Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CioPeru AlineaciondelasTI
CioPeru AlineaciondelasTI
6 El espectro de riesgos TI
ISACA, la asociación global sin ánimo de
8 El método IBM® de gestión del riesgo TI para
la empresa
lucro para profesionales de sistemas de la
10 Resumen información y TI, define el riesgo TI como
‘el riesgo de negocio asociado al uso, la
10 ¿Por qué IBM?
propiedad, la operación, la implicación, la
12 Para más información
influencia y la adopción de TI dentro de
una empresa’1.
Resumen ejecutivo
Prácticamente para cualquier operación de negocio actual,
Un medio más eficaz para gestionar el impacto que puede
las tecnologías de la información (TI) son un componente
causar el riesgo TI en su empresa implica adoptar un enfoque
esencial e indispensable. Aunque la dependencia de TI
más integral. Por medio de este método, las capacidades de
proporcione ventajas evidentes, también plantea retos
prestación de servicios TI pueden estar más directamente
de negocio significativos. La complejidad de las TI y su
vinculadas con lo que necesita la organización para poder
interconexión con tantas áreas del negocio hace que las
mejorar la fiabilidad, la flexibilidad y la agilidad que le permita
organizaciones sean más vulnerables que antes a los riesgos
cumplir los objetivos y metas de negocio. Un enfoque así ayuda
inherentes. Los sucesos que afectan a las TI, que anteriormente
a proporcionar información más exacta y puntual acerca del
podían estar confinados dentro del departamento de TI, ahora
riesgo que el estado actual de la prestación de servicios TI
pueden afectar a todo el negocio. La pérdida de datos, su
plantea a los objetivos de negocio de una empresa y, de este
corrupción o su inaccesibilidad – así como las infracciones
modo, ayuda a priorizar los correspondientes esfuerzos de
de seguridad y los fallos de infraestructura – rápidamente
mitigación.
adquieren relevancia pública que puede afectar gravemente
a la productividad de una organización, su reputación y su
Este documento técnico examina los retos y riesgos de negocio
capacidad para alcanzar sus objetivos estratégicos.
que la dependencia de TI ha traído consigo y por qué los
enfoques tradicionales a la gestión del riesgo TI no son
A pesar del amplio impacto de negocio que pueden causar las
adecuados. A continuación, presenta un enfoque estructurado
amenazas TI, muchas organizaciones no toman en consideración
que vincula de nuevo la gestión del riesgo a las iniciativas
la alineación de sus planes de gestión del riesgo TI con sus
estratégicas de negocio globales de la organización. Gracias a
una mejor alineación de las TI con las necesidades de negocio,
IBM Global Technology Services 3
la organización TI puede ayudar a la empresa a operar de forma confianza en la capacidad de sus organizaciones para identificar
más rentable y mejorar su capacidad para dar respuesta al cambio y gestionar eficazmente el riesgo TI. Considere, por ejemplo,
con decisiones más mesuradas e informadas. las siguientes conclusiones de tres estudios diferentes de IBM:
Evolución del reto de negocio planteado ●● Directores del departamento de información (CIO) que
por la gestión del riesgo TI han expresado su inquietud por la gestión del riesgo y el
En los primeros días de la evolución de las tecnologías de la cumplimiento normativo: 58%2
información, las TI principalmente hacían referencia al hardware
●● CIOs que han valorado el enfoque global de sus empresas
y la red de una organización, que simplemente proporcionaba para la mitigación del riesgo TI como ‘medio’ o ‘bajo’: 34%3
un medio para procesar información, así como guardar y copiar
●● Altos ejecutivos que han admitido no tener una función de
datos de forma segura. Con el tiempo, la necesidad de lograr gestión del riesgo formal en marcha: 30%4.
