IBM Global Technology Services Julio de 2012

Informe de liderazgo de pensamiento

Alineación de las TI con los objetivos

estratégicos de negocio
Enfoque proactivo para la gestión del riesgo de TI en su empresa
2 Alineación de las TI con los objetivos estratégicos de negocio

Contenidos iniciativas estratégicas de negocio. Por el contrario, siguen

implementando un enfoque más tradicional a la gestión del
2 Resumen ejecutivo riesgo que se focaliza en llevar a cabo análisis basados en el
coste de lo que podría suceder en un mundo incierto y en
3 Evolución del reto de negocio planteado por la
gestión del riesgo TI implementar métricas derivadas de variables que no se pueden
documentar satisfactoriamente. Un enfoque así puede no ser
3 Enfoque tradicional a la gestión del riesgo TI
fiable y no ayudar adecuadamente a identificar y gestionar el
4 Adoptar un enfoque integral riesgo TI.

6 El espectro de riesgos TI
ISACA, la asociación global sin ánimo de
8 El método IBM® de gestión del riesgo TI para
la empresa
lucro para profesionales de sistemas de la
10 Resumen información y TI, define el riesgo TI como
‘el riesgo de negocio asociado al uso, la
10 ¿Por qué IBM?
propiedad, la operación, la implicación, la
12 Para más información
influencia y la adopción de TI dentro de
una empresa’1.
Resumen ejecutivo
Prácticamente para cualquier operación de negocio actual,
Un medio más eficaz para gestionar el impacto que puede
las tecnologías de la información (TI) son un componente
causar el riesgo TI en su empresa implica adoptar un enfoque
esencial e indispensable. Aunque la dependencia de TI
más integral. Por medio de este método, las capacidades de
proporcione ventajas evidentes, también plantea retos
prestación de servicios TI pueden estar más directamente
de negocio significativos. La complejidad de las TI y su
vinculadas con lo que necesita la organización para poder
interconexión con tantas áreas del negocio hace que las
mejorar la fiabilidad, la flexibilidad y la agilidad que le permita
organizaciones sean más vulnerables que antes a los riesgos
cumplir los objetivos y metas de negocio. Un enfoque así ayuda
inherentes. Los sucesos que afectan a las TI, que anteriormente
a proporcionar información más exacta y puntual acerca del
podían estar confinados dentro del departamento de TI, ahora
riesgo que el estado actual de la prestación de servicios TI
pueden afectar a todo el negocio. La pérdida de datos, su
plantea a los objetivos de negocio de una empresa y, de este
corrupción o su inaccesibilidad – así como las infracciones
modo, ayuda a priorizar los correspondientes esfuerzos de
de seguridad y los fallos de infraestructura – rápidamente
mitigación.
adquieren relevancia pública que puede afectar gravemente
a la productividad de una organización, su reputación y su
Este documento técnico examina los retos y riesgos de negocio
capacidad para alcanzar sus objetivos estratégicos.
que la dependencia de TI ha traído consigo y por qué los
enfoques tradicionales a la gestión del riesgo TI no son
A pesar del amplio impacto de negocio que pueden causar las
adecuados. A continuación, presenta un enfoque estructurado
amenazas TI, muchas organizaciones no toman en consideración
que vincula de nuevo la gestión del riesgo a las iniciativas
la alineación de sus planes de gestión del riesgo TI con sus
estratégicas de negocio globales de la organización. Gracias a
una mejor alineación de las TI con las necesidades de negocio,

