IBM Global Technology Services

Informe de liderazgo de pensamiento

Alineacin de las TI con los

objetivos estratgicos de negocio
Enfoque proactivo para la gestin del riesgo de TI en su empresa

Julio de 2012

Alineacin de las TI con los objetivos estratgicos de negocio

Contenidos
2 Resumen ejecutivo
3 Evolucin del reto de negocio planteado por
la gestin del riesgo TI
3 Enfoque tradicional a la gestin del riesgo TI
4 Adoptar un enfoque integral
6 El espectro de riesgos TI
8 El mtodo IBM de gestin del riesgo TI
para la empresa
10 Resumen
10 Por qu IBM?
12 Para ms informacin

Resumen ejecutivo
Prcticamente para cualquier operacin de negocio actual,
las tecnologas de la informacin (TI) son un componente
esencial e indispensable. Aunque la dependencia de TI
proporcione ventajas evidentes, tambin plantea retos
de negocio significativos. La complejidad de las TI y su
interconexin con tantas reas del negocio hace que las
organizaciones sean ms vulnerables que antes a los riesgos
inherentes. Los sucesos que afectan a las TI, que anteriormente
podan estar confinados dentro del departamento de TI, ahora
pueden afectar a todo el negocio. La prdida de datos, su
corrupcin o su inaccesibilidad as como las infracciones
de seguridad y los fallos de infraestructura rpidamente
adquieren relevancia pblica que puede afectar gravemente
a la productividad de una organizacin, su reputacin y su
capacidad para alcanzar sus objetivos estratgicos.
A pesar del amplio impacto de negocio que pueden causar las
amenazas TI, muchas organizaciones no toman en consideracin
la alineacin de sus planes de gestin del riesgo TI con sus

iniciativas estratgicas de negocio. Por el contrario, siguen

implementando un enfoque ms tradicional a la gestin del
riesgo que se focaliza en llevar a cabo anlisis basados en el
coste de lo que podra suceder en un mundo incierto y en
implementar mtricas derivadas de variables que no se pueden
documentar satisfactoriamente. Un enfoque as puede no ser
fiable y no ayudar adecuadamente a identificar y gestionar el
riesgo TI.

ISACA, la asociacin global sin nimo de

lucro para profesionales de sistemas de la
informacin y TI, define el riesgo TI como
el riesgo de negocio asociado al uso, la
propiedad, la operacin, la implicacin, la
inf luencia y la adopcin de TI dentro de
una empresa1.
Un medio ms eficaz para gestionar el impacto que puede
causar el riesgo TI en su empresa implica adoptar un enfoque
ms integral. Por medio de este mtodo, las capacidades de
prestacin de servicios TI pueden estar ms directamente
vinculadas con lo que necesita la organizacin para poder
mejorar la fiabilidad, la f lexibilidad y la agilidad que le permita
cumplir los objetivos y metas de negocio. Un enfoque as ayuda
a proporcionar informacin ms exacta y puntual acerca del
riesgo que el estado actual de la prestacin de servicios TI
plantea a los objetivos de negocio de una empresa y, de este
modo, ayuda a priorizar los correspondientes esfuerzos de
mitigacin.
Este documento tcnico examina los retos y riesgos de negocio
que la dependencia de TI ha trado consigo y por qu los
enfoques tradicionales a la gestin del riesgo TI no son
adecuados. A continuacin, presenta un enfoque estructurado
que vincula de nuevo la gestin del riesgo a las iniciativas
estratgicas de negocio globales de la organizacin. Gracias a
una mejor alineacin de las TI con las necesidades de negocio,

la organizacin TI puede ayudar a la empresa a operar de forma

ms rentable y mejorar su capacidad para dar respuesta al cambio
con decisiones ms mesuradas e informadas.

Evolucin del reto de negocio planteado

por la gestin del riesgo TI
En los primeros das de la evolucin de las tecnologas de la
informacin, las TI principalmente hacan referencia al hardware
y la red de una organizacin, que simplemente proporcionaba
un medio para procesar informacin, as como guardar y copiar
datos de forma segura. Con el tiempo, la necesidad de lograr
una mejor eficiencia del negocio, la mayor dependencia en la
tecnologa para la ejecucin de transacciones de negocio crticas
y la sed de ms informacin e informes analticos ms complejos,
han hecho que el papel que las TI juegan en el xito del negocio
se entremezcle inexorablemente con la operacin del negocio en
s. El soporte de TI para los objetivos de negocio ha aumentado
hasta incluir tareas como la acomodacin de un mayor nmero
de datos y aplicaciones, organizndolos de forma que sean tiles
y almacenndolos de manera que sean siempre accesibles.
Adicionalmente, la gestin de TI es responsable del empleo
de un amplio conjunto de procesos, personas, instalaciones y
estrategias para ofrecer los resultados previstos en la empresa.
Debe gestionar estas responsabilidades a la vez que tambin
cubre la creciente demanda de f lexibilidad y disponibilidad
24x7 con un menor presupuesto TI y un menor nmero de
personas.
Esta dependencia evolutiva en las TI tambin ha aumentado el
impacto que los riesgos TI pueden causar en todo el negocio de
una organizacin. La prioridad ms alta otorgada a la resiliencia
de negocio, junto con la estandarizacin y el ensanchamiento de
la gestin del riesgo hasta englobar las unidades de negocio y sus
procesos, ha ayudado ciertamente a disminuir dichos riesgos.
En todo caso, muchos directivos empresariales carecen an de

