTECEDENTES ................................................................................................................. 20. 1.2.. JUSTIFICACIÓN ................................................................................................................... 23. 1.3.. OBJETIVO GENERAL ........................................................................................................... 26. 1.4.. OBJETIVOS ESPECÍFICOS..................................................................................................... 26. 1.5.. ALCANCE .......................................................................................................................... 27. 1.6.. METODOLOGÍA .................................................................................................................. 27. 1.7.. RESULTADOS ESPERADOS .................................................................................................. 27. IV.. CAPÍTULO 2: MARCO TEÓRICO ............................................................................... 29. 2.1.. MAGERIT ........................................................................................................................... 29. 2.1.1. Introducción ................................................................................................................. 29. 2.1.2. Funcionamiento ............................................................................................................ 31. 2.1.3. Uso en un caso de estudio ............................................................................................. 42. 2.2.. LAS 4A .............................................................................................................................. 46. 2.2.1. Introducción ................................................................................................................. 46. 2.2.2. Funcionamiento ............................................................................................................ 48. 2.2.3. Uso en un caso de estudio ............................................................................................. 60. CAPÍTULO 3: ANÁLISIS DE LOS MARCOS Y OBTENCIÓN DE SINERGIAS ............ 64. V. 3.1.. INTRODUCCIÓN A LA HERRAMIENTA DE ANÁLISIS ................................................................ 64. 3.2.. IMPLEMENTACIÓN DE LA HERRAMIENTA Y ANÁLISIS DE LOS MARCOS ................................... 66. 3.2.1. Propósito y Definición .................................................................................................. 67. 3.2.2. Funcionamiento - Nivel Global ..................................................................................... 68. 3.2.3. Funcionamiento - Nivel Estratégico .............................................................................. 69. 3.2.4. Funcionamiento - Nivel Táctico .................................................................................... 70. 3.2.5. Funcionamiento - Nivel Operativo ................................................................................ 71. 3.2.6. Medición y Autogestión................................................................................................. 72. 3.2.7. Adaptación ................................................................................................................... 73. 3.2.8. Integración ................................................................................................................... 74. 3.3.. OBTENCIÓN DE SINERGIAS ................................................................................................. 75. iii.

(5) 3.3.1. Obtención de Sinergias ................................................................................................. 75. 3.3.2. Filtrado y Obtención Final de Sinergias ........................................................................ 86. VI.. CAPÍTULO 4: APLICACIÓN AL CASO DE ESTUDIO ............................................... 88. 4.1.. INTRODUCCIÓN .................................................................................................................. 88. 4.2.. SELECCIÓN Y APLICACIÓN DE SINERGIAS ............................................................................. 89. VII.. CAPITULO 5: CONCLUSIONES .................................................................................. 93. 5.1.. CONCLUSIONES .................................................................................................................. 93. 5.2.. TRABAJOS FUTUROS ........................................................................................................... 97. VIII.. ANEXOS ......................................................................................................................... 98. 5.3.. ANEXO 1 ± ENTREGABLES DE MAGERIT V2 ......................................................................... 98. 5.4.. ANEXO 2 ± CONCEPTOS CLAVE PARA MAGERIT V2.............................................................. 98. 5.5.. ANEXO 3 ± MAGERIT EN EL DESARROLLO DE SOFTWARE ..................................................... 99. 5.6.. ANEXO 4 ± ENCUESTA DE AUTOEVALUACIÓN DE MADUREZ EN GESTIÓN DE RIESGOS DE TI (16) 101. 5.7.. ANEXO 5 ± PREGUNTAS DE LAS CARACTERÍSTICAS DE UN MARCO DE GESTIÓN DE RIESGOS DE TI 102. 5.8.. ANEXO 6 ± RESULTADOS CALIFICACIÓN ÍTEMS DE MAGERIT ............................................. 103. 5.9.. ANEXO 7 ± RESULTADOS CALIFICACIÓN ÍTEMS DEL MARCO 4A ......................................... 111. IX.. BIBLIOGRAFÍA ........................................................................................................... 118. iv.

(6) ÍNDICE DE FIGURAS Figura 1 - Descripción de Funcionamiento de Magerit v2................................................. 32 Figura 2 - Estructura de Guías de Magerit v2 ................................................................... 35 Figura 3 - Proceso de Análisis y Gestión de Riesgos ........................................................ 36 Figura 4 - Gestión de Riesgos como un Proyecto.............................................................. 40 Figura 5 - Pirámide de Riesgos Empresariales de TI ......................................................... 47 Figura 6 - Marco 4A como Medio de Comunicación entre TI y No-TI ± Tomada de (12) . 47 Figura 7 - Ciclo de Gestión de Riesgos - Marco 4A. Tomada de (12) ............................... 48 Figura 8 - Base de activos bien estructurada ..................................................................... 50 Figura 9 - Proceso de simplificar la base ± Tomada de (12) y modificada. ........................ 51 Figura 10 - Pasos en Gobierno de Riesgo de TI ................................................................ 52 Figura 11 - Estructura de Roles Multicapa para el Proceso de Gobierno de Riesgos. Tomada de (12) ............................................................................................................................. 53 Figura 12 - La CulWXUD³5LVN-DZDUH´&RPR/tQHDGH'HIHQVDDQWHHO5LHVJRGH7,7RPDGD de (12) ............................................................................................................................. 55 Figura 13 - Gestión Activa de los Riesgos de TI. Tomada de (15) .................................... 57 Figura 14 - Universo de Factores Particionado en las 5 Características. Tomada de (12) .. 65 Figura 15 - Construcción del Análisis Propuesto por la Herramienta. Tomada de (12) ...... 66 Figura 16 - Gráfico Radial Calificación Total ................................................................... 81 Figura 17 - Gráfico Radial Calificación Alternativa.......................................................... 81 Figura 18 - Gráfica Radial Característica Funcionamiento Calificación Total ................... 82 Figura 19 - Gráfico Radial Característica Funcionamiento Calificación Alternativa ......... 83 Figura 20 - Encuesta de Autoevaluación de Madurez en Gestión de Riesgos de TI. Tomada de (16) ........................................................................................................................... 101. v.

(7) ÍNDICE DE TABLAS Tabla 1 - Resultados Característica Propósito y Definición............................................... 67 Tabla 2 - Resultados Característica Funcionamiento Global ............................................. 68 Tabla 3 - Resultados Característica Funcionamiento Estratégico ...................................... 69 Tabla 4 - Resultados Característica Funcionamiento Táctico ............................................ 70 Tabla 5 - Resultados Característica Funcionamiento Operativo ........................................ 71 Tabla 6 - Resultados Característica Medición y Autogestión ............................................ 72 Tabla 7 - Resultados Característica Adaptación ................................................................ 73 Tabla 8 - Resultados Característica Integración ................................................................ 74 Tabla 9 - Resultados Calificación Final Análisis .............................................................. 75 Tabla 10 - Contraste calificaciones de Proposito y Definición .......................................... 76 Tabla 11 - Contraste calificaciones de Funcionamiento .................................................... 77 Tabla 12 - Contraste calificaciones de Medición y Autogestión ........................................ 77 Tabla 13 - Contraste calificaciones de Adaptación ........................................................... 78 Tabla 14 - Contraste calificaciones de Integración ............................................................ 78 Tabla 15 - Items no desarrollados ..................................................................................... 79 Tabla 16 - Artefacto de análisis DOFA de los marcos ...................................................... 85 Tabla 17 - Sinergias Finales ............................................................................................. 87 Tabla 18 - Sinergias Aplicables al Caso de Intrared.net Ltda. ........................................... 90 Tabla 19 - Plan detallado de lanzamiento del programa de gestión de riesgos de TI en Intrared.net Ltda............................................................................................................... 91 Tabla 20 - Resultados Ítem Definición del Riesgo de TI ± Magerit ................................. 103 Tabla 21 - Resultados Ítem Clasificación del Universo de Riesgos ± Magerit ................. 103 Tabla 22 - Resultados Ítem Relación Riesgo-Valor ± Magerit ........................................ 103 Tabla 23 - Resultados Ítem Enfoque del Marco ± Magerit .............................................. 104 Tabla 24 - Resultados Ítem Calidad de la Identificación de los Riesgos ± Magerit .......... 104 Tabla 25 - Resultados Ítem Propuesta Cultural ± Magerit ............................................... 105 Tabla 26 - Resultados Ítem Adecuación de la Base Tecnológica ± Magerit ..................... 105 Tabla 27 - Resultados Ítem Propuesta de Comunicación ± Magerit ................................ 106. vi.

