Documentos de Académico
Documentos de Profesional
Documentos de Cultura
115 Estudios de Mercado 01
115 Estudios de Mercado 01
PRINCIPALES CONCLUSIONES
Las organizaciones estn tomando conciencia de un mbito de riesgos ms amplio Cerca del 60% de los 715 directivos de tecnologas de la informacin (TI) que han participado en un reciente estudio realizado en Europa y Oriente Medio afirman que el riesgo se tiene en cuenta en su organizacin como parte del proceso de planificacin del negocio. Sin embargo, una significativa minora se encuentra an por detrs de esta tendencia: un tercio slo tiene en cuenta el riesgo en reas especficas y el 4% no hacen ninguna planificacin especfica relativa con respecto al riesgo. Desvincular el riesgo de las TI del riesgo empresarial se est convirtiendo en algo casi imposible Al encuestarles sobre el grado en que se tienen en cuenta determinados riesgos, la prdida de informacin crtica para el negocio y el tiempo de inactividad operacional provocados por los fallos en los sistemas clave se sitan en las primeras posiciones de la lista, seguidos muy de cerca del uso ilcito de informacin confidencial. La disponibilidad, capacidad de recuperacin y seguridad de los sistemas de TI son, sin embargo, una parte integral de la ecuacin del riesgo empresarial. Asimismo, la importancia de los riesgos en reas tales como el cumplimiento de regulaciones y aspectos legales acenta la necesidad de la trazabilidad y otros imperativos de la gestin de la informacin que slo se pueden abordar con unas TI eficaces. Gestionar el riesgo es un prerrequisito importante para la innovacin Mientras que es normal considerar la gestin del riesgo desde un punto de vista defensivo, el 80% de las organizaciones afirman que a causa del riesgo relacionado se han reprimido a la hora de aprovechar todas las ventajas de las tecnologas modernas y prcticas laborales, por ejemplo en reas como automatizacin de la cadena de suministro, comunicaciones avanzadas y teletrabajo. Esto subraya el papel de una gestin de riesgos efectiva que facilita el negocio y destaca el costeoportunidad asociado a una resistencia limitada o incierta. Los ms avanzados estn adoptando un planteamiento ms coordinado dirigido por un ejecutivo Muchas organizaciones han nombrado a un Responsable de riesgos para supervisar la actividad de la gestin de riesgos, particularmente en servicios financieros, donde el 48% de los encuestados cuentan con este puesto frente al 36% de la media total. Las organizaciones tambin se estn esforzando por aumentar la coordinacin a nivel prctico, por ejemplo, entre la seguridad lgica y fsica, y a travs de la gestin de la informacin y la seguridad.
www.freeformdynamics.com
Pg 1 de 13
Pero an existe mucho camino por recorrer antes de que se alcance una gestin del riesgo genuinamente cohesionada Mientras que muchas organizaciones dicen que sus inversiones relacionadas con riesgos de TI estn aumentando, la financiacin de la actividad de gestin de riesgos an est fragmentada y es inconsistente. Tambin existe una baja representacin de informacin facilitada por los analistas del negocio y de los profesionales de TI para la definicin de los requerimientos del riesgo a nivel empresarial. Dada la dependencia que hemos visto en los sistemas de TI, las organizaciones que se toman en serio adoptar un planteamiento cohesionado y genuino para gestionar el riesgo empresarial deben hacer que las TI sean una parte mucho ms integrada en todo el proceso de lo que es actualmente.
El presente informe fue diseado de forma independiente por Freeform Dynamics e interpretado en colaboracin con Macehiter Ward-Dutton. Se han recogido las opiniones de 715 profesionales senior de TI de Europa y Oriente Medio. El informe ha sido patrocinado por CA.
