You are on page 1of 13

EL RIESGO DE LAS TI EN CONTEXTO

Hacia un enfoque más integrado
Noviembre de 2006

A medida que las organizaciones dependen cada vez más de las tecnologías de la información, la
importancia de gestionar los riesgos asociados con los sistemas de TI crece. Pero, ¿es posible
considerar los riesgos de TI con independencia de la gestión de los riegos generales del negocio?

PRINCIPALES CONCLUSIONES
Las organizaciones están tomando conciencia de un ámbito de riesgos más amplio
Cerca del 60% de los 715 directivos de tecnologías de la información (TI) que han participado en un
reciente estudio realizado en Europa y Oriente Medio afirman que el riesgo se tiene en cuenta en su
organización como parte del proceso de planificación del negocio. Sin embargo, una significativa
minoría se encuentra aún por detrás de esta tendencia: un tercio sólo tiene en cuenta el riesgo en
áreas específicas y el 4% no hacen ninguna planificación específica relativa con respecto al riesgo.

Desvincular el riesgo de las TI del riesgo empresarial se está convirtiendo en algo casi
imposible
Al encuestarles sobre el grado en que se tienen en cuenta determinados riesgos, la pérdida de
información crítica para el negocio y el tiempo de inactividad operacional provocados por los fallos en
los sistemas clave se sitúan en las primeras posiciones de la lista, seguidos muy de cerca del uso
ilícito de información confidencial. La disponibilidad, capacidad de recuperación y seguridad de los
sistemas de TI son, sin embargo, una parte integral de la ecuación del riesgo empresarial. Asimismo,
la importancia de los riesgos en áreas tales como el cumplimiento de regulaciones y aspectos legales
acentúa la necesidad de la trazabilidad y otros imperativos de la gestión de la información que sólo se
pueden abordar con unas TI eficaces.

Gestionar el riesgo es un prerrequisito importante para la innovación
Mientras que es normal considerar la gestión del riesgo desde un punto de vista defensivo, el 80% de
las organizaciones afirman que a causa del riesgo relacionado se han reprimido a la hora de
aprovechar todas las ventajas de las tecnologías modernas y prácticas laborales, por ejemplo en
áreas como automatización de la cadena de suministro, comunicaciones avanzadas y teletrabajo.
Esto subraya el papel de una gestión de riesgos efectiva que facilita el negocio y destaca el coste-
oportunidad asociado a una resistencia limitada o incierta.

Los más avanzados están adoptando un planteamiento más coordinado dirigido por un
ejecutivo
Muchas organizaciones han nombrado a un Responsable de riesgos para supervisar la actividad de
la gestión de riesgos, particularmente en servicios financieros, donde el 48% de los encuestados
cuentan con este puesto frente al 36% de la media total. Las organizaciones también se están
esforzando por aumentar la coordinación a nivel práctico, por ejemplo, entre la seguridad lógica y
física, y a través de la gestión de la información y la seguridad.

Copyright 2006 Freeform Dynamics Ltd www.freeformdynamics.com Pág 1 de 13

com Pág 2 de 13 . Dada la dependencia que hemos visto en los sistemas de TI. Copyright 2006 Freeform Dynamics Ltd www. El presente informe fue diseñado de forma independiente por Freeform Dynamics e interpretado en colaboración con Macehiter Ward-Dutton. Se han recogido las opiniones de 715 profesionales senior de TI de Europa y Oriente Medio.Pero aún existe mucho camino por recorrer antes de que se alcance una gestión del riesgo genuinamente cohesionada Mientras que muchas organizaciones dicen que sus inversiones relacionadas con riesgos de TI están aumentando. las organizaciones que se toman en serio adoptar un planteamiento cohesionado y genuino para gestionar el riesgo empresarial deben hacer que las TI sean una parte mucho más integrada en todo el proceso de lo que es actualmente. la financiación de la actividad de gestión de riesgos aún está fragmentada y es inconsistente.freeformdynamics. También existe una baja representación de información facilitada por los analistas del negocio y de los profesionales de TI para la definición de los requerimientos del riesgo a nivel empresarial. El informe ha sido patrocinado por CA.