la organización TI puede ayudar a la empresa a operar de forma
más rentable y mejorar su capacidad para dar respuesta al cambio
con decisiones más mesuradas e informadas.
Evolución del reto de negocio planteado
por la gestión del riesgo TI
En los primeros días de la evolución de las tecnologías de la
información, las TI principalmente hacían referencia al hardware
y la red de una organización, que simplemente proporcionaba
un medio para procesar información, así como guardar y copiar
datos de forma segura. Con el tiempo, la necesidad de lograr
una mejor eficiencia del negocio, la mayor dependencia en la
tecnología para la ejecución de transacciones de negocio críticas
y la sed de más información e informes analíticos más complejos,
han hecho que el papel que las TI juegan en el éxito del negocio
se entremezcle inexorablemente con la operación del negocio en
sí. El soporte de TI para los objetivos de negocio ha aumentado
hasta incluir tareas como la acomodación de un mayor número
de datos y aplicaciones, organizándolos de forma que sean útiles
y almacenándolos de manera que sean siempre accesibles.
Adicionalmente, la gestión de TI es responsable del empleo
de un amplio conjunto de procesos, personas, instalaciones y
estrategias para ofrecer los resultados previstos en la empresa.
Debe gestionar estas responsabilidades – a la vez que también
cubre la creciente demanda de flexibilidad y disponibilidad
24x7 – con un menor presupuesto TI y un menor número de
personas.
Esta dependencia evolutiva en las TI también ha aumentado el
impacto que los riesgos TI pueden causar en todo el negocio de
una organización. La prioridad más alta otorgada a la resiliencia
de negocio, junto con la estandarización y el ensanchamiento de
la gestión del riesgo hasta englobar las unidades de negocio y sus
procesos, ha ayudado ciertamente a disminuir dichos riesgos.
En todo caso, muchos directivos empresariales carecen aún de
IBM Global Technology Services 3
confianza en la capacidad de sus organizaciones para identificar
y gestionar eficazmente el riesgo TI. Considere, por ejemplo,
las siguientes conclusiones de tres estudios diferentes de IBM:
●● Directores del departamento de información (CIO) que
han expresado su inquietud por la gestión del riesgo y el
cumplimiento normativo: 58%2
●● CIOs que han valorado el enfoque global de sus empresas
para la mitigación del riesgo TI como ‘medio’ o ‘bajo’: 34%3
●● Altos ejecutivos que han admitido no tener una función de
gestión del riesgo formal en marcha: 30%4.
Enfoque tradicional a la gestión del
riesgo TI
¿Por qué hemos desarrollado tanta falta de confianza en la
gestión del riesgo TI? Las amenazas a los servicios TI presentan
riesgos en el negocio cuando se explotan las vulnerabilidades
en un amplio espectro. Muchas compañías siguen analizando
el riesgo a través de una lente muy estrecha que focaliza su
atención en el impacto financiero de la prestación de servicios
TI. Este enfoque ‘tradicional’ empieza por la identificación de
amenazas convencionales – incendios, inundaciones, cortes
de tensión, vandalismo, terrorismo y fallos de seguridad – en
base al impacto potencial que dichas amenazas causarían en
la disponibilidad, recuperabilidad y seguridad del negocio.
No obstante, las amenazas que quedan fuera del dominio
convencional se pasan fácilmente por alto. Si una organización
no puede identificar amenazas o determinar con exactitud su
probabilidad, no puede evaluar su vulnerabilidad real a ellas.
Una vez se han identificado las amenazas convencionales, el
siguiente paso en un enfoque tradicional consiste en priorizar
la gestión de dichas amenazas de acuerdo con los potenciales
costes, pérdidas y efectos operacionales en el negocio. Aunque
4 Alineación de las TI con los objetivos estratégicos de negocio
el acto de cuantificar y cualificar estos factores pueda aportar
información útil en el análisis del riesgo, no tiene en cuenta
la necesidad de dirección de alinear las prioridades de la toma
de decisiones con los objetivos de negocio. Se trata de una
limitación significativa del enfoque tradicional y no es coherente
con el estándar 31000 de la Organización Internacional para
la Estandarización (ISO), que pone énfasis en la gestión
del riesgo como una disciplina estratégica para la toma de
decisiones ajustadas al riesgo en lugar de una función basada en
el cumplimiento normativo. Puesto que el enfoque tradicional
no establece un vínculo con los objetivos empresariales y las
iniciativas estratégicas de negocio, no puede demostrar el efecto
de los riesgos al alcanzar dichos objetivos.
Si una organización no puede identificar
amenazas o determinar con exactitud
su probabilidad, no puede evaluar su
vulnerabilidad real a ellas.
Adoptar un enfoque integral
Para poder identificar de forma adecuada los riesgos de negocio
asociados al uso de las TI, las organizaciones necesitan adoptar
una visión más amplia del riesgo TI, que vaya más allá de los
estándares tradicionales y que alinee las TI con la dirección
estratégica del negocio. Concretamente, necesitan un enfoque
que permita:
●● Mejorar la alineación de las TI con las necesidades
de negocio para ampliar la agilidad de negocio dando una
respuesta más rápida al cambio con decisiones medidas e
informadas
●● Proteger la imagen de marca y los ingresos ayudando a
evaluar las amenazas a la infraestructura de TI, su impacto o
ventaja potencial en el negocio y la tolerancia al riesgo de una
organización para ayudar a planificar una estrategia realista
●● Mejorar los niveles de servicio TI para lograr las
iniciativas estratégicas de negocio ayudando a gestionar
el riesgo TI con información más exacta y adecuada
●● Disminuir la exposición financiera y reputacional
ayudando a proteger al negocio de la divulgación de
información negativa, pérdidas y multas o penalizaciones
●● Incrementar su ventaja competitiva ayudándoles a dar
respuestas calculadas al riesgo que, de cuyo conocimiento
puedan carecer los competidores.
Al vincular las técnicas de riesgo clásicas directamente a las
iniciativas estratégicas de negocio, las organizaciones pueden
documentar más fácilmente los indicadores clave de rendimiento
(KPI) y los indicadores clave de riesgo (KRI), y priorizar los
riesgos en base a su impacto o contribución en los objetivos
estratégicos. Adicionalmente, la empresa tiene más capacidad
para implementar planes equilibrados de gestión del riesgo,
emplear planes de comunicación claros y monitorizar
continuamente los indicadores de riesgo.
La importancia de unas métricas más sólidas
Son cada vez más las empresas que definen KPIs como métricas
para supervisar y gestionar su rendimiento en todos los niveles
de gerencia involucrados en la implementación y el logro de
iniciativas estratégicas de negocio. Los KPIs se consolidan en
informes para proporcionar a los miembros del consejo una
visión general del rendimiento histórico de la empresa y los
logros previstos de las iniciativas estratégicas de negocio. Las
métricas también son necesarias para supervisar y gestionar
riesgos; no obstante, los KPIs no son adecuados para esta
finalidad, ya que se basan en datos históricos del rendimiento.
Por el contrario, se necesitan KRIs como indicadores de
aviso por adelantado que alerten a la organización de riesgos
emergentes mucho antes de que dichos riesgos se produzcan
realmente, lo cual permite a las empresas capturar oportunidades
o disminuir el impacto potencial negativo en la capacidad
que tiene la organización para alcanzar sus objetivos. Estos
indicadores deben alertar a la organización con suficiente
antelación para dar tiempo a reaccionar y adoptar las
correspondientes medidas para contrarrestar el riesgo.

