Perspectivas Riesgos TI PDF

Cambios en el panorama
de los riesgos de TI
El porqu y el cmo de la actual Administracin de
Riesgos de TI
Perspectivas sobre los riesgos de TI
4
Perspectivas sobre los riesgos de TI | Informe de negocios
Contenido:
Riesgos de TI en el panorama actual de los riesgos de negocios 1
El universo de riesgos de TI 5
Administracin de riesgos de TI 10
Lo que las empresas estn haciendo 14
Acte ahora 16
1
Riesgos de TI en el panorama
actual de los riesgos de negocios
Cambios en el panorama de los Riesgos de TI
La manera en que las compaas interactan con sus empleados, clientes y
otras organizaciones est cambiando a una velocidad sin precedentes. La
computacin mvil y las nuevas tecnologas, como la computacin en nube
y las redes sociales, estn derribando los muros de la ofcina convencional
y demoliendo los viejos paradigmas de los Riesgos de TI.
Por ejemplo, el hardware de una empresa ahora opera desde pases de
bajo costo; el software se provee en la nube y los datos de la empresa se
almacenan alrededor del mundo. Los datos corporativos se transmiten a
travs de internet, se comunican y discuten en los canales de las redes
sociales y pueden viajar alrededor del mundo instantneamente a travs
de varios canales y plataformas, capturarse en los telfonos inteligentes,
tabletas y computadoras personales de los empleados. Estos dispositivos
de alta tecnologa, mediante los cuales los datos ahora fuyen libremente,
alguna vez fueron del dominio exclusivo de los empleadores que los
proporcionaban, pero ahora la mayora son propiedad de los empleados.
Como resultado, a menudo la informacin personal y los datos importantes
y privilegiados de las compaas se encuentran almacenados en los mismos
dispositivos de baja seguridad.
En este mundo sin fronteras, enfrentarse a estas capas de riesgo complejas
y en constante cambio provoca que se deban ampliar y adaptar la Agenda
de Riesgos de TI para superar dichos retos.
Desde siempre, los Riesgos de TI se han considerado como responsabilidad
nica del departamento de TI y no se han considerado como un riesgo
estratgico de negocios que requiere la atencin de toda la compaa. Sin
embargo, a medida que el uso generalizado de la tecnologa de informacin
y sus herramientas contina en aumento, afectando prcticamente
todos los aspectos de la funcin empresarial, cada vez es ms claro
que la administracin de estos riesgos actualmente trata ms sobre la
administracin de riesgos para todo el negocio. Ahora, las empresas
deben incluir la Administracin de Riesgos de TI (IT Risk Management o
ITRM, por sus siglas en ingls) dentro de su enfoque general para toda la
organizacin.
Nuestras encuestas globales de seguridad de la informacin
1
, que se
realizan cada ao, han arrojado que los integrantes del consejo y de los
comits de auditora estn cada vez ms interesados en dicho tema. Esta es
una de las medidas ms importantes que una empresa puede implementar
para reducir de forma potencial los Riesgos de TI.
Sin embargo, no todos los Riesgos de TI estn cubiertos por la seguridad de
la informacin. An hay mucho por hacer.
1
Para mayor informacin sobre seguridad de la informacin, consulte la 13a Encuesta Global de
Seguridad de la Informacin (EGSI) y comparativo Mxico, descrguela en:
www.ey.com/mx/asesoria
2
Los riesgos de TI estn frmemente
vinculados a los riesgos de negocios
En el informe de Los 10 principales riesgos en los negocios 2010
de Ernst & Young se analizaron los 10 riesgos ms importantes
en todos los tipos de negocios y por industria especfca. Como
ejemplo, los radares de riesgo, que se incluyen a continuacin,
muestran los 10 ms relevantes para los bancos y las empresas
de tecnologa.
Estos dos sectores son usuarios intensivos de la tecnologa de
la informacin. Por lo tanto, los riesgos relacionados con las TI
se encuentran en una categora separada de la lista de sus 10
riesgos ms importantes. El sector bancario tiene una categora
genrica de riesgos de TI (estrella verde), mientras que el sector
de tecnologa se enfoca ms especfcamente en los riesgos de
datos (estrella verde).
Pero an hay ms. En los radares tambin hemos identifcado
(estrella roja) aquellos riesgos de negocios de los 10 ms
importantes que en realidad tienen un componente relevante
de TI, por lo que cuentan con un riesgo de TI oculto. Estos
nicamente se podrn gestionar efcazmente cuando la ITRM sea
una parte integral de la administracin de riesgos de negocios.
Sin la ITRM, una empresa no podr hacerles frente.
La mayora de los riesgos de negocios tiene un fuerte vnculo
con los de TI.
Riesgo reglamentario. Cmo respondern los reguladores a
la amenaza cada vez mayor de los riesgos de TI?
Impactos geopolticos. Cul es su grado de exposicin a
estos impactos? Cul es la capacidad de respuesta de su
organizacin de TI?
Riesgo reputacional. Cmo afectara un ataque ciberntico
a su prestigio y marca?
Fallas de control. Es posible que las brechas o debilidades
en los controles de TI y en la seguridad sean factores
contribuyentes?
Riesgos de TI. Cmo atender las reas clave de riesgo
relacionadas con la seguridad, resistencia y la fuga de
datos?
La mayora de los riesgos de negocios tienen un fuerte vnculo
con los de TI.
Expansin en mercados emergentes. El hecho de que su
compaa tenga una mayor presencia aumenta el riesgo de
continuidad del negocio?
Reestructurar el negocio. Cunto cambiara su perfl de
riesgo de TI?
Centros de servicios compartidos. Esto aumentara el
riesgo para el aprovisionamiento de TI y seguridad de la
informacin?
Seguridad de propiedad intelectual y de datos. Est
protegido contra la fuga o prdida de datos y contra
empleados confictivos?
Adquisiciones selectivas e integracin efcaz. Qu tan
exitosas son sus inversiones si no puede integrar el entorno
de las TI de una compaa adquirida?

E
s
t
r
a
t
g
i
c
o

O
p
e
r
a
t
i
v
o
F
i
n
a
n
c
i
e
r
o

C
u
m
p
l
i
m
i
e
n
t
o
Proteger el valor de los
activos liquidos y lidiar
con la volatilidad en los
tipos de cambio
Administrar y defender
la propiedad, as como
la optimizacin de la
investigacin y desarrollo
Operaciones efcientes
y efcaces por medio
de centros de servicios
compartidos
Fortalecer la
seguridad de
los datos
Crecimiento en un mundo
posterior a los estmulos
fscales y una contnua
expansin en los mercados
emergentes
Reestructurar
con evaluacin o
reestructuracin
del modelo de
negocios
Adquisicin
selectiva e
integracin
efcaz
Responder a la
convergencia
tecnolgica
Aumentar las
capacidades de
desarrollo de los
productos
Atraer y
administrar
talentos

E
s
t
r
a
t
g
i
c
o

O
p
e
r
a
t
i
v
o
F
i
n
a
n
c
i
e
r
o

C
u
m
p
l
i
m
i
e
n
t
o
Disminucin en
las ganancias y
valuaciones
Riesgos de TI
Cambio
organizacional
Riesgo
reglamentario y de
cumplimiento
Riesgos de capital
humano, incluidas
las estructuras
de compensacion
desalineadas
Riesgo reputacional
Fallas del
gobierno
corporativo y
control interno
Problemas
residuales en
cuanto a la
calidad crediticia
Impactos
geopolticos
macroeconmicos
Recuperacin
dbil/Recesin
secundaria
Banca Tecnologa
Fuente: Los 10 principales riesgos en los negocios, 2010 de Ernst & Young. Esta publicacin se puede descargar en: www.ey.com/mx/publicaciones (seccin Asesora)
3