como desastres naturales. Hoy en día las organizaciones modernas dependen en gran medida de las tecnologías de la información. etc. inestabilidad política. Por ello. guerras. Sin embargo. enfermedades. En este breve informe. en el siglo XXI también escuchamos que se está haciendo mucho énfasis en otra serie de riesgos que tienen que ver con temas como la privacidad. disturbios o simplemente daños accidentales. sin mencionar las deudas u otros retos financieros. para hacerla comprensible particularmente desde el punto de vista de la gestión de las TI. sino también para gestionar y aprovechar la información con propósitos competitivos. meteorología adversa. aclararemos parte de esa complejidad. la seguridad. todos estos riesgos tradicionales aún continúan con nosotros en un grado u otro. un buen punto de inicio es hasta qué grado las empresas consideran el riesgo como parte de su proceso de planificación global. no sólo desde una perspectiva operacional. Copyright 2006 Freeform Dynamics Ltd www. Muchas operaciones comerciales se han frustrado o arruinado a lo largo de los siglos por la acción de ladrones. Percepción del riesgo empresarial Para empezar a explorar este tema. en el que se recogieron los puntos de vista y opiniones de 715 directivos de TI de grandes organizaciones de Europa y Oriente Medio (Anexo A). el terrorismo o malas prácticas ejecutivas. Para ello.Introducción Vivir con riesgos no es nada nuevo en el mundo empresarial. Aunque hoy en día podemos emplear diferentes términos para referirnos a algunas de esas mismas cosas. y fundamentalmente. El resultado de todo ello es que la gestión del riesgo empresarial está comenzando a ser un área increíblemente compleja.. y un 62% afirma que tienen en cuenta los riesgos en un sentido muy amplio en todo el negocio (Figura 1).freeformdynamics.com Pág 3 de 13 . no difieren en su naturaleza. y es fácil verse superado por el número de factores y dependencias involucradas. el riesgo relacionado con las TI es una importante consideración a tener en cuenta en el actual entorno empresarial. No es sorprendente que hayamos encontrado que una mayoría abrumadora de las organizaciones (el 96%) consideran formalmente el riesgo en algún nivel. emergencias de salud pública. nos apoyaremos en la información recopilada mediante un estudio de investigación que se finalizó en octubre de 2006.

porque probablemente han tenido un impacto reciente y directo. quizás. en ningún caso. de nuevo. Además. Si miramos la parte alta de la escala. también está claro que una minoría significativa se sitúa detrás de esta tendencia. se traduce rápidamente en lo bien que la organización gestiona y protege la información en formato electrónico. una epidemia. podemos aprender mucho de la naturaleza de la situación actual del riesgo empresarial. Otros riesgos de perfil alto. por lo que las empresas conocen suficientemente los daños que pueden sufrir. Otros riesgos que se perciben como de alta prioridad son los vinculados con la seguridad y el cumplimiento de las normativas. nos encontramos con un alto grado de variación y. Mientras que un ataque terrorista importante. etc. Al hacer esto. Este tipo de resultados nos ofrecen algo de información sobre la naturaleza de la evaluación del riesgo. Por ejemplo. por ejemplo. en unos pocos casos. Nos dice que en casi las dos terceras partes de las organizaciones ha emergido un clima que contribuye a la toma de una visión más holística de la gestión del riesgo. es el riesgo que menos tienen en cuenta las organizaciones europeas y de Oriente Medio. este gráfico resulta muy alentador.com Pág 4 de 13 . nos encontramos con los riesgos que se perciben como más probables que ocurran. y tienen un impacto potencialmente mayor en el negocio. un terremoto. La pérdida de información crítica del negocio. por ejemplo. una inundación. bien por algún problema ocurrido o por la necesidad de tener que invertir explícitamente en medidas preventivas. con el gran número Copyright 2006 Freeform Dynamics Ltd www. también se sitúan en los puestos más bajos de la lista.freeformdynamics. considerando formalmente los riesgos sólo en áreas específicas o. La situación del riesgo empresarial Si observamos el fondo de esta situación. una de las observaciones más sorprendentes que podemos hacer a este nivel general es que la mayoría de los riesgos que se tienen más en cuenta están directamente relacionados con las capacidades de los sistemas TI de la organización. Lo primero que hemos advertido es que algunos de los riesgos de los que más hablaron los políticos y los medios de comunicación realmente están bastante abajo en términos de prioridad. desde el grado hasta el tipo de consideración que se da a amenazas y temas específicos durante los procesos de planificación del negocio. como los desastres naturales y las emergencias de salud pública. unas cuantas sorpresas (Figura 2). Dicho esto. La actividad terrorista. a pesar de su predominancia en las noticias. en teoría podría tener un impacto devastador en un negocio. la improbabilidad percibida de que ocurran según anteriores experiencias relega esos riesgos a una menor consideración en la mayoría de las organizaciones. es probable que la mayoría de las organizaciones haya sufrido pérdidas de información crítica para el negocio o tiempo de inactividad en los sistemas críticos de TI. Examinando la Figura 2 de una forma un poco distinta. a menos que se protejan contra ellos.Dada la variedad de los riesgos y las dependencias comentadas anteriormente. sin embargo.