www.freeformdynamics.com
Pg 2 de 13
Introduccin
Vivir con riesgos no es nada nuevo en el mundo empresarial. Muchas operaciones comerciales se han frustrado o arruinado a lo largo de los siglos por la accin de ladrones, meteorologa adversa, enfermedades, guerras, disturbios o simplemente daos accidentales, sin mencionar las deudas u otros retos financieros. Aunque hoy en da podemos emplear diferentes trminos para referirnos a algunas de esas mismas cosas, como desastres naturales, emergencias de salud pblica, inestabilidad poltica, etc., todos estos riesgos tradicionales an continan con nosotros en un grado u otro, y fundamentalmente, no difieren en su naturaleza. Sin embargo, en el siglo XXI tambin escuchamos que se est haciendo mucho nfasis en otra serie de riesgos que tienen que ver con temas como la privacidad, la seguridad, el terrorismo o malas prcticas ejecutivas. Hoy en da las organizaciones modernas dependen en gran medida de las tecnologas de la informacin, no slo desde una perspectiva operacional, sino tambin para gestionar y aprovechar la informacin con propsitos competitivos. Por ello, el riesgo relacionado con las TI es una importante consideracin a tener en cuenta en el actual entorno empresarial. El resultado de todo ello es que la gestin del riesgo empresarial est comenzando a ser un rea increblemente compleja, y es fcil verse superado por el nmero de factores y dependencias involucradas. En este breve informe, aclararemos parte de esa complejidad, para hacerla comprensible particularmente desde el punto de vista de la gestin de las TI. Para ello, nos apoyaremos en la informacin recopilada mediante un estudio de investigacin que se finaliz en octubre de 2006, en el que se recogieron los puntos de vista y opiniones de 715 directivos de TI de grandes organizaciones de Europa y Oriente Medio (Anexo A).
www.freeformdynamics.com
Pg 3 de 13
Dada la variedad de los riesgos y las dependencias comentadas anteriormente, este grfico resulta muy alentador. Nos dice que en casi las dos terceras partes de las organizaciones ha emergido un clima que contribuye a la toma de una visin ms holstica de la gestin del riesgo. Dicho esto, tambin est claro que una minora significativa se sita detrs de esta tendencia, considerando formalmente los riesgos slo en reas especficas o, en unos pocos casos, en ningn caso.
Lo primero que hemos advertido es que algunos de los riesgos de los que ms hablaron los polticos y los medios de comunicacin realmente estn bastante abajo en trminos de prioridad. La actividad terrorista, por ejemplo, es el riesgo que menos tienen en cuenta las organizaciones europeas y de Oriente Medio, a pesar de su predominancia en las noticias. Otros riesgos de perfil alto, como los desastres naturales y las emergencias de salud pblica, tambin se sitan en los puestos ms bajos de la lista. Este tipo de resultados nos ofrecen algo de informacin sobre la naturaleza de la evaluacin del riesgo. Mientras que un ataque terrorista importante, un terremoto, una inundacin, una epidemia, etc. en teora podra tener un impacto devastador en un negocio, la improbabilidad percibida de que ocurran segn anteriores experiencias relega esos riesgos a una menor consideracin en la mayora de las organizaciones. Si miramos la parte alta de la escala, sin embargo, nos encontramos con los riesgos que se perciben como ms probables que ocurran, a menos que se protejan contra ellos, y tienen un impacto potencialmente mayor en el negocio. Por ejemplo, es probable que la mayora de las organizaciones haya sufrido prdidas de informacin crtica para el negocio o tiempo de inactividad en los sistemas crticos de TI, por lo que las empresas conocen suficientemente los daos que pueden sufrir. Otros riesgos que se perciben como de alta prioridad son los vinculados con la seguridad y el cumplimiento de las normativas, de nuevo, porque probablemente han tenido un impacto reciente y directo, bien por algn problema ocurrido o por la necesidad de tener que invertir explcitamente en medidas preventivas. Examinando la Figura 2 de una forma un poco distinta, una de las observaciones ms sorprendentes que podemos hacer a este nivel general es que la mayora de los riesgos que se tienen ms en cuenta estn directamente relacionados con las capacidades de los sistemas TI de la organizacin. La prdida de informacin crtica del negocio, por ejemplo, se traduce rpidamente en lo bien que la organizacin gestiona y protege la informacin en formato electrnico. Adems, con el gran nmero
www.freeformdynamics.com
Pg 4 de 13
de procesos que hoy dependen completamente de los sistemas de TI para funcionar, el tiempo de inactividad operacional y el tiempo de inactividad de los sistemas TI son sinnimos en muchos entornos. Existen dependencias similares en el rea de cumplimiento de normativas. Hoy en da est ampliamente aceptado que se requieren sistemas de TI para hacer el seguimiento, rastrear e informar acerca de las actividades empresariales con el nivel de detalle y precisin solicitado normalmente por las autoridades regulatorias. Luego, la seguridad est por encima de casi todo lo dems.