C
o
n
f

d
e
n
c
i
a
l
i
d
a
d

Integridad

D
i
s
p
o
n
i
b
i
l
i
d
a
d

C
u
m
p
l
i
m
i
e
n
t
o

Ef cacia

E
f

c
i
e
n
c
i
a
Algunos de los riesgos clave en los cuales debemos enfocarnos y
sus consecuencias para la ITRM son:
Las tendencias como la subcontratacin de los procesos de
negocio (business process outsourcing o BPO, por sus siglas
en ingls), la computacin en nube y la subcontratacin de
TI estn generando una mayor dependencia de terceros. Por
lo tanto, la administracin de la continuidad del negocio (y
garantizar la disponibilidad de las instalaciones de TI) tiene
dimensiones y complejidades externas adicionales.
Los acontecimientos como los incidentes de WikiLeaks, el
robo de identidad y la computacin mvil estn obligando a
las compaas a enfocarse ms en los riesgos relacionados
con la fuga de datos.
Las directrices de proteccin de datos de la Unin Europea
estn ayudando a las compaas a tomar medidas contra
el aumento de los crmenes cibernticos, del phishing y del
fraude en lnea.
Queda claro que, sin incluir las inquietudes relacionadas con el
inicio del nuevo milenio, los riesgos de TI van en aumento. La
amplitud y profundidad de los riesgos y la necesidad de contar
con contramedidas efcaces se est intensifcando de manera
rpida, y probablemente continuar aumentando. Muchos
negocios estn reconociendo esto; en nuestra reciente Encuesta
de Agenda de Riesgo de TI (IT Risk Agenda Survey
2
), dos
terceras partes de los encuestados estuvieron de acuerdo en que
la administracin de riesgos de TI se ha vuelto ms desafante en
los ltimos aos.
En pocas palabras, la ITRM es infuenciada por las mismas
fuerzas del mercado que los otros riesgos y sirve de apoyo
para el logro de los objetivos generales del negocio. Es dentro
de este entorno que las organizaciones deben manejar su
universo de riesgos de TI. Este se presenta en el marco incluido
a continuacin. En l se muestran y destacan las 11 categoras
de riesgos ms importantes (la dcima primera categora es
alineacin de la estrategia que se presenta en el centro del
grfco), la cual analizaremos con mayor detalle ms adelante.
Los riesgos dentro de estas categoras cambiarn con el paso del
tiempo, dependiendo de las megatendencias de TI que enfrentan
las empresas. La ITRM ofrece el marco general de riesgo y
control que habilita los objetivos de control ms importantes
para las TI: efcacia, efciencia, cumplimiento, confdencialidad,
integridad y disponibilidad.
La creciente importancia de la ITRM
El paradigma de los riesgos de TI siempre ha estado sujeto
a cambios, pero la complejidad y los tipos de riesgo han
aumentado considerablemente en los ltimos aos y continuarn
incrementndose. Los modelos cambiantes de negocios,
una mayor regulacin y los actos intencionales de crmenes
cibernticos aumentan la exposicin al riesgo y la necesidad
de imponer un nuevo rgimen de administracin de riesgos. La
grfca anexa muestra cmo han cambiado los riesgos con el
paso del tiempo.
El entorno de negocios y la ITRM
El entorno del negocio
Megatendencias de TI
Proveedores
terceros y
subcontratacin
Universo de
riesgos de TI
Administracin
de programas y
del cambio
Legal y
reglamentario
Seguridad y
privacidad
Aplicaciones y
bases de datos
Dotacin de
personal
Datos
Operaciones
Entorno fsico Infraestructura
Fuerzas del
mercado
Objetivos de
negocios
Resultados
Consumerizacin
Computacin en nube
Resistencia
Crmenes cibernticos
Amenazas internas
Agenda de cambio
Globalizacin
Habilitar la
innovacin y el
cambio
Proteger la
marca
Impulsar el
crecimiento
Excelencia
operativa
Experiencia
ntegra del
cliente
Administrar el
cumplimiento y
la expectativa
Presin sobre los
mrgenes
Confanza del
inversionista
Presin
reglamentaria
Recuperacin
econmica y
volatilidad del
mercado
Nuevos modelos
de negocio y
tecnologa
Costo de
operaciones reducido
Previsibilidad
Transparencia y confanza
Evitar violaciones
de seguridad
Capacidad mejorada
2
Favor de consultar la seccin Acerca de nuestra encuesta al fnal de este informe.
Administracin de riesgos de TI