rastrear e informar acerca de las actividades empresariales con el nivel de detalle y precisión solicitado normalmente por las autoridades regulatorias. el sector público. el tiempo de inactividad operacional y el tiempo de inactividad de los sistemas TI son sinónimos en muchos entornos. mientras que la industria general (fabricación. Hoy en día está ampliamente aceptado que se requieren sistemas de TI para hacer el seguimiento. El sector público es el que está más alerta ante los riesgos. mientras que observamos interesantes variaciones en la sensibilidad ante el riesgo de sector a sector. la seguridad está por encima de casi todo lo demás. Copyright 2006 Freeform Dynamics Ltd www.de procesos que hoy dependen completamente de los sistemas de TI para funcionar. por ejemplo. los servicios financieros y las telecomunicaciones. almacenar y gestionar un gran volumen de información de forma segura. Variación por sectores Obviamente la sensibilidad ante tipos específicos de riesgos dependerá en cierto modo de la naturaleza del negocio y del entorno en el que está operando. Podríamos esperar. En realidad. existe una consistencia destacable en las organizaciones en lo que consideran como importante o no (Figura 3). etc. son todos muy sensibles en las tres categorías más altas de la clasificación de riesgos.freeformdynamics. También se aprecia que los sectores con un alto grado de interacción con el público o con los consumidores. sin embargo. distribución. acentuando su dependencia en la automatización de transacciones.) es la que menos.com Pág 5 de 13 . Existen dependencias similares en el área de cumplimiento de normativas. que un sector muy reglamentado como los servicios financieros sea particularmente sensible a los riesgos del área de cumplimiento de normativas. y la capacidad para capturar. Luego. por ejemplo.

Si le damos la vuelta a esto. puesto que las organizaciones necesitan garantizar que pueden continuar operando con seguridad y legalmente. aquellas organizaciones que tienen mayor capacidad para gestionar los riesgos también son más capaces de evolucionar sus negocios para obtener un margen competitivo adicional.Los impulsores del negocio para la gestión de riesgos De entrada. podríamos no pensar en la gestión de riesgos como un elemento que impulsa el negocio si no vemos hasta qué grado la preocupación respecto al riesgo puede frenar el avance de un negocio (Figura 4). se podría argumentar que los impulsores del negocio para la gestión de riesgos son bastante obvios. Uno de los primeros pasos en esta dirección es a menudo el nombramiento de un único directivo para supervisar los temas y actividades relacionados con el riesgo. una analogía es que un soldado puede aventurarse en un territorio peligroso con el objetivo de ganar ventaja si está bien armado. y es el sector de servicios financieros el que lidera esta área (Figura 5). tales como comunicaciones avanzadas. Frente a este plano. En este sentido.com Pág 6 de 13 .. debido a políticas. es útil pensar en términos de resistencia. etc. mientras que las organizaciones con menos confianza no lo pueden conseguir. procesos o infraestructuras TI inadecuadas. Esfuerzos para una gestión cohesionada de riesgos La complejidad del panorama del riesgo junto con la gran necesidad existente de defensa y competitividad significan que hay más organizaciones que están tomando medidas para coordinar sus actividades de forma más efectiva en una estrategia consistente de gestión de riesgos.freeformdynamics. automatización de la cadena de suministro. Copyright 2006 Freeform Dynamics Ltd www. el Responsable de Riesgos (denominado Chief Risk Officer en inglés). teletrabajo. Durante la investigación se vio que la mayoría de organizaciones en algún momento no han podido aprovechar las ventajas de las últimas tecnologías y prácticas laborales.