confianza en la capacidad de sus organizaciones para identificar

y gestionar eficazmente el riesgo TI. Considere, por ejemplo,
las siguientes conclusiones de tres estudios diferentes de IBM:

Directores del departamento de informacin (CIO) que

han expresado su inquietud por la gestin del riesgo y el
cumplimiento normativo: 58%2
CIOs que han valorado el enfoque global de sus empresas
para la mitigacin del riesgo TI como medio o bajo: 34%3
Altos ejecutivos que han admitido no tener una funcin de
gestin del riesgo formal en marcha: 30%4.

Enfoque tradicional a la gestin del

riesgo TI
Por qu hemos desarrollado tanta falta de confianza en la
gestin del riesgo TI? Las amenazas a los servicios TI presentan
riesgos en el negocio cuando se explotan las vulnerabilidades
en un amplio espectro. Muchas compaas siguen analizando
el riesgo a travs de una lente muy estrecha que focaliza su
atencin en el impacto financiero de la prestacin de servicios
TI. Este enfoque tradicional empieza por la identificacin de
amenazas convencionales incendios, inundaciones, cortes
de tensin, vandalismo, terrorismo y fallos de seguridad en
base al impacto potencial que dichas amenazas causaran en
la disponibilidad, recuperabilidad y seguridad del negocio.
No obstante, las amenazas que quedan fuera del dominio
convencional se pasan fcilmente por alto. Si una organizacin
no puede identificar amenazas o determinar con exactitud su
probabilidad, no puede evaluar su vulnerabilidad real a ellas.
Una vez se han identificado las amenazas convencionales, el
siguiente paso en un enfoque tradicional consiste en priorizar
la gestin de dichas amenazas de acuerdo con los potenciales
costes, prdidas y efectos operacionales en el negocio. Aunque

el acto de cuantificar y cualificar estos factores pueda aportar

informacin til en el anlisis del riesgo, no tiene en cuenta
la necesidad de direccin de alinear las prioridades de la toma de
decisiones con los objetivos de negocio. Se trata de una
limitacin significativa del enfoque tradicional y no es coherente
con el estndar 31000 de la Organizacin Internacional para
la Estandarizacin (ISO), que pone nfasis en la gestin del
riesgo como una disciplina estratgica para la toma de
decisiones ajustadas al riesgo en lugar de una funcin basada en
el cumplimiento normativo. Puesto que el enfoque tradicional
no establece un vnculo con los objetivos empresariales y las
iniciativas estratgicas de negocio, no puede demostrar el efecto
de los riesgos al alcanzar dichos objetivos.

Si una organizacin no puede

identificar amenazas o determinar con
exactitud
su probabilidad, no puede evaluar
su vulnerabilidad real a ellas.
Adoptar un enfoque integral
Para poder identificar de forma adecuada los riesgos de negocio
asociados al uso de las TI, las organizaciones necesitan adoptar
una visin ms amplia del riesgo TI, que vaya ms all de los
estndares tradicionales y que alinee las TI con la direccin
estratgica del negocio. Concretamente, necesitan un enfoque
que permita:

Mejorar la alineacin de las TI con las necesidades

de negocio para ampliar la agilidad de negocio dando una
respuesta ms rpida al cambio con decisiones medidas e
informadas
Proteger la imagen de marca y los ingresos ayudando a
evaluar las amenazas a la infraestructura de TI, su impacto o
ventaja potencial en el negocio y la tolerancia al riesgo de una
organizacin para ayudar a planificar una estrategia realista
Mejorar los niveles de servicio TI para lograr las
iniciativas estratgicas de negocio ayudando a gestionar
el riesgo TI con informacin ms exacta y adecuada

Disminuir la exposicin financiera y reputacional

ayudando a proteger al negocio de la divulgacin de
informacin negativa, prdidas y multas o penalizaciones
Incrementar su ventaja competitiva ayudndoles a dar
respuestas calculadas al riesgo que, de cuyo conocimiento
puedan carecer los competidores.