E
s
t
r
a
t
g
i
c
o

O
p
e
r
a
t
i
v
o
4
1995 1999 2000 2003 2004 2007 2008 2012
Nuevos modelos de negocio
Totalmente de acuerdo
De acuerdo
Indiferente
En desacuerdo
Totalmente en desacuerdo
Amenazas emergentes
Requisitos reglamentarios crecientes
Exposicin al
riesgo
Inicio de la era
del internet
Auge del
comercio
electrnico
11 de septiembre
guerra contra el
terrorismo
Sarbanes-Oxley
Ataques a los
servicios de
internet y red
Empresas
extendidas
Aumento de
los crmenes
cibernticos y
del phishing
Datos de
seguridad de
la industria
de tarjetas de
pago
Espionaje
industrial
organizado
Aumento del
fraude en lnea
Negocio de
telfonos
inteligentes y de la
computacin mvil
Aumento en el robo
de identidad
Amenazas
terroristas
enfocadas
Incidente de
WikiLeaks
Computacin en
nube
Mayor tendencia
hacia la
subcontratacin de
BPO/TI
Evolucin de
la economa
conectada
Mayor concientizacin de
los riesgos del acceso a
informacin privilegiada y
de la propiedad intelectual
Ao 2000
Unin Europea
directrices de
proteccin de datos
Ms incidentes
de daos por
intrusiones (virus,
gusanos, ataques
DOS, etc.)
Inicio del internet
Comercio
electrnico
Empresas
extendidas
Empresas sin
fronteras
18%
48%
19%
12%
3%
Se ha vuelto ms difcil la administracin de los riesgos de TI
con el paso de los aos?
El crecimiento de las tecnologas, como la computacin mvil,
la computacin en nube y la virtualizacin, as como la rpida
adopcin de las plataformas de redes sociales y del comercio/
pagos en lnea no muestran seales de que disminuirn. Se
seguirn creando tecnologas, cada una de las cuales plantear
un nuevo conjunto de riesgos y retos cuya naturaleza difcilmente
podr predecirse. Algunas compaas han adoptado la nueva
tecnologa y la han aprovechado para ayudar a que sus negocios
crezcan. Por ejemplo, Groupon, el nuevo sitio de internet para
obtener descuentos en productos de consumo y servicios,
tard nicamente tres aos en alcanzar ingresos de USD 1 mil
millones. Estas compaas de rpido movimiento dependen
mucho de una ITRM efcaz, ya que reconocen que un incidente
relacionado con un riesgo de TI que exponga los datos y que
afecte la confanza de los clientes en la compaa podra poner
en peligro su existencia misma.
Los crmenes cibernticos son un riesgo impredecible que
inevitablemente ha dado pie a ms normas y una mayor
supervisin por parte del gobierno. Por ende, las directrices de
proteccin de datos de la Unin Europea, la Ley Sarbanes-Oxley
y las normas de seguridad de datos de la Industria de Tarjetas
de Pago tambin se han vuelto impulsores importantes para
la inversin en procesos y procedimientos relacionados con la
ITRM.
5
El universo de riesgos de TI
Para administrar los riesgos de TI de forma efcaz, las empresas
necesitan tener una visin amplia y completa de todo el
panorama de riesgos de TI. Nosotros hemos creado un marco
para proporcionar esta visin, llamado el universo de riesgos
de TI. Esta perspectiva integral le proporciona a las empresas
un punto de partida para ayudarlas a identifcar y manejar los
riesgos y retos actuales de TI, as como los que puedan surgir
con el tiempo.
El universo de riesgos de TI destaca la necesidad de contar con
una estrategia alineada para manejar las 10 amplias categoras
de riesgos. Estas son relativamente estables, pero los riesgos
dentro de ellas variarn de una compaa a otra y cambiarn a
medida que pase el tiempo.
A
l
i
n
e
a
c
i
n
de la
E
s
t
r
a
t
e
g
i
a
Nivel de servicio bajo
Fuga de datos
Soporte inadecuado
Falta de aseguramiento
Excedentes
presupuestales
Retrasos importantes
Baja calidad de los
entregables
Control de cambios
inefcaz
Intrusin de software
malicioso
Ataques de virus
Ataques a sitios web
Mala administracin de
parches
Prdida de recursos clave
de TI
Incapacidad para reclutar
personal de TI
Habilidades inadecuadas
Falta de
conocimiento del
negocio
Errores del operador
durante el respaldo o
mantenimiento
Fallas en los procesos
operativos
Revelacin de datos
sensibles
Corrupcin de datos
Acceso no autorizado
Falla en minar la
informacin
Dao a los servidores
Arquitectura de TI
infexible
Robo
Tecnologa obsoleta
Aplicaciones no
soportadas
Fallas crticas del
sistema
Incapacidad para
manejar la carga
Asuntos de
confguracin
Incumplimiento con
reglamentos
Incumplimiento con
contratos de licencias de
software
Universo de
riesgos de TI
Proveedores
terceros y
outsourcing
Administracin
de programas y
del cambio
Seguridad y
privacidad
Entorno fsico
Dotacin de
personal
Operaciones
Datos
Infraestructura
Aplicaciones y
bases de datos
Legal y
reglamentario
Fallas en los servicios
pblicos
Desastres naturales
Huelgas
Sanciones
ambientales
6
Cmo los diferentes entornos de negocios
afectan el universo de riesgos de TI
Debido a que los riesgos de TI estn tan estrechamente
vinculados a los riesgos de negocios, los integrantes del
consejo deben hacer preguntas crticas sobre la efcacia de la
administracin de riesgos de TI. No es necesario que cuenten
con un amplio conocimiento sobre TI para poder identifcar estas
preguntas importantes y reveladoras.
nicamente necesitan tener dos cosas en claro:
Qu tanto depende su compaa de sistemas de TI rentables,
ininterrumpidos y seguros (TI defensiva)
Qu tanto depende esta de lograr una ventaja competitiva a
travs de las TI (TI ofensiva) o de ambas
Entender esto les ayudar a hacer las preguntas correctas.
Las compaas pueden utilizar esta Cuadrcula del Impacto
Estratgico de TI para ayudarles a ver sus prioridades de
TI objetivamente, qu tan crticas para el negocio son sus
funciones operativas cotidianas y si se requiere de una mayor
innovacin e inversin en TI.
Una vez que una empresa tiene conocimiento de la modalidad en
la que se encuentra, se puede enfocar en lo que s es importante
para sus circunstancias especfcas e implementar un gobierno y
controles personalizados en la medida de lo necesario.
Cabe destacar que las grandes empresas casi nunca se
encuentran en una sola modalidad. Pueden encontrarse en varias
modalidades del cuadrante al mismo tiempo, dependiendo de la
parte de la empresa bajo anlisis y de las aplicaciones centrales
que se utilicen en esa parte de la misma.
Por ejemplo, las empresas (o partes de las mismas) que se
encuentran en la modalidad de Fbrica o Estratgica (es decir,
en la parte alta del eje vertical) se deben enfocar en las medidas
de continuidad del negocio para evitar interrupciones operativas.
Para este tipo de empresas, la seguridad y confabilidad de la
informacin debe ser una prioridad en las reuniones del consejo.
Por ejemplo, este debe certifcar que la administracin supervisa
las redes de la empresa para detectar violaciones a la seguridad
y que la continuidad del negocio y los planes de recuperacin en
caso de desastres estn implementados y sean efcaces.
Las empresas (o partes de las mismas) en la modalidad de
Cambio o Estratgica (es decir, en la parte alta del eje
horizontal) se deben enfocar ms en administrar sus inversiones
de TI en la innovacin y en mantener una perspectiva general del
cambiante panorama de las TI. Las actividades de administracin
de riesgos generalmente se enfocaran en mitigar los riesgos
de las iniciativas de TI relacionadas con proyectos, programas
y administracin del cambio. Por ejemplo, las actividades ms
comunes de control se podran enfocar en el aseguramiento de
los proyectos estratgicos de TI, la madurez de la confguracin
y los procesos de control del cambio, as como control sobre la
arquitectura de la empresa.
El entorno de negocios y la ITRM
Defensiva Ofensiva
Modalidad de fbrica
Si un sistema falla ms de un minuto, hay una prdida
inmediata en el negocio.
Una disminucin en el tiempo de respuesta por ms de
un segundo tiene consecuencias serias para los usuarios
internos y externos.
La mayora de las actividades centrales de negocios se
realizan en lnea.
El trabajo de sistemas en su mayora es de mantenimiento.
El trabajo de sistemas ofrece poca distincin estratgica y
reduccin drstica de costos.
Modalidad de apoyo
Incluso con interrupciones constantes de hasta 12 horas
en el servicio, no hay consecuencias importantes.
El tiempo de respuesta para el usuario puede tomar hasta
5 segundos en las operaciones en lnea.
La mayora de los sistemas internos no son visibles para
los proveedores ni para los clientes. Hay poca necesidad
de contar con la capacidad de una extranet.
Las compaas rpidamente pueden regresar a
procedimientos manuales en el 80% de las operaciones
de valor.
El trabajo de sistemas en su mayora es de
mantenimiento.
Modalidad de cambio
Los nuevos sistemas prometen transformaciones importantes
en los procesos y servicios.
Los nuevos sistemas prometen grandes reducciones de costos.
Los nuevos sistemas cerrarn importantes brechas de costos,
servicios o de desempeo de los procesos con los competidores.
Las TI constituyen ms del 50% de la inversin de capital.
Las TI constituyen ms del 15% del gasto corporativo
Modalidad estratgica
Si un sistema falla por ms de un minuto, hay una prdida
inmediata en el negocio.
Una disminucin en el tiempo de respuesta por ms de un
segundo tiene consecuencias serias para los usuarios internos
y externos.
Los nuevos sistemas prometen transformaciones importantes
en los procesos y servicios.
Los nuevos sistemas prometen grandes reducciones de costos.
Los nuevos sistemas cerrarn importantes brechas de costos,
servicios o de desempeo de los procesos con los competidores.
N
e
c
e
s
i
d
a
d

