Universidad de Cundinamarca

Gerencia Informática
Ing. Gina Valenzuela s.

Septiembre de 2020

1
 El Balanced Score Card como
herramienta de apoyo a la
Administración de la Seguridad
Activos de Información

2
Agenda

 El papel de la alta
Gerencia en la
Organización
 La seguridad de
Activos de
Información
 El Balanced Score
Card como
herramienta
gerencial

3
Objetivos Estratégicos de la Alta Gerencia
 Maximizar la rentabilidad
 Maximizar la competitividad
 Maximizar la productividad
 Maximizar la calidad
 Maximizar la participación en el mercado
 Maximizar el crecimiento y la expansión de la
organización

4
Objetivos Estratégicos de la Alta Gerencia (2)
 Maximizar y proteger los activos de la organización
 Minimizar los pasivos de la organización
 Minimizar los costos
 Minimizar el nivel de riesgo y exposición de la
organización
 Garantizar la supervivencia futura de la organización

5
Misión de la Alta Gerencia

La Misión de la Alta Gerencia es

actuar con la “Diligencia Debida”
de manera que se logren TODOS
los objetivos.

6
Tareas de la Alta Gerencia

Etapa de Formulación y
Planear Hacer
Ejecución

Etapa de
Actuar Controlar Seguimiento y
Control

7
La Información es un activo
valioso de la organización

8
La Infraestructura
Computacional es un activo
valioso de la organización

9
La Alta Gerencia debe proteger
los activos de la organización

10
La Alta Gerencia debe minimizar
el nivel de riesgo y exposición de
la organización

11
La Seguridad de activos de
Información es un componente
fundamental de la “Diligencia
Debida” que debe practicar la
Alta Gerencia de la Organización

12
¿Qué es la Seguridad de activos de información?

La Seguridad de activos de información

es la implementación de políticas
dictadas por la Alta gerencia, respecto a
los activos de información de la
organización y a su infraestructura
computacional asociada

NewNet S.A. –Derechos Reservados 13

El Rol de la Alta Gerencia en la Seguridad de activos de información

 La Alta Gerencia dicta las políticas de Seguridad

respecto a los activos de información de la
organización y a su infraestructura asociada
 El Área Técnica implementa las políticas dictadas
por la Alta Gerencia
 La Alta Gerencia hace seguimiento y control para
garantizar que la adecuada implementación de sus
políticas

14
La Seguridad de activos de información y la Alta Gerencia

 La Alta Gerencia está encargada de dictar las políticas

para toda la organización
 Es la que mejor conoce el negocio, la organización y los
objetivos misionales

15
La Seguridad de activos de información y la Alta Gerencia (2)

 Es la que sabe cuáles son los activos importantes para

la organización
 Es la que debe decidir qué es lo que hay que proteger,
qué se debe proteger primero, y hasta dónde se debe
proteger (activos a proteger, prioridad y alcance)

NewNet S.A. –Derechos Reservados 16

Problema # 1

La Alta Gerencia no sabe de Tecnología

17
Problema # 2

La Alta Gerencia no sabe de Seguridad

18
Problemática de la Alta Gerencia

 ¿Cómo planear y ejecutar el aseguramiento de los

activos de información de la organización?
 ¿Cómo hacer segumiento y control de la gestión en
Seguridad de activos de información en la
organización?