Al vincular las tcnicas de riesgo clsicas directamente a las

iniciativas estratgicas de negocio, las organizaciones pueden
documentar ms fcilmente los indicadores clave de rendimiento
(KPI) y los indicadores clave de riesgo (KRI), y priorizar los
riesgos en base a su impacto o contribucin en los objetivos
estratgicos. Adicionalmente, la empresa tiene ms capacidad
para implementar planes equilibrados de gestin del riesgo,
emplear planes de comunicacin claros y monitorizar
continuamente los indicadores de riesgo.
La importancia de unas mtricas ms slidas

Son cada vez ms las empresas que definen KPIs como mtricas
para supervisar y gestionar su rendimiento en todos los niveles
de gerencia involucrados en la implementacin y el logro de
iniciativas estratgicas de negocio. Los KPIs se consolidan en
informes para proporcionar a los miembros del consejo una
visin general del rendimiento histrico de la empresa y los
logros previstos de las iniciativas estratgicas de negocio. Las
mtricas tambin son necesarias para supervisar y gestionar
riesgos; no obstante, los KPIs no son adecuados para esta
finalidad, ya que se basan en datos histricos del rendimiento.
Por el contrario, se necesitan KRIs como indicadores de aviso
por adelantado que alerten a la organizacin de riesgos
emergentes mucho antes de que dichos riesgos se produzcan
realmente, lo cual permite a las empresas capturar oportunidades
o disminuir el impacto potencial negativo en la capacidad
que tiene la organizacin para alcanzar sus objetivos. Estos
indicadores deben alertar a la organizacin con suficiente
antelacin para dar tiempo a reaccionar y adoptar las
correspondientes medidas para contrarrestar el riesgo.

Aunque las mtricas KPI y KRI sean diferentes, estn

relacionadas entre s. Los KPIs se utilizan para supervisar el
rendimiento de las empresas. Los KRIs se utilizan para avisar a
las empresas de un cambio inminente. Puesto que las entidades
de negocio dependen entre s en trminos de servicios, si una
entidad suministradora no es capaz de prestar un servicio, la
entidad receptora o dependiente est en riesgo. Son riesgos
de capacidad que podran potencialmente impedir que la
entidad dependiente alcance sus objetivos de rendimiento y
deben gestionarse a travs de KRIs.

La entidad A supervisa su rendimiento mediante el KPI

A y depende de servicios prestados por la entidad B
para lograr el nivel de rendimiento necesario.

La entidad A est en riesgo si la entidad B deja de prestar sus

servicios como consecuencia del escenario de riesgo B.

La entidad A define un
KRI para super visar el
escenario de riesgo B.

La entidad B define un KRI relacionado

con el escenario de riesgo B
para evitar el escenario de riesgo B.

Ejemplo ilustrativo:

KPI: Indicador clave de rendimiento

KRI: Indicador clave de riesgo

Si la apertura de nuevos canales para intercambiar informacin con

los clientes es fundamental para proporcionar las experiencias de
cliente deseadas y si forma parte de la implementacin de una
iniciativa estratgica ms amplia de centrarse en el cliente,
varios de los siguientes KPIs de negocio podran verse
implicados:

Figura 1: La monitorizacin de mtricas tanto KPI como KRI ayuda

Disminucin del tiempo de implementacin del nuevo canal

(idealmente, hasta tres meses) para dar una respuesta ms
rpida a las nuevas oportunidades de mercado y lograr un
retorno ms rpido de la inversin (ROI)
Incremento de la tasa de adquisicin de nuevos clientes
a travs del nuevo canal
Incremento del funcionamiento planificado diario
(idealmente, hasta 24 horas al da).

Suponiendo que este nuevo canal se basa en una nueva pgina

web de Internet accesible por medio de smartphones, la
dependencia de TI es evidente y la empresa debe considerar
que las TI son un riesgo potencial si no presta los criterios de
servicio esperados. El plazo de implementacin del canal que
la empresa espera que sea igual o inferior a tres meses podra
verse directamente afectado por el tiempo necesario para disear,
desarrollar e implementar la nueva pgina web de Internet,
estimado actualmente por parte de TI en seis meses.

a gestionar las iniciativas estratgicas de negocio.

Los siguientes pasos que deben dar las TI son realizar un

anlisis gap para identificar las reas que necesitan mejorar y
un anlisis de causa raz para saber por qu la implementacin de
nuevos servicios TI tarda tanto. Si, por ejemplo, el resultado del
anlisis de causa raz muestra que a) el tiempo de desarrollo de la
aplicacin es demasiado largo debido a la disponibilidad limitada
de sistemas de desarrollo y b) el tiempo para aprovisionar
el nuevo hardware de la nueva aplicacin se prolonga como
consecuencia de unos procesos de compra complicados, hay
ahora dos KRIs que se pueden utilizar como principales
indicadores del factor de agilidad del servicio TI para dar
una respuesta a tiempo al nuevo servicio.
Existe un vaco evidente en las capacidades TI en trminos de
respuesta puntual con el servicio TI nuevo o modificado
correcto para dar soporte a los cambios en los requisitos de
negocio; por lo tanto, la empresa tiene el riesgo de dejar de
alcanzar su objetivo estratgico. Para monitorizar dicho riesgo,
la empresa tiene que definir un KRI especfico y TI tiene que
definir un KPI para supervisar el avance en la rea de tiempo
necesario para implementar un nuevo servicio.