una mejor eficiencia del negocio, la mayor dependencia en la
tecnología para la ejecución de transacciones de negocio críticas Enfoque tradicional a la gestión del
y la sed de más información e informes analíticos más complejos, riesgo TI
han hecho que el papel que las TI juegan en el éxito del negocio ¿Por qué hemos desarrollado tanta falta de confianza en la
se entremezcle inexorablemente con la operación del negocio en gestión del riesgo TI? Las amenazas a los servicios TI presentan
sí. El soporte de TI para los objetivos de negocio ha aumentado riesgos en el negocio cuando se explotan las vulnerabilidades
hasta incluir tareas como la acomodación de un mayor número en un amplio espectro. Muchas compañías siguen analizando
de datos y aplicaciones, organizándolos de forma que sean útiles el riesgo a través de una lente muy estrecha que focaliza su
y almacenándolos de manera que sean siempre accesibles. atención en el impacto financiero de la prestación de servicios
Adicionalmente, la gestión de TI es responsable del empleo TI. Este enfoque ‘tradicional’ empieza por la identificación de
de un amplio conjunto de procesos, personas, instalaciones y amenazas convencionales – incendios, inundaciones, cortes
estrategias para ofrecer los resultados previstos en la empresa. de tensión, vandalismo, terrorismo y fallos de seguridad – en
Debe gestionar estas responsabilidades – a la vez que también base al impacto potencial que dichas amenazas causarían en
cubre la creciente demanda de flexibilidad y disponibilidad la disponibilidad, recuperabilidad y seguridad del negocio.
24x7 – con un menor presupuesto TI y un menor número de No obstante, las amenazas que quedan fuera del dominio
personas. convencional se pasan fácilmente por alto. Si una organización
no puede identificar amenazas o determinar con exactitud su
Esta dependencia evolutiva en las TI también ha aumentado el probabilidad, no puede evaluar su vulnerabilidad real a ellas.
impacto que los riesgos TI pueden causar en todo el negocio de
una organización. La prioridad más alta otorgada a la resiliencia Una vez se han identificado las amenazas convencionales, el
de negocio, junto con la estandarización y el ensanchamiento de siguiente paso en un enfoque tradicional consiste en priorizar
la gestión del riesgo hasta englobar las unidades de negocio y sus la gestión de dichas amenazas de acuerdo con los potenciales
procesos, ha ayudado ciertamente a disminuir dichos riesgos. costes, pérdidas y efectos operacionales en el negocio. Aunque
En todo caso, muchos directivos empresariales carecen aún de
4 Alineación de las TI con los objetivos estratégicos de negocio
el acto de cuantificar y cualificar estos factores pueda aportar ●● Disminuir la exposición financiera y reputacional
información útil en el análisis del riesgo, no tiene en cuenta ayudando a proteger al negocio de la divulgación de
la necesidad de dirección de alinear las prioridades de la toma información negativa, pérdidas y multas o penalizaciones
de decisiones con los objetivos de negocio. Se trata de una ●● Incrementar su ventaja competitiva ayudándoles a dar
limitación significativa del enfoque tradicional y no es coherente respuestas calculadas al riesgo que, de cuyo conocimiento
con el estándar 31000 de la Organización Internacional para puedan carecer los competidores.
la Estandarización (ISO), que pone énfasis en la gestión
del riesgo como una disciplina estratégica para la toma de Al vincular las técnicas de riesgo clásicas directamente a las
decisiones ajustadas al riesgo en lugar de una función basada en iniciativas estratégicas de negocio, las organizaciones pueden
el cumplimiento normativo. Puesto que el enfoque tradicional documentar más fácilmente los indicadores clave de rendimiento
no establece un vínculo con los objetivos empresariales y las (KPI) y los indicadores clave de riesgo (KRI), y priorizar los
iniciativas estratégicas de negocio, no puede demostrar el efecto riesgos en base a su impacto o contribución en los objetivos
de los riesgos al alcanzar dichos objetivos. estratégicos. Adicionalmente, la empresa tiene más capacidad
para implementar planes equilibrados de gestión del riesgo,
Si una organización no puede identificar emplear planes de comunicación claros y monitorizar
continuamente los indicadores de riesgo.
amenazas o determinar con exactitud
su probabilidad, no puede evaluar su La importancia de unas métricas más sólidas
vulnerabilidad real a ellas. Son cada vez más las empresas que definen KPIs como métricas
para supervisar y gestionar su rendimiento en todos los niveles
de gerencia involucrados en la implementación y el logro de
Adoptar un enfoque integral iniciativas estratégicas de negocio. Los KPIs se consolidan en
Para poder identificar de forma adecuada los riesgos de negocio informes para proporcionar a los miembros del consejo una
asociados al uso de las TI, las organizaciones necesitan adoptar visión general del rendimiento histórico de la empresa y los
una visión más amplia del riesgo TI, que vaya más allá de los logros previstos de las iniciativas estratégicas de negocio. Las
estándares tradicionales y que alinee las TI con la dirección métricas también son necesarias para supervisar y gestionar
estratégica del negocio. Concretamente, necesitan un enfoque riesgos; no obstante, los KPIs no son adecuados para esta
que permita: finalidad, ya que se basan en datos históricos del rendimiento.