(8) Tabla 28 - Resultados Ítem Construcción del Portafolio de Programas y Planes de Acción ante Riesgo ± Magerit .................................................................................................... 106 Tabla 29 - Resultados Ítem Construcción del Perfil de Riesgos y Trade-offs ± Magerit .. 106 Tabla 30 - Resultados Ítem Habilitación de Oportunidades Mediante la Toma de Riesgos ± Magerit .......................................................................................................................... 107 Tabla 31 - Resultados Ítem Propuesta de Gobierno ± Magerit ........................................ 107 Tabla 32 - Resultados Ítem Manejo del Cambio ± Magerit ............................................. 107 Tabla 33 - Resultados Ítem Respuesta al Riesgo ± Magerit ............................................. 108 Tabla 34 - Resultados Ítem Prácticas Sugeridas ± Magerit .............................................. 108 Tabla 35 - Resultados Ítem Monitoreo de los Resultados de los Planes de Acción ± Magerit ...................................................................................................................................... 108 Tabla 36 - Resultados Ítem Realimentación de Información ± Magerit ........................... 109 Tabla 37 - Resultados Ítem Propuesta de Adaptación Inicial - Magerit ........................... 109 Tabla 38 - Resultados Ítem Mejoramiento Continuo de la Gestión - Magerit .................. 109 Tabla 39 - Resultados Ítem Gestión de las Relaciones con Otros Esfuerzos de la Organización - Magerit .................................................................................................. 110 Tabla 40 - Resultados Ítem Apalancamientos ± Magerit ................................................. 110 Tabla 41 ± Resultados Ítem Definición del Riesgo de TI ± 4A........................................ 111 Tabla 42 ± Resultados Ítem Clasificación del Universo de Riesgos ± 4A ........................ 111 Tabla 43 ± Resultados Ítem Relación Riesgo-Valor ± 4A ............................................... 111 Tabla 44 - Resultados Ítem Enfoque del Marco ± 4A ..................................................... 112 Tabla 45 ± Resultados Ítem Calidad de la Identificación de los Riesgos ± 4A ................. 112 Tabla 46 ± Resultados Ítem Propuesta Cultural ± 4A ...................................................... 112 Tabla 47 ± Resultados Ítem Adecuación de la Base Tecnológica ± 4A ........................... 113 Tabla 48 ± Resultados Ítem Propuesta de Comunicación ± 4A ....................................... 113 Tabla 49 ± Resultados Ítem Construcción del Portafolio de Programas y Planes Acciones ante el Riesgo ± 4A ........................................................................................................ 113 Tabla 50 ± Resultados Ítem Construcción del Perfil de Riesgos y Trade-offs ± 4A ......... 114 Tabla 51 ± Resultados Ítem Habilitación de Oportunidades Mediante la Toma de Riesgos ± 4A.................................................................................................................................. 114. vii.

(9) Tabla 52 ± Resultados Ítem Propuesta de Gobierno ± 4A ............................................... 114 Tabla 53 ± Resultados Ítem Manejo del Cambio ± 4A .................................................... 115 Tabla 54 - Resultados Ítem Respuesta al Riesgo ± 4A .................................................... 115 Tabla 55 ± Resultados Ítem Prácticas Sugeridas ± 4A..................................................... 115 Tabla 56 ± Resultados Ítem Monitoreo de los Resultados de los Planes de Acción ± 4A . 115 Tabla 57 - Resultados Ítem Realimentación de Información ± 4A .................................. 116 Tabla 58 ± Resultados Ítem Propuesta de Adaptación Inicial ± 4A ................................. 116 Tabla 59 ± Resultados Ítem Mejoramiento Continuo de la Gestión ± 4A ........................ 116 Tabla 60 - Resultados Ítem Gestión de las Relaciones con Otros Esfuerzos de la Organización ± 4A ......................................................................................................... 117 Tabla 61 - Resultados Ítem Apalancamientos ± 4A ........................................................ 117. viii.

(10) PARTE A. Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios. 1.

(11) I.. ARTÍCULO. Acercamiento a la gestión de riesgos de TI con Magerit y las 4A Julian Felipe Pinzón G. Universidad de los Andes Bogotá - Colombia. [email protected] ABSTRACT El incremento del nivel de riesgo operativo en las organizaciones que implementan TI en sus procesos misionales en algunos casos es ignorado y propende al fracaso de muchos proyectos (1). Sin embargo, las organizaciones que empiezan a pensar en gestionar los riesgos operativos, especialmente los riesgos asociados con TI, buscan un modelo ya establecido que les permita agilizar esta labor. Es por esto que el papel de los marcos de gestión de riesgos de TI es tan importante hoy en día. Un marco típicamente recomienda procesos y acciones que se deben adaptar a las organizaciones, ya que por lo general no vienen diseñados exclusivamente para una industria o mercado específico. Entre los marcos de referencia se pueden identificar diferentes ventajas de unos sobre otros que hacen difícil su elección y muchas veces la solución no radica en adoptar un único marco y aplicarlo al pie de la letra, sino en analizar el alcance del proyecto y observar cómo se adapta el marco a la organización y si se integra con procesos ya establecidos. Esta puede llegar a ser una tarea compleja, dependiendo del contexto de la organización, por lo cual generalmente se requiere un equipo de personas dedicadas al proyecto. Dada la problemática planteada, en este artículo se muestra el análisis comparativo de los marcos de gestión de riesgos Magerit y 4A. Dado que el primer marco presenta una visión operativa y sistemática de la gestión de riesgos de TI y que el segundo muestra una visión holística del riesgo enfocada desde lo estratégico. Se busca entonces, construir una base sólida para construir sinergias entre los dos marcos. Adicionalmente de realizar una labor de obtención de sinergias entre los marcos y se generan recomendaciones para un caso de estudio.. Palabras Clave Tecnologías de la Información, Marco de gestión de riesgos de TI, Análisis de riesgos, Disponibilidad, Acceso, Precisión, Agilidad, Perfil de riesgos de TI, Magerit, 4A.. 1. INTRODUCCIÓN La gestión de riesgos de TI es una labor continua de todos los miembros de una organización [6]. Muchas veces se olvida esto y se delega completamente esta actividad al proceso de TI de forma exclusiva, convirtiéndose en una de las grandes debilidades para la efectiva gestión de riesgos de TI en la organización. El hecho de que un funcionario emplee TI para la ejecución de sus actividades implícitamente lo involucra en el manejo de los riesgos de las TI [3]. Adicionalmente, en todos los procesos en los cuales se incluye TI para optimizarlos o mejorarlos, por lo general no se está evaluando el incremento de la exposición al riesgo ni el. impacto sobre el proceso en el caso de ocurrencia de una falla, bien sea menor o catastrófica. Es por esto que se hace necesario gestionar los riesgos de TI de forma estructurada y a conciencia. Para esto existen los marcos de gestión de riesgos de TI, que facilitan la labor de implementar un modelo de análisis y gestión del riesgo de TI alineado a la estrategia de TI y de la organización a nivel global. El propósito de este artículo es el de analizar y encontrar sinergias entre dos marcos de gestión de riesgos de TI que son: Magerit y el de las 4A, a través de la herramienta construida al interior del grupo de investigación TION [1] y también algunos artefactos como DOFA, Gráficos radiales, casos de estudio, entre otros. Y para aplicar el resultado de esta investigación se plantean una serie de recomendaciones de complementación a un caso de estudio que tiene adelantado el programa de análisis y gestión de riesgos de TI. A continuación se presentan los marcos de referencia, su funcionamiento y su aplicación en un caso de estudio. Posteriormente se muestran los resultados del proceso de obtención de sinergias entre los marcos. Finalmente se muestra el filtrado de sinergias para generar recomendaciones a un caso de estudio y se concluye sobre la investigación.. 2. MARCO TEÓRICO A continuación se presenta el marco teórico que incluye los marcos de gestión de riesgos de TI Magerit y las 4A.. 2.1. Magerit Magerit significa Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información [2]. Esta metodología es de carácter público, pertenece directamente al Ministerio de Administraciones Públicas de España. No se necesita autorización formal para utilizarla. La metodología es tratada como un proyecto y es administrado por la Secretaria de Estado de la Función Pública. En la última versión que es la segunda versión, se concentra en la base metodológica, abordando en el problema de la complejidad de las TI y la gestión de los riesgos que conlleva su implementación. Magerit versión 2 se condensó en tres guías que son: El Método, Catálogo de Elementos y la Guía de Técnicas. El Método es la guía fundamental del marco, especifica tres aspectos generales que son: la conceptualización de un estado de riesgo y su proceso de mitigación; las pautas de un proyecto de análisis y gestión de riesgos; y la forma de integrar la gestión de riesgos en proyectos de software.. Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios. 2.