El espectro de riesgos TI
Como respuesta a la necesidad de adoptar un enfoque ms global
y estructurado, IBM ha creado el espectro de riesgos TI, que
agrupa diversos riesgos TI en cinco categoras lgicas. Estas
categoras de riesgos ayudan a determinar el impacto que el
estado actual de la prestacin de servicios TI y la priorizacin
de la mitigacin pueden causar en los objetivos de negocio. Por
medio del espectro de riesgos TI, las compaas pueden mejorar
la alineacin de las TI con sus necesidades de negocio y, de ese
modo, utilizar las TI para ayudar a hacer ms gil el negocio.
Como se ilustra en la Figura 2, el espectro de riesgos TI est
formado por cinco grupos de riesgos TI que se pueden asociar
a objetivos especficos de negocio: agilidad e idoneidad,
escalabilidad y rendimiento, seguridad y proteccin de
datos, exactitud y puntualidad, as como disponibilidad y
recuperabilidad.
Agilidad e idoneidad: Los servicios TI deben tener la capacidad
para adaptarse y transformarse con ms rapidez, eficacia y
rentabilidad para lograr los objetivos de negocio identificados.

Escalabilidad y rendimiento: La organizacin TI debe poder

dar respuesta a las necesidades cambiantes del negocio adaptando
la capacidad y el rendimiento TI ante las f luctuaciones de las
necesidades. Adems, debe poder supervisar el rendimiento de
aplicaciones y datos, as como mtricas de productividad, entre
todos los servicios y componentes. Tambin es necesaria la
capacidad para alinearse con las necesidades de rendimiento
y capacidad de los usuarios de negocio y clientes.
Seguridad y proteccin de datos: El uso de gestin de sistemas,
archivado y creacin de informes e investigacin formales ayuda
a mantener un alto nivel de seguridad. Tambin es necesaria la
seguridad de infraestructura y fsica para ayudar a ofrecer una
proteccin de datos adecuada.
Exactitud y puntualidad: El f lujo de informacin exacta y puntual
entre los procesos de negocio y operacionales es crucial para el
rendimiento del negocio. La calidad de los datos, incluido el
origen de los datos (internos o externos), debe cumplir ciertos
criterios para poder dar soporte a los objetivos de negocio.

Espectro de riesgos TI

Ejemplo real de riesgo

Agilidad e idoneidad: Adaptarse y transformarse

Un bando europeo no poda satisfacer varios requisitos de mantenimiento para

sus clientes hasta que despliega una solucin de gestin del rendimiento
multiplataforma para ayudar a ampliar el alcance de sus ser vicios TI hasta nuevos
clientes internos. Resultado: mayor agilidad y flexibilidad de los servicios, mayor
satisfaccin del cliente interno y menor coste de gestin.

continuamente con ms rapidez, eficacia y

rentabilidad para lograr los objetivos de negocio
identificados.

Escalabilidad y rendimiento: Mantener un rendimiento ms

aceptable basado en las necesidades de negocio y adoptar
adecuadamente los cambios en el volumen de servicios de negocio.

Seguridad y proteccin de datos: Proporcionar los

controles de acceso adecuados a la vez que se ayuda
a proteger la informacin y los recursos de negocio.

Exactitud y puntualidad: Proporcionar datos ms exactos a

las personas adecuadas y en el momento oportuno para
permitir una toma de decisiones ms informadas.

Disponibilidad y recuperabilidad: Mantener los sistemas

en funcionamiento y, si es necesario, recuperarse de las
interrupciones en lnea con las expectativas de negocio.

Una cadena de tiendas de EE.UU. experimenta un aumento sin precedentes en el

nmero de compradores online, lo cual inhabilita su tienda web. La incapacidad de
la empresa para adaptarse a la demanda causa una prdida de ventas, publicidad
negativa y una prdida de confianza de los clientes para comprar online.
Un fabricante industrial de Tokio deja de actualizar sus cortafuegos y su software
antivirus. Los piratas informticos acceden a datos de clientes, lo que se traduce en
la cancelacin de contratos y la prdida de confianza de los clientes.
Un banco europeo aplica actualizaciones de aplicaciones que corrompen datos de
clientes, lo cual provoca una parada informtica durante varios das, retrasos
inaceptables en las actualizaciones de cuentas y una amplia repercusin meditica
y mandatos de investigacin.
El centro de datos de un proveedor de telecomunicaciones turco se inunda como
consecuencia de unas lluvias sin precedentes. Sin una estrategia de continuidad o
recuperacin documentada y probada, el servicio al cliente queda interrumpido y
el proveedor sufre la prdida de tiempo de procesamiento, contratos cancelados e
imagen de marca daada.