El sector pblico es el que est ms alerta ante los riesgos, mientras que la industria general (fabricacin, distribucin, etc.) es la que menos. Tambin se aprecia que los sectores con un alto grado de interaccin con el pblico o con los consumidores, por ejemplo, el sector pblico, los servicios financieros y las telecomunicaciones, son todos muy sensibles en las tres categoras ms altas de la clasificacin de riesgos, acentuando su dependencia en la automatizacin de transacciones, y la capacidad para capturar, almacenar y gestionar un gran volumen de informacin de forma segura.
www.freeformdynamics.com
Pg 5 de 13
Durante la investigacin se vio que la mayora de organizaciones en algn momento no han podido aprovechar las ventajas de las ltimas tecnologas y prcticas laborales, tales como comunicaciones avanzadas, teletrabajo, automatizacin de la cadena de suministro, etc., debido a polticas, procesos o infraestructuras TI inadecuadas. Si le damos la vuelta a esto, aquellas organizaciones que tienen mayor capacidad para gestionar los riesgos tambin son ms capaces de evolucionar sus negocios para obtener un margen competitivo adicional, mientras que las organizaciones con menos confianza no lo pueden conseguir. En este sentido, es til pensar en trminos de resistencia, una analoga es que un soldado puede aventurarse en un territorio peligroso con el objetivo de ganar ventaja si est bien armado.
www.freeformdynamics.com
Pg 6 de 13
Asimismo, vemos que las organizaciones estn empezando a atar cabos en reas especficas. Un ejemplo de ello en relacin con la seguridad es que actualmente muchas organizaciones coordinan polticas y procesos en su dimensin fsica y de sistemas (Figura 6).
Este tipo de movimiento cobra sentido plenamente si tenemos en cuenta que la incorporacin de un empleado a una organizacin, sus movimientos dentro de ella o el abandono de la organizacin, va acompaado por la concesin o cancelacin de un amplio abanico de privilegios, desde el acceso a sitios web, edificios y salas, hasta el acceso a sistemas TI especficos y tipos de informacin que contienen. Lo que impulsa una mayor cohesin aqu est relacionado con el riesgo y la eficacia. Durante el proceso de contratacin de un empleado, se puede tardar fcilmente das o semanas en proveer al usuario el correcto conjunto de privilegios si las polticas de seguridad no estn bien coordinadas, y cuando los empleados se trasladan o abandonan la organizacin, hay un alto riesgo de que los privilegios se pasen por alto o no se cancelen adecuadamente. Afortunadamente, la industria de las tecnologas de la informacin est respondiendo con soluciones de aprovisionamiento que permiten definir y ejecutar eficazmente las polticas relevantes en las dimensiones fsicas y de sistemas. Los mecanismos de autenticacin y acceso basados en tecnologas como tarjetas inteligentes y biometra tambin estn emergiendo para ayudar a la implementacin prctica y cumplimiento de polticas.
www.freeformdynamics.com
Pg 7 de 13
Otra rea en que la coordinacin est comenzando a ser ms importante es entre la gestin de la informacin y la seguridad (Figura 7).
Aqu, histricamente uno de los retos ha sido cmo securizar mejor los activos de informacin cuando se encuentran dispersos y a menudo se replican en diversos repositorios y diferentes localizaciones. Ante el crecimiento implacable del volumen de informacin y de los requerimientos para gestionar, rastrear y auditar los accesos a fin de cumplir con las normativas y regulaciones, las organizaciones estn llegando a la conclusin de que la seguridad y el almacenamiento estn intrnsecamente relacionados. A lo largo de su ciclo de vida, por ejemplo, un documento o mensaje puede residir en un dispositivo de telefona mvil, un ordenador de sobremesa, un servidor de archivos, un servidor de correo electrnico y, por ltimo, un archivo, a menudo simultneamente. Frente a esto, intentar proteger los datos implementando la seguridad a trozos en muchos y distintos repositorios est cargado de peligros. Por todo ello, es sumamente importante poner en marcha una poltica de coordinacin de la seguridad y el almacenamiento. Una vez ms, la industria de TI est respondiendo a esta necesidad, particularmente los proveedores de TI ms grandes, con soluciones de gestin en ambas reas que puedan proporcionar suites integradas o componentes sencillos de integrar. Lo anterior son slo ejemplos de las diferentes formas con las que las organizaciones estn intentando hacer un planteamiento ms cohesionado de la gestin de riesgos, pero unirlos puede ser un reto.
www.freeformdynamics.com
Pg 8 de 13
Como podemos ver, ms de la mitad de las organizaciones que participan en el estudio no tienen un presupuesto asignado explcitamente para la actividad de gestin de riesgos ni a nivel de TI ni de negocio. La nica rea real de gestin de riesgos normalmente presupuestada es la de seguridad de las TI (Figura 9).