(12) El Catálogo de Elementos es un libro de apoyo, fuente de homogeneización de un proyecto de análisis y gestión de riesgos. Ofrece una terminología y unos criterios estandarizados, para que se puedan integrar trabajos de varios equipos y de esta forma un equipo de trabajo se centra en los objetivos del proyecto. La Guía de Técnicas es un libro complementario que ofrece un conjunto de herramientas de apoyo para algunas etapas del proyecto. Las herramientas son métodos de análisis como: árboles de ataque, análisis mediante tablas, análisis algorítmico, análisis costo-beneficio, diagramas de flujo de datos, entre otros. Ya sabiendo cómo está estructurado el marco de referencia, se presenta el modelo del programa de gestión de riesgos propuesto. Magerit propone que el programa de gestión de riesgos se lleve a cabo como proyectos de forma cíclica como se muestra en la Figura 1.. P1. Planificación ‡ Oportunidad ‡ Objetivo y Alcance ‡ Planificación (Tiempos y Recursos) ‡ Lanzamiento. P2. Análisis de Riesgos. P3. Gestión de Riesgos. ‡ ‡ ‡ ‡. ‡ Decisiones ‡ Plan de Acción ‡ Ejecución del Plan. Activos Amenazas Salvaguardas Impacto, Riesgo e Interpretación. Figura 1 ± Gestión de riesgos como proyecto cíclico El proyecto de gestión de riesgos de TI según Magerit se divide en 3 grandes procesos que son planificación, análisis de riesgos y gestión de riesgos. En el proceso de planificación es donde se despliega la estrategia del proyecto y se lanza como tal al interior de la organización. En el proceso de análisis de riesgos se inicia la etapa más ardua y compleja del proyecto que es la identificación y valoración de activos, amenazas y salvaguardas. Para finalmente realizar los cálculos necesarios para encontrar el impacto y el riesgo que en Magerit se maneja como intrínseco, antes de implementar controles; y residual, después de implementar controles. Finalmente, se generan informes como: modelo de valor, mapa de riesgos, estado de riesgo, entre otros, que permiten interpretar de mejor forma los resultados del análisis. El último proceso es llamado gestión del riesgo, es en el cual se toman las decisiones de tratamiento del riesgo y se plasman en planes de acción, para finalmente ejecutar el plan y medir los resultados. Una vez el contexto o alcance del proyecto haya cambiado se debe retomar la etapa de análisis y repetir el ciclo. Se recomienda que el primer proyecto de gestión de riesgos de TI se lleve a cabo con un alcance limitado, que permita evidenciar resultados rápidamente e incrementar los análisis de riesgos periódicos robusteciendo el proyecto con el paso del tiempo. La caracterización del marco incluye también el análisis de un caso de estudio, que se describe a continuación.. Intrared.net Ltda. es una pequeña empresa Colombiana que cuenta con alrededor de treinta funcionarios. Se dedica principalmente al desarrollo de software para el sector transportador y asegurador. Forma parte un pequeño grupo empresarial llamado, como unidad de negocio de tecnología y su función es la de apoyar con TI todas las iniciativas de negocio de la organización. A lo largo de los primeros 10 años, la empresa creció rápidamente y por esta misma razón, se presentaron situaciones de difícil tratamiento, como la toma de decisiones sin mucha precaución, falencias en priorización de la inversión y la consecución de recursos, sin embargo, los objetivos propuestos se alcanzaron, el volumen de clientes y las ventas se estabilizaron y los productos se mejoran constantemente. Con esta estabilidad alcanzada y las exigencias del mercado, Intrared.net se propuso como meta estratégica la certificación en calidad ISO 9001:2000 y en la misma línea ir trabajando en la consolidación y certificación de un sistema de gestión de seguridad de la información basado en ISO 27001:2005. Esta motivación hace que Intrared.net empiece a implementar la norma ISO 27002:2005 que en uno de los numerales exige que se realice el análisis de riesgos. Con las motivaciones y necesidades ya definidas, se elige Magerit en su primera versión debido a la cantidad de documentación que se tenía del marco en el momento; y con esta elección se realiza el primer análisis de riesgos. Esta labor fue realizada a lo largo de 7 meses y fue liderado por la Unidad de Infraestructura Tecnológica. Los resultados fueron entregados a través de un resumen ejecutivo a la gerencia general y a la de TI. Quienes a la fecha todavía no ha tomado decisiones sobre el mismo. Algunas lecciones aprendidas en Intrared fueron las siguientes: ‡ Debido a que el programa de análisis y gestión de riesgos no se considera como un objetivo estratégico, si no como un complemento de un objetivo de negocio, no se le da la importancia necesaria y por lo mismo no se puede garantizar el éxito del programa. ‡ Debido a la falta de conciencia en el apoyo gerencial, no se le pudo dar trascendencia al análisis de riesgos, para llegar a la gestión de los mismos. Luego de la descripción del marco y la ilustración de su aplicación mediante un caso de estudio, se da inicio a la descripción del otro marco.. 2.2. 4A Es un marco de referencia para la gestión de riesgos de TI desarrollado en el CISR (Center of Information Systems Research), grupo de investigación del MIT (Massachusetts Institute of Technology) por Westerman y Hunter, publicado en el 2007 [3]. El nombre es una sigla que proviene de las primeras letras de los cuatro objetivos de TI a nivel empresarial que en inglés son: Availability, Access, Accuracy, Agility. [4] En español estos objetivos traducen Disponibilidad, Acceso, Precisión y Agilidad. El marco propone identificar el riesgo al que está expuesta una organización en un perfil de riesgos basado en las 4A. Un análisis de trade-off de este perfil permite priorizar los riesgos y tomar de decisiones sobre las medidas de tratamiento de los mismos. Adicionalmente las medidas de tratamiento de riesgo son conducidas por tres disciplinas que deben ser dirigidas estratégicamente para mitigar los riesgos. Estas tres disciplinas son:. Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios. 3.