Aunque las métricas KPI y KRI sean diferentes, están
relacionadas entre sí. Los KPIs se utilizan para supervisar el
rendimiento de las empresas. Los KRIs se utilizan para avisar a
las empresas de un cambio inminente. Puesto que las entidades
de negocio dependen entre sí en términos de servicios, si una
entidad suministradora no es capaz de prestar un servicio, la
entidad receptora – o dependiente – está en riesgo. Son riesgos
de ‘capacidad’ que podrían potencialmente impedir que la
entidad dependiente alcance sus objetivos de rendimiento y
deben gestionarse a través de KRIs.
Ejemplo ilustrativo:
Si la apertura de nuevos canales para intercambiar información con
los clientes es fundamental para proporcionar las experiencias de
cliente deseadas y si forma parte de la implementación de una
iniciativa estratégica más amplia de ‘centrarse en el cliente’,
varios de los siguientes KPIs de negocio podrían verse
implicados:
●● Disminución del tiempo de implementación del nuevo canal
(idealmente, hasta tres meses) para dar una respuesta más
rápida a las nuevas oportunidades de mercado y lograr un
retorno más rápido de la inversión (ROI)
●● Incremento de la tasa de adquisición de nuevos clientes
a través del nuevo canal
●● Incremento del funcionamiento planificado diario
(idealmente, hasta 24 horas al día).
Suponiendo que este nuevo canal se basa en una nueva página
web de Internet accesible por medio de smartphones, la
dependencia de TI es evidente y la empresa debe considerar
que las TI son un riesgo potencial si no presta los criterios de
servicio esperados. El plazo de implementación del canal – que
la empresa espera que sea igual o inferior a tres meses – podría
verse directamente afectado por el tiempo necesario para diseñar,
desarrollar e implementar la nueva página web de Internet,
estimado actualmente por parte de TI en seis meses.
IBM Global Technology Services 5
La entidad A supervisa su rendimiento mediante el
KPI A y depende de servicios prestados por la entidad B
para lograr el nivel de rendimiento necesario.
La entidad A está en riesgo si la entidad B deja de prestar sus servicios
como consecuencia del escenario de riesgo B.
La entidad A define un La entidad B define un KRI relacionado
KRI para supervisar el con el escenario de riesgo B
escenario de riesgo B. para evitar el escenario de riesgo B.
KPI: Indicador clave de rendimiento
KRI: Indicador clave de riesgo
Figura 1: La monitorización de métricas tanto KPI como KRI ayuda a
gestionar las iniciativas estratégicas de negocio.
Los siguientes pasos que deben dar las TI son realizar un
análisis ‘gap’ para identificar las áreas que necesitan mejorar y
un análisis de causa raíz para saber por qué la implementación de
nuevos servicios TI tarda tanto. Si, por ejemplo, el resultado del
análisis de causa raíz muestra que a) el tiempo de desarrollo de la
aplicación es demasiado largo debido a la disponibilidad limitada
de sistemas de desarrollo y b) el tiempo para aprovisionar
el nuevo hardware de la nueva aplicación se prolonga como
consecuencia de unos procesos de compra complicados, hay
ahora dos KRIs que se pueden utilizar como principales
indicadores del factor de ‘agilidad’ del servicio TI para dar
una respuesta a tiempo al nuevo servicio.
Existe un vacío evidente en las capacidades TI en términos
de respuesta puntual con el servicio TI nuevo o modificado
correcto para dar soporte a los cambios en los requisitos de
negocio; por lo tanto, la empresa tiene el riesgo de dejar de
alcanzar su objetivo estratégico. Para monitorizar dicho riesgo,
la empresa tiene que definir un KRI específico y TI tiene que
definir un KPI para supervisar el avance en la área de ‘tiempo
necesario para implementar un nuevo servicio’.
6 Alineación de las TI con los objetivos estratégicos de negocio
El espectro de riesgos TI
Como respuesta a la necesidad de adoptar un enfoque más global
y estructurado, IBM ha creado el espectro de riesgos TI, que
agrupa diversos riesgos TI en cinco categorías lógicas. Estas
categorías de riesgos ayudan a determinar el impacto que el
estado actual de la prestación de servicios TI y la priorización
de la mitigación pueden causar en los objetivos de negocio. Por
medio del espectro de riesgos TI, las compañías pueden mejorar