c
a
d
a

v
e
z

m
a
y
o
r

d
e

t
e
c
n
o
l
o
g
a

d
e

l
a

i
n
f
o
r
m
a
c
i
n

c
o
n
f
a
b
l
e
Necesidad cada vez mayor de nueva tecnologa de la informacin
Fuente: Information Technology and the board of directors, Nolan & McFarlan, Harvard Business Review, octubre de 2005.
7
Las megatendencias de TI ayudan a
identifcar los riesgos importantes en
este tema
Para poder apreciar mejor el universo de riesgos de TI y para
crear un enfoque de ITRM, resulta til entender que los riesgos
se ven muy afectados por varias tendencias importantes,
conocidas como megatendencias.
Cada una de estas megatendencias trae consigo grandes
oportunidades y retos nuevos y complejos. Cada una se vincula
con el universo de riesgos de TI de varias formas, tal como se
muestra a continuacin:
Computacin mvil:
Conectividad en cualquier
momento y en cualquier
lugar/capacidad de alto
volumen de almacenaje de
datos porttil
Medios sociales: Capacidades
nuevas y avanzadas para
compartir informacin, tal
como crowdsourcing
Menor costo total de
propiedad
Enfoque en las actividades
centrales y menor
esfuerzo por administrar la
infraestructura y aplicaciones
de TI
Contribuye a reducir la huella
de carbono global
Disponibilidad las 24 horas
del da, 7 das a la semana,
365 das al ao de los
sistemas de TI para permitir
la continuidad en el servicio
al cliente, las operaciones, el
comercio electrnico, etc.
N/A
N/A
La adopcin rpida de nuevos
modelos de negocios o la
reduccin de costos le da a
las empresas una ventaja
competitiva
Mayor vulnerabilidad debido al acceso en
cualquier momento y lugar
Riesgo de intercambio involuntario,
exageracin de comentarios casuales y
revelacin de los datos personales y de la
compaa. La disponibilidad de los datos en la
web facilita los ataques cibernticos
Los empleados podran violar las polticas
relacionadas con la fuga de datos
Falta de gobierno y supervisin de la
infraestructura, aplicaciones y bases de datos
de TI
Dependencia del proveedor
Afectaciones posibles a la privacidad y
seguridad
Disponibilidad de TI a ser afectada por el uso
de la nube
Mayor riesgo al incumplimiento reglamentario
(SOX, PCT, etc.). La nube tambin genera retos
en el cumplimiento de la auditora.
La nube podra afectar la agilidad de las TI y de
las empresas. La plataforma establecida por el
proveedor podra no alinearse con el desarrollo
de software y las necesidades estratgicas de
usuario
Planes de continuidad del negocio y de
recuperacin en caso de desastres que
fallan y provocan prdidas fnancieras o
reputacionales
Propagacin de cdigos maliciosos en los
sistemas de la compaa que provocan cadas
en el sistema
Riesgo de robo de informacin personal,
fnanciera y de salud
Prdida de datos confdenciales causada por
vulnerabilidades externas
Prdida fnanciera debido a transferencias
bancarias no autorizadas
Que se asignen derechos de acceso que van
ms all de lo que se requiere en la funcin
de los empleados o contratistas
Que no se eliminen los derechos de acceso
de empleados o contratistas cuando dejan de
trabajar en la empresa
Que no se entreguen los proyectos y
programas de TI dentro del presupuesto,
oportunidad, calidad y alcance, provocando
una fuga de valor
Seguridad y privacidad
Datos
Legal y reglamentario
Infraestructura
Datos
Proveedores terceros y externos
Aplicaciones y bases de datos
Infraestructura
Legal y reglamentario
Infraestructura
Dotacin de personal
Operaciones
Entorno fsico
Datos
Datos
Entorno fsico
Administracin de programas y del
cambio
Megatendencias
Consumerizacin
emergente
El auge de la
computacin en
nube
La importancia
cada vez
mayor de la
continuidad de
las operaciones
Mayor
perseverancia
del crimen
ciberntico
Mayor exposicin
a amenazas
internas
El acelerado
programa de
cambio
Benefcio de
negocios
Riesgos de
negocios/TI
Categoras afectadas del
universo de riesgos de TI
8
1. Consumerizacin emergente: Esto se refere a cuando una
nueva tecnologa de la informacin surge por primera vez en el
mercado del consumidor y despus se propaga a las empresas.
Esto da como resultado la convergencia de la industria de las TI
y electrnica de consumo, y un cambio en la innovacin de las
TI de las grandes empresas al hogar. La computacin mvil y las
redes sociales son ejemplos de la consumerizacin, los cuales
cada vez ms estn siendo adoptados por un amplio pblico
y en muchos grupos demogrfcos. Son ejemplos de cmo la
tecnologa est proporcionndole al usuario grandes facilidades,
como acceso a la informacin en cualquier momento y lugar
(computacin mvil), mejores capacidades para compartir
informacin (redes sociales) y altos volmenes de datos
porttiles (computacin mvil). La consumerizacin tambin da
lugar a nuevos riesgos relacionados con la accesibilidad a travs
de la computacin mvil o la revelacin involuntaria de datos
personales o de la compaa a travs de las redes sociales.
2. El auge de la computacin en nube: Esto se refere a una
manera de utilizar el internet para tener acceso a los datos
utilizando el software de un tercero que opera en el hardware
de otro tercero, posiblemente a travs del centro de datos
de algn otro tercero. En este ejemplo, ese centro de datos
generalmente opera a travs de un proveedor de servicios de
nube que ofrece el servicio y que se paga conforme se utiliza.
Como se muestra en el diagrama anexo, esto se ofrece en varios
servicios del mercado comn, incluyendo la IaaS (Infraestructura
como Servicio o Infrastructure as a Service), la PaaS (Plataforma
como Servicio o Platform as a Service), y SaaS (Software como
Servicio o Software as a Service).
Las compaas estn utilizando cada vez ms la nube para
soportar todos (o una parte de) sus sistemas. Varias encuestas
sobre el uso del internet muestran que ms del 50% de las
grandes corporaciones ahora subcontratan al menos algunas
partes de su TI en la nube. Los benefcios derivados del uso de
la computacin en nube incluyen una reduccin de los costos
totales de propiedad, y permiten que las compaas se enfoquen
en su negocio principal, ya que se reduce el esfuerzo general
para administrar las operaciones de infraestructura. Adems de
estos benefcios, el uso cada vez mayor de la nube reducir la
huella ecolgica en general, ya que permite un uso ms efcaz de
los activos de TI. La nube tambin trae consigo varios riesgos y
retos nuevos que tienen que atenderse, tal como la propiedad de
datos, riesgos relacionados con la disponibilidad de datos y retos
en el cumplimiento reglamentario de auditoras.
3. La importancia cada vez mayor de la continuidad
de operaciones: A medida que aumenta la complejidad e
interconexin de las compaas, tambin se ha incrementado el
impacto que tiene la falta de disponibilidad de cualquier recurso
de TI. En el mundo actual de una empresa sin fronteras, hay
un impacto visible en cascada de la incapacidad de cualquier
parte de la cadena de valor de la organizacin para cumplir con
sus compromisos. Adems, muchos negocios cada vez dependen
ms de que sus sistemas de TI estn disponibles las 24 horas
para sus operaciones de ventas y atencin al cliente, u otras
operaciones centrales de la compaa. A pesar de que muchas
compaas reconocen la importancia de la continuidad operativa
y de la recuperacin en caso de desastres, otras an estn
luchando con este tema. Muchas compaas no tienen planes
de continuidad del negocio, y las que s los tienen rara vez los
prueban. Ahora ms que nunca, la continuidad tiene un lugar
ms importante en el universo de riesgos de TI. Esto se puede
apreciar en los resultados de la Encuesta Global de Seguridad
de la Informacin de Ernst & Young 2010 (Ernst & Young
Global Information Security Survey 2010), la cual arroj que la
disponibilidad de los recursos de TI se identifca como el riesgo
nmero uno.
Servicios de centros de datos
En el servidor
del usuario
A
d
m
i
n
i
s
t
r
a
d
o