Figura 2: El Espectro de riesgos TI est formado por cinco categoras basadas en objetivos de negocio.

Disponibilidad y recuperabilidad: Los ejecutivos de negocio y TI

deben establecer conjuntamente estrategias de disponibilidad
y recuperacin por medio de un proceso definido y repetible,
as como el correspondiente gasto, para ayudar a cumplir dichos
requisitos de negocio. La organizacin debe poder utilizar
mtodos y herramientas avanzadas para dar una respuesta ms
puntual a las incidencias, problemas y cortes de servicio as
como poner en marcha un continuo proceso de mejora.
Los riesgos TI ejercen constantemente una gran presin en
el negocio principal de una organizacin. Al proporcionar una
visin prescriptiva de la empresa y un conocimiento de cmo
afectan los riesgos TI a objetivos especficos de negocio, el
espectro de riesgos TI ayuda a la organizacin a determinar
qu nivel de impacto pueden causar dichos riesgos en el negocio
principal.
Tambin deben revisarse los componentes crticos del
negocio principal para determinar su vinculacin con el
espectro de riesgos TI e identificar la mtrica correcta para
su monitorizacin. IBM aplica su Core Business Framework
para descomponer la empresa de tal forma que se representen
los componentes revisables y permita el anlisis tanto de
dependencia como paralelo. Este marco de trabajo est
formado por seis dominios para cubrir prcticamente todos
los componentes tanto internos como externos que
son necesarios para habilitar las operaciones de negocio:

Personas. Los recursos humanos con roles y

responsabilidades asignadas que forman la empresa, as
como los procesos necesarios para mantener sus habilidades
mediante la formacin y las comunicaciones
Procesos. La forma en que la empresa lleva a cabo su negocio
principal mediante el modelado de procesos de negocio en un
marco de procesos abierto y mantiene su tecnologa mediante
la estrategia y el gobierno de TI, la continuidad de negocio,
la copia de seguridad y recuperacin, as como tambin la
gestin de servicios, entre otros
Tecnologa. Equipos y herramientas que dan soporte a los
procesos de negocio de la empresa, tales como servidores,
sistemas de almacenamiento, redes, bases de datos,
aplicaciones y telefona

Proveedores. Empresas y agencias gubernamentales que

suministran los materiales, servicios e informacin crticos
y necesarios para permitir que la empresa opere y realice
operaciones de negocio
Infraestructura. Componentes bajo en control de la empresa
que facilitan las operaciones, tales como la seguridad fsica,
sistemas elctricos, agua y refrigeracin
Exoestructura. Componentes crticos del ecosistema, fuera
del control de la empresa, como el suministro de electricidad,
el suministro de agua, carreteras, transporte, alimentacin,
comunicaciones y gobierno.

Enfoque de IBM
a la gestin del
riesgo para su
negocio
principal

Figura 3: El enfoque de IBM para la gestin del riesgo TI se centra en

el riesgo de TI para el negocio y sus componentes operacionales.

El mtodo IBM de gestin del riesgo

TI para la empresa
IBM ha establecido un mtodo condensado de gestin del
riesgo basado en el estndar ISO 31000 que, cuando se aplica
al dominio TI, puede proporcionar una arquitectura de riesgo
ms compatible y que puede interactuar ms fcilmente con
prcticamente cualquier programa de gestin del riesgo a nivel
de toda la empresa. Las tres fases de este mtodo determinar,
evaluar y actuar se describen a continuacin.
Determinar

El primer paso en el mtodo de IBM es establecer el alcance y

los objetivos del programa de gestin del riesgo TI. Un
programa de riesgo TI engloba las actividades necesarias para
identificar, evaluar y responder continuamente a las amenazas y
sus riesgos relativos para la empresa. Sin objetivos identificados
o roles y responsabilidades claramente definidos, los posteriores
procesos de gestin estn en peligro. La definicin tanto del
alcance como de los roles en las primeras etapas del proceso de
definicin del programa ayuda a obtener la aceptacin interna
del proceso y de la posterior peticin de acciones de mitigacin
de los responsables recin identificados del riesgo TI.
El establecimiento del alcance se puede llevar a cabo
determinando las iniciativas estratgicas de negocio, definiendo
los obejtivos de gestin del riesgo TI e identificando los agentes
de tensin internos y externos. El alcance del programa se ha
diseado para ser muy focalizado al principio, amplindose
posteriormente hasta incluir toda la empresa. Otros factores
que determinan el alcance pueden ser el tiempo necesario para
la actividad y las ubicaciones que deban incluirse. Es tambin
durante esta fase que se selecciona el mtodo de evaluacin
del riesgo y se describen los subsiguientes sistemas de medicin
del proceso de gestin del riesgo TI.