edificios y salas. Este tipo de movimiento cobra sentido plenamente si tenemos en cuenta que la incorporación de un empleado a una organización. se puede tardar fácilmente días o semanas en proveer al usuario el correcto conjunto de privilegios si las políticas de seguridad no están bien coordinadas. Los mecanismos de autenticación y acceso basados en tecnologías como tarjetas inteligentes y biometría también están emergiendo para ayudar a la implementación práctica y cumplimiento de políticas. hasta el acceso a sistemas TI específicos y tipos de información que contienen. Durante el proceso de contratación de un empleado. vemos que las organizaciones están empezando a atar cabos en áreas específicas.com Pág 7 de 13 . Lo que impulsa una mayor cohesión aquí está relacionado con el riesgo y la eficacia. la industria de las tecnologías de la información está respondiendo con soluciones de aprovisionamiento que permiten definir y ejecutar eficazmente las políticas relevantes en las dimensiones físicas y de sistemas. Afortunadamente. desde el acceso a sitios web.Asimismo. hay un alto riesgo de que los privilegios se pasen por alto o no se cancelen adecuadamente. y cuando los empleados se trasladan o abandonan la organización. Copyright 2006 Freeform Dynamics Ltd www. Un ejemplo de ello en relación con la seguridad es que actualmente muchas organizaciones coordinan políticas y procesos en su dimensión física y de sistemas (Figura 6). va acompañado por la concesión o cancelación de un amplio abanico de privilegios. sus movimientos dentro de ella o el abandono de la organización.freeformdynamics.

pero unirlos puede ser un reto. la industria de TI está respondiendo a esta necesidad. un archivo. particularmente los proveedores de TI más grandes. Aquí. un documento o mensaje puede residir en un dispositivo de telefonía móvil. por último. rastrear y auditar los accesos a fin de cumplir con las normativas y regulaciones.com Pág 8 de 13 . con soluciones de gestión en ambas áreas que puedan proporcionar suites integradas o componentes sencillos de integrar. a menudo simultáneamente.freeformdynamics. Lo anterior son sólo ejemplos de las diferentes formas con las que las organizaciones están intentando hacer un planteamiento más cohesionado de la gestión de riesgos. Ante el crecimiento implacable del volumen de información y de los requerimientos para gestionar. por ejemplo. Frente a esto. Una vez más. es sumamente importante poner en marcha una política de coordinación de la seguridad y el almacenamiento. Copyright 2006 Freeform Dynamics Ltd www. un servidor de archivos. un ordenador de sobremesa. A lo largo de su ciclo de vida. Por todo ello.Otra área en que la coordinación está comenzando a ser más importante es entre la gestión de la información y la seguridad (Figura 7). las organizaciones están llegando a la conclusión de que la seguridad y el almacenamiento están intrínsecamente relacionados. históricamente uno de los retos ha sido cómo securizar mejor los activos de información cuando se encuentran dispersos y a menudo se replican en diversos repositorios y diferentes localizaciones. un servidor de correo electrónico y. intentar proteger los datos implementando la seguridad a trozos en muchos y distintos repositorios está cargado de peligros.

Luego el reto reside en que aunque las prioridades de Copyright 2006 Freeform Dynamics Ltd www. por ejemplo. Sin embargo. La única área real de gestión de riesgos normalmente presupuestada es la de seguridad de las TI (Figura 9). la implementación de una aplicación empresarial. El problema que suele surgir es que las estructuras de financiación y presupuestación no pueden acomodar fácilmente inversiones de esta naturaleza (Figura 8). está claro que a menudo es necesaria una capa de inversiones para obtener los niveles esperados de cohesión.com Pág 9 de 13 . más que una actividad en sí. La conclusión es que las organizaciones dependen mucho de conseguir una mejor coordinación influenciando el modo en que se gasta el dinero en proyectos e iniciativas individuales que no van dirigidos específicamente a resolver problemas relacionados con riesgos. Históricamente el problema ha residido en que a menudo la gestión de riesgos se considerado como un hilo que cruza muchas actividades distintas.freeformdynamics.Retos para avanzar Uno de los retos que existen en este momento es la fragmentación en la forma en que está financiada la actividad de gestión de riesgos. la realidad es que cuando las organizaciones analizan las distintas partes de su negocio. la puesta a punto del sistema de transacciones. más de la mitad de las organizaciones que participan en el estudio no tienen un presupuesto asignado explícitamente para la actividad de gestión de riesgos ni a nivel de TI ni de negocio. Como podemos ver. el encargo de una nueva sede o instalación. etc.