la alineación de las TI con sus necesidades de negocio y, de ese
modo, utilizar las TI para ayudar a hacer más ágil el negocio.
Como se ilustra en la Figura 2, el espectro de riesgos TI está
formado por cinco grupos de riesgos TI que se pueden asociar
a objetivos específicos de negocio: agilidad e idoneidad,
escalabilidad y rendimiento, seguridad y protección de
datos, exactitud y puntualidad, así como disponibilidad y
recuperabilidad.
Agilidad e idoneidad: Los servicios TI deben tener la capacidad
para adaptarse y transformarse con más rapidez, eficacia y
rentabilidad para lograr los objetivos de negocio identificados.
Espectro de riesgos TI
Agilidad e idoneidad: Adaptarse y transformarse
continuamente con más rapidez, eficacia y rentabilidad
para lograr los objetivos de negocio identificados.
Escalabilidad y rendimiento: Mantener un rendimiento más
aceptable basado en las necesidades de negocio y adoptar
adecuadamente los cambios en el volumen de servicios de negocio.
Seguridad y protección de datos: Proporcionar los
controles de acceso adecuados a la vez que se ayuda a
proteger la información y los recursos de negocio.
Exactitud y puntualidad: Proporcionar datos más exactos a
las personas adecuadas y en el momento oportuno para permitir
una toma de decisiones más informadas.
Disponibilidad y recuperabilidad: Mantener los sistemas
en funcionamiento y, si es necesario, recuperarse de las
interrupciones en línea con las expectativas de negocio.
Figura 2: El Espectro de riesgos TI está formado por cinco categorías basadas en objetivos de negocio.
Escalabilidad y rendimiento: La organización TI debe poder
dar respuesta a las necesidades cambiantes del negocio adaptando
la capacidad y el rendimiento TI ante las fluctuaciones de las
necesidades. Además, debe poder supervisar el rendimiento de
aplicaciones y datos, así como métricas de productividad, entre
todos los servicios y componentes. También es necesaria la
capacidad para alinearse con las necesidades de rendimiento
y capacidad de los usuarios de negocio y clientes.
Seguridad y protección de datos: El uso de gestión de sistemas,
archivado y creación de informes e investigación formales ayuda
a mantener un alto nivel de seguridad. También es necesaria la
seguridad de infraestructura y física para ayudar a ofrecer una
protección de datos adecuada.
Exactitud y puntualidad: El flujo de información exacta y
puntual entre los procesos de negocio y operacionales es crucial
para el rendimiento del negocio. La calidad de los datos, incluido
el origen de los datos (internos o externos), debe cumplir ciertos
criterios para poder dar soporte a los objetivos de negocio.
Ejemplo real de riesgo
Un bando europeo no podía satisfacer varios requisitos de mantenimiento
para sus clientes hasta que despliega una solución de gestión del rendimiento
multiplataforma para ayudar a ampliar el alcance de sus servicios TI hasta nuevos
clientes internos. Resultado: mayor agilidad y flexibilidad de los servicios, mayor
satisfacción del cliente interno y menor coste de gestión.
Una cadena de tiendas de EE.UU. experimenta un aumento sin precedentes en el
número de compradores online, lo cual inhabilita su tienda web. La incapacidad de
la empresa para adaptarse a la demanda causa una pérdida de ventas, publicidad
negativa y una pérdida de confianza de los clientes para comprar online.
Un fabricante industrial de Tokio deja de actualizar sus cortafuegos y su software
antivirus. Los piratas informáticos acceden a datos de clientes, lo que se traduce en
la cancelación de contratos y la pérdida de confianza de los clientes.
Un banco europeo aplica actualizaciones de aplicaciones que corrompen datos
de clientes, lo cual provoca una parada informática durante varios días, retrasos
inaceptables en las actualizaciones de cuentas y una amplia repercusión mediática
y mandatos de investigación.
El centro de datos de un proveedor de telecomunicaciones turco se inunda como
consecuencia de unas lluvias sin precedentes. Sin una estrategia de continuidad o
recuperación documentada y probada, el servicio al cliente queda interrumpido y
el proveedor sufre la pérdida de tiempo de procesamiento, contratos cancelados e
imagen de marca dañada.
 IBM Global Technology Services 7

