Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Cambios en el panorama
de los riesgos de TI
Contenido:
Riesgos de TI en el panorama actual de los riesgos de negocios
El universo de riesgos de TI
Administracin de riesgos de TI
10
14
Acte ahora
16
Riesgos de TI en el panorama
actual de los riesgos de negocios
Cambios en el panorama de los Riesgos de TI
La manera en que las compaas interactan con sus empleados, clientes y
otras organizaciones est cambiando a una velocidad sin precedentes. La
computacin mvil y las nuevas tecnologas, como la computacin en nube
y las redes sociales, estn derribando los muros de la oficina convencional
y demoliendo los viejos paradigmas de los Riesgos de TI.
Por ejemplo, el hardware de una empresa ahora opera desde pases de
bajo costo; el software se provee en la nube y los datos de la empresa se
almacenan alrededor del mundo. Los datos corporativos se transmiten a
travs de internet, se comunican y discuten en los canales de las redes
sociales y pueden viajar alrededor del mundo instantneamente a travs
de varios canales y plataformas, capturarse en los telfonos inteligentes,
tabletas y computadoras personales de los empleados. Estos dispositivos
de alta tecnologa, mediante los cuales los datos ahora fluyen libremente,
alguna vez fueron del dominio exclusivo de los empleadores que los
proporcionaban, pero ahora la mayora son propiedad de los empleados.
Como resultado, a menudo la informacin personal y los datos importantes
y privilegiados de las compaas se encuentran almacenados en los mismos
dispositivos de baja seguridad.
En este mundo sin fronteras, enfrentarse a estas capas de riesgo complejas
y en constante cambio provoca que se deban ampliar y adaptar la Agenda
de Riesgos de TI para superar dichos retos.
Desde siempre, los Riesgos de TI se han considerado como responsabilidad
nica del departamento de TI y no se han considerado como un riesgo
estratgico de negocios que requiere la atencin de toda la compaa. Sin
embargo, a medida que el uso generalizado de la tecnologa de informacin
y sus herramientas contina en aumento, afectando prcticamente
todos los aspectos de la funcin empresarial, cada vez es ms claro
que la administracin de estos riesgos actualmente trata ms sobre la
administracin de riesgos para todo el negocio. Ahora, las empresas
deben incluir la Administracin de Riesgos de TI (IT Risk Management o
ITRM, por sus siglas en ingls) dentro de su enfoque general para toda la
organizacin.
Nuestras encuestas globales de seguridad de la informacin1, que se
realizan cada ao, han arrojado que los integrantes del consejo y de los
comits de auditora estn cada vez ms interesados en dicho tema. Esta es
una de las medidas ms importantes que una empresa puede implementar
para reducir de forma potencial los Riesgos de TI.
Sin embargo, no todos los Riesgos de TI estn cubiertos por la seguridad de
la informacin. An hay mucho por hacer.
1
Para mayor informacin sobre seguridad de la informacin, consulte la 13a Encuesta Global de
Seguridad de la Informacin (EGSI) y comparativo Mxico, descrguela en:
www.ey.com/mx/asesoria
Riesgos de TI
Adquisicin
selectiva e
integracin
eficaz
Responder a la
convergencia
tecnolgica
Aumentar las
capacidades de
desarrollo de los
productos
Operaciones eficientes
y eficaces por medio
de centros de servicios
compartidos
tivo
tivo
era
Op
Cambio
organizacional
Reestructurar
con evaluacin o
reestructuracin