●● Mejorar la alineación de las TI con las necesidades Por el contrario, se necesitan KRIs como indicadores de
de negocio para ampliar la agilidad de negocio dando una aviso por adelantado que alerten a la organización de riesgos
respuesta más rápida al cambio con decisiones medidas e emergentes mucho antes de que dichos riesgos se produzcan
informadas realmente, lo cual permite a las empresas capturar oportunidades
●● Proteger la imagen de marca y los ingresos ayudando a o disminuir el impacto potencial negativo en la capacidad
evaluar las amenazas a la infraestructura de TI, su impacto o que tiene la organización para alcanzar sus objetivos. Estos
ventaja potencial en el negocio y la tolerancia al riesgo de una indicadores deben alertar a la organización con suficiente
organización para ayudar a planificar una estrategia realista antelación para dar tiempo a reaccionar y adoptar las
●● Mejorar los niveles de servicio TI para lograr las correspondientes medidas para contrarrestar el riesgo.
iniciativas estratégicas de negocio ayudando a gestionar
el riesgo TI con información más exacta y adecuada
IBM Global Technology Services 5
Escalabilidad y rendimiento: Mantener un rendimiento más Una cadena de tiendas de EE.UU. experimenta un aumento sin precedentes en el
número de compradores online, lo cual inhabilita su tienda web. La incapacidad de
aceptable basado en las necesidades de negocio y adoptar la empresa para adaptarse a la demanda causa una pérdida de ventas, publicidad
adecuadamente los cambios en el volumen de servicios de negocio. negativa y una pérdida de confianza de los clientes para comprar online.
Seguridad y protección de datos: Proporcionar los Un fabricante industrial de Tokio deja de actualizar sus cortafuegos y su software
antivirus. Los piratas informáticos acceden a datos de clientes, lo que se traduce en
controles de acceso adecuados a la vez que se ayuda a la cancelación de contratos y la pérdida de confianza de los clientes.
proteger la información y los recursos de negocio.
Exactitud y puntualidad: Proporcionar datos más exactos a Un banco europeo aplica actualizaciones de aplicaciones que corrompen datos
de clientes, lo cual provoca una parada informática durante varios días, retrasos
las personas adecuadas y en el momento oportuno para permitir
inaceptables en las actualizaciones de cuentas y una amplia repercusión mediática
una toma de decisiones más informadas. y mandatos de investigación.
Figura 2: El Espectro de riesgos TI está formado por cinco categorías basadas en objetivos de negocio.
IBM Global Technology Services 7
Disponibilidad y recuperabilidad: Los ejecutivos de negocio y TI ●● Proveedores. Empresas y agencias gubernamentales que
deben establecer conjuntamente estrategias de disponibilidad suministran los materiales, servicios e información críticos
y recuperación por medio de un proceso definido y repetible, y necesarios para permitir que la empresa opere y realice
así como el correspondiente gasto, para ayudar a cumplir dichos operaciones de negocio
requisitos de negocio. La organización debe poder utilizar ●● Infraestructura. Componentes bajo en control de la empresa
métodos y herramientas avanzadas para dar una respuesta más que facilitan las operaciones, tales como la seguridad física,
puntual a las incidencias, problemas y cortes de servicio – así sistemas eléctricos, agua y refrigeración
como poner en marcha un continuo proceso de mejora. ●● ‘Exoestructura’. Componentes críticos del ecosistema, fuera
del control de la empresa, como el suministro de electricidad,
Los riesgos TI ejercen constantemente una gran presión en el suministro de agua, carreteras, transporte, alimentación,
el negocio principal de una organización. Al proporcionar una comunicaciones y gobierno.
visión prescriptiva de la empresa y un conocimiento de cómo
afectan los riesgos TI a objetivos específicos de negocio, el
espectro de riesgos TI ayuda a la organización a determinar
qué nivel de impacto pueden causar dichos riesgos en el negocio
principal.