p
o
r

u
s
t
e
d
A
d
m
i
n
i
s
t
r
a
d
o

p
o
r

u
s
t
e
d
A
d
m
i
n
i
s
t
r
a
d
o

p
o
r

u
s
t
e
d
A
d
m
i
n
i
s
t
r
a
d
o

p
o
r

e
l

p
r
o
v
e
e
d
o
r
A
d
m
i
n
i
s
t
r
a
d
o

p
o
r

e
l

p
r
o
v
e
e
d
o
r
A
d
m
i
n
i
s
t
r
a
d
o

p
o
r

e
l

p
r
o
v
e
e
d
o
r
Infraestructura
(como un servicio)
Plataforma
(como un servicio)
Software
(como un servicio)
Aplicaciones Aplicaciones Aplicaciones Aplicaciones
Datos Datos Datos Datos
Tiempo de ejecucin Tiempo de ejecucin Tiempo de ejecucin Tiempo de ejecucin
Middleware Middleware Middleware Middleware
Sistema operativo Sistema operativo Sistema operativo Sistema operativo
Virtualizacin
Virtualizacin Virtualizacin Virtualizacin
Servidores Servidores Servidores Servidores
Almacenaje Almacenaje Almacenaje Almacenaje
Redes Redes Redes Redes
9
4. Mayor perseverancia del crimen ciberntico: Cada vez
ms, las compaas son vctimas del crimen ciberntico. Las
estadsticas del FBI muestran que los ndices de crmenes
cibernticos en 2009 y 2010 aumentaron ms que nunca y se
incrementaron en 20% desde 2008. La investigacin realizada
por el gobierno del Reino Unido (la Ofcina de Seguridad
Ciberntica y Aseguramiento de Informacin) arroj que el costo
total de los crmenes cibernticos para la economa britnica
es de aproximadamente 27 mil millones de libras esterlinas
al ao. El estudio muestra que la mayor parte de la prdida
(21 mil millones de libras esterlinas) la estn solventando los
negocios britnicos y que dichas prdidas son debido a la fuga
de datos sumamente importantes de las compaas, ya que
el espionaje y el robo de propiedad intelectual son las dos
fuentes ms importantes que generan prdidas econmicas
en el Reino Unido. En un inicio, los crmenes cibernticos eran
el trabajo de personas que realizaban actividades de piratera
informtica (hacking), tales como el robo de identidad para su
benefcio econmico personal. Ms recientemente, los crmenes
cibernticos los llevan a cabo grupos ms organizados que
trabajan juntos, utilizando ms recursos, habilidades y con un
mejor alcance. Las Amenazas Persistentes Avanzadas (APT)
son un problema que va en aumento. La naturaleza de estas
actividades es que no estn enfocadas en obtener ganancias a
corto plazo. El objetivo es mantenerse al descubierto y recabar
cuanta informacin importante de la compaa les sea posible
(propiedad intelectual, tarifas, propuestas, diseo de productos
nuevos, planes estratgicos, etc.). Las medidas tradicionales de
la seguridad de la informacin son relativamente inefcientes
para hacer frente a las APT y esto ha obligado a las compaas a
tomar medidas adicionales contra las amenazas externas.
5. Mayor exposicin a amenazas internas: Los incidentes
relacionados con WikiLeaks exhibidos recientemente han
mostrado que la seguridad interna es al menos tan importante
como las amenazas externas. En un incidente, un exempleado
descontento de un banco suizo le entreg a WikiLeaks los
datos de las cuentas bancarias de ms de 2,000 personas
prominentes, potencialmente exhibiendo una evasin fscal. Este
incidente una vez ms hace hincapi en que los empleados con
acceso a informacin crtica y restringida pueden poner a las
empresas en riesgo al revelar informacin al pblico. Este riesgo
se ha visto alimentado por el comportamiento de empleados
confictivos y descontentos como resultado de la crisis fnanciera
o de un impulso por actuar a favor del inters pblico. En
la prctica, muchas frmas se encuentran lidiando con la
administracin de accesos ya que deben buscar proporcionar el
acceso adecuado a la informacin a la gente correcta que labora
en sus empresas. La experiencia nos dice que (1) las compaas
no pueden decir cules son los elementos ms valiosos e
importantes de datos; (2) dnde se encuentran estos elementos;
y (3) a dnde se envan estos datos.
6. El acelerado programa de cambio: El cambio contina siendo
una constante en las TI. Desde siempre, las compaas han
hecho un esfuerzo por construir y profesionalizar un panorama
ERP para apoyar sus procesos centrales. Hoy en da parece
que el enfoque cambi al grupo alrededor del ERP central, tal
como Riesgo y Cumplimiento de Gobierno (Governance Risk &
Compliance o GRC, por sus siglas en ingls) y la inteligencia de
negocios. Adems, la crisis fnanciera ha frenado la innovacin
en muchas empresas, a raz de los cortes presupuestales. Por
lo tanto, han dejado de invertir en el cambio estratgico en
los ltimos aos, lo que ha dado pie a una importante base
instalada del legado de TI. Por estas dos razones, los proyectos
y programas de TI siguen siendo las prioridades de TI ms
importantes.
Sin embargo, las estadsticas sobre los proyectos y programas
en la materia no son alentadoras; segn el informe publicado
por Standish, aproximadamente dos de cada tres proyectos
se clasifca como no exitoso, lo que signifca que rebasa
el presupuesto, lleg demasiado tarde, o no est dando los
benefcios anticipados. El bajo ndice de xito da como resultado
una fuga importante de valor en las compaas de TI, debido
a que reciben menos valor por su dinero invertido en las TI
de lo que haban anticipado. A fn de mejorar el ndice de xito
en estos proyectos y programas, las empresas pueden tomar
medidas adicionales, tales como implementar programas de
Aseguramiento de Calidad para los proyectos estratgicos ms
importantes.
Para obtener mayor informacin sobre estas tendencias y otros temas relacionados,
consulte nuestro informe, Innovacin para el crecimiento: Su funcin en la nueva
economa global (Innovating for growth: Its role in the new global economy)
(disponible en www.ey.com). Este informe analiza estas tendencias y otros temas
relacionados con mayor detalle.
10
Administracin de riesgos de
TI
0.00%
2.00%
4.00%
6.00%
8.00%
10.00%
12.00%
14.00%
16.00%
18.00%
20.00%
0%
2%
4%
6%
8%
10%
12%
14%
En las siguientes reas de riesgo de TI, su empresa vivi
algn incidente o evento negativo en los ltimos 12 meses?
(promedio de la respuesta s)
Para cada una de las reas de riesgo de TI, su empresa tiene
planeado gastar ms, menos o igual en los prximos 12 meses
(en comparacin con los 12 meses anteriores) para mitigar
los riesgos relacionados? (Escala del eje Y: % de encuestados
que respondieron ms - % de encuestados que respondieron
menos)
S
e
g
u
r
i
d
a
d

y

p
r
i
v
a
c
i
d
a
d
I
n
f
r
a
e
s
t
r
u
c
t
u
r
a
S
e
g
u
r
i
d
a
d

y

p
r
i
v
a
c
i
d
a
d
O
p
e
r
a
c
i
o
n
e
s
E
n
t
o
r
n
o

f
s
i
c
o
A
p
l
i
c
a
c
i
o
n
e
s

y

b
a
s
e
s

d
e

d
a
t
o
s
A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

p
r
o
g
r
a
m
a
s

y

d
e
l

c
a
m
b
i
o
I
n
f
r
a
e
s
t
r
u
c
t
u
r
a
D
a
t
o
s
D
a
t
o
s
O
p
e
r
a
c
i
o
n
e
s
Gastar de ms?
Gastar de menos?
E
n
t
o
r
n
o