(13) ‡ Base de activos bien estructurada: es la infraestructura tecnológica y de aplicaciones, que incluye al personal y los procedimientos de operación que soporta las operaciones basadas en TI al interior y exterior de la organización. Está conformada por dos procesos que son: estructurar la base y simplificar y ajustar la base. Para la estructuración de la base se tienen en cuenta los siguientes temas: Contar con un PCN - Plan de Continuidad de Negocio (BCM ± Business Continuity Plan en inglés), auditorías de control y mejores prácticas basadas en estándares. Y el proceso de simplificación de la base tecnológica consta de tres procesos que son: Transformar las aplicaciones legadas, optimizar la infraestructura y definir la arquitectura empresarial. ‡ Gobierno de Riesgo de TI: El proceso consta de 5 pasos, que respaldado por 5 prácticas de mejora y apoyado en 6 roles, moldean la estructura de toma de decisiones y responsabilidades en cuestión de riesgos de TI. Inicia desde la definición de las políticas y estándares a utilizar en todo el programa de gestión de riesgos de TI. Posteriormente se identifican los riesgos en los procesos de negocio y se determina el impacto y la probabilidad de ocurrencia. Luego se priorizan mediante un comité que determina el orden de importancia de los riesgos y las responsabilidades de tratamiento. Más adelante se establecen las medidas de tratamiento del riesgo, tomando como base las siguientes: mitigarlo, aceptarlo, evadirlo o transferirlo. Para finalizar se monitorea y supervisa la efectividad del tratamiento y con base en las mediciones de indicadores de riesgo, se puede modificar la política o se restablecen prioridades y responsabilidades. ‡ &XOWXUD &RQVFLHQWH GHO 5LHVJR: La disciplina cultura conciencia de Riesgo se refiere a la actitud de los funcionarios de la organización frente a escenarios de riesgo o las amenazas latentes del negocio. Se debe tener en cuenta que la cultura de conciencia de riesgo inicia desde los altos directivos y si se está apoyado por el modelo de estructura de gobierno, el rol de director ejecutivo del programa de gestión de riesgos de TI, debe ser la persona ejemplar en cultura de riesgo de TI y en todo momento debe aportar en generación de conciencia.. sobre los 4 objetivos empresariales. El resultado de este trade-off es el perfil de riesgos deseado, bajo este perfil es que se debe establecer una disciplina foco en la cual se va a trabajar de forma prioritaria. No siempre se inicia por la disciplina de la base tecnológica, pero es una disciplina que en ocasiones favorece para garantizar la facilidad de implementación de las otras disciplinas. Sobre la disciplina foco los cargos medios que son los especialistas empiezan a diseñar y dirigir la ejecución de los planes técnicos. Y finalmente se obtienen planes de trabajo para la disciplina foco y sus complementos en otras disciplinas. Con esto se cierra el ciclo de gestión donde inician procesos de medición de resultados y desempeño. El marco de las 4A cuenta también con un modelo de madurez que mide el desempeño en las tres disciplinas. Este modelo surge a partir de una encuesta realizada conjuntamente entre el CISR en el MIT e IBM a finales del 2008, a 258 ejecutivos de TI y del negocio [4]. Más que un modelo es una herramienta de autoevaluación en materia de gestión de riesgos de TI. Para ilustrar la aplicación del marco, a continuación se describe el caso de estudio de PFPC. PFPC es una compañía de servicios de procesamiento para la industria de la administración de inversiones a nivel mundial (12). Hacia el año 2005 contaba con más de 1.7 trillones de dólares en activos bajo su administración. Cuenta con más de 4800 empleados en 11 lugares del mundo. La sede principal se encuentra en Estados Unidos. La empresa tiene más de 30 años de operación, entregando soluciones personalizadas de inversión alrededor del mundo. PFPC era una subsidiaria de PNC Financial Service Group Inc., pero hoy en día se llama PNC Global Investment Servicing, nombre oficial desde mediados del año 2008. A lo largo de sus primeros 30 años PFPC crece rápidamente, lanzando nuevos y novedosos servicios. También previo al Y2K, muchas empresas piensan en contratar a PFPC para que maneje sus transacciones durante ese fenómeno, aumentando sus niveles de capacidad de prestación del servicio. Posteriormente, luego de una década de crecimiento rápido y grandes adquisiciones, este se frena debido a problemáticas como la recesión del 2001. Como resultado de esta desaceleración PFPC reenfoca sus esfuerzos en la racionalización y la venta cruzada. A raíz de las necesidades, algunas de las decisiones tomadas fueron: ‡ Nombrar a Michael Harte como primer CIO de la compañía, quien poseía una gran experiencia en la reserva federal de los Estados Unidos. ‡ Harte tenía como sus dos grandes pilares estructurar un modelo de gobierno de TI como base para el cambio y forjar una disciplina de riesgo de TI estricta y ordenada.. Figura 2 ± Modelo de Funcionamiento del marco de las 4A En la Figura 2 se muestra el modelo cíclico de funcionamiento del marco de las 4A, el cual gira en torno al contexto, necesidades y características del negocio. La figura describe el modelo de gestión de riesgos de TI que inicia por la motivación propia o cambios en el exterior o interior de la organización lo cual hace que los directivos se reúnan a realizar el trade-off de los riesgos. ‡ Transformar las aplicaciones y volcarlas todas al GEP - Global Enterprise Plattform. Proyecto que iniciaba con un modelo arquitectural, pasando por abrir interfaces de interacción entre las nuevas aplicaciones y las legadas, hasta renovar las aplicaciones de cara a los clientes. ‡ Para manejar la presión tanto interna, con el GEP, como externa, desde las regulaciones del gobierno, Harte propone centrar su atención en la gestión de los riesgos de TI y su impacto en el riesgo corporativo y en elegir como foco de trabajo la disciplina de gobierno de riesgo de TI.. Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios. 4.