Disponibilidad y recuperabilidad: Los ejecutivos de negocio y TI
deben establecer conjuntamente estrategias de disponibilidad
y recuperación por medio de un proceso definido y repetible,
así como el correspondiente gasto, para ayudar a cumplir dichos
requisitos de negocio. La organización debe poder utilizar
métodos y herramientas avanzadas para dar una respuesta más
puntual a las incidencias, problemas y cortes de servicio – así
como poner en marcha un continuo proceso de mejora.
Los riesgos TI ejercen constantemente una gran presión en
el negocio principal de una organización. Al proporcionar una
visión prescriptiva de la empresa y un conocimiento de cómo
afectan los riesgos TI a objetivos específicos de negocio, el
espectro de riesgos TI ayuda a la organización a determinar
qué nivel de impacto pueden causar dichos riesgos en el negocio
principal.
●● Proveedores. Empresas y agencias gubernamentales que
suministran los materiales, servicios e información críticos
y necesarios para permitir que la empresa opere y realice
operaciones de negocio
●● Infraestructura. Componentes bajo en control de la empresa
que facilitan las operaciones, tales como la seguridad física,
sistemas eléctricos, agua y refrigeración
●● ‘Exoestructura’. Componentes críticos del ecosistema, fuera
del control de la empresa, como el suministro de electricidad,
el suministro de agua, carreteras, transporte, alimentación,
comunicaciones y gobierno.