f
s
i
c
o
A
p
l
i
c
a
c
i
o
n
e
s

y

b
a
s
e
s

d
e

d
a
t
o
s
D
o
t
a
c
i
n

d
e

p
e
r
s
o
n
a
l
D
o
t
a
c
i
n

d
e

p
e
r
s
o
n
a
l
L
e
g
a
l

y

r
e
g
l
a
m
e
n
t
a
r
i
o
L
e
g
a
l

y

r
e
g
l
a
m
e
n
t
a
r
i
o
P
r
o
v
e
e
d
o
r
e
s

t
e
r
c
e
r
o
s

y

o
u
t
s
o
u
r
c
i
n
g
P
r
o
v
e
e
d
o
r
e
s

t
e
r
c
e
r
o
s

y

o
u
t
s
o
u
r
c
i
n
g
A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

p
r
o
g
r
a
m
a
s

y

d
e
l

c
a
m
b
i
o
Las megatendencias actuales en TI
Para abordar las tendencias cambiantes en los riesgos de TI,
as como cualquiera de las categoras importantes dentro del
universo de riesgos de TI, muchas empresas quiz tengan que
realizar una reevaluacin o reajuste importante de su enfoque
ITRM. No solo deben tomar en cuenta el estado actual, sino
tambin considerar la futura respuesta del negocio a las
megatendencias.
En nuestra encuesta, les preguntamos a los ejecutivos en qu
categoras del universo de riesgos de TI haban tenido la mayor
cantidad de incidentes negativos relacionados con TI. Nuestros
resultados muestran que los tres incidentes ms comunes se
observaron en las categoras de (1) seguridad y privacidad, (2)
infraestructura y (3) datos. No es de sorprenderse que las tres
categoras tambin estn relacionadas con la mayora de las
megatendencias de TI.
Despus les preguntamos a los ejecutivos encuestados si tenan
planeado gastar ms o menos dinero en las diferentes categoras
del universo de riesgos de TI. Su respuesta muestra que:
Las categoras de seguridad y privacidad, as como la de
infraestructura se identifcan como reas de alto riesgo y las
empresas estn planeando gastar ms para mitigar dichos
riesgos.
Aunque las aplicaciones y bases de datos no son una
categora inmediata de alto riesgo, las compaas estn
planeando gastar ms (con el posible riesgo de gastar
demasiado).
Los riesgos relacionados con los datos an no son una
prioridad para las empresas (lo que signifca un posible
riesgo de que gasten de menos).
11
Tomar responsabilidad por la administracin
de los riesgos de TI
Un reto clave para las grandes empresas es cmo incorporar
efcazmente los esfuerzos de ITRM en toda la organizacin. No
es posible que un solo control, funcin o capa organizacional
mitigue los complejos riesgos de TI actuales. Los riesgos
necesitan coordinarse, junto con las diferentes lneas de defensa
que tiene cada compaa. Por ende, estas necesitan implementar
controles a travs de estas diferentes lneas de defensa para
regresar a los riesgos de TI inherentes a un nivel que est
alineado con el apetito de riesgo estratgico de la empresa. La
efcacia general de la ITRM se determina dependiendo de qu
tan capaces son las organizaciones para implementar controles
efcaces en estas lneas de defensa y a travs de todas las
funciones y partes interesadas.
Crear un marco de ITRM proactivo
El primer paso para crear un programa de ITRM efcaz y
proactivo es identifcar sus componentes centrales. Es
aqu donde las empresas pueden aprovechar su marco
de administracin de riesgos existente para garantizar
una coordinacin, colaboracin, cobertura de riesgos, y
administracin de riesgos congruente en toda compaa. El
grfco en la pgina siguiente muestra un marco de ITRM
detallado y aborda los componentes clave de arriba hacia abajo.
Fuerzas del
mercado y
estrategia
Megatendencias
de TI
Lograr los
objetivos de
negocio
Administrar los
riesgos de TI
mediante las
lneas de defensa
Las diferentes funciones involucradas en la administracin de riesgos:
lneas de defensa
Las actividades y procesos de ITRM (por ejemplo, la
evaluacin de riesgos, administracin de problemas,
administracin de crisis) son llevadas a cabo por
muchas funciones diferentes en cada organizacin
dentro de las diversas lneas de defensa. Algunas
perspectivas sobre los procesos y actividades se
pueden encontrar en las siguientes secciones.
Globalizacin
Proteger la marca
Administrar el
cumplimiento y la
expectativa
Experiencia ntegra
del cliente
Impulsar el
crecimiento
Excelencia operativa
Habilitar la innovacin
y el cambio
Consumerizacin
Computacin en
nube
Continuidad
Crmenes
cibernticos
Amenazas
internas
Programa de
cambio
Direccin
administrativa
Consejo
Comit de
auditora
Otros
comits
Auditora
interna
Cumplimiento
Control
interno
Administracin
de riesgos
Transacciones
TI
Impuestos
Finanzas
Legal/
reglamentario
Recursos
Humanos
Investigacin
y desarrollo
Mercadotecnia
Adquisiciones
y SCM*
Control de
inventarios
Manufactura
Ventas y
distribucin
E
s
t
r
a
t
e
g
i
a
O
p
e
r
a
c
i
o
n
e
s
F
u
n
c
i
o
n
e
s

d
e

a
p
o
y
o

d
e

n
e
g
o
c
i
o
s
F
u
n
c
i
o
n
e
s

d
e

r
i
e
s
g
o
S
u
p
e
r
v
i
s
i
n
Presin sobre los
mrgenes
Presin
reglamentaria
Confanza del
inversionista
Recuperacin
econmica y volatilidad
del mercado
Nuevos modelos de
negocio y tecnologa
*Supply Chain Management
12
2
5
3
1
1
2
Programa de Administracin de Riesgos de TI
Anlisis de
escenarios
Concientizacin
y capacitacin
A
dm
inistracin
de prdidas por
incidentes
C
o
o
r
d
in
a
c
i
n

r
e
g
la
m
e
n
t
a
r
ia
y
d
e

a
s
e
g
u
r
a
m
ie
n
t
o

M
t
r
i
c
a
s

y

r
e
p
o
r
t
e
s

d
e

r
i
e
s
g
o
s
A
d
m
i
n
i
s
t
r
a
c
i
n

d
e

p
r
o
b
l
e
m
a
s

A
c
e
p
t
a
c
i
n

d
e
l

r
i
e
s
g
o
A
d
m
in
is
t
r
a
c
i
n

d
e

a
m
e
n
a
z
a
s

y

v
u
ln
e
r
a
b
ilid
a
d
M
a
n
e
jo
d
e
la
c
r
is
is
Gobierno de riesgos de TI
Herramientas y tecnologa
Monitoreo e informacin de cumplimiento
Marco de proceso, riesgo y control
I
m
p
u
l
s
o
r
e
s