19
Con Herramientas de Control Gerencial !!

20
Algunas Herramientas de Control Gerencial
 Balanced Score Card (Gerencia Estratégica)
 Análisis Sistémico de TI en la organización (Cibernética
Organizacional)

 ROI (Return of Investment) en Seguridad de Activos de

Información (Análisis Financiero y de Viabilidad)
 Auditoría de Seguridad de Activos de Información
(Auditoria)

21
Evolución de la Seguridad de Activos de Información

Gerencial

Técnico

1970 1980 1990 2000 2010

22
 El Balanced Score Card
El Balanced Score Card fué desarrollado en la Universidad de
Harvard a principios de los 90`’s por Robert Kaplan y David
Norton
El Balanced Score Card Permite a las organizaciones
aclarar su visión y su estrategia, traduciéndolas en
acciones específicas
El Balanced Score Card es una herramienta de Gerencia
Estratégica

23
Objetivos
 Garantiza que los procesos de aseguramiento estén
alineados con las metas y los objetivos organizacionales.
 A través de indicadores de gestión, permite a la alta
gerencia medir el desempeño de los procesos de
aseguramiento.
 Permite que la seguridad se anticipe al entorno, por
medio de procesos de planeación estratégica.

24
Balanced Score Card

25
BSC aplicado a la Seguridad
Informática
 Permite evaluar el desempeño del sistema de
seguridad informática con respecto a los objetivos
estratégicos de la organización.
 Permite establecer estrategias para alinear el sistema
de seguridad informática con los requerimientos
impuestos por la estrategia corporativa.

 Permite que la alta gerencia conozca el desempeño

interno del sistema de seguridad informática, sin tener
que “aprender” de tecnología.

26
Balanced Score Card
 Permite sustentar proyectos de inversión en
tecnología, a través de proyecciones de mejoras en el
desempeño del sistema de seguridad.
 Permite mostrar un “retorno a la inversión” a la alta
gerencia, a través de mejoras en el desempeño del
sistema de seguridad, cuando se hayan hecho
inversiones en infraestructura de seguridad.

¿Cómo se ve en 5 años?
27
Perspectivas del Balanced Score Card
La proyección a 5 años, para que sea completa, debe hacerse
desde diferentes perspectivas

28
¿Cómo medir el estado en las diferentes perspectivas?
 Se escoge una perspectiva
 Se especifica donde se quiere estar (Meta)
 Se define dónde se está por medio de un
procedimiento, fórmula matemática, medición, o un
conjunto de los anteriores (Indicador de gestión)

29
Indicadores e Índices de gestión
 Indicadores: Herramienta que mide el desempeño
de la gestión en una faceta determinada
 Índices: Estado del indicador respecto a la meta

Índice = Indicador / Meta

30
Aplicando el BSC
 Se define qué es lo importante
 Se generan indicadores de gestión que permitan
medir el estado actual respecto a lo importante.
 Se definen metas para cada indicador, generando
así índices de gestión
 Se genera un plan de trabajo para llevar los
indicadores de gestión a la meta
 Se hace un seguimiento mide contínuo de la
variación en los indices de gestión

31
Balanced Score Card como herramienta de Diagnóstico

 ¿Cómo debería estar la seguridad en mi

organización?

Conjunto de requerimientos de seguridad que deberían satisfacerse

 ¿Cómo está la seguridad en mi organización?

Conjunto de requerimientos que están satisfechos

32
¿Qué se obtiene del Diagnóstico?
 Un listado de requerimientos no satisfechos, que se
deben satisfacer para lograr llegar al estado deseado en
Seguridad
 Un plan para lograr llegar a ese estado deseado
 Indicadores para medir y controlar la evolución de los
procesos de aseguramiento

33
Balanced Score Card como herramienta de Planeación
Estratégica

 ¿Cómo está la seguridad en mi organización?

Conjunto de requerimientos que están satisfechos

 ¿Cómo estará la organización en 5 años?

Conjunto de requerimientos nuevos que generará el negocio
en 5 años

 ¿Cómo debería estar la seguridad en 5 años?

Conjunto de requerimientos que deberían satisfacerse en 5
años

34
¿Qué se obtiene de la Planeación Estratégica?
 Un listado de requerimientos futuros, que se deben
satisfacer en 5 años para lograr llegar al estado deseado
futuro en Seguridad
 Un plan para lograr llegar a ese estado deseado futuro
 Indicadores para medir y controlar la evolución de la
seguridad en el tiempo

35
El Balanced Score Card como herramienta de control Gerencial

 ¿Cómo estaba el área de seguridad en el diagnóstico

inicial?
 ¿Cómo está ahora?
 ¿El cambio ha sido positivo?
 ¿El cambio se ha realizado dentro del tiempo previsto?
 ¿Cómo debe estar en unos años?