También deben revisarse los componentes críticos del

negocio principal para determinar su vinculación con el Esca l abi l i d
espectro de riesgos TI e identificar la métrica correcta para a
y
ad d y re n d i m i e n d
d id a to
su monitorización. IBM aplica su Core Business Framework
re c u p e b i l i
il
rab
ni

para ‘descomponer’ la empresa de tal forma que se representen

Di spo

Enfoque de

pun
Ex a
los componentes revisables y permita el análisis tanto de IBM a la gestión

t ua l i dad
c t i tud y
del riesgo para
dependencia como paralelo. Este marco de trabajo está su negocio
p r otec

formado por seis dominios para cubrir prácticamente todos principal

S e g ión

los componentes – tanto internos como externos – que

ur d

da
c
i

dy
son necesarios para habilitar las operaciones de negocio: e de
da
to s A g ili da ad
id one d i

●● Personas. Los recursos humanos con roles y

responsabilidades asignadas que forman la empresa, así
como los procesos necesarios para mantener sus habilidades
mediante la formación y las comunicaciones
●● Procesos. La forma en que la empresa lleva a cabo su negocio
principal mediante el modelado de procesos de negocio en un
marco de procesos abierto y mantiene su tecnología mediante
Figura 3: El enfoque de IBM para la gestión del riesgo TI se centra en el
la estrategia y el gobierno de TI, la continuidad de negocio, riesgo de TI para el negocio y sus componentes operacionales.
la copia de seguridad y recuperación, así como también la
gestión de servicios, entre otros
●● Tecnología. Equipos y herramientas que dan soporte a los
procesos de negocio de la empresa, tales como servidores,
sistemas de almacenamiento, redes, bases de datos,
aplicaciones y telefonía
8 Alineación de las TI con los objetivos estratégicos de negocio
El método IBM de gestión del riesgo
TI para la empresa
IBM ha establecido un método condensado de gestión del
riesgo basado en el estándar ISO 31000 que, cuando se aplica
al dominio TI, puede proporcionar una arquitectura de riesgo
más compatible y que puede interactuar más fácilmente con
prácticamente cualquier programa de gestión del riesgo a nivel
de toda la empresa. Las tres fases de este método – determinar,
evaluar y actuar – se describen a continuación.
Determinar
El primer paso en el método de IBM es establecer el alcance
y los objetivos del programa de gestión del riesgo TI. Un
programa de riesgo TI engloba las actividades necesarias para
identificar, evaluar y responder continuamente a las amenazas y
sus riesgos relativos para la empresa. Sin objetivos identificados
o roles y responsabilidades claramente definidos, los posteriores
procesos de gestión están en peligro. La definición tanto del
alcance como de los roles en las primeras etapas del proceso de
definición del programa ayuda a obtener la aceptación interna
del proceso y de la posterior petición de acciones de mitigación
de los responsables recién identificados del riesgo TI.
El establecimiento del alcance se puede llevar a cabo
determinando las iniciativas estratégicas de negocio, definiendo
los obejtivos de gestión del riesgo TI e identificando los agentes
de tensión internos y externos. El alcance del programa se ha
diseñado para ser muy focalizado al principio, ampliándose
posteriormente hasta incluir toda la empresa. Otros factores
que determinan el alcance pueden ser el tiempo necesario para
la actividad y las ubicaciones que deban incluirse. Es también
durante esta fase que se selecciona el método de evaluación
del riesgo y se describen los subsiguientes sistemas de medición
del proceso de gestión del riesgo TI.
Por último, la organización define roles y responsabilidades
claros, lo que facilita la inclusión de todos los participantes
necesarios de la organización. La amplia implicación de
personas de varios departamentos es una tendencia actual
global5. La definición de roles de este modo ayuda a establecer
las responsabilidades del riesgo TI de la empresa y proporciona
los nombres de las personas asociadas a roles específicos en toda
la empresa.
Evaluar
Con los objetivos de negocio definidos, las áreas de riesgo TI se
definen en relación con las iniciativas estratégicas de negocio,
alineando directamente los servicios TI con su soporte de los
objetivos de negocio. Un elemento crítico del establecimiento
de una gestión global del riesgo para la resiliencia de negocio
es la capacidad para evaluar un amplio conjunto de riesgos
de una forma equilibrada para poder crear una imagen global
de las amenazas y las oportunidades a las que se enfrenta la
organización6. Por medio de una guía como el Espectro de
riesgos TI y del análisis de los servicios TI necesarios en toda
la empresa para dar soporte a las iniciativas de negocio, la
organización puede identificar más fácilmente cuáles son las
áreas de servicios TI más necesarias para poder ser más ágiles
en la respuesta al cambio. La clara comprensión de la relación
existente entre los servicios TI que dan soporte a esas iniciativas
es un aspecto importante de la evaluación del riesgo.
‘Las TI son una parte importante de nuestra
gestión del riesgo porque nada puede hacerse
sin ellas en la actualidad’, dice Kris Wiluan,
director ejecutivo (CEO) de KS Energy
Services Limited7.