d
e
l

n
e
g
o
c
i
o

y

r
e
q
u
i
s
i
t
o
s

r
e
g
u
l
a
t
o
r
i
o
s
E
s
t
r
a
t
e
g
i
a

d
e

r
i
e
s
g
o
s
Organizacin
(gente, programa, funcin)
Identifcacin y
anlisis de riesgos
Polticas y normas
Procesos de riesgo y procedimientos operativos
Resultados
Riesgo
Una cultura de concientizacin del riesgo
establecida desde los niveles ms altos y
que se difunde a toda la empresa
Operaciones de riesgo y control optimizadas
Perspectivas confables sobre el riesgo
que apoyan las decisiones y habilitan el
desempeo
Costo
Racionalizacin o reduccin de traslapos y
redundancias de riesgo
Esfuerzos enfocados en los riesgos que
realmente importan en lugar de enfocarse
en las reas de bajo riesgo
Valor
Crear la confanza para tomar riesgos en
lugar de simplemente buscar evitarlos
La funcin de riesgo ofrece sugerencias
para mejorar el proceso
1 Monitoreo y presentacin de informacin
del gobierno y cumplimiento de riesgos de
TI.
La propiedad, responsabilidad y supervisin son los fundamentos
de cualquier programa de administracin de riesgos. El
componente de gobierno del riesgo de un programa de ITRM
debe contar con un lder efcaz, es decir, un ejecutivo que pueda
manejar iniciativas empresariales estratgicas y tcticas en los
diferentes ambientes de TI. El gobierno general de un programa
de ITRM se puede benefciar de la tabla de riesgos de TI para
permitir el constante monitoreo del cumplimiento y presentacin
de informacin sobre la efcacia del programa y la postura en
cuanto al riesgo.
Es aqu donde las empresas implementan sus procesos
y evalan su complimiento con las polticas, normas,
procedimientos y requisitos reglamentarios. Las capacidades
de monitoreo y de presentacin de informacin estn diseadas
para proporcionarle a la administracin puntos de vista
organizacionales y un anlisis de tendencias para los riesgos,
asuntos de control y vulnerabilidades.
2 Impulsores de negocios, requisitos
reglamentarios y la estrategia de riesgos
(TI).
La mayora de las empresas no dedican sufciente tiempo
para defnir claramente los asuntos de negocios crticos o los
impulsores de negocios que generan la necesidad de contar con
un programa de ITRM. Estos impulsores deben estar alineados
con los objetivos de negocios, los requisitos reglamentarios y las
directrices del consejo de administracin y la alta administracin.
Si no existe tal alineacin, existe la posibilidad de que haya
confusin al momento de coordinar los diferentes programas y
comunicar la visin general del riesgo empresarial. Esta visin
debe incluir una gua sobre la tolerancia y procesos de riesgo,
expectativas para la funcin de administracin de riesgos y la
inclusin de los procesos de riesgo, tal como la seguridad de TI a
las operaciones estndar de TI.
3 Organizacin/Identifcacin y anlisis de
riesgos/Polticas y normas.
La ITRM debe contar con una defnicin adecuada de las
funciones y responsabilidades. As mismo, un programa de
ITRM debe defnir polticas, normas y lineamientos que sean
justos para todas las partes interesadas y que proporcionen una
administracin efcaz de los procedimientos operativos mismos.
Esto debe especifcar quin es el dueo y el responsable de
defnir los procedimientos de riesgos de TI de la empresa, y de
supervisar y ofrecer la gua necesaria para elaborarlos.
Evaluaciones de riesgo 4
Debido a que las empresas operan en un entorno de riesgo
de cambio constante, estas necesitan establecer un proceso
congruente para identifcar y clasifcar los riesgos, lo cual incluye
defnir una taxonoma para los riesgos y controles internos, la
clasifcacin de riesgos, la priorizacin de brechas y parmetros
en cuanto a la frecuencia y rigurosidad de las evaluaciones de
los riesgos de TI y de los controles internos. Mediante el anlisis
de riesgos se revelan las brechas en los procesos de la compaa
para administrarlos en toda la gama de exposiciones potenciales,
que incluyen los riesgos legales, polticos, econmicos, sociales,
tecnolgicos, ambientales, reputacionales, culturales y de
mercadotecnia. La priorizacin de los riesgos es un indicador
de la importancia relativa del riesgo, incluyendo la probabilidad
de que se presente la amenaza, el grado de vulnerabilidad y el
posible impacto en el negocio.
4 Marco de proceso, riesgo y control.
Las empresas deben contar con un modelo que incorpore un
marco del proceso, riesgos y controles de TI (biblioteca) con
base en los requisitos reglamentarios, internos y de prcticas
lder. Adems, las empresas deben disear metodologas y
procedimientos para permitir un proceso de evaluacin de
riesgos sustentable y repetible del riesgo de TI para apoyar los
objetivos de la ITRM.
5 Procesos de riesgo y procedimientos
operativos.
Los procesos y procedimientos operativos son la parte medular
de la fase de ejecucin de un programa de ITRM y deben estar
directamente relacionados con la norma de administracin de
riesgos seleccionada. Este es el punto crtico para la ITRM. Los
elementos centrales deben incluir:
Un anlisis de escenarios para desastres y eventos
Administracin de prdidas por incidentes para registrar los
eventos y estimar su impacto fnanciero
Aseguramiento y coordinacin reglamentaria para los
procesos de administracin de riesgos, a fn de apoyar
la mejora continua de los datos y procesos de riesgos
orientados a TI
Mtricas y presentacin de informacin de riesgos para
contar con una perspectiva continua de la exposicin al
riesgo
Administracin de problemas para el manejo de estos de
manera operativa
Aceptacin del riesgo para los riesgos residuales por parte
de la administracin
Administracin de amenazas y vulnerabilidad
Administracin de crisis durante desastres y eventos
importantes
Concientizacin y capacitacin para mejorar las capacidades
con el objetivo de lograr la excelencia operativa en la ITRM
13
14
Lo que las empresas estn
haciendo
Cul de los siguientes enunciados describe mejor el programa
ITRM en su organizacin?
En su empresa se utilizan herramientas o aplicaciones de software para apoyar la ITRM (p. ej. herramientas de GRC)?
36%
22%
17%
13%
12%
S, dependemos de dichas herramientas o
aplicaciones para apoyar nuestros esfuerzos de
administracin de riesgos de TI
Nivel 5
El programa ha estado bien establecido por
varios aos
Nivel 4
Implementamos un programa en los
ltimos tres aos
Nivel 3
Estamos en proceso de implementar un
programa
Nivel 2
Actualmente nos encontramos evaluando
opciones para un programa
Nivel 1
No estamos considerando implementar un
programa
No, pero estamos considerando utilizar dichas
herramientas
S, pero las utilizamos de manera limitada
No, no estamos considerando utilizar dichas herramientas
Nivel 4 Nivel 5 Nivel 3
La adopcin de la ITRM
En la Encuesta de Agenda de Riesgo de TI (IT Risk Agenda
Survey) investigamos el grado de adopcin de la ITRM y
descubrimos que ms de una tercera parte de las empresas
tena un programa bien establecido y que casi una cuarta parte
haba implementado un programa de ITRM recientemente. El
30% de los encuestados se encontraba implementando o estaba
considerando implementar un programa. As mismo, un anlisis
ms profundo de estos resultados arroj que tambin existe
una correlacin entre el tamao de las empresas y el porcentaje
de adopcin. Es decir, es mucho ms probable que las grandes
empresas (700 o ms empleados) hayan implementado un
programa establecido de ITRM que las compaas con menos
empleados.
El uso de herramientas
Muchos proveedores de software ofrecen servicios de
administracin de riesgos o de Riesgo y Cumplimiento de
Gobierno (Governance Risk & Compliance o GRC, por sus siglas
en ingls). Estas herramientas a menudo vinculan los requisitos
de negocios con una herramienta de reportes que puede
incorporar informacin y varios elementos de riesgo a fn de
obtener un punto de vista del riesgo de TI en toda la empresa.
Le preguntamos a los encuestados en la Encuesta de Agenda
de Riesgo de TI si utilizan dichas plataformas. Observamos que
mientras ms maduro sea el programa de ITRM dentro de la
empresa, ms probable ser que la empresa las utilice. Desde
nuestra perspectiva, una compaa debe considerar seriamente
la adopcin de las herramientas adecuadas; nuestro sondeo
sugiere que el uso de estas podra ser un componente clave para
lograr un programa maduro de ITRM.
27%
31%
20%
22%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
15
Cmo comparara usted la efcacia de la ITRM de su empresa con la de su competencia? (porcentaje de encuestados que
respondieron el nuestro es ms efcaz)
Nivel 5
El programa ha estado bien establecido por
varios aos
Nivel 4
Implementamos un programa en los
ltimos tres aos
Nivel 3
Estamos en proceso de implementar un
programa
Nivel 2
Actualmente nos encontramos evaluando
opciones para un programa
Nivel 1
No estamos considerando implementar un
programa
Nivel 5 Nivel 4 Nivel 3 Nivel 2
Nivel 1
El valor percibido de la ITRM
En el entorno de negocios actual, las compaas tienen que
demostrar valor a partir de los procedimientos que ponen
en marcha, bien sea que hayan surgido o no, de inversiones
recientes. Adems del valor de la administracin de riesgos,
le pedimos a los entrevistados de la Encuesta de la Agenda de
Riesgo de TI (IT Risk Agenda) que califcaran la efcacia de sus
procesos de ITRM en comparacin con su competencia. Los
resultados muestran que las empresas con una ITRM madura
califcaron la efcacia de su ITRM mucho ms alto que sus pares.
Desde nuestro punto de vista, estas organizaciones utilizan
su programa de ITRM para obtener una ventaja competitiva:
sabemos que existe una relacin estrecha entre el tiempo
durante el cual el programa de ITRM ha estado funcionando y su
efcacia superior en comparacin con la competencia. Esto se
puede traducir en un riesgo reputacional menor, mayor confanza
por parte de las partes interesadas y ms califcaciones
preferenciales por parte de los comentaristas y reguladores
externos.
El valor agregado tambin se puede demostrar de otras maneras:
nuestros resultados muestran que las empresas que tienen
ms experiencia en ITRM, por los aos en que han tenido un
programa ms establecido, estn ms alertas a los riesgos y
ms conscientes a las tendencias cambiantes en los riesgos
de TI. Estas podran tener estndares y expectativas ms altas
para su programa, por lo que trabajan ms arduamente para
mantenerse un paso adelante de los riesgos de TI, en lugar de
solo mantenerse al tanto de los mismos.
Aquellos que no estn considerando un programa tienen
mayores probabilidades de ser ambivalentes con respecto a si los
riesgos de TI son ms desafantes o no. Esto podra sugerir un
mayor nivel de complacencia o una gran falta de concientizacin
en comparacin con aquellas empresas que s tienen un
programa.
- 5%
0%
5%
10%
15%
20%
25%
30%
16
Acte ahora
Este panorama cambiante exige claramente una revisin
profunda de los riesgos de negocios y de TI y de la
estrategia corporativa que rodean las megatendencias de la
consumerizacin, computacin en nube, continuidad del negocio,
crmenes cibernticos, amenazas internas y el programa
acelerado de cambio. Por ejemplo: se podra realizar una revisin
de las polticas de administracin de datos y de trabajo remoto
para ver si la funcin de TI pudiera manejar cualquier riesgo
futuro que pudiera surgir de las nuevas tecnologas mviles y
del uso de los medios sociales actuales. Esto podra impulsar
una iniciativa para obtener una posicin ms progresista y
preventiva. Una empresa se debe preguntar si est preparada
solo para sobrellevar la situacin, limitar el dao y permitir la
continuidad del negocio o si realmente est preparada para
evitar que ocurra un incidente.
Si el Director de Informtica o el Consejo necesita ms evidencia,
una evaluacin de la competencia sera un buen punto de
partida para comenzar a aclarar an ms el valor a obtenerse
de la implementacin de la ITRM. De lo contrario, un incidente
de un competidor clave se podra utilizar como escenario para
determinar el impacto sobre su propia empresa, con un enfoque
particular sobre cmo afectan los ingresos y el valor, lo que
podra ayudar a superar cuestiones presupuestales.
En todo caso, el trabajo relacionado con la ITRM necesita ser
ambicioso y minucioso. La naturaleza cambiante del panorama
de riesgos de TI signifca que las empresas deben monitorear
continuamente si estn o no sincronizadas con la naturaleza de
las amenazas actuales, y en comparacin con los pares de su
industria, si son vulnerables a daos reputacionales o de activos
de la marca.
Por lo tanto, proponemos los siguientes pasos que las empresas
deben implementar para poner en marcha la ITRM:
Acte ahora: siguientes pasos para
mejorar e implementar la ITRM
Despus de leer este artculo, podra usted responder a las
siguientes preguntas con respecto a su empresa?
Habilitar el desempeo del negocio
1. Cules son los riesgos tpicos en su industria que
afectan el desempeo de su negocio?
2. Qu tan importante es la ITRM como parte de su
administracin de riesgos general?
3. Entiende usted qu tanto la ITRM puede mejorar el
desempeo de su negocio?