Por ltimo, la organizacin define roles y responsabilidades

claros, lo que facilita la inclusin de todos los participantes
necesarios de la organizacin. La amplia implicacin de
personas de varios departamentos es una tendencia actual
global5. La definicin de roles de este modo ayuda a establecer
las responsabilidades del riesgo TI de la empresa y proporciona
los nombres de las personas asociadas a roles especficos en toda
la empresa.
Evaluar

Con los objetivos de negocio definidos, las reas de riesgo TI se

definen en relacin con las iniciativas estratgicas de negocio,
alineando directamente los servicios TI con su soporte de los
objetivos de negocio. Un elemento crtico del establecimiento
de una gestin global del riesgo para la resiliencia de negocio
es la capacidad para evaluar un amplio conjunto de riesgos
de una forma equilibrada para poder crear una imagen global
de las amenazas y las oportunidades a las que se enfrenta la
organizacin6. Por medio de una gua como el Espectro de
riesgos TI y del anlisis de los servicios TI necesarios en toda
la empresa para dar soporte a las iniciativas de negocio, la
organizacin puede identificar ms fcilmente cules son las
reas de servicios TI ms necesarias para poder ser ms giles
en la respuesta al cambio. La clara comprensin de la relacin
existente entre los servicios TI que dan soporte a esas iniciativas
es un aspecto importante de la evaluacin del riesgo.

Las TI son una parte importante de nuestra

gestin del riesgo porque nada puede
hacerse sin ellas en la actualidad, dice Kris
Wiluan, director ejecutivo (CEO) de KS
Energy Services Limited7.

El siguiente paso consiste en realizar un anlisis de todas las

capacidades de los servicios TI para identificar riesgos TI
cuantificables y definir mtricas de rendimiento. Esto ayuda
a determinar los KPIs y KRIs ms significativos y ayuda a
cuantificar el riesgo TI para la empresa en base a las capacidades
de rendimiento TI. Este conocimiento aumenta la capacidad
que tiene la organizacin para definir y priorizar opciones de
tratamiento equilibrado, colocarlas en una hoja de ruta para
implementar soluciones de mitigacin con seguridad e identificar
controles que faciliten la monitorizacin de los cambios que
puedan impedir el xito.
La evaluacin tambin debe incluir el impacto potencial en los
objetivos estratgicos de negocio en el caso de que se materialice
el riesgo TI, provocando que el servicio TI no pueda
proporcionar el nivel previsto de servicio. Este anlisis de
impacto puede llevarse a cabo como una evaluacin tanto
cuantitativa (prdida financiera directa o incremento en el
coste de prestacin de un servicio) como cualitativa (impacto
en el riesgo reputacional). El mtodo IBM Operational Risk
Quantification (ORQ) ayuda a analizar las amplias categoras
de sucesos de riesgo, incluyendo los eventos de arriba abajo,
cuya gravedad se mide directamente en prdidas financieras,
omitiendo los sucesos de abajo arriba y detallados relacionados
con los procesos, que se propagan a travs de una red de recursos
de proceso para mostrar en ltima instancia un resultado de
impacto financiero.8
Es importante que la organizacin no pierda de vista los riesgos
de especialidad o cumplimiento normativo mientras ampla
su vista de la resiliencia. Al contrario, debe andar un recorrido
evolutivo hacia la resiliencia mediante la inclusin de un
conjunto ms amplio de riesgos en el proceso de evaluacin
y priorizacin con el fin de proporcionar una evaluacin
amplia por parte de los grupos de inters de la empresa. La
fase de evaluacin se ha diseado para proporcionar un slido
rendimiento e ndices de riesgo en forma de KPIs y KRIs, los
cuales pueden ofrecer una mejor visibilidad de los objetivos
estratgicos de negocio y de los servicios TI que les dan soporte.
Se genera un plan de gestin de riesgo, que incluye respuestas
responsables y adecuadas al riesgo identificado en forma de
controles o protecciones.