36
Las Perspectivas del BSC

37
BSC: Perspectiva Financiera
 La pérdida de confidencialidad, integridad o
disponibilidad puede tener un impacto
financiero significativo en la organización
 La pérdida de imagen organizacional puede tener
un impacto enorme en las relaciones con la
coopetencia, clientes y proveedores,
perjudicando los indicadores financieros de la
organización
 Los entornos interconectados y el e-business
generan responsabilidades compartidas con la
coopetencia, los clientes y/o los proveedores

38
Ejemplos de indicadores IT de la Perspectiva Financiera
 Costo de horas/hombre destinadas a atender incidentes de seguridad
informática
 Costo de pérdida de productividad por la no disponibilidad del sistema
de información
 Costo de volver a levantar y a digitalizar información perdida por
incidentes de seguridad
 Costo de imagen organizacional perdida por incidentes de seguridad
informática
 Costo de negocios perdidos por desconfianza de los clientes victimas de
incidentes de seguridad informática
 Costos por demandas de responsabilidad civil por daños y perjuicios
sobre la información de coompetencia, clientes o proveedores
 Reducción de gastos por utilización de insumos
 Reducción de gastos por mantenimientos de equipos oportunos

39
BSC: Perspectiva del Consumidor
 Los consumidores de “seguridad” son la
competencia, los clientes y los proveedores
 Una percepción positiva de la seguridad por parte
de los consumidores internos aumenta la
productividad y mejora el ambiente de trabajo
 Una percepción positiva de la seguridad por parte
de los consumidores externos fortalece la
confianza y facilita las relaciones

40
Ejemplos de indicadores IT de la Perspectiva del Consumidor

 Percepción de la confiabilidad de los sistemas de

información de la organización
 Percepción de la seguridad de los sistemas de
información de la organización
 Percepción de la complejidad de interactuar con los
sistemas y dispositivos de control
 Reducción de compensación por responsabilidad civil
por daños y perjuicios
 Numero de quejas y/o reclamos en un periodo
 Numero de clientes captados en un periodo
41
 BSC: Perspectiva de procesos internos
del negocio
 Permite identificar los procesos internos críticos en los
cuales la organización debe ser exitosa.

 En el caso del sistema de seguridad informática, la

prioridad es que los procesos internos sean eficientes, y
satisfagan por completo los requerimientos de sus
“consumidores”

 Esto permitirá atraer clientes para los cuales la seguridad

informática de la empresa es importante, y mejorar los
resultados financieros por optimización en la utilización de
recursos.

42
Ejemplos de indicadores de la Perspectiva de Procesos Internos de
Negocio

 Equilibrio entre Productividad y Seguridad

 Eficiencia de los controles y dispositivos de seguridad
 Habilitación de dispositivos en linea para supervisión
de usuarios
 Reducción de horas/hombres en atención de
incidentes informáticos
 Reducción de vulnerabilidad de pérdida de
información
 Novedades en la postventa

43
Perspectiva de aprendizaje y
crecimiento
 Permite evaluar si la organización aprende de errores e incidentes
pasados y evita volver a cometerlos

 Permite evaluar si las características del sistema de seguridad

informática pasadas y presentes lo hacen adecuado para afrontar
condiciones futuras.

