EL RIESGO DE LAS TI EN CONTEXTO

Hacia un enfoque ms integrado

Noviembre de 2006 A medida que las organizaciones dependen cada vez ms de las tecnologas de la informacin, la importancia de gestionar los riesgos asociados con los sistemas de TI crece. Pero, es posible considerar los riesgos de TI con independencia de la gestin de los riegos generales del negocio?

PRINCIPALES CONCLUSIONES
Las organizaciones estn tomando conciencia de un mbito de riesgos ms amplio Cerca del 60% de los 715 directivos de tecnologas de la informacin (TI) que han participado en un reciente estudio realizado en Europa y Oriente Medio afirman que el riesgo se tiene en cuenta en su organizacin como parte del proceso de planificacin del negocio. Sin embargo, una significativa minora se encuentra an por detrs de esta tendencia: un tercio slo tiene en cuenta el riesgo en reas especficas y el 4% no hacen ninguna planificacin especfica relativa con respecto al riesgo. Desvincular el riesgo de las TI del riesgo empresarial se est convirtiendo en algo casi imposible Al encuestarles sobre el grado en que se tienen en cuenta determinados riesgos, la prdida de informacin crtica para el negocio y el tiempo de inactividad operacional provocados por los fallos en los sistemas clave se sitan en las primeras posiciones de la lista, seguidos muy de cerca del uso ilcito de informacin confidencial. La disponibilidad, capacidad de recuperacin y seguridad de los sistemas de TI son, sin embargo, una parte integral de la ecuacin del riesgo empresarial. Asimismo, la importancia de los riesgos en reas tales como el cumplimiento de regulaciones y aspectos legales acenta la necesidad de la trazabilidad y otros imperativos de la gestin de la informacin que slo se pueden abordar con unas TI eficaces. Gestionar el riesgo es un prerrequisito importante para la innovacin Mientras que es normal considerar la gestin del riesgo desde un punto de vista defensivo, el 80% de las organizaciones afirman que a causa del riesgo relacionado se han reprimido a la hora de aprovechar todas las ventajas de las tecnologas modernas y prcticas laborales, por ejemplo en reas como automatizacin de la cadena de suministro, comunicaciones avanzadas y teletrabajo. Esto subraya el papel de una gestin de riesgos efectiva que facilita el negocio y destaca el costeoportunidad asociado a una resistencia limitada o incierta. Los ms avanzados estn adoptando un planteamiento ms coordinado dirigido por un ejecutivo Muchas organizaciones han nombrado a un Responsable de riesgos para supervisar la actividad de la gestin de riesgos, particularmente en servicios financieros, donde el 48% de los encuestados cuentan con este puesto frente al 36% de la media total. Las organizaciones tambin se estn esforzando por aumentar la coordinacin a nivel prctico, por ejemplo, entre la seguridad lgica y fsica, y a travs de la gestin de la informacin y la seguridad.

Copyright 2006 Freeform Dynamics Ltd

www.freeformdynamics.com

Pg 1 de 13

Pero an existe mucho camino por recorrer antes de que se alcance una gestin del riesgo genuinamente cohesionada Mientras que muchas organizaciones dicen que sus inversiones relacionadas con riesgos de TI estn aumentando, la financiacin de la actividad de gestin de riesgos an est fragmentada y es inconsistente. Tambin existe una baja representacin de informacin facilitada por los analistas del negocio y de los profesionales de TI para la definicin de los requerimientos del riesgo a nivel empresarial. Dada la dependencia que hemos visto en los sistemas de TI, las organizaciones que se toman en serio adoptar un planteamiento cohesionado y genuino para gestionar el riesgo empresarial deben hacer que las TI sean una parte mucho ms integrada en todo el proceso de lo que es actualmente.

El presente informe fue diseado de forma independiente por Freeform Dynamics e interpretado en colaboracin con Macehiter Ward-Dutton. Se han recogido las opiniones de 715 profesionales senior de TI de Europa y Oriente Medio. El informe ha sido patrocinado por CA.