Enfoque de
pun
Ex a
los componentes revisables y permita el análisis tanto de IBM a la gestión
t ua l i dad
c t i tud y
del riesgo para
dependencia como paralelo. Este marco de trabajo está su negocio
p r otec
da
c
i
dy
son necesarios para habilitar las operaciones de negocio: e de
da
to s A g ili da ad
id one d i
El método IBM de gestión del riesgo Por último, la organización define roles y responsabilidades
TI para la empresa claros, lo que facilita la inclusión de todos los participantes
IBM ha establecido un método condensado de gestión del necesarios de la organización. La amplia implicación de
riesgo basado en el estándar ISO 31000 que, cuando se aplica personas de varios departamentos es una tendencia actual
al dominio TI, puede proporcionar una arquitectura de riesgo global5. La definición de roles de este modo ayuda a establecer
más compatible y que puede interactuar más fácilmente con las responsabilidades del riesgo TI de la empresa y proporciona
prácticamente cualquier programa de gestión del riesgo a nivel los nombres de las personas asociadas a roles específicos en toda
de toda la empresa. Las tres fases de este método – determinar, la empresa.
evaluar y actuar – se describen a continuación.
Evaluar
Determinar Con los objetivos de negocio definidos, las áreas de riesgo TI se
El primer paso en el método de IBM es establecer el alcance definen en relación con las iniciativas estratégicas de negocio,
y los objetivos del programa de gestión del riesgo TI. Un alineando directamente los servicios TI con su soporte de los
programa de riesgo TI engloba las actividades necesarias para objetivos de negocio. Un elemento crítico del establecimiento
identificar, evaluar y responder continuamente a las amenazas y de una gestión global del riesgo para la resiliencia de negocio
sus riesgos relativos para la empresa. Sin objetivos identificados es la capacidad para evaluar un amplio conjunto de riesgos
o roles y responsabilidades claramente definidos, los posteriores de una forma equilibrada para poder crear una imagen global
procesos de gestión están en peligro. La definición tanto del de las amenazas y las oportunidades a las que se enfrenta la
alcance como de los roles en las primeras etapas del proceso de organización6. Por medio de una guía como el Espectro de
definición del programa ayuda a obtener la aceptación interna riesgos TI y del análisis de los servicios TI necesarios en toda
del proceso y de la posterior petición de acciones de mitigación la empresa para dar soporte a las iniciativas de negocio, la
de los responsables recién identificados del riesgo TI. organización puede identificar más fácilmente cuáles son las
áreas de servicios TI más necesarias para poder ser más ágiles
El establecimiento del alcance se puede llevar a cabo en la respuesta al cambio. La clara comprensión de la relación
determinando las iniciativas estratégicas de negocio, definiendo existente entre los servicios TI que dan soporte a esas iniciativas
los obejtivos de gestión del riesgo TI e identificando los agentes es un aspecto importante de la evaluación del riesgo.
de tensión internos y externos. El alcance del programa se ha
diseñado para ser muy focalizado al principio, ampliándose ‘Las TI son una parte importante de nuestra
posteriormente hasta incluir toda la empresa. Otros factores gestión del riesgo porque nada puede hacerse
que determinan el alcance pueden ser el tiempo necesario para
la actividad y las ubicaciones que deban incluirse. Es también sin ellas en la actualidad’, dice Kris Wiluan,
durante esta fase que se selecciona el método de evaluación director ejecutivo (CEO) de KS Energy
del riesgo y se describen los subsiguientes sistemas de medición Services Limited7.
del proceso de gestión del riesgo TI.
IBM Global Technology Services 9
A medida que el negocio lleva a cabo la transición a este nuevo Mediante la implementación de un enfoque integral y
sistema de gestión, necesita el continuo compromiso de la alta estructurado, las organizaciones pueden asignar recursos en
dirección, tal como se ha establecido en la fase de determinación la empresa, monitorizar continuamente el riesgo TI mediante
y adecuar los recurdos para desarrollar sólidos programas de métricas significativas y comunicar el programa de gestión del
comunicación, sensibilización y formación. Estos programas riesgo TI a todos los grupos de interés. Esta cultura proactiva
son necesarios para soportar la integración de la gestión del del riesgo hace posible dar una respuesta más rápida y adecuada,
riesgo TI en las actividades más amplias del gobierno, el riesgo así como encontrar el equilibrio óptimo entre el riesgo TI y el
y el cumplimiento normativo10. Adicionalmente, el hecho de coste de la mitigación del riesgo.