Actuar

Una vez que se han documentado y se han priorizado los

KPIs y los KRIs en relacin con los objetivos estratgicos
de negocio, el reto pasa a ser el de implementar planes de
tratamiento equilibrado mediante el empleo de planes de
comunicacin ms claros y la continua monitorizacin
de los indicadores de riesgo. En esta fase, el plan de gestin
del riesgo se implementa asignando los distintos recursos
de la organizacin con la responsabilidad para actuar. Los
responsables del riesgo establecen y gestionan el riesgo de TI
para ayudar a proporcionar la alineacin con los objetivos de
negocio y para ayudar a incrementar la implicacin en toda la
organizacin de todos los niveles: alta direccin, las lneas de
negocio, profesionales TI, miembros del consejo de direccin y
empleados9.
La continua monitorizacin de los riesgos TI en base a las
mtricas significativas diseadas durante la fase de evaluacin
ayuda a preparar a la empresa para actuar con responsabilidad
en los agentes de tensin aplicados en toda la organizacin.
Estos mismos indicadores deben revisarse continuamente para
que proporcionen una alineacin sostenida con los objetivos
cambiantes del negocio. La monitorizacin puede cubrir
muchas reas tanto de TI como del negocio, dependiendo de
los resultados de la evaluacin del riesgo y la definicin del KRI.
Algunos ejemplos pueden ser el porcentaje de proyectos de
desarrollo y mantenimiento de aplicaciones entregados a tiempo
o con antelacin o el tiempo medio transcurrido para lograr la
resolucin de la incidencia.
En base a los resultados de la evaluacin, la seleccin de las
acciones de mitigacin del riesgo debe equilibrarse con el
impacto potencial en el negocio en case de que se produzca
el riesgo. El establecimiento de procesos de monitorizacin
puede ser costoso, ya que cada KRI es igual a un coste de
monitorizacin. Es crucial poder encontrar esta inversin ptima
para la empresa que desee obtener una gestin del riesgo ms
exitosa, a la vez que se mantiene la responsabilidad fiscal.

A medida que el negocio lleva a cabo la transicin a este nuevo

sistema de gestin, necesita el continuo compromiso de la alta
direccin, tal como se ha establecido en la fase de determinacin
y adecuar los recurdos para desarrollar slidos programas de
comunicacin, sensibilizacin y formacin. Estos programas
son necesarios para soportar la integracin de la gestin del
riesgo TI en las actividades ms amplias del gobierno, el riesgo
y el cumplimiento normativo10. Adicionalmente, el hecho de
sensibilizar a todos los grupos de inters, formarlos y que sean
capaces de utilizar el programa de riesgo TI, ayuda a poner de
relieve que la gestin del riesgo TI forma parte del trabajo de
todo el mundo. Durante esta fase de transicin, estos programas
de formacin y sensibilizacin deben dirigirse a todos los
niveles de empleados y deben ayudar a los grupos de inters
a comprender sus roles y empezar a elaborar informes normales
en los diferentes niveles implicados en el programa.

Resumen
La proliferacin de servicios TI crticos para el logro de los
objetivos estratgicos de negocio presenta riesgos y
oportunidades nicos. Ms que nunca, las TI deben ser fiables,
predecibles, disponibles y seguras para poder soportar procesos
crticos de negocio e iniciativas clave. La identificacin de los
riesgos para el negocio asociados al uso de las TI requiere una
amplia visin de los riesgos TI y de los servicios TI en toda la
organizacin. Esto no se puede llevar a cabo adecuadamente con
el enfoque tradicional que solamente contempla las amenazas
fsicas y naturales que pueden afectar a la prestacin de servicios
TI. Al contrario, como ha demostrado este artculo, es el
momento de que las TI tiendan la base de la evaluacin de
impactos basada en las amenazas y que amplen el espectro
de riesgos que incluyen para proteger mejor a la empresa
y que le permita cumplir sus objetivos estratgicos.

Mediante la implementacin de un enfoque integral y

estructurado, las organizaciones pueden asignar recursos en
la empresa, monitorizar continuamente el riesgo TI mediante
mtricas significativas y comunicar el programa de gestin del
riesgo TI a todos los grupos de inters. Esta cultura proactiva
del riesgo hace posible dar una respuesta ms rpida y adecuada,
as como encontrar el equilibrio ptimo entre el riesgo TI y el
coste de la mitigacin del riesgo.

Por qu IBM?
IBM proporciona servicios de gestin del riesgo TI a clientes
que necesiten identificar, conocer, gestionar y responder ms
proactivamente a los riesgos operacionales y a las disrupciones
de negocio. Podemos ayudarle a mantener operaciones de
negocio casi continuas, permitindole proteger mejor su imagen
de marca y dar soporte al crecimiento de su cuenta de resultados
y seguir siendo un proveedor de confianza para sus clientes y
socios. Por medio de estndares de la industria, tales como ISO
e ISACA, los especialistas en resiliencia de IBM se familiarizan
con su entorno, ayudan a adaptar el marco de resiliencia a sus
necesidades nicas, revisar los materiales auxiliares respectivos
que deben utilizarse en la evaluacin y proporcionar una hoja
de ruta para la remediacin y la mejora. Como uno de los lderes
globales en soluciones TI, IBM ofrece una amplia gama de
productos y servicios, que nuestros asesores aplican para ayudar
a satisfacer las necesidades de gestin del riesgo en constante
evolucin.