El siguiente paso consiste en realizar un análisis de ‘todas las
capacidades’ de los servicios TI para identificar riesgos TI
cuantificables y definir métricas de rendimiento. Esto ayuda
a determinar los KPIs y KRIs más significativos y ayuda a
cuantificar el riesgo TI para la empresa en base a las capacidades
de rendimiento TI. Este conocimiento aumenta la capacidad
que tiene la organización para definir y priorizar opciones de
tratamiento equilibrado, colocarlas en una hoja de ruta para
implementar soluciones de mitigación con seguridad e identificar
controles que faciliten la monitorización de los cambios que
puedan impedir el éxito.
La evaluación también debe incluir el impacto potencial en los
objetivos estratégicos de negocio en el caso de que se materialice
el riesgo TI, provocando que el servicio TI no pueda
proporcionar el nivel previsto de servicio. Este análisis de
impacto puede llevarse a cabo como una evaluación tanto
cuantitativa (pérdida financiera directa o incremento en el
coste de prestación de un servicio) como cualitativa (impacto
en el riesgo reputacional). El método IBM Operational Risk
Quantification (ORQ) ayuda a analizar las amplias categorías
de sucesos de riesgo, incluyendo los ‘eventos de arriba abajo’,
cuya gravedad se mide directamente en pérdidas financieras,
omitiendo los ‘sucesos de abajo arriba’ y detallados relacionados
con los procesos, que se propagan a través de una red de recursos
de proceso para mostrar en última instancia un resultado de
impacto financiero.8
Es importante que la organización no pierda de vista los riesgos
de especialidad o cumplimiento normativo mientras amplía
su vista de la resiliencia. Al contrario, debe andar un recorrido
evolutivo hacia la resiliencia mediante la inclusión de un
conjunto más amplio de riesgos en el proceso de evaluación
y priorización con el fin de proporcionar una evaluación
amplia por parte de los grupos de interés de la empresa. La
fase de evaluación se ha diseñado para proporcionar un sólido
rendimiento e índices de riesgo en forma de KPIs y KRIs, los
cuales pueden ofrecer una mejor visibilidad de los objetivos
estratégicos de negocio y de los servicios TI que les dan soporte.
Se genera un plan de gestión de riesgo, que incluye respuestas
responsables y adecuadas al riesgo identificado en forma de
controles o protecciones.
IBM Global Technology Services 9
Actuar
Una vez que se han documentado y se han priorizado los
KPIs y los KRIs en relación con los objetivos estratégicos
de negocio, el reto pasa a ser el de implementar planes de
tratamiento equilibrado mediante el empleo de planes de
comunicación más claros y la continua monitorización
de los indicadores de riesgo. En esta fase, el plan de gestión
del riesgo se implementa asignando los distintos recursos
de la organización con la responsabilidad para actuar. Los
responsables del riesgo establecen y gestionan el riesgo de TI
para ayudar a proporcionar la alineación con los objetivos de
negocio y para ayudar a incrementar la implicación en toda la
organización de todos los niveles: alta dirección, las líneas de
negocio, profesionales TI, miembros del consejo de dirección y
empleados9.
La continua monitorización de los riesgos TI en base a las
métricas significativas diseñadas durante la fase de evaluación
ayuda a preparar a la empresa para actuar con responsabilidad
en los agentes de tensión aplicados en toda la organización.
Estos mismos indicadores deben revisarse continuamente para
que proporcionen una alineación sostenida con los objetivos
cambiantes del negocio. La monitorización puede cubrir
muchas áreas tanto de TI como del negocio, dependiendo de
los resultados de la evaluación del riesgo y la definición del KRI.
Algunos ejemplos pueden ser el ‘porcentaje de proyectos de
desarrollo y mantenimiento de aplicaciones entregados a tiempo
o con antelación’ o el ‘tiempo medio transcurrido para lograr la
resolución de la incidencia’.
En base a los resultados de la evaluación, la selección de las
acciones de mitigación del riesgo debe equilibrarse con el
impacto potencial en el negocio en case de que se produzca
el riesgo. El establecimiento de procesos de monitorización
puede ser costoso, ya que cada KRI es igual a un coste de
monitorización. Es crucial poder encontrar esta inversión óptima
para la empresa que desee obtener una gestión del riesgo más
exitosa, a la vez que se mantiene la responsabilidad fiscal.
10 Alineación de las TI con los objetivos estratégicos de negocio
A medida que el negocio lleva a cabo la transición a este nuevo
sistema de gestión, necesita el continuo compromiso de la alta
dirección, tal como se ha establecido en la fase de determinación
y adecuar los recurdos para desarrollar sólidos programas de
comunicación, sensibilización y formación. Estos programas
son necesarios para soportar la integración de la gestión del
riesgo TI en las actividades más amplias del gobierno, el riesgo
y el cumplimiento normativo10. Adicionalmente, el hecho de
sensibilizar a todos los grupos de interés, formarlos y que sean
capaces de utilizar el programa de riesgo TI, ayuda a poner de
relieve que la gestión del riesgo TI forma parte del trabajo de
todo el mundo. Durante esta fase de transición, estos programas
de formación y sensibilización deben dirigirse a todos los
niveles de empleados y deben ayudar a los grupos de interés
a comprender sus roles y empezar a elaborar informes normales
en los diferentes niveles implicados en el programa.
Resumen
La proliferación de servicios TI críticos para el logro de
los objetivos estratégicos de negocio presenta riesgos y
oportunidades únicos. Más que nunca, las TI deben ser fiables,
predecibles, disponibles y seguras para poder soportar procesos
críticos de negocio e iniciativas clave. La identificación de los
riesgos para el negocio asociados al uso de las TI requiere una
amplia visión de los riesgos TI y de los servicios TI en toda la
organización. Esto no se puede llevar a cabo adecuadamente con
el enfoque tradicional que solamente contempla las amenazas
físicas y naturales que pueden afectar a la prestación de servicios
TI. Al contrario, como ha demostrado este artículo, es el
momento de que las TI tiendan la base de la evaluación de
impactos basada en las amenazas y que amplíen el espectro
de riesgos que incluyen para proteger mejor a la empresa
y que le permita cumplir sus objetivos estratégicos.
Mediante la implementación de un enfoque integral y