Copyright 2006 Freeform Dynamics Ltd www. De hecho.com Pág 10 de 13 .esos proyectos pueden tratar los riesgos que recaen en su ámbito natural. Teniendo en cuenta que los riesgos más importantes en la agenda están íntimamente relacionados con la capacidad de los sistemas de TI. Esto es importante porque sea cual sea el modo de asignación de fondos. así como de riesgo. el tema aquí es de coste y eficacia. siguiendo con los retos. Finalmente.freeformdynamics. hay una obvia desconexión entre el negocio y las TI cuando se trata de definir los requisitos relacionados con riesgos a nivel empresarial (Figura 11). pueden limitar la cantidad de financiación disponible para abordar los requisitos relacionados con riesgos en un ámbito más amplio. no hay duda de que el nivel general de gasto en gestión de riesgos está aumentando en la mayoría de los casos. las políticas y los procedimientos. Al igual que con la discusión sobre el aprovisionamiento en relación con la seguridad. a menudo enormemente (Figura 10). esta situación está lejos de la ideal. hoy en día esto puede ser uno de los mayores impedimentos para que muchas organizaciones avancen con eficacia en la evolución de sus actividades de gestión de riesgos. El gasto fragmentado puede llevar igualmente a reinventar la rueda o a crear fisuras entre los sistemas.

Discusión y conclusión Los resultados de este estudio sugieren que mientras que las organizaciones generalmente han pasado a ser muy conscientes de los riesgos.freeformdynamics. Copyright 2006 Freeform Dynamics Ltd www. de manera que la tendencia general definitivamente parece ir en la dirección correcta. el progreso para conseguir una mejor coordinación en áreas específicas augura un buen futuro. En particular. lo cual puede requerir algunos ajustes en las estructuras de gestión y presupuestos. aún queda mucho trabajo por hacer para atar todos los cabos eficazmente. reconociendo la mayoría de ellas la necesidad de un planteamiento más holístico para gestionar los riesgos. es importante garantizar que la actividad de gestión de riesgos esté financiada adecuadamente.com Pág 11 de 13 . Quizás una de las áreas más obvias de debilidad. es la falta de involucración de la dirección de TI en la definición de los requerimientos de gestión de riesgos a nivel de negocio. sin embargo. Mientras tanto. Dado que el rendimiento y capacidad de los sistemas TI depende de una gestión eficaz de los riesgos. se debería aconsejar a la dirección ejecutiva para que animara y facilitara una mayor participación de las TI en el proceso de planificación.

com Pág 12 de 13 . ANEXO A Composición de la muestra Copyright 2006 Freeform Dynamics Ltd www.freeformdynamics.

Acerca de CA CA es una compañía de software de gestión de las TI. planificación. Nuestro resultado por lo tanto se basa en la práctica del mundo real para que el uso de la mayoría de profesionales de TI.com Pág 13 de 13 . visite www. en toda la organización. Puede gestionar los riesgos. compra e implementación de tecnologías de la información y comunicaciones.com o póngase en contacto con nosotros a través de la dirección info@freeformdynamics. Acerca de Macehiter Ward-Dutton Macehiter Ward Dutton es una firma de consultoría que se centra exclusivamente en los temas relacionados con la alineación de las TI y el negocio. capacitados expertos y un enfoque flexible para aconsejar a las empresas sobre la arquitectura.ca. gestionar los costes.com. CA cree que los sistemas. Utilizamos nuestra importante experiencia en el sector. Para más información o para subscribirse al servicio de estudios gratuitos de Freeform Dynamics. Para más información sobre CA. organización y cultura de las TI. visite www. integración. procesos y personas. Copyright 2006 Freeform Dynamics Ltd www. CA unifica los sistemas. Como parta de esto.Acerca de Freeform Dynamics Freeform Dynamics es una firma de investigación y análisis. utilizamos una innovadora tecnología de investigación para recopilar la opinión directamente de los que intervienen en la estrategia.com. Posee una visión clara de cómo las organizaciones pueden gestionar entornos TI complejos en la empresa para aprovechar todo el potencial de la tecnología en beneficio del negocio. Hacemos el seguimiento e informamos sobre el impacto que tienen en el negocio la evolución de los sectores de TI y comunicaciones. gestión. mejorar el servicio y alinear las inversiones en TI con las necesidades del negocio. Su incomparable oferta de software y décadas de experiencia hacen sencillo lo complejo. Las organizaciones ganan en flexibilidad. los procesos y las personas deberían trabajar de forma coordinada y segura apoyando los objetivos de una organización.freeformdynamics.freeformdynamics.