Notas

Para ms informacin
Si desea obtener ms informacin sobre IBM Resiliency
Consulting Services, el mtodo de gestin del riesgo TI de
IBM o el espectro de riesgos TI, puede ponerse en contacto
con su representante de marketing de IBM o Business Partner
(BP) de IBM, o bien visitar la siguiente pgina web:
ibm.com/ser vices/continuity

Por otra parte, IBM Global Financing puede ayudarle a adquirir

las soluciones de TI que su empresa necesita de la forma ms
estratgica y rentable posible. Nos asociaremos con clientes
con crdito para personalizar una solucin de financiacin de TI
que se adapte a sus objetivos empresariales, permitir una gestin
eficaz del dinero y mejorar su coste total de propiedad. IBM
Global Financing es su eleccin ms inteligente para financiar
inversiones fundamentales en TI y propulsar su empresa. Si
desea ms informacin, visite: ibm.com/financing/es

IBM Espaa, S.A.

Tel.: 901 100 400

C/Sta. Hortensia, 26-28
28002 Madrid
Espaa
La pgina inicial de IBM se encuentra en ibm.com
IBM, el logotipo de IBM e ibm.com son marcas registradas de International
Business Machines Corporation en Estados Unidos, en otros pases o en
ambos. Si stas y otras marcas registradas de IBM son marcadas en su
primera aparicin en esta informacin con un smbolo de marca registrada
( o ), estos smbolos indican marcas registradas en EE.UU. o marcas
registradas segn el derecho constitucional de propiedad de IBM en
el momento que se public esta informacin. Estas marcas registradas
tambin pueden ser marcas registradas o marcas registradas segn el
derecho consuetudinario en otros pases.
Encontrar una lista actualizada de las marcas registradas de IBM en
la web Informacin de copyright y marcas registradas en
ibm.com/legal/copy trade.shtml

Otros nombres de empresas, productos y servicios pueden ser marcas

registradas o marcas de servicio de terceros.
1

ISACA, www.isaca.org, recuperado el 4 de junio de 2012.

The Essential CIO Insights from the Global Chief Information

Officer Study, IBM, mayo de 2011.

La evolucin en el papel de los directores de TI y los CIOs:

Conclusiones del estudio de riesgos TI global de IBM 2010,
IBM, septiembre de 2012.

Tendencias clave que impulsan la resiliencia de negocio y el riesgo

global: Conclusiones del estudio de riesgo y resiliencia de negocio global
de
IBM 2011, septiembre de 2011.

Tendencias clave que impulsan la resiliencia de negocio y el riesgo

global: Conclusiones del estudio de riesgo y resiliencia de negocio global
de
IBM 2011, septiembre de 2011.

Tendencias clave que impulsan la resiliencia de negocio y el riesgo

global: Conclusiones del estudio de riesgo y resiliencia de negocio global
de
IBM 2011, septiembre de 2011.

Tendencias clave que impulsan la resiliencia de negocio y el riesgo

global: Conclusiones del estudio de riesgo y resiliencia de negocio global
de
IBM 2011, septiembre de 2011.

La analtica del riesgo operacional en el contexto de la infraestructura

de las tecnologas de la informacin (TI), IBM, marzo de 2012.

Tendencias clave que impulsan la resiliencia de negocio y el riesgo

global: Conclusiones del estudio de riesgo y resiliencia de negocio global
de
IBM 2011, septiembre de 2011.

10

La analtica del riesgo operacional en el contexto de la infraestructura

de las tecnologas de la informacin (TI), IBM, marzo de 2012.

Las referencias hechas en esta publicacin a productos, programas o servicios

de IBM no implican que IBM tenga previsto comercializar dichos productos,
programas o servicios en todos los pases en los que opera.
Las referencias a un producto, programa o servicio de IBM no pretenden
afirmar ni implicar que nicamente pueda utilizarse dicho producto,
programa o servicio. En su lugar, puede utilizarse cualquier producto,
programa o servicio funcionalmente equivalente.
Los productos de hardware de IBM se fabrican a partir de componentes
nuevos o a partir de componentes nuevos y usados. En algunos casos, el
producto de hardware puede no ser nuevo y puede haberse instalado con
anterioridad. En cualquier caso, son aplicables los trminos de la garanta
de IBM.
Esta publicacin slo tiene carcter de orientacin general. La informacin
est sujeta a cambios sin previo aviso. Pngase en contacto con su
representante de ventas de IBM o su distribuidor local para consultar
la informacin ms reciente sobre productos y servicios de IBM.
Esta publicacin contiene direcciones de Internet que no son de IBM.
IBM no es responsable de la informacin que se encuentra en estas
pginas Web.
IBM no proporciona asesoramiento legal, contable o de auditora, ni
representa o garantiza que sus productos o servicios cumplan la legislacin
vigente. Los clientes son responsables del cumplimiento de las disposiciones
legales y normativas vigentes, incluidas las normativas y legislaciones
nacionales.
Las fotografas pueden mostrar modelos en fase de diseo.
Copyright IBM Corporation 2012

BUW03027-ESES-02