estructurado, las organizaciones pueden asignar recursos en
la empresa, monitorizar continuamente el riesgo TI mediante
métricas significativas y comunicar el programa de gestión del
riesgo TI a todos los grupos de interés. Esta cultura proactiva
del riesgo hace posible dar una respuesta más rápida y adecuada,
así como encontrar el equilibrio óptimo entre el riesgo TI y el
coste de la mitigación del riesgo.
¿Por qué IBM?
IBM proporciona servicios de gestión del riesgo TI a clientes
que necesiten identificar, conocer, gestionar y responder más
proactivamente a los riesgos operacionales y a las disrupciones
de negocio. Podemos ayudarle a mantener operaciones de
negocio casi continuas, permitiéndole proteger mejor su imagen
de marca y dar soporte al crecimiento de su cuenta de resultados
y seguir siendo un proveedor de confianza para sus clientes y
socios. Por medio de estándares de la industria, tales como ISO
e ISACA, los especialistas en resiliencia de IBM se familiarizan
con su entorno, ayudan a adaptar el marco de resiliencia a sus
necesidades únicas, revisar los materiales auxiliares respectivos
que deben utilizarse en la evaluación y proporcionar una hoja
de ruta para la remediación y la mejora. Como uno de los líderes
globales en soluciones TI, IBM ofrece una amplia gama de
productos y servicios, que nuestros asesores aplican para ayudar
a satisfacer las necesidades de gestión del riesgo en constante
evolución.
Notas
Para más información
Si desea obtener más información sobre IBM Resiliency
Consulting Services, el método de gestión del riesgo TI de
IBM o el espectro de riesgos TI, puede ponerse en contacto
con su representante de marketing de IBM o Business Partner
(BP) de IBM, o bien visitar la siguiente página web:
ibm.com/services/continuity
Por otra parte, IBM Global Financing puede ayudarle a adquirir
las soluciones de TI que su empresa necesita de la forma más
estratégica y rentable posible. Nos asociaremos con clientes
con crédito para personalizar una solución de financiación de
TI que se adapte a sus objetivos empresariales, permitir una
gestión eficaz del dinero y mejorar su coste total de propiedad.
IBM Global Financing es su elección más inteligente para
financiar inversiones fundamentales en TI y propulsar su
empresa. Si desea más información, visite: ibm.com/financing/es
1 ISACA, www.isaca.org, recuperado el 4 de junio de 2012.
2 ‘The Essential CIO Insights from the Global Chief Information
Officer Study’, IBM, mayo de 2011.
3
‘La evolución en el papel de los directores de TI y los CIOs:
Conclusiones del estudio de riesgos TI global de IBM 2010’,
IBM, septiembre de 2012.
4 Los productos de hardware de IBM se fabrican a partir de componentes
‘Tendencias clave que impulsan la resiliencia de negocio y el riesgo global:
Conclusiones del estudio de riesgo y resiliencia de negocio global de
IBM 2011’, septiembre de 2011.
5 ‘Tendencias clave que impulsan la resiliencia de negocio y el riesgo global:
Conclusiones del estudio de riesgo y resiliencia de negocio global de
IBM 2011’, septiembre de 2011.
6 ‘Tendencias clave que impulsan la resiliencia de negocio y el riesgo global:
Conclusiones del estudio de riesgo y resiliencia de negocio global de
IBM 2011’, septiembre de 2011.
7 ‘Tendencias clave que impulsan la resiliencia de negocio y el riesgo global:
Conclusiones del estudio de riesgo y resiliencia de negocio global de
IBM 2011’, septiembre de 2011.
8 ‘La analítica del riesgo operacional en el contexto de la infraestructura
de las tecnologías de la información (TI)’, IBM, marzo de 2012.
9 ‘Tendencias clave que impulsan la resiliencia de negocio y el riesgo global:
Conclusiones del estudio de riesgo y resiliencia de negocio global de
IBM 2011’, septiembre de 2011.
10 ‘La analítica del riesgo operacional en el contexto de la infraestructura
de las tecnologías de la información (TI)’, IBM, marzo de 2012.
IBM España, S.A.
Tel.: 901 100 400
C/Sta. Hortensia, 26-28
28002 Madrid
España
La página inicial de IBM se encuentra en ibm.com
IBM, el logotipo de IBM e ibm.com son marcas registradas de International
Business Machines Corporation en Estados Unidos, en otros países o en
ambos. Si éstas y otras marcas registradas de IBM son marcadas en su
primera aparición en esta información con un símbolo de marca registrada
(® o ™), estos símbolos indican marcas registradas en EE.UU. o marcas
registradas según el derecho constitucional de propiedad de IBM en
el momento que se publicó esta información. Estas marcas registradas
también pueden ser marcas registradas o marcas registradas según el
derecho consuetudinario en otros países.
Encontrará una lista actualizada de las marcas registradas de IBM en
la web ‘Información de copyright y marcas registradas’ en
ibm.com/legal/copytrade.shtml
Otros nombres de empresas, productos y servicios pueden ser marcas
registradas o marcas de servicio de terceros.
Las referencias hechas en esta publicación a productos, programas o servicios
de IBM no implican que IBM tenga previsto comercializar dichos productos,
programas o servicios en todos los países en los que opera.
Las referencias a un producto, programa o servicio de IBM no pretenden
afirmar ni implicar que únicamente pueda utilizarse dicho producto,
programa o servicio. En su lugar, puede utilizarse cualquier producto,
programa o servicio funcionalmente equivalente.
nuevos o a partir de componentes nuevos y usados. En algunos casos, el
producto de hardware puede no ser nuevo y puede haberse instalado con
anterioridad. En cualquier caso, son aplicables los términos de la garantía
de IBM.
Esta publicación sólo tiene carácter de orientación general. La información
está sujeta a cambios sin previo aviso. Póngase en contacto con su
representante de ventas de IBM o su distribuidor local para consultar
la información más reciente sobre productos y servicios de IBM.
Esta publicación contiene direcciones de Internet que no son de IBM.
IBM no es responsable de la información que se encuentra en estas
páginas Web.
IBM no proporciona asesoramiento legal, contable o de auditoría, ni
representa o garantiza que sus productos o servicios cumplan la legislación
vigente. Los clientes son responsables del cumplimiento de las disposiciones
legales y normativas vigentes, incluidas las normativas y legislaciones
nacionales.
Las fotografías pueden mostrar modelos en fase de diseño.
© Copyright IBM Corporation 2012
BUW03027-ESES-02