Copyright 2006 Freeform Dynamics Ltd

www.freeformdynamics.com

Pg 2 de 13

Introduccin
Vivir con riesgos no es nada nuevo en el mundo empresarial. Muchas operaciones comerciales se han frustrado o arruinado a lo largo de los siglos por la accin de ladrones, meteorologa adversa, enfermedades, guerras, disturbios o simplemente daos accidentales, sin mencionar las deudas u otros retos financieros. Aunque hoy en da podemos emplear diferentes trminos para referirnos a algunas de esas mismas cosas, como desastres naturales, emergencias de salud pblica, inestabilidad poltica, etc., todos estos riesgos tradicionales an continan con nosotros en un grado u otro, y fundamentalmente, no difieren en su naturaleza. Sin embargo, en el siglo XXI tambin escuchamos que se est haciendo mucho nfasis en otra serie de riesgos que tienen que ver con temas como la privacidad, la seguridad, el terrorismo o malas prcticas ejecutivas. Hoy en da las organizaciones modernas dependen en gran medida de las tecnologas de la informacin, no slo desde una perspectiva operacional, sino tambin para gestionar y aprovechar la informacin con propsitos competitivos. Por ello, el riesgo relacionado con las TI es una importante consideracin a tener en cuenta en el actual entorno empresarial. El resultado de todo ello es que la gestin del riesgo empresarial est comenzando a ser un rea increblemente compleja, y es fcil verse superado por el nmero de factores y dependencias involucradas. En este breve informe, aclararemos parte de esa complejidad, para hacerla comprensible particularmente desde el punto de vista de la gestin de las TI. Para ello, nos apoyaremos en la informacin recopilada mediante un estudio de investigacin que se finaliz en octubre de 2006, en el que se recogieron los puntos de vista y opiniones de 715 directivos de TI de grandes organizaciones de Europa y Oriente Medio (Anexo A).

Percepcin del riesgo empresarial

Para empezar a explorar este tema, un buen punto de inicio es hasta qu grado las empresas consideran el riesgo como parte de su proceso de planificacin global. No es sorprendente que hayamos encontrado que una mayora abrumadora de las organizaciones (el 96%) consideran formalmente el riesgo en algn nivel, y un 62% afirma que tienen en cuenta los riesgos en un sentido muy amplio en todo el negocio (Figura 1).

Copyright 2006 Freeform Dynamics Ltd

www.freeformdynamics.com

Pg 3 de 13

Dada la variedad de los riesgos y las dependencias comentadas anteriormente, este grfico resulta muy alentador. Nos dice que en casi las dos terceras partes de las organizaciones ha emergido un clima que contribuye a la toma de una visin ms holstica de la gestin del riesgo. Dicho esto, tambin est claro que una minora significativa se sita detrs de esta tendencia, considerando formalmente los riesgos slo en reas especficas o, en unos pocos casos, en ningn caso.

La situacin del riesgo empresarial

Si observamos el fondo de esta situacin, podemos aprender mucho de la naturaleza de la situacin actual del riesgo empresarial, desde el grado hasta el tipo de consideracin que se da a amenazas y temas especficos durante los procesos de planificacin del negocio. Al hacer esto, nos encontramos con un alto grado de variacin y, quizs, unas cuantas sorpresas (Figura 2).

Lo primero que hemos advertido es que algunos de los riesgos de los que ms hablaron los polticos y los medios de comunicacin realmente estn bastante abajo en trminos de prioridad. La actividad terrorista, por ejemplo, es el riesgo que menos tienen en cuenta las organizaciones europeas y de Oriente Medio, a pesar de su predominancia en las noticias. Otros riesgos de perfil alto, como los desastres naturales y las emergencias de salud pblica, tambin se sitan en los puestos ms bajos de la lista. Este tipo de resultados nos ofrecen algo de informacin sobre la naturaleza de la evaluacin del riesgo. Mientras que un ataque terrorista importante, un terremoto, una inundacin, una epidemia, etc. en teora podra tener un impacto devastador en un negocio, la improbabilidad percibida de que ocurran segn anteriores experiencias relega esos riesgos a una menor consideracin en la mayora de las organizaciones. Si miramos la parte alta de la escala, sin embargo, nos encontramos con los riesgos que se perciben como ms probables que ocurran, a menos que se protejan contra ellos, y tienen un impacto potencialmente mayor en el negocio. Por ejemplo, es probable que la mayora de las organizaciones haya sufrido prdidas de informacin crtica para el negocio o tiempo de inactividad en los sistemas crticos de TI, por lo que las empresas conocen suficientemente los daos que pueden sufrir. Otros riesgos que se perciben como de alta prioridad son los vinculados con la seguridad y el cumplimiento de las normativas, de nuevo, porque probablemente han tenido un impacto reciente y directo, bien por algn problema ocurrido o por la necesidad de tener que invertir explcitamente en medidas preventivas. Examinando la Figura 2 de una forma un poco distinta, una de las observaciones ms sorprendentes que podemos hacer a este nivel general es que la mayora de los riesgos que se tienen ms en cuenta estn directamente relacionados con las capacidades de los sistemas TI de la organizacin. La prdida de informacin crtica del negocio, por ejemplo, se traduce rpidamente en lo bien que la organizacin gestiona y protege la informacin en formato electrnico. Adems, con el gran nmero