del modelo de
negocios
Administrar y defender
la propiedad, as como
la optimizacin de la
investigacin y desarrollo
Fortalecer la
seguridad de
los datos
era
a
Fi
n
Crecimiento en un mundo
posterior a los estmulos
fiscales y una contnua
expansin en los mercados
emergentes
o
ic
g
rat
Est
o
ic
g
rat
Est
Recuperacin
dbil/Recesin
secundaria
Riesgos de capital
humano, incluidas
las estructuras
de compensacion
desalineadas
o
nt
ie
Riesgo
reglamentario y de
cumplimiento
Riesgo reputacional
Impactos
geopolticos
macroeconmicos
im
Problemas
residuales en
cuanto a la
calidad crediticia
Cu
m
pl
ro
ie
nc
Op
Cu
m
Fallas del
pl
gobierno
corporativo y
control interno
Disminucin en
las ganancias y
valuaciones
o
nt
ie
Fi
n
ro
ie
c
n
Tecnologa
im
Banca
Atraer y
administrar
talentos
Fuente: Los 10 principales riesgos en los negocios, 2010 de Ernst & Young. Esta publicacin se puede descargar en: www.ey.com/mx/publicaciones (seccin Asesora)
Megatendencias de TI
Proveedores
terceros y
subcontratacin
Globalizacin
Confianza del
inversionista
en
to
da
d
Evitar violaciones
de seguridad
Entorno fsico
Capacidad mejorada
Datos
ad
Agenda de cambio
Infraestructura
Dotacin de
personal
Operaciones
Proteger la
marca
Previsibilidad
Transparencia y confianza
Universo de
riesgos de TI
Crmenes cibernticos
Amenazas internas
Seguridad y
privacidad
Costo de
operaciones reducido
Administrar el
cumplimiento y
la expectativa
Experiencia
ntegra del
cliente
lid
Resistencia
Aplicaciones y
bases de datos
Objetivos de
negocios
Habilitar la
innovacin y el
cambio
Administracin
de programas y
del cambio
ni
bi
Recuperacin
econmica y
volatilidad del
mercado
Computacin en nube
i
al
ci
en
fi d
Con
Nuevos modelos
de negocio y
tecnologa
Consumerizacin
Cump
lim
i
Presin
reglamentaria
Legal y
reglamentario
ncia
cie
Efi
Resultados
po
Fuerzas del
mercado
s
Di
Integridad
Impulsar el
crecimiento
Excelencia
operativa
Ms incidentes
de daos por
intrusiones (virus,
gusanos, ataques
DOS, etc.)
Exposicin al
riesgo
Ataques a los
servicios de
internet y red
Unin Europea
directrices de
proteccin de datos
Evolucin de
la economa
conectada
Ao 2000
Sarbanes-Oxley
Aumento de
los crmenes
cibernticos y
del phishing
Amenazas
terroristas
enfocadas
Aumento en el robo
de identidad
Espionaje
industrial
organizado
11 de septiembre
guerra contra el
terrorismo
Mayor concientizacin de
los riesgos del acceso a
informacin privilegiada y
de la propiedad intelectual
1995 1999
2000 2003
2004 2007
2008 2012
Comercio
electrnico
Empresas
extendidas
Empresas sin
fronteras
12%
3%
18%
19%
48%
Totalmente de acuerdo
De acuerdo
Indiferente
En desacuerdo
Totalmente en desacuerdo
4
Incidente de
WikiLeaks
Aumento del
fraude en lnea
Empresas
extendidas
Auge del
comercio
electrnico
Inicio de la era
del internet
Datos de
seguridad de
la industria
de tarjetas de
pago
Mayor tendencia
hacia la
subcontratacin de
BPO/TI
Negocio de
telfonos
Computacin en
inteligentes y de la
nube
computacin mvil
El universo de riesgos de TI
Para administrar los riesgos de TI de forma eficaz, las empresas
necesitan tener una visin amplia y completa de todo el
panorama de riesgos de TI. Nosotros hemos creado un marco
para proporcionar esta visin, llamado el universo de riesgos
de TI. Esta perspectiva integral le proporciona a las empresas
un punto de partida para ayudarlas a identificar y manejar los
riesgos y retos actuales de TI, as como los que puedan surgir
con el tiempo.