La conclusin es que las organizaciones dependen mucho de conseguir una mejor coordinacin influenciando el modo en que se gasta el dinero en proyectos e iniciativas individuales que no van dirigidos especficamente a resolver problemas relacionados con riesgos, por ejemplo, la implementacin de una aplicacin empresarial, la puesta a punto del sistema de transacciones, el encargo de una nueva sede o instalacin, etc. Luego el reto reside en que aunque las prioridades de
www.freeformdynamics.com
Pg 9 de 13
esos proyectos pueden tratar los riesgos que recaen en su mbito natural, pueden limitar la cantidad de financiacin disponible para abordar los requisitos relacionados con riesgos en un mbito ms amplio. Al igual que con la discusin sobre el aprovisionamiento en relacin con la seguridad, el tema aqu es de coste y eficacia, as como de riesgo. El gasto fragmentado puede llevar igualmente a reinventar la rueda o a crear fisuras entre los sistemas, las polticas y los procedimientos. Esto es importante porque sea cual sea el modo de asignacin de fondos, no hay duda de que el nivel general de gasto en gestin de riesgos est aumentando en la mayora de los casos, a menudo enormemente (Figura 10).
Finalmente, siguiendo con los retos, hay una obvia desconexin entre el negocio y las TI cuando se trata de definir los requisitos relacionados con riesgos a nivel empresarial (Figura 11).
De hecho, hoy en da esto puede ser uno de los mayores impedimentos para que muchas organizaciones avancen con eficacia en la evolucin de sus actividades de gestin de riesgos. Teniendo en cuenta que los riesgos ms importantes en la agenda estn ntimamente relacionados con la capacidad de los sistemas de TI, esta situacin est lejos de la ideal.
www.freeformdynamics.com
Pg 10 de 13
Discusin y conclusin
Los resultados de este estudio sugieren que mientras que las organizaciones generalmente han pasado a ser muy conscientes de los riesgos, reconociendo la mayora de ellas la necesidad de un planteamiento ms holstico para gestionar los riesgos, an queda mucho trabajo por hacer para atar todos los cabos eficazmente. En particular, es importante garantizar que la actividad de gestin de riesgos est financiada adecuadamente, lo cual puede requerir algunos ajustes en las estructuras de gestin y presupuestos. Quizs una de las reas ms obvias de debilidad, sin embargo, es la falta de involucracin de la direccin de TI en la definicin de los requerimientos de gestin de riesgos a nivel de negocio. Dado que el rendimiento y capacidad de los sistemas TI depende de una gestin eficaz de los riesgos, se debera aconsejar a la direccin ejecutiva para que animara y facilitara una mayor participacin de las TI en el proceso de planificacin. Mientras tanto, el progreso para conseguir una mejor coordinacin en reas especficas augura un buen futuro, de manera que la tendencia general definitivamente parece ir en la direccin correcta.
www.freeformdynamics.com
Pg 11 de 13
ANEXO A
Composicin de la muestra
www.freeformdynamics.com
Pg 12 de 13
Acerca de CA
CA es una compaa de software de gestin de las TI. Posee una visin clara de cmo las organizaciones pueden gestionar entornos TI complejos en la empresa para aprovechar todo el potencial de la tecnologa en beneficio del negocio. CA cree que los sistemas, los procesos y las personas deberan trabajar de forma coordinada y segura apoyando los objetivos de una organizacin. CA unifica los sistemas, procesos y personas. Su incomparable oferta de software y dcadas de experiencia hacen sencillo lo complejo. Las organizaciones ganan en flexibilidad. Puede gestionar los riesgos, gestionar los costes, mejorar el servicio y alinear las inversiones en TI con las necesidades del negocio, en toda la organizacin. Para ms informacin sobre CA, visite www.ca.com.
www.freeformdynamics.com
Pg 13 de 13