Copyright 2006 Freeform Dynamics Ltd

www.freeformdynamics.com

Pg 4 de 13

de procesos que hoy dependen completamente de los sistemas de TI para funcionar, el tiempo de inactividad operacional y el tiempo de inactividad de los sistemas TI son sinnimos en muchos entornos. Existen dependencias similares en el rea de cumplimiento de normativas. Hoy en da est ampliamente aceptado que se requieren sistemas de TI para hacer el seguimiento, rastrear e informar acerca de las actividades empresariales con el nivel de detalle y precisin solicitado normalmente por las autoridades regulatorias. Luego, la seguridad est por encima de casi todo lo dems.

Variacin por sectores

Obviamente la sensibilidad ante tipos especficos de riesgos depender en cierto modo de la naturaleza del negocio y del entorno en el que est operando. Podramos esperar, por ejemplo, que un sector muy reglamentado como los servicios financieros sea particularmente sensible a los riesgos del rea de cumplimiento de normativas. En realidad, sin embargo, mientras que observamos interesantes variaciones en la sensibilidad ante el riesgo de sector a sector, existe una consistencia destacable en las organizaciones en lo que consideran como importante o no (Figura 3).

El sector pblico es el que est ms alerta ante los riesgos, mientras que la industria general (fabricacin, distribucin, etc.) es la que menos. Tambin se aprecia que los sectores con un alto grado de interaccin con el pblico o con los consumidores, por ejemplo, el sector pblico, los servicios financieros y las telecomunicaciones, son todos muy sensibles en las tres categoras ms altas de la clasificacin de riesgos, acentuando su dependencia en la automatizacin de transacciones, y la capacidad para capturar, almacenar y gestionar un gran volumen de informacin de forma segura.

Copyright 2006 Freeform Dynamics Ltd

www.freeformdynamics.com

Pg 5 de 13

Los impulsores del negocio para la gestin de riesgos

De entrada, se podra argumentar que los impulsores del negocio para la gestin de riesgos son bastante obvios, puesto que las organizaciones necesitan garantizar que pueden continuar operando con seguridad y legalmente. Frente a este plano, podramos no pensar en la gestin de riesgos como un elemento que impulsa el negocio si no vemos hasta qu grado la preocupacin respecto al riesgo puede frenar el avance de un negocio (Figura 4).

Durante la investigacin se vio que la mayora de organizaciones en algn momento no han podido aprovechar las ventajas de las ltimas tecnologas y prcticas laborales, tales como comunicaciones avanzadas, teletrabajo, automatizacin de la cadena de suministro, etc., debido a polticas, procesos o infraestructuras TI inadecuadas. Si le damos la vuelta a esto, aquellas organizaciones que tienen mayor capacidad para gestionar los riesgos tambin son ms capaces de evolucionar sus negocios para obtener un margen competitivo adicional, mientras que las organizaciones con menos confianza no lo pueden conseguir. En este sentido, es til pensar en trminos de resistencia, una analoga es que un soldado puede aventurarse en un territorio peligroso con el objetivo de ganar ventaja si est bien armado.

Esfuerzos para una gestin cohesionada de riesgos

La complejidad del panorama del riesgo junto con la gran necesidad existente de defensa y competitividad significan que hay ms organizaciones que estn tomando medidas para coordinar sus actividades de forma ms efectiva en una estrategia consistente de gestin de riesgos. Uno de los primeros pasos en esta direccin es a menudo el nombramiento de un nico directivo para supervisar los temas y actividades relacionados con el riesgo, el Responsable de Riesgos (denominado Chief Risk Officer en ingls), y es el sector de servicios financieros el que lidera esta rea (Figura 5).

Copyright 2006 Freeform Dynamics Ltd

www.freeformdynamics.com

Pg 6 de 13

Asimismo, vemos que las organizaciones estn empezando a atar cabos en reas especficas. Un ejemplo de ello en relacin con la seguridad es que actualmente muchas organizaciones coordinan polticas y procesos en su dimensin fsica y de sistemas (Figura 6).