(14) También en este proceso y por iniciativa de Harte, se encontraron los riesgos relacionados con TI, se muestran algunos con sus respectivas medidas de control a continuación: ‡ Cambios Estratégicos: todas las iniciativas emprendidas por cualquier línea de negocio debían ser filtradas y evaluadas bajo los 4 objetivos empresariales (las 4A). ‡ Alineación de TI y el negocio: agilidad solicitada por las líneas GH QHJRFLR HQ HO GHVDUUROOR GH VLVWHPDV 6H FUHy OD ³GXDO VROLG OLQH´ TXH SHUPLWtD HQWHUDU D WRGRV Oos interesados sobre estas contrataciones y garantizar que TI conocía las actividades relacionadas con aplicaciones y hardware de cada una de las líneas de negocio. ‡ Seguridad: deficiencias en el manejo de las identidades y privilegios en los sistemas y aplicaciones por cambios de cargos en los empleados. Se implementan controles de administración de identidad con un único usuario por funcionario para todas las aplicaciones. Las lecciones aprendidas en la implementación de las 4A fueron: ‡Se observa que aunque se eligió una disciplina foco, se trabajó constantemente en las demás. ‡ La disciplina foco no siempre debe ser la base, en este caso se tomo la de gobierno de riesgos de TI y de todas maneras la base se iba fortaleciendo mientras se trabajaba en el gobierno. ‡ Es importante manejar el riesgo de TI al mismo nivel del riesgo corporativo, con el fin de asegurar su atención y relacionarlo con el impacto producido por otros tipos de riesgo. ‡ Fue muy importante para Harte (el CIO) durante todo este proceso, el acompañamiento y respaldo de la dirección general. Con estas lecciones aprendidas se cierra la descripción de los marcos de referencia y sus casos de aplicación. A continuación se presenta el análisis de los marcos de referencia con la herramienta de comparación.. 3. ANÁLISIS DE LOS MARCOS La herramienta de análisis y comparación utilizada se desarrolló al interior del grupo de investigación [1], ésta permite realizar la comparación de los marcos de forma cualitativa, obteniendo unos puntajes cuantitativos utilizados para analizar las diferencias entre los marcos. La herramienta está estructurada mediante 5 características que son: Propósito y Definición, Funcionamiento (Global, Estratégico, Táctico, Operativo), Medición y Autogestión, Adaptabilidad e Integración [1]. Estas características a su vez están divididas en ítems, que permiten evaluar aspectos puntuales del marco. Esta evaluación se realiza a través de criterios que son a los cuales se les asigna una calificación. En total son 14 ítems y 55 criterios los que se evalúan con la herramienta. Una vez evaluados los marcos, se obtiene una calificación global, que representa el desempeño del marco con respecto a las características. Adicionalmente se puede obtener también una calificación alternativa en la cual se evalúan los marcos teniendo en cuenta solo los ítems comunes entre ellos. Esto garantiza que la evaluación sea homogénea y que no se parcialice la calificación. El análisis de los marcos se sintetiza en la Tabla 1 mostrada a continuación:. TOTAL Característica Propósito y Definición Funcionamiento Medición y Autogestión Adaptación Integración TOTAL. Magerit 3,33 2,11 2,00 3,17 2,83 2,69. 83% 53% 50% 79% 71% 67%. CALIFICACIÓN ALTERNATIVA 4A. 2,75 2,53 2,50 3,50 1,17 2,49. Magerit 69% 63% 63% 88% 29% 62%. 3,11 2,61 2,00 3,17 2,00 2,58. 4A. 78% 65% 50% 79% 50% 64%. 3,67 2,28 2,50 3,50 2,00 2,79. 92% 57% 63% 88% 50% 70%. Tabla 1 ± Análisis Comparativo de Magerit y las 4A La calificación final del marco es de Magerit es 2,69 es decir de un 67% y la de las 4A es de 2,49, equivalente a un 62%. Las calificaciones alternativas son de 2,58 equivalente a un 64% y de 2,79, equivalente a un 70% respectivamente. Se destaca que el marco de las 4A obtiene una mejor calificación alternativa esto significa que los ítems no desarrollados por las 4A tienen una calificación sobresaliente en Magerit y al omitirlos la calificación de las 4A se fortalece, mientras que, Magerit muestra mejor desempeño en la calificación total por los ítems no desarrollados en las 4A. Luego del análisis ya se puede empezar con el proceso de obtención de sinergias entre los marcos.. 4. OBTENCIÓN DE SINERGIAS El proceso de obtención de sinergias se divide en dos actividades que son: Obtención de sinergias y Filtrado de sinergias. La primera se realiza mediante un conjunto de artefactos que ayudan a visualizar posibles complementos de los marcos. Y la segunda a través de análisis mediante tablas. De cada uno de los artefactos se obtiene un conjunto de sinergias que por el momento son independientes, pero serán numeradas para facilitar el proceso de filtrado [5]. Los artefactos utilizados son: contraste de calificaciones, gráficos radiales, ítems no desarrollados, DOFA y análisis de casos. En promedio se obtuvieron cinco sinergias por artefacto y en total fueron treinta. Luego de la obtención, se procede a filtrar las sinergias, mediante un proceso de análisis mediante tablas. El filtrado consiste en la identificación de solapamiento o redundancia de contenido entre las sinergias encontradas con todos los artefactos. Algunas de las sinergias finales [5] más representativas se muestran a continuación: ‡ S2-PD-M24A: La cuantificación del riesgo que presenta Magerit se convierte en una herramienta útil para sustentar el impacto probable de las pérdidas, esto puede ser aprovechado por las 4A para la priorización en el proceso de trade-off. ‡ S9-I-M24A: La posible interrelación de Magerit con otros marcos de TI le facilitan identificar oportunidades de mejora y eficiencia. El marco de las 4A puede hacer uso de muchas referencias para facilitar el trabajo a los usuarios y para moldear el uso del mismo a través del tiempo. ‡ S27-PD-M24A: F3M con O24 ± Mediante la cuantificación del riesgo de Magerit complementar a las 4A para facilitar el trade-off de riesgos. ‡ S28-FunT-4A2M: D1M - Complementar a Magerit con la base cultural de las 4A, estructurando la gestión desde arriba.. Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios. 5.

(15) ‡ S29-MA-4A2M: O14 ± Diseñar un modelo de madurez para el sistema de gestión de riesgos de TI basado en Magerit, que permita medir el programa y los controles implementados. El resultado de este proceso es la obtención de sinergias depuradas y filtradas, que sirven para complementar un programa de gestión de riesgos de TI que se base en los marcos estudiados.. 5. RECOMENDACIONES AL CASO Como una extensión práctica del alcance de la investigación, se produce un conjunto de recomendaciones al caso de estudio de Intrared.net, donde se observan una serie de puntos de mejora que pueden ser apalancados con las sinergias entre los marcos. Para aplicar las sinergias primero se debe realizar un filtrado de las mismas para obtener solo las que realmente pueden aportar al caso. En este filtrado final, se tiene en cuenta que las sinergias fueran complemento de las 4A hacia Magerit, ya que este último fue el utilizado por Intrared.net. Finalmente se obtuvieron 4 puntos de mejora y 6 sinergias aplicables [5]. Y mediante un proceso de análisis se generaron 4 recomendaciones que forman parte de un plan global de mejora del programa de análisis y gestión de riesgos de TI de la organización. Las recomendaciones finales se muestran a continuación: ‡R1 - Lanzar el programa de gestión de riesgos de TI con base en el análisis de riesgos ya realizado. ‡ R2 - Implantar el modelo de gobierno ya elaborado. ‡ R3 - Realizar el próximo análisis de riesgos con base en la segunda versión de Magerit para facilitar la adopción de esta nueva versión del marco para el programa de gestión. ‡ R4 - Diseñar e implantar un modelo cultural que permita introducir la costumbre de manejo de riesgo de TI. Para ilustrar el proceso de implementación de una de las recomendaciones se propone el plan de implementación de la recomendación R1, como se muestra en la Tabla 2. No.. Actividad. 1. Reunión coordinación lanzamiento. 2. Recopilación de documentos. 3. Lanzamiento del programa. 4. Lanzamiento de la política. 5. Realización de campaña cultural. Detalle Coordinación con la Gerencia de la organización donde se determinen las pautas del lanzamiento del programa. Recopilar todos los documento necesarios para el lanzamiento como: Política de Gestión de Riesgos de TI, Roles y Responsabilidades, entre otros. Celebrar el lanzamiento del programa con la firma oficial de los documentos. Publicación y puesta en marcha de la política de gestión de riesgo de TI al interior y exterior de la organización. Elaboración y difusión de una campaña cultural sobre el cumplimiento de la política y los roles y responsabilidades.. Tabla 2 ± Plan específico de la recomendación R1 al caso Con este plan específico se da por terminado el proceso de recomendaciones al caso de Intrared.net y se toma como un caso práctico de la aplicación de las sinergias.. 6. CONCLUSIONES Por medio del estudio de los marcos y la aplicación de la herramienta de análisis se obtuvo la Tabla 3 que muestra las conclusiones más importantes sobre los marcos:. CONCLUSIONES MARCOS Magerit 4A Centra el análisis y la gestión de riesgos Las 4A expande la gestión hacia las en el catálogo de activos y de disciplinas, lo cual le agrega al marco salvaguardas, se convierte en un marco una visión más estratégica. muy operativo en el uso cotidiano. Libertad de estructuración y Método sistemático como un proyecto organización de la gestión de riesgos de para la gestión de riesgos de TI. TI. Crecimiento incremental y marginal sin Crecimiento en las disciplinas metas de madurez. enmarcado en el modelo de madurez.. Tabla 3 ± Conclusiones sobre los marcos La herramienta de comparación útilmente sirvió para extraer las conclusiones anteriores, sin embargo, a pesar de que se tiene un amplio cubrimiento de criterios de evaluación, la herramienta se encuentra desbalanceada. Esto hace que se puedan aumentar los ítems no desarrollados en otros análisis. Se resalta la importancia de la utilización de casos de estudio de organizaciones en los cuales se implementen los marcos de referencia en sus programas de gestión de riesgos de TI. Mediante los casos de estudio se identifican los puntos fuertes y débiles de la implementación, y de la misma forma las posibilidades de complementación que ofrecen los otros marcos. Las obtención de sinergias demuestra la posibilidad de complementar los marcos, ratificando que ningún marco de referencia garantiza el éxito de la implementación de un programa de gestión de riesgos de TI, si no por el contrario, el correcto entendimiento del marco y la adaptación e integración del marco con la organización son los factores que aumentan la probabilidad de éxito del programa, teniendo en cuenta factores transversales a los marcos como gobierno, la cultura y las TI. Finalmente después del ejercicio investigativo, se considera que la utilización de un marco de referencia en el programa de gestión de riesgos de TI implica una constante evaluación del marco, que permita visualizar la evolución del mismo e implícitamente la evolución de la empresa en función de la gestión de riesgos de TI.. 7. BIBLIOGRAFIA [1] Santa, Jhon Jairo. Análisis de marcos de gestión del riesgo de TI: Los Marcos 4A, Risk IT y la Construcción de una Herramienta de Análisis. 2009 [2] Magerit. MAGERIT. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. [En línea] 2, Consejo Superior de Administración Electrónica - España. http://www.csae.map.es/csi/pg5m20.htm. [3] Westerman, George y Hunter, Richard. IT Risk. Turning Business Threats into Competitive Advantage. s.l. : Harvard Business School Press, 2007. Vol. 1ª Edición. [4] Westerman, Richard y Barnier, Brian. How mature is your IT risk management? Sitio Web CISR del MIT. [En línea] Diciembre de 2008. http://mitsloan.mit.edu/cisr/briefings.php. [5] Pinzón, Julian Felipe. Acercamiento a la Gestión de Riesgos con Magerit y las 4A. 2009. [6] Symantec. IT Risk Management Report 2: Myths and Realities. [En línea] 2008. http://www.symantec.com/business/theme.jsp?themeid=itrisk _report. Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios. 6.