Legal y
reglamentario
Aplicaciones y
bases de datos
Administracin
de programas y
del cambio
Seguridad y
privacidad
Entorno fsico
Infraestructura
Dotacin de
personal
Datos
Intrusin de software
malicioso
Ataques de virus
Ataques a sitios web
Mala administracin de
parches
n de la Es
tr
ci
a
ea
Universo de
riesgos de TI
Excedentes
presupuestales
Retrasos importantes
Baja calidad de los
entregables
Control de cambios
ineficaz
Proveedores
terceros y
outsourcing
ia
Aplicaciones no
soportadas
Fallas crticas del
sistema
Incapacidad para
manejar la carga
Asuntos de
configuracin
g
te
Incumplimiento con
reglamentos
Incumplimiento con
contratos de licencias de
software
Al
in
Operaciones
Revelacin de datos
sensibles
Corrupcin de datos
Acceso no autorizado
Falla en minar la
informacin
Defensiva
Modalidad de fbrica
Modalidad de apoyo
Ofensiva
Modalidad estratgica
Modalidad de cambio
Beneficio de
negocios
Megatendencias
Consumerizacin
emergente
El auge de la
computacin en
nube
Riesgos de
negocios/TI
Computacin mvil:
Conectividad en cualquier
momento y en cualquier
lugar/capacidad de alto
volumen de almacenaje de
datos porttil
Medios sociales: Capacidades
nuevas y avanzadas para
compartir informacin, tal
como crowdsourcing
Seguridad y privacidad
Datos
Legal y reglamentario
Infraestructura
Seguridad y privacidad
Datos
Proveedores terceros y externos
Aplicaciones y bases de datos
Infraestructura
Legal y reglamentario
La importancia
cada vez
mayor de la
continuidad de
las operaciones
Infraestructura
Aplicaciones y bases de datos
Dotacin de personal
Operaciones
Entorno fsico
Mayor
perseverancia
del crimen
ciberntico
N/A
Seguridad y privacidad
Datos
Datos
Aplicaciones y bases de datos
Entorno fsico
Mayor exposicin
a amenazas
internas
El acelerado
programa de
cambio
N/A
Middleware
Sistema operativo
Sistema operativo
Virtualizacin
Virtualizacin
Servidores
Servidores
Almacenaje
Almacenaje
Redes
Redes
Tiempo de ejecucin
(como un servicio)
Aplicaciones
Aplicaciones
Datos
Datos
Tiempo de ejecucin
Tiempo de ejecucin
Middleware
Sistema operativo
Virtualizacin
Servidores
Almacenaje
Redes
Middleware
Sistema operativo
Virtualizacin
Servidores
Almacenaje
Redes
Middleware
Datos
Software
(como un servicio)
Tiempo de ejecucin
Aplicaciones
Datos
Plataforma
(como un servicio)
Aplicaciones
Infraestructura
Administracin de riesgos de
TI
En las siguientes reas de riesgo de TI, su empresa vivi
algn incidente o evento negativo en los ltimos 12 meses?
(promedio de la respuesta s)
20.00%
18.00%
14.00%
12.00%
10.00%
8.00%
6.00%
4.00%
2.00%
io
ne
En
te
s
t
r
or
dm
ce
no
ro
in
s
fs
is
y
tr
ic
ou
ac
o
Do
ts
i
ou
n
ta
de
ci
rc
n
in
pr
g
og
de
A
r
pe
am
pl
rs
ic
as
ac
on
y
io
al
de
ne
lc
s
y
am
ba
bi
se
Le
o
s
ga
de
ly
da
re
to
gl
s
am
en
ta
rio
ra
c
Pr
ov
e
ed
or
es
Se
g
ur
id
ad
pe
Da
to
s
0.00%
pr
iv
ac
In
id
fr
ad
ae
st
ru
ct
ur
a
16.00%
Gastar de ms?
14%
12%
10%
8%
6%
Gastar de menos?
4%
2%
10
Da
to
Do
s
ta
c
pe i
rs n d
on e
al
re
gl
am L
e
en ga
ta l y
rio
Pr
ov
ou ter eed
ts ce or
ou ro es
rc s y
in
g
In
fr
ae
st
ru
ct
A
ur
p
ba li
a
ca
s
es c
Se
gu
de ion
rid
da es
ad
to y
s
y
pr
iv
ac
id
ad
O
pr
pe
og A
ra
ra dm
ci
m i
on
as ni
es
y str
de ac
l c in
am d
bi e
En
o
to
rn
o
fs
ic
o
0%
Recuperacin
econmica y volatilidad
del mercado
Confianza del
inversionista
Computacin en
nube
Mercadotecnia
Continuidad
Adquisiciones
y SCM*
Crmenes
cibernticos
Amenazas
internas
Programa de
cambio
Control de
inventarios
Manufactura
Ventas y
distribucin
Lograr los
objetivos de
negocio
Habilitar la innovacin
y el cambio
Transacciones
TI
Impuestos
Finanzas
Legal/
reglamentario
Recursos
Humanos
Auditora
interna
Direccin
administrativa
Cumplimiento
Consejo
Control
interno