Enfoque en los riesgos importantes de TI
4. Entiende usted la modalidad (fbrica, estratgica,
apoyo o cambio) en la que se encuentra(n) (partes de)
su empresa? Cules son las reas clave de riesgo?
5. Cmo es que las seis megatendencias del riesgo de TI
afectan los riesgos que en esta materia enfrenta su
empresa?
6. Tiene usted una perspectiva precisa de cmo sus
empleados utilizan los dispositivos mviles y las redes
sociales para realizar su trabajo, en especial con respecto
al fujo de los datos de la compaa y la posible fuga de
datos?
Su programa de ITRM

7. Qu tan preparada est la administracin de su
compaa para adoptar el riesgo de TI como un reto en
toda la empresa? Est usted enfocando sus riesgos
clave y asigna el gasto a los que son ms importantes?
8. Est usted evaluando continuamente los riesgos
de TI?
9.Su programa de ITRM cubre todos los componentes
analizados en las pginas 12 y 13 de este informe?
10. Tiene usted conocimiento de la madurez de su
programa de ITRM? Qu se necesita hacer para llevar
su programa al siguiente nivel?
11. Qu funcin pueden tener las tecnologas
habilitadoras en su programa de ITRM?
Acerca de nuestra encuesta Agenda de
Riesgos de TI:
En colaboracin con la Unidad de Inteligencia Econmica
(Economist Intelligence Unit o EIU, por sus siglas en ingls),
realizamos una encuesta de las actitudes hacia los riesgos
de TI en las empresas ms importantes del mundo. Durante
junio/julio de 2010, se realizaron entrevistas en lnea con 818
altos ejecutivos en la funcin de TI (48% CIO y 52% CTO). Las
compaas fueron de los sectores de negocios ms importantes:
manufactura, servicios pblicos, medios, comercio al menudeo,
tecnologa, servicios mdicos, transporte, agricultura y servicios
profesionales y fnancieros.
Cada una de las empresas tena ingresos anuales generales de
ms de USD 500 millones y el ingreso anual de ms de la mitad
de las empresas encuestadas era de entre USD 1 mil millones
y USD 10 mil millones. Cada empresa tena entre 100 y 1,000
empleados de TI de tiempo completo.
Ernst & Young

Aseguramiento | Asesora | Fiscal | Transacciones

Acerca de Ernst & Young
Ernst & Young es un lder global en servicios de aseguramiento,
fiscales, transacciones y asesora. En todo el mundo, nuestras
152,000 personas se encuentran unidas por nuestros valores
compartidos y firme compromiso hacia la calidad. Marcamos la
diferencia ayudando a nuestra gente, nuestros clientes y nuestras
comunidades en general a alcanzar su potencial.
Acerca de los Servicios de Asesora de Ernst & Young
La relacin entre la mejora en el desempeo y los riesgos es un reto
cadavez ms complejo y primordial para los negocios, ya que su
desempeo est directamente relacionado con el reconocimiento
y manejo eficaz del riesgo. Ya sea que su enfoque sea en la
transformacin del negocio o en mantener los logros, contar con los
asesores adecuados puede marcar la diferencia. Nuestros 20,000
profesionales en asesora forman una de las redes globales ms
extensas de cualquier organizacin profesional, la cual integra a
equipos multidisciplinarios y experimentados que trabajan con
nuestros clientes para brindarles una experiencia poderosa y de
gran calidad. Utilizamos metodologas comprobadas e integrales
para ayudarles a alcanzar sus prioridades estratgicas y a efectuar
mejoras que sean sostenibles durante un mayor plazo. Entendemos
que para alcanzar su potencial como organizacin requiere de
servicios que respondan a sus necesidades especficas; por
lo tanto, le ofrecemos una amplia experiencia en el sector y
profundo conocimiento sobre el tema para aplicarlos de manera
proactiva y objetiva. Nos comprometemos a medir las ganancias e
identificar en dnde la estrategia est proporcionando el valor que
su negocio necesita. As es como Ernst & Young marca la diferencia.
Ernst & Young se refiere a la organizacin global de firmas
miembro conocidas como Ernst & Young Global Limited, en la
que cada una de ellas acta como una entidad legal separada.
Ernst & Young Global Limited no provee servicios a clientes.

Para ms informacin visite: www.ey.com/mx

2012 Mancera S.C.
Integrante de Ernst & Young Global
Derechos Reservados.
Clave: CEP001

Esta publicacin contiene informacin en forma de resumen
y, por lo tanto, su uso es solo para orientacin en general.
No debe considerarse que sustituya un ejercicio de investigacin
detallada o una opinin profesional. Ni EYGM Limited, ni ningn otro
miembro de la organizacin global de Ernst & Young asume
cualquier responsabilidad por prdidas ocasionadas a cualquier
persona que acte o deje de actuar como resultado de cualquier
material en esta publicacin. Para cualquier asunto en particular,
deber consultar al asesor, que corresponda.
Contacto en Mxico:
Carlos Chalico
LI, CISA, CISSP, CISM, CGEIT, CRISC, PbDA
Socio Asesora
Ernst & Young
Tel.: +52 (55) 1101 6414
Acerca de Ernst & Young

En Ernst & Young nuestros servicios se enfocan en las
necesidades y problemas especficos del negocio de cada uno
de nuestros clientes, porque reconocemos que cada uno es
exclusivo de ese negocio.

La tecnologa de la informacin (TI) es clave para que
las organizaciones modernas puedan competir. Ofrece la
oportunidad de estar ms cerca, ms enfocado y de responder
con mayor rapidez a los clientes, y puede redefinir tanto la
eficacia como la eficiencia de las operaciones. Sin embargo,
conforme crece la oportunidad, tambin aumenta el riesgo.
La administracin eficaz de riesgos de TI le ayuda a mejorar
la ventaja competitiva de sus operaciones en la materia al
hacer que estas sean ms rentables y al reducir los riesgos
relacionados con el funcionamiento de sus sistemas. Nuestros
6,000 profesionales en riesgos de TI recurren a nuestra vasta
experiencia personal para brindarle nuevas perspectivas y
asesora objetiva y abierta, dondequiera que se encuentre en el
mundo.

Trabajamos con usted para desarrollar un enfoque integral y
holstico en relacin con sus riesgos de TI o para tratar asuntos
especficos de riesgo y seguridad de la informacin.
Entendemosque para poder alcanzar su potencial requiere
serviciospersonalizados y metodologas congruentes.
Trabajamos paradarle el beneficio de nuestra amplia
experiencia en el sector, unprofundo conocimiento del tema
y las perspectivas ms recientesde nuestro trabajo a nivel
mundial. As es como Ernst & Young marca la diferencia.
Para obtener ms informacin acerca de cmo podemos
marcar la diferencia en su empresa, favor de contactar a
nuestros profesionales.

Perspectivas Riesgos TI PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Perspectivas Riesgos TI PDF

Cargado por

Copyright:

Formatos disponibles

Cambios en el panorama

También podría gustarte