(16) II.. PRESENTACIÓN. Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios. 7.

(17) Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios. 8.

(18) Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios. 9.

(19) Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios 10.

(20) Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios 11.

(21) Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios 12.

(22) Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios 13.

(23) Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios 14.

(24) Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios 15.

(25) Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios 16.

(26) Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios 17.

(27) Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios 18.

(28) PARTE B. Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios 19.

(29) III. 1.1.. CAPÍTULO 1: INTRODUCCIÓN. Antecedentes. El análisis y la gestión de riesgos de TI1, es una materia de reciente uso y aplicación. Aproximadamente en la década de los 50 del siglo XX ³7KH +DUYDUG %XVLQHVV 5HYLHZ´ empieza a publicar documentos sobre Análisis y Gestión de Riegos en las organizaciones (1). Adicionalmente, hace no más de 20 años, tras la aparición de algunos estándares en seguridad y/o gobierno de TI, se vio la necesidad de aplicar la gestión de riesgos de TI. Esta disciplina se extiende principalmente desde el sector financiero hacia los sectores industriales y de servicios debido a la dependencia de TI para mantener y mejorar la calidad de los servicios. A raíz de su amplia y rápida difusión en las organizaciones, la gestión de riesgos se convierte en una muy buena herramienta para medir el daño que podría causar la ocurrencia de algún evento en contra de los objetivos o de la misión de una empresa. Adicionalmente, se puede destacar que el llamado Y2K2IXH³XQRGHORVJUDQGHVp[LWRVGH. ODJHVWLyQGHULHVJRV´3 esto al poder prever y tomar las correctas medidas para evitar una catástrofe.. Sin embargo, comúnmente las empresas operan sin ninguna precaución ante los posibles eventos desafortunados y actúan improvisadamente y de forma natural ante el riesgo inherente4, que como la misma palabra lo dice, es el riesgo al cual está expuesta la organización por el hecho de existir y prestar sus servicios y no se le han aplicado medidas para gestionarlo (2). Este escenario es muy frecuente, agregándole que en muchos casos no sólo el riesgo inherente está en juego, si no que las empresas incrementan su apetito de riesgo con el fin de obtener mayores beneficios de sus operaciones a corto o largo plazo (3).. 1. TI es una sigla para referirse a Tecnologías de Información. 2. Error de Software que anticipaba que en el año 2000 iban a colapsar los computadores en todo el. mundo. 3. McCombs School Of Business. History Of Risk Management. 2002. Página 7.. 4. Definición basada en (2) Glosario del BS 31100:2008. Página 34.. Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios 20.

(30) Entendiéndose apetito de riesgo 5 como la cantidad y tipo de riesgo que una empresa está dispuesta a aceptar en un momento determinado. El apetito de riesgo es único y propio de una organización, ya que depende directamente del contexto de la empresa y su dinámica, así como de factores internos como cambios en la estructura y externos como cambios en el mercado.. Uno de los caminos que ha podido mejorar la conciencia para evitar el descontrol de los activos principalmente en el ámbito financiero es la regulación y el cumplimiento. De esta forma por exigencia del gobierno para ofrecer garantías de seguridad y de confianza a los usuarios del sistema financiero, han sobresalido algunas de las principales regulaciones internacionales como son: Basilea I y II (4), la Ley de Sarbanes-Oxley (5) en EEUU. Sin embargo, esta exigencia hacia el cumplimiento de las normas, se ha ido trasladando a otros sectores económicos, como lo son el sector salud (6), o el de servicios entre otros. En estos otros sectores, la inclusión de TI, incrementa los riesgos que afectan directamente a los usuarios o clientes de estas empresas. Así mismo, esta práctica de medir y controlar el riesgo, se ha venido implantando por razones como: necesidad de garantías a los clientes, reconocimiento en el mercado, entre otras. Al mismo tiempo, las exigencias del mercado, tales como la seguridad de la información, la disminución de pérdidas y la percepción de amenazas externas, exige a las empresas vigilar y controlar sus riesgos (6).. A raíz de lo anterior, surge la necesidad de crear estándares para el análisis y gestión de riesgos, estos se conocen comúnmente como ³Frameworks´ o Marcos de Trabajo. Entre los marcos de gestión de riesgos de TI más conocidos se encuentran los siguientes: NIST (7), IT Risk (8), RiskIT (9), Octave (10), Magerit (11), entre otros.. El objetivo de estos marcos básicamente es el de integrar buenas prácticas mundialmente reconocidas de forma ordenada y sistemática. Estos marcos están diseñados para facilitar el análisis de riesgos y orientan en la implementación de un sistema de gestión de riesgos.. 5. Ibid., en Pag 36. Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios 21.