Administracin
de riesgos
Supervisin
Investigacin
y desarrollo
Funciones de riesgo
Nuevos modelos de
negocio y tecnologa
Estrategia
Consumerizacin
Globalizacin
Presin
reglamentaria
Administrar los
riesgos de TI
mediante las
lneas de defensa
Megatendencias
de TI
Operaciones
Fuerzas del
mercado y
estrategia
Comit de
auditora
Otros
comits
Proteger la marca
Administrar el
cumplimiento y la
expectativa
Experiencia ntegra
del cliente
Impulsar el
crecimiento
Excelencia operativa
11
Gobierno de riesgos de TI
3 Identificacin y
Organizacin
anlisis de riesgos
Evaluaciones de riesgo
Anlisis de
escenarios
Ad
de min
vu am istr
ln en ac
er az i
ab a n
ilid s y
ad
Acep
taci
n
riesg del
o
Estrategia de riesgos
Adm
de p inistra
cin
rd
incid idas p
ente or
s
Administracin de
problemas
es
ort
rep
s y gos
rica
s
Mt de rie
Polticas y normas
n e
ci y d
na ia o
di ar nt
or nt ie
Co me ram
a
gl gu
re ase
Riesgo
ejo
n
Ma
de
la
sis
cri
Costo
Valor
Concientizacin
y capacitacin
Herramientas y tecnologa
Monitoreo e informacin de cumplimiento
Resultados
12
3 Organizacin/Identificacin y anlisis de
riesgos/Polticas y normas.
La ITRM debe contar con una definicin adecuada de las
funciones y responsabilidades. As mismo, un programa de
ITRM debe definir polticas, normas y lineamientos que sean
justos para todas las partes interesadas y que proporcionen una
administracin eficaz de los procedimientos operativos mismos.
Esto debe especificar quin es el dueo y el responsable de
definir los procedimientos de riesgos de TI de la empresa, y de
supervisar y ofrecer la gua necesaria para elaborarlos.
13
La adopcin de la ITRM
13%
17%
El uso de herramientas
22%
Nivel 5
El programa ha estado bien establecido por
varios aos
Nivel 4
Implementamos un programa en los
ltimos tres aos
Nivel 3
Estamos en proceso de implementar un
programa
Nivel 2
Actualmente nos encontramos evaluando
opciones para un programa
Nivel 1
No estamos considerando implementar un
programa
En su empresa se utilizan herramientas o aplicaciones de software para apoyar la ITRM (p. ej. herramientas de GRC)?
100%
90%
22%
80%
27%
70%
60%
50%
40%
20%
30%
31%
20%
10%
0%
Nivel 5
Nivel 4
Nivel 3
14
Cmo comparara usted la eficacia de la ITRM de su empresa con la de su competencia? (porcentaje de encuestados que
respondieron el nuestro es ms eficaz)
Nivel 5
El programa ha estado bien establecido por
varios aos
30%
Nivel 4
Implementamos un programa en los
ltimos tres aos
20%
Nivel 3
Estamos en proceso de implementar un
programa
Nivel 2
Actualmente nos encontramos evaluando
opciones para un programa
Nivel 1
No estamos considerando implementar un
programa
25%
15%
10%
5%
0%
Nivel 1
Nivel 5
Nivel 4
Nivel 3
Nivel 2
- 5%
15
Acte ahora
Este panorama cambiante exige claramente una revisin
profunda de los riesgos de negocios y de TI y de la
estrategia corporativa que rodean las megatendencias de la
consumerizacin, computacin en nube, continuidad del negocio,
crmenes cibernticos, amenazas internas y el programa
acelerado de cambio. Por ejemplo: se podra realizar una revisin
de las polticas de administracin de datos y de trabajo remoto
para ver si la funcin de TI pudiera manejar cualquier riesgo
futuro que pudiera surgir de las nuevas tecnologas mviles y
del uso de los medios sociales actuales. Esto podra impulsar
una iniciativa para obtener una posicin ms progresista y
preventiva. Una empresa se debe preguntar si est preparada
solo para sobrellevar la situacin, limitar el dao y permitir la
continuidad del negocio o si realmente est preparada para
evitar que ocurra un incidente.
16
Contacto en Mxico:
Carlos Chalico
LI, CISA, CISSP, CISM, CGEIT, CRISC, PbDA
Socio Asesora
Ernst & Young
Tel.: +52 (55) 1101 6414