Este tipo de movimiento cobra sentido plenamente si tenemos en cuenta que la incorporacin de un empleado a una organizacin, sus movimientos dentro de ella o el abandono de la organizacin, va acompaado por la concesin o cancelacin de un amplio abanico de privilegios, desde el acceso a sitios web, edificios y salas, hasta el acceso a sistemas TI especficos y tipos de informacin que contienen. Lo que impulsa una mayor cohesin aqu est relacionado con el riesgo y la eficacia. Durante el proceso de contratacin de un empleado, se puede tardar fcilmente das o semanas en proveer al usuario el correcto conjunto de privilegios si las polticas de seguridad no estn bien coordinadas, y cuando los empleados se trasladan o abandonan la organizacin, hay un alto riesgo de que los privilegios se pasen por alto o no se cancelen adecuadamente. Afortunadamente, la industria de las tecnologas de la informacin est respondiendo con soluciones de aprovisionamiento que permiten definir y ejecutar eficazmente las polticas relevantes en las dimensiones fsicas y de sistemas. Los mecanismos de autenticacin y acceso basados en tecnologas como tarjetas inteligentes y biometra tambin estn emergiendo para ayudar a la implementacin prctica y cumplimiento de polticas.

Copyright 2006 Freeform Dynamics Ltd

www.freeformdynamics.com

Pg 7 de 13

Otra rea en que la coordinacin est comenzando a ser ms importante es entre la gestin de la informacin y la seguridad (Figura 7).

Aqu, histricamente uno de los retos ha sido cmo securizar mejor los activos de informacin cuando se encuentran dispersos y a menudo se replican en diversos repositorios y diferentes localizaciones. Ante el crecimiento implacable del volumen de informacin y de los requerimientos para gestionar, rastrear y auditar los accesos a fin de cumplir con las normativas y regulaciones, las organizaciones estn llegando a la conclusin de que la seguridad y el almacenamiento estn intrnsecamente relacionados. A lo largo de su ciclo de vida, por ejemplo, un documento o mensaje puede residir en un dispositivo de telefona mvil, un ordenador de sobremesa, un servidor de archivos, un servidor de correo electrnico y, por ltimo, un archivo, a menudo simultneamente. Frente a esto, intentar proteger los datos implementando la seguridad a trozos en muchos y distintos repositorios est cargado de peligros. Por todo ello, es sumamente importante poner en marcha una poltica de coordinacin de la seguridad y el almacenamiento. Una vez ms, la industria de TI est respondiendo a esta necesidad, particularmente los proveedores de TI ms grandes, con soluciones de gestin en ambas reas que puedan proporcionar suites integradas o componentes sencillos de integrar. Lo anterior son slo ejemplos de las diferentes formas con las que las organizaciones estn intentando hacer un planteamiento ms cohesionado de la gestin de riesgos, pero unirlos puede ser un reto.

Copyright 2006 Freeform Dynamics Ltd

www.freeformdynamics.com

Pg 8 de 13

Retos para avanzar

Uno de los retos que existen en este momento es la fragmentacin en la forma en que est financiada la actividad de gestin de riesgos. Histricamente el problema ha residido en que a menudo la gestin de riesgos se considerado como un hilo que cruza muchas actividades distintas, ms que una actividad en s. Sin embargo, la realidad es que cuando las organizaciones analizan las distintas partes de su negocio, est claro que a menudo es necesaria una capa de inversiones para obtener los niveles esperados de cohesin. El problema que suele surgir es que las estructuras de financiacin y presupuestacin no pueden acomodar fcilmente inversiones de esta naturaleza (Figura 8).

Como podemos ver, ms de la mitad de las organizaciones que participan en el estudio no tienen un presupuesto asignado explcitamente para la actividad de gestin de riesgos ni a nivel de TI ni de negocio. La nica rea real de gestin de riesgos normalmente presupuestada es la de seguridad de las TI (Figura 9).

La conclusin es que las organizaciones dependen mucho de conseguir una mejor coordinacin influenciando el modo en que se gasta el dinero en proyectos e iniciativas individuales que no van dirigidos especficamente a resolver problemas relacionados con riesgos, por ejemplo, la implementacin de una aplicacin empresarial, la puesta a punto del sistema de transacciones, el encargo de una nueva sede o instalacin, etc. Luego el reto reside en que aunque las prioridades de

Copyright 2006 Freeform Dynamics Ltd

www.freeformdynamics.com

Pg 9 de 13

esos proyectos pueden tratar los riesgos que recaen en su mbito natural, pueden limitar la cantidad de financiacin disponible para abordar los requisitos relacionados con riesgos en un mbito ms amplio. Al igual que con la discusin sobre el aprovisionamiento en relacin con la seguridad, el tema aqu es de coste y eficacia, as como de riesgo. El gasto fragmentado puede llevar igualmente a reinventar la rueda o a crear fisuras entre los sistemas, las polticas y los procedimientos. Esto es importante porque sea cual sea el modo de asignacin de fondos, no hay duda de que el nivel general de gasto en gestin de riesgos est aumentando en la mayora de los casos, a menudo enormemente (Figura 10).