(31) En este trabajo en especial se va a tratar dos marcos de referencia que son: Magerit, en su versión 2 y IT Risk, basado especialmente en el libro de Westerman y Hunter (4) y en algunas fuentes complementarias posteriores a su publicación. Magerit6 es una metodología promovida por el Consejo Superior de Administración Electrónica, órgano adscrito al Ministerio de Administraciones Públicas de España. Es utilizada como un estándar para la gestión de riesgos en las entidades públicas españolas. Adicionalmente, se usa como modelo de control del gobierno en casos en los que se hacen necesarias auditorías según algunos Reales Decretos7 que hacen referencia a empresas que manejen información de carácter personal. La metodología se encuentra hoy en día en la segunda versión y representa una evolución natural o actualización de la versión 1 ³SHUR ante todo se intenta diferenciar lo que es esencial (y permanente) de lo que es coyuntural y FDPELDUiFRQHOWLHPSR´8. Las 4A es un marco de referencia que surge a raíz de una serie de investigaciones exhaustivas al interior de organizaciones que usan como base TI para algunas de sus actividades diarias. Estas investigaciones fueron llevadas a cabo desde el Centro de Investigación de Sistemas de Información (CISR en Ingles) en el MIT 9, lideradas por George Westerman10 y Richard Hunter11. El trabajo que dio fruto a este marco tiene la. 6. Magerit significa Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. 7. Un Real Decreto en España es una norma jurídica emanada del gobierno en nombre del Rey.. 8. Magerit versión 2 - Libro I: Método (formato PDF) - Página 12. 9. MIT es el Instituto Tecnológico de Massachusetts, del inglés Massachusetts Institute of. Technology 10. *HRUJH:HVWHUPDQHVXQ,QYHVWLJDGRU&LHQWtILFRHQHO0,76ORDQ¶V&HQWHUIRU,QIRUPDWLRQ. Systems Research ± CISR y director del programa de TI para no ejecutivos de TI. 11. Richard Hunter es vicepresidente y director de investigación en los programas ejecutivos de. Gartner, donde su trabajo reciente se ha enfocado en la seguridad de la información, gestión relaciones externas de negocios y gestión de riesgos.. Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios 22.

(32) siguiente magnitud: 49 entrevistas a CIOs12 de 11 compañías, encuestas en más de 134 compañías, 9 casos de estudio en compañías, y más de 2000 presentaciones con ejecutivos no sólo de TI si no de otras áreas. El estudio de la Gestión de Riesgos de TI a lo largo de muchos DxRV VH SODVPy HQ HO OLEUR ³IT Risk. Turning Business Threats into Competitive $GYDQWDJH´Esta publicación detalla el marco de referencia y busca concientizar al lector de la importancia de la gestión de riesgos de TI en las organizaciones.. Este marco de referencia ha sido utilizado en la Universidad de los Andes por el grupo de investigación TION en diferentes estudios, como el de comparación y contraste de marcos de referencia realizados por Jhon Jairo Santa (8) en el 2009, este documento brinda una herramienta de comparación de marcos que va a ser la base de comparación de los marcos de esta investigación.. Habiendo mostrado los antecedentes de los marcos de referencia y de la investigación misma, se procede a justificar la realización de esta investigación.. 1.2.. Justificación. A través de la historia, todas las empresas han estado expuestas a una serie de amenazas, algunas más probables que otras según el contexto de la organización, pero en general, las empresas están sometidas a ciertas condiciones que ponen en riesgo las operaciones normales (8).. Sin embargo, debido al uso de TI, algunos riesgos son similares u homogéneos para diferentes empresas (6). La amplia difusión que han tenido los computadores y el hecho de ³6LVWHPDWL]DU´R³&RPSXWDUL]DU´ORVSURFHVRVKDFHQ que ahora el riesgo de TI sea común para muchas empresas(QPXFKRVGHORVFDVRVHVWD³6LVWHPDWL]DFiyQ´VHUHDOL]DVREUHORV procesos de negocio que son más importantes o los que se optimizan para generar más. 12. CIO sigla en inglés para Chief Information Officer que significa Jefe de Tecnologías de. Información. Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios 23.

(33) valor. Al implementar TI, en ocasiones no se mide el aumento en la vulnerabilidad del proceso y el impacto de la ocurrencia de un riesgo sobre el mismo. Adicionalmente se ven casos en los cuales se espera hasta que ocurran fallas para reaccionar e identificar las medidas a implementar para disminuir la vulnerabilidad y el impacto y así mismo la continuidad del proceso. Y como casi siempre el proceso es crítico o misional, entonces se generan pérdidas que en ocasiones se vuelven incalculables en caso de incidentes graves. Westerman y Hunter GHILQHQ ULHVJR GH 7, FRPR ³OD SUREDELOLGDG GH TXH XQ HYHQWR QR planeado se aproveche de una falla o un mal uso de TI para amenazar un objetivo de QHJRFLR´13. Ejemplos de riesgos de TI y sus consecuencias pueden ser los siguientes:. El caso de ComAir (8) que perdió más de US$25 millones por no tener disponible el sistema de planeación de vuelos. Un caso de una empresa dedicada a la consultoría y proyectos sobre seguridad informática (13) en la cual la pérdida no fue financiera si no en uno de los LQWDQJLEOHV PiV YDOLRVRV GH ODV HPSUHVDV ³(O %XHQ 1RPEUH´ (Q HVWH FDVR OD empresa estaba utilizando un software para la publicación de su sitio web con vulnerabilidades conocidas y unos hackers ingresaron y modificaron su página web corporativa, dejando gravemente impactada la imagen de la empresa. Otro caso14 muy frecuente es el de las malas mediciones en proyectos de desarrollo de software en los cuales por fallas en el dimensionamiento de las arquitecturas, lanzan a producción un sistema de uso masivo y posteriormente el servicio se ve afectado por degradación del mismo y problemas de seguridad que se ven reflejados en la mala imagen de la empresa desarrolladora y en millones de pesos en pérdidas por pólizas de cumplimiento. Los casos anteriores ilustran la magnitud de las posibles pérdidas generadas por no gestionar los riesgos de TI. Hoy en día se ha generado mucha conciencia sobre estas 13. Traducción de (4) en la página 1.. 14. Caso tomado de la experiencia del autor.. Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios 24.

(34) problemáticas, pero más por la óptica de la obligatoriedad y el cumplimiento a través de regulaciones del gobierno y sus entes de control (14). El objetivo principal de estas regulaciones es el de generar garantías de cumplimiento y minimizar los riesgos que están implícitos en la prestación de servicios.. Sin embargo, no sólo la iniciativa regulatoria y de cumplimiento conlleva a la implementación de programas de gestión de riesgos, en muchos casos las empresas optan por implementarlo con el fin de facilitar la toma de decisiones estratégicas para TI, que conduzcan a la organización a la generación de valor en el negocio a través de TI (8). Este es el caso de Intrared.net Ltda., empresa dedicada desarrollo, implementación, administración y soporte de Sistemas de Información Web, para el Sector Transportador Terrestre de Carga, Asegurador y sectores afines, que en búsqueda de ofrecer mayores y mejores garantías a sus clientes se preocupa por implantar modelos de gestión de riesgos de TI.. Revisando los casos anteriores, y haciendo énfasis en la necesidad de minimizar el riesgo y de implementar sistemas de gestión de riesgos, en algunos espacios académicos y empresariales se empezó a abrir un camino a la generación de marcos de referencia, estándares o modelos para diseñar y establecer programas de gestión de riesgos de TI. Es por esto que surgen marcos como el de las 4A, que nace de la mezcla entre la academia y la experiencia de muchas empresas. Así mismo Magerit la cual nace por iniciativa del gobierno español, pero soportado también en gran parte por la academia.. Con este contexto, en esta investigación se pretende realizar una comparación entre estos dos marcos de referencia: 4A y Magerit, en búsqueda de similitudes y diferencias que sirvan para entrelazar la visión de gobierno que tiene al marco de las 4A con la visión ampliada de la gestión que se presenta con Magerit. Adicionalmente se busca evaluar como se le puede agregar una visión de gobierno al modelo de gestión de riesgos trabajado en el caso de estudio de Intrared.net.. Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios 25.