sensibilizar a todos los grupos de interés, formarlos y que sean
capaces de utilizar el programa de riesgo TI, ayuda a poner de ¿Por qué IBM?
relieve que la gestión del riesgo TI forma parte del trabajo de IBM proporciona servicios de gestión del riesgo TI a clientes
todo el mundo. Durante esta fase de transición, estos programas que necesiten identificar, conocer, gestionar y responder más
de formación y sensibilización deben dirigirse a todos los proactivamente a los riesgos operacionales y a las disrupciones
niveles de empleados y deben ayudar a los grupos de interés de negocio. Podemos ayudarle a mantener operaciones de
a comprender sus roles y empezar a elaborar informes normales negocio casi continuas, permitiéndole proteger mejor su imagen
en los diferentes niveles implicados en el programa. de marca y dar soporte al crecimiento de su cuenta de resultados
y seguir siendo un proveedor de confianza para sus clientes y
Resumen socios. Por medio de estándares de la industria, tales como ISO
La proliferación de servicios TI críticos para el logro de e ISACA, los especialistas en resiliencia de IBM se familiarizan
los objetivos estratégicos de negocio presenta riesgos y con su entorno, ayudan a adaptar el marco de resiliencia a sus
oportunidades únicos. Más que nunca, las TI deben ser fiables, necesidades únicas, revisar los materiales auxiliares respectivos
predecibles, disponibles y seguras para poder soportar procesos que deben utilizarse en la evaluación y proporcionar una hoja
críticos de negocio e iniciativas clave. La identificación de los de ruta para la remediación y la mejora. Como uno de los líderes
riesgos para el negocio asociados al uso de las TI requiere una globales en soluciones TI, IBM ofrece una amplia gama de
amplia visión de los riesgos TI y de los servicios TI en toda la productos y servicios, que nuestros asesores aplican para ayudar
organización. Esto no se puede llevar a cabo adecuadamente con a satisfacer las necesidades de gestión del riesgo en constante
el enfoque tradicional que solamente contempla las amenazas evolución.
físicas y naturales que pueden afectar a la prestación de servicios
TI. Al contrario, como ha demostrado este artículo, es el
momento de que las TI tiendan la base de la evaluación de
impactos basada en las amenazas y que amplíen el espectro
de riesgos que incluyen para proteger mejor a la empresa
y que le permita cumplir sus objetivos estratégicos.
Notas
Para más información
Si desea obtener más información sobre IBM Resiliency
Consulting Services, el método de gestión del riesgo TI de
IBM o el espectro de riesgos TI, puede ponerse en contacto
con su representante de marketing de IBM o Business Partner
(BP) de IBM, o bien visitar la siguiente página web: IBM España, S.A.
Tel.: 901 100 400
ibm.com/services/continuity C/Sta. Hortensia, 26-28
28002 Madrid
Por otra parte, IBM Global Financing puede ayudarle a adquirir España
las soluciones de TI que su empresa necesita de la forma más La página inicial de IBM se encuentra en ibm.com
estratégica y rentable posible. Nos asociaremos con clientes IBM, el logotipo de IBM e ibm.com son marcas registradas de International
con crédito para personalizar una solución de financiación de Business Machines Corporation en Estados Unidos, en otros países o en
TI que se adapte a sus objetivos empresariales, permitir una ambos. Si éstas y otras marcas registradas de IBM son marcadas en su
primera aparición en esta información con un símbolo de marca registrada
gestión eficaz del dinero y mejorar su coste total de propiedad. (® o ™), estos símbolos indican marcas registradas en EE.UU. o marcas
IBM Global Financing es su elección más inteligente para registradas según el derecho constitucional de propiedad de IBM en
financiar inversiones fundamentales en TI y propulsar su el momento que se publicó esta información. Estas marcas registradas
también pueden ser marcas registradas o marcas registradas según el
empresa. Si desea más información, visite: ibm.com/financing/es derecho consuetudinario en otros países.
de las tecnologías de la información (TI)’, IBM, marzo de 2012. © Copyright IBM Corporation 2012
BUW03027-ESES-02