Finalmente, siguiendo con los retos, hay una obvia desconexin entre el negocio y las TI cuando se trata de definir los requisitos relacionados con riesgos a nivel empresarial (Figura 11).

De hecho, hoy en da esto puede ser uno de los mayores impedimentos para que muchas organizaciones avancen con eficacia en la evolucin de sus actividades de gestin de riesgos. Teniendo en cuenta que los riesgos ms importantes en la agenda estn ntimamente relacionados con la capacidad de los sistemas de TI, esta situacin est lejos de la ideal.

Copyright 2006 Freeform Dynamics Ltd

www.freeformdynamics.com

Pg 10 de 13

Discusin y conclusin
Los resultados de este estudio sugieren que mientras que las organizaciones generalmente han pasado a ser muy conscientes de los riesgos, reconociendo la mayora de ellas la necesidad de un planteamiento ms holstico para gestionar los riesgos, an queda mucho trabajo por hacer para atar todos los cabos eficazmente. En particular, es importante garantizar que la actividad de gestin de riesgos est financiada adecuadamente, lo cual puede requerir algunos ajustes en las estructuras de gestin y presupuestos. Quizs una de las reas ms obvias de debilidad, sin embargo, es la falta de involucracin de la direccin de TI en la definicin de los requerimientos de gestin de riesgos a nivel de negocio. Dado que el rendimiento y capacidad de los sistemas TI depende de una gestin eficaz de los riesgos, se debera aconsejar a la direccin ejecutiva para que animara y facilitara una mayor participacin de las TI en el proceso de planificacin. Mientras tanto, el progreso para conseguir una mejor coordinacin en reas especficas augura un buen futuro, de manera que la tendencia general definitivamente parece ir en la direccin correcta.

Copyright 2006 Freeform Dynamics Ltd

www.freeformdynamics.com

Pg 11 de 13

ANEXO A

Composicin de la muestra

Copyright 2006 Freeform Dynamics Ltd

www.freeformdynamics.com

Pg 12 de 13

Acerca de Freeform Dynamics

Freeform Dynamics es una firma de investigacin y anlisis. Hacemos el seguimiento e informamos sobre el impacto que tienen en el negocio la evolucin de los sectores de TI y comunicaciones. Como parta de esto, utilizamos una innovadora tecnologa de investigacin para recopilar la opinin directamente de los que intervienen en la estrategia, planificacin, compra e implementacin de tecnologas de la informacin y comunicaciones. Nuestro resultado por lo tanto se basa en la prctica del mundo real para que el uso de la mayora de profesionales de TI. Para ms informacin o para subscribirse al servicio de estudios gratuitos de Freeform Dynamics, visite www.freeformdynamics.com o pngase en contacto con nosotros a travs de la direccin info@freeformdynamics.com.

Acerca de Macehiter Ward-Dutton

Macehiter Ward Dutton es una firma de consultora que se centra exclusivamente en los temas relacionados con la alineacin de las TI y el negocio. Utilizamos nuestra importante experiencia en el sector, capacitados expertos y un enfoque flexible para aconsejar a las empresas sobre la arquitectura, integracin, gestin, organizacin y cultura de las TI.

Acerca de CA
CA es una compaa de software de gestin de las TI. Posee una visin clara de cmo las organizaciones pueden gestionar entornos TI complejos en la empresa para aprovechar todo el potencial de la tecnologa en beneficio del negocio. CA cree que los sistemas, los procesos y las personas deberan trabajar de forma coordinada y segura apoyando los objetivos de una organizacin. CA unifica los sistemas, procesos y personas. Su incomparable oferta de software y dcadas de experiencia hacen sencillo lo complejo. Las organizaciones ganan en flexibilidad. Puede gestionar los riesgos, gestionar los costes, mejorar el servicio y alinear las inversiones en TI con las necesidades del negocio, en toda la organizacin. Para ms informacin sobre CA, visite www.ca.com.

Copyright 2006 Freeform Dynamics Ltd

www.freeformdynamics.com

Pg 13 de 13