(35) Este documento retomará muchas de las herramientas generadas en trabajos previos del grupo de investigación TION de la Universidad de loa Andes. Principalmente la herramienta de comparación de marcos elaborada por Jhon Jairo Santa en su proyecto de grado (12).. A continuación se describirán los objetivos de la investigación, que serán la guía en el desarrollo de la misma.. 1.3.. Objetivo General. Analizar y comparar dos visiones de la gestión de riesgos de TI mediante herramientas de comparación y casos de estudio, obteniendo un conjunto de sinergias entre dos marcos de referencia internacionalmente reconocidos que permitan generar recomendaciones que faciliten la implementación de un programa de gestión de riesgos de TI. Para esta investigación se analizan sinergias entre el marco de las 4A y Magerit.. 1.4.. Objetivos Específicos Estudiar la documentación más relevante de los marcos de análisis y gestión de riesgos de TI seleccionados para presentar sus aspectos generales y comprender su funcionamiento y alcance. Comparar los marcos de análisis y gestión de riesgos de TI seleccionados para determinar similitudes, diferencias y sus respectivos alcances. Analizar por lo menos un caso de estudio de implementación de análisis y gestión de riesgo de TI, de cada uno de los marcos seleccionados con el fin complementar la comparación de los marcos. Obtener sinergias entre los marcos seleccionados que faciliten generar recomendaciones generales para la implementación de un programa de gestión de riesgos de TI. Producir recomendaciones para la implementación de las sinergias encontradas para los marcos en el caso de la empresa Intrared.net Ltda.. Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios 26.

(36) 1.5.. Alcance. Analizar y encontrar sinergias entre dos marcos de gestión de riesgos de TI que son: Magerit y el de las 4A; a través de la herramienta construida al interior del grupo de investigación (12) y también algunos artefactos como DOFA, gráficos radiales, casos de estudio, entre otros. Para aplicar el resultado de esta investigación se plantean una serie de recomendaciones al caso de estudio de Intrared.net Ltda.. 1.6.. Metodología. Este documento es la evidencia de una investigación teórico-práctica dividida en 5 partes, que son: Estudio de los marcos de referencia de Magerit y las 4A y su alcance. Estudiar y analizar por lo menos un caso de estudio de cada marco de referencia para identificar su aplicación. Realizar comparación con ayuda de la herramienta generada en el grupo de investigación (12) en busca de sinergias y complementación. Encontrar sinergias entre los marcos de referencia para generar recomendaciones de implementación. Generar unas recomendaciones al caso de estudio de Intrared.net que le ayuden a determinar el camino hacia el diseño y la implementación de un programa de gestión de riesgo de TI.. 1.7.. Resultados Esperados. Inicialmente se espera realizar un análisis de Magerit en su segunda versión y un complemento del marco de las 4A con información posterior a la publicación del libro de Westerman y Hunter (8) en el 2007. Como resultado de este análisis comparativo se espera obtener una serie de sinergias entre los marcos mediante la herramienta de comparación seleccionada y la producción de un conjunto de recomendaciones de carácter teórico que permitan aplicar tanto una visión de gobierno como una táctica a la gestión de riesgos de TI.. Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios 27.

(37) Finalmente, con estas recomendaciones sobre las sinergias se realizará una propuesta de implementación de las sinergias en el caso de estudio de Intrared.net.. A continuación se iniciará el capítulo base de esta investigación que es el análisis de los marcos de referencia con su respectivo alcance y funcionalidad, agregándole un caso de estudio desarrollado por un tercero, a cada marco, como complemento a la investigación.. Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios 28.

(38) IV.. CAPÍTULO 2: MARCO TEÓRICO. En este capítulo se explicarán las características principales de los dos marcos de gestión de riesgos de TI seleccionados. Dentro de la caracterización de los marcos se va a incluir el análisis de un caso de estudio en el cual se haya realizado la implementación del marco y se resalte su funcionalidad. No se va a incluir detalles específicos de lenguaje en esta sección si no que se van a anexar documentos especiales para el propósito de profundización de los marcos.. 2.1.. Magerit. 2.1.1 Introducción Magerit significa Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Esta metodología es de carácter público, pertenece directamente al Ministerio de Administraciones Públicas de España. No se necesita autorización formal para utilizarla. La metodología es tratada como un proyecto y es administrado por la Secretaria de Estado de la Función Pública. Magerit nace por iniciativa del CSAE 15 en España, ³como respuesta a la percepción de que la Administración (y en general toda la sociedad) depende de forma creciente de las tecnologías de información SDUD OD FRQVHFXFLyQ GH VXV REMHWLYRV GH VHUYLFLR´ 16. Al generalizarse el uso de TI, se está mejorando la prestación de servicios y agilizando la obtención de resultados positivos, pero lamentablemente en la misma vía se están abriendo brechas de seguridad y estabilidad en la prestación de servicios y estas brechas por lo general no se están teniendo en cuenta ni se gestionan.. 15. CSAE es la sigla para referirse al Consejo Superior de Administración Electrónica del Gobierno. de España 16. Magerit versión 2 - Libro I: Método (formato PDF) ± Página 6. Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios 29.

(39) Magerit nació formalmente en el año 1997 con su primera versión. La cual se componía de siete libros que respondían a la necesidad de la creación de una metodología que amparará el proceso de gestión de riesgos, base para la gestión de la seguridad de la información. Esta primera versión fue extremadamente general, y orientada hacia la seguridad.. En la segunda versión, se concentra en la base metodológica, abordando en el problema de la complejidad de las TI y la gestión de los riesgos que conlleva su implementación. Magerit versión 2 se condensó en tres libros que son: El Método, Catálogo de Elementos y la Guía de Técnicas.. Los objetivos que persigue Magerit son: ³Directos Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo. Ofrecer un método sistemático para analizar tales riesgos. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control. Indirectos Apoyar la preparación a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso´17 A partir de estos objetivos y en su constante evolución, Magerit consolida una metodología que no sólo se queda en un marco de referencia para realizar análisis y gestión de riesgos de TI, si no que todo el proceso de análisis y gestión de riesgos entrega una cantidad adicional de información sobre la importancia de todos y cada uno de los activos de la organización y la importancia de estos en la prestación de servicios en la empresa. Entendiendo activo, no sólo como los medios físicos, si no las actividades misionales, servicios, intangibles, personas, entre otros. 17. Ibid., en 6-7. Grupo de Investigación en Tecnologías de Información, Organizaciones y Negocios 30.

Referencias

Descargar ahora ( PDF - 128 página - 2.35 MB )

Documento similar

segunda nota de aviso

Proporcione esta nota de seguridad y las copias de la versión para pacientes junto con el documento Preguntas frecuentes sobre contraindicaciones y

lista de los números de referencia

[r]

segunda nota de aviso

Contraindicaciones: El uso de la mascarilla está contraindicado para los pacientes y los miembros de sus familias, profesionales sanitarios y compañeros de

Formato pdf

o Si dispone en su establecimiento de alguna silla de ruedas Jazz S50 o 708D cuyo nº de serie figura en el anexo 1 de esta nota informativa, consulte la nota de aviso de la

La iguaLdad en La apLicación de La Ley: anáLisis de aLgunas objeciones iusfiLosóficas*

d) que haya «identidad de órgano» (con identidad de Sala y Sección); e) que haya alteridad, es decir, que las sentencias aportadas sean de persona distinta a la recurrente, e) que

SOBRE LA TEORÍA DE LA DEMOCRACIA

De hecho, este sometimiento periódico al voto, esta decisión periódica de los electores sobre la gestión ha sido uno de los componentes teóricos más interesantes de la

EL ARCHIVO DE LOYOLA EN TIEMPOS DE LA EXPULSIÓN Y LAS APORTACIONES DE LOS JESUÍTAS LLEGADOS DE ITALIA (SEGÚN RESEÑA DEL P. PÉREZ PICÓN)

Ciaurriz quien, durante su primer arlo de estancia en Loyola 40 , catalogó sus fondos siguiendo la división previa a la que nos hemos referido; y si esta labor fue de

LA CAPILLA DE MÚSICA DE LA COLEGIAL DE SAN NICOLÁS DE ALICANTE DURANTE EL SIGLO XVIII

Las manifestaciones musicales y su organización institucional a lo largo de los siglos XVI al XVIII son aspectos poco conocidos de la cultura alicantina. Analizar el alcance y