 Permite definir requerimientos futuros que se deben cumplir para

lograr los objetivos y estrategias organizacionales

 Evalúa las capacidades de los empleados y las capacidades de los

sistemas de información (SI)

 Define cómo usar las experiencias pasadas (y la información obtenida

de ellas) para aprender y mejorar el desempeño futuro.
44
Ejemplos de indicadores de la Perspectiva de Aprendizaje y
Crecimiento

 Ocurrencias de Incidentes que ya se habian

presentado, sobre el total de incidentes
 Incidentes solucionados con base en la documentación
de incidentes anteriores
 Nivel de concientización
 Aprendizaje de los empleados del área IT
 Aprendizaje tecnológico de la empresa en un periodo

45
Dimensiones del BSC en los
empleados
La medición de la satisfacción del empleado
Los empleados satisfechos son una condición previa para el
aumento de la productividad y la calidad de sus procesos.
Algunos de los indicadores:
 Cantidad de tiempo invertido en la solución de conflictos
laborales, Evolución de los conflictos, Número de
conflictos con los gremios, Horas perdidas por conflicto
También deben incluir los índices que permitan medir:
 Reconocimiento por el trabajo bien realizado, Acceso a la
información y herramientas para realizar bien el trabajo.

46
Dimensiones del BSC en los
empleados
La medición de la retención de los empleados
Toda empresa invierte a largo plazo en sus empleados, por lo
tanto si se producen desvinculaciones no deseadas, para la
empresa representará una pérdida de capacidad en el manejo
de los procesos de negocios. La retención del personal puede
ser medida por medio de los siguiente indicadores:
 Rotación del personal (Cantidad de egresos/Dotación
promedio), Rotación por decisión del empleado, Salida por
iniciativa de empleado Vs. Total de Salidas, Salidas en el
período de prueba.

47
Dimensiones del BSC en los
empleados
La medición de la productividad de los empleados
El objetivo es relacionar el resultado producido por los
empleados, con el número de empleados utilizados para
producir ese resultado. Alguno indicadores:
 Monto de la nómina del personal como porcentaje de los
ingresos de la empresa, Productividad del personal
 Disminución de costos y tiempos de procesos por la
capacitación de los empleados, Disminución del número
de accidentes de trabajo
 Cantidad de tareas que son realizadas en un período mayor
de tiempo al programado por problemas de la
administración del personal.
48
Perspectiva de responsabilidad
social
 Permite evaluar si la organización está cumpliendo con los
compromisos que son asumidos de manera intrínseca por
todo miembro de la sociedad, ya sea persona natural o
jurídica.

 Va mucho más allá de cumplir con la ley, y tiene claras

connotaciones éticas y morales.

 Podría considerarse una obligación moral el asegurar un

sistema de información para evitar que sea usado como
plataforma de ataques contra terceros.

49
Ejemplos de indicadores IT de la Perspectiva de Responsabilidad
Social

 Ocurrencias de distribución de spam desde los

servidores de correo de la organización
 Ocurrencias de propagación de virus desde la
infraestructura de la organización
 Ataques de Negación de Servicio a terceros desde la
infraestructura organizacional
 Penetración de sistemas de terceros desde la
infraestructura organizacional
 Impacto del SI organizacional en el entorno de
empresa

50
Conclusiones
Al aplicar el BSC, se garantiza que
 La seguridad informática va a estar alineada con los
requerimientos de la organización
 El nivel de aseguramiento informático se mantendrá
adecuado a lo largo del tiempo
 La alta gerencia podrá hacer un control de gestión de la
seguridad informática

51
Conclusiones
 La Seguridad es parte de las responsabilidades de la Alta
Gerencia.
 La gerencia requiere de la implementación de herramientas de
control gerencial para poder desempeñar sus funciones de
manera adecuada
 El BSC es una herramienta que permite gerenciar la seguridad en
la organización
 Los objetivos estratégicos determinan los Objetivos
Operacionales que se aplicarán a distintas áreas y/o funciones de
una organización
 Llamamos mapa estratégico al conjunto de objetivos estratégicos
que se conectan a través de relaciones causales. Los mapas
estratégicos son el aporte conceptual más importante del
Balanced Scorecard.
52
 Preguntas
y
Comentarios

53