Perspectivas sobre los riesgos de TI

Cambios en el panorama
de los riesgos de TI

El porqu y el cmo de la actual Administracin de

Riesgos de TI

Contenido:
Riesgos de TI en el panorama actual de los riesgos de negocios

El universo de riesgos de TI

Administracin de riesgos de TI

10

Lo que las empresas estn haciendo

14

Acte ahora

16

Perspectivas sobre los riesgos de TI | Informe de negocios

Riesgos de TI en el panorama
actual de los riesgos de negocios
Cambios en el panorama de los Riesgos de TI
La manera en que las compaas interactan con sus empleados, clientes y
otras organizaciones est cambiando a una velocidad sin precedentes. La
computacin mvil y las nuevas tecnologas, como la computacin en nube
y las redes sociales, estn derribando los muros de la oficina convencional
y demoliendo los viejos paradigmas de los Riesgos de TI.
Por ejemplo, el hardware de una empresa ahora opera desde pases de
bajo costo; el software se provee en la nube y los datos de la empresa se
almacenan alrededor del mundo. Los datos corporativos se transmiten a
travs de internet, se comunican y discuten en los canales de las redes
sociales y pueden viajar alrededor del mundo instantneamente a travs
de varios canales y plataformas, capturarse en los telfonos inteligentes,
tabletas y computadoras personales de los empleados. Estos dispositivos
de alta tecnologa, mediante los cuales los datos ahora fluyen libremente,
alguna vez fueron del dominio exclusivo de los empleadores que los
proporcionaban, pero ahora la mayora son propiedad de los empleados.
Como resultado, a menudo la informacin personal y los datos importantes
y privilegiados de las compaas se encuentran almacenados en los mismos
dispositivos de baja seguridad.
En este mundo sin fronteras, enfrentarse a estas capas de riesgo complejas
y en constante cambio provoca que se deban ampliar y adaptar la Agenda
de Riesgos de TI para superar dichos retos.
Desde siempre, los Riesgos de TI se han considerado como responsabilidad
nica del departamento de TI y no se han considerado como un riesgo
estratgico de negocios que requiere la atencin de toda la compaa. Sin
embargo, a medida que el uso generalizado de la tecnologa de informacin
y sus herramientas contina en aumento, afectando prcticamente
todos los aspectos de la funcin empresarial, cada vez es ms claro
que la administracin de estos riesgos actualmente trata ms sobre la
administracin de riesgos para todo el negocio. Ahora, las empresas
deben incluir la Administracin de Riesgos de TI (IT Risk Management o
ITRM, por sus siglas en ingls) dentro de su enfoque general para toda la
organizacin.
Nuestras encuestas globales de seguridad de la informacin1, que se
realizan cada ao, han arrojado que los integrantes del consejo y de los
comits de auditora estn cada vez ms interesados en dicho tema. Esta es
una de las medidas ms importantes que una empresa puede implementar
para reducir de forma potencial los Riesgos de TI.
Sin embargo, no todos los Riesgos de TI estn cubiertos por la seguridad de
la informacin. An hay mucho por hacer.
1
Para mayor informacin sobre seguridad de la informacin, consulte la 13a Encuesta Global de
Seguridad de la Informacin (EGSI) y comparativo Mxico, descrguela en:
www.ey.com/mx/asesoria

Perspectivas sobre los riesgos de TI | Informe de negocios

Los riesgos de TI estn firmemente

vinculados a los riesgos de negocios
En el informe de Los 10 principales riesgos en los negocios 2010
de Ernst & Young se analizaron los 10 riesgos ms importantes
en todos los tipos de negocios y por industria especfica. Como
ejemplo, los radares de riesgo, que se incluyen a continuacin,
muestran los 10 ms relevantes para los bancos y las empresas
de tecnologa.
Estos dos sectores son usuarios intensivos de la tecnologa de
la informacin. Por lo tanto, los riesgos relacionados con las TI

se encuentran en una categora separada de la lista de sus 10

riesgos ms importantes. El sector bancario tiene una categora
genrica de riesgos de TI (estrella verde), mientras que el sector
de tecnologa se enfoca ms especficamente en los riesgos de
datos (estrella verde).
Pero an hay ms. En los radares tambin hemos identificado
(estrella roja) aquellos riesgos de negocios de los 10 ms
importantes que en realidad tienen un componente relevante
de TI, por lo que cuentan con un riesgo de TI oculto. Estos
nicamente se podrn gestionar eficazmente cuando la ITRM sea
una parte integral de la administracin de riesgos de negocios.
Sin la ITRM, una empresa no podr hacerles frente.

Riesgos de TI

Adquisicin
selectiva e
integracin
eficaz

Responder a la
convergencia
tecnolgica
Aumentar las
capacidades de
desarrollo de los
productos

Operaciones eficientes
y eficaces por medio
de centros de servicios
compartidos

tivo

tivo
era
Op

Cambio
organizacional

Reestructurar
con evaluacin o
reestructuracin
del modelo de
negocios

Administrar y defender
la propiedad, as como
la optimizacin de la
investigacin y desarrollo

Fortalecer la
seguridad de
los datos

era

a
Fi
n

Crecimiento en un mundo
posterior a los estmulos
fiscales y una contnua
expansin en los mercados
emergentes

o
ic
g
rat
Est

o
ic
g
rat
Est

Recuperacin
dbil/Recesin
secundaria

Riesgos de capital
humano, incluidas
las estructuras
de compensacion
desalineadas

o
nt
ie

Proteger el valor de los

activos liquidos y lidiar
con la volatilidad en los
tipos de cambio

Riesgo
reglamentario y de
cumplimiento
Riesgo reputacional

Impactos
geopolticos
macroeconmicos

im

Problemas
residuales en
cuanto a la
calidad crediticia

Cu
m
pl

ro
ie
nc

Op

Cu
m

Fallas del
pl
gobierno
corporativo y
control interno

Disminucin en
las ganancias y
valuaciones

o
nt
ie

Fi
n

ro
ie
c
n

Tecnologa
im

Banca

Atraer y
administrar
talentos

La mayora de los riesgos de negocios tiene un fuerte vnculo

con los de TI.

La mayora de los riesgos de negocios tienen un fuerte vnculo

con los de TI.

Riesgo reglamentario. Cmo respondern los reguladores a

la amenaza cada vez mayor de los riesgos de TI?

Impactos geopolticos. Cul es su grado de exposicin a

estos impactos? Cul es la capacidad de respuesta de su
organizacin de TI?

Expansin en mercados emergentes. El hecho de que su

compaa tenga una mayor presencia aumenta el riesgo de
continuidad del negocio?

Reestructurar el negocio. Cunto cambiara su perfil de

riesgo de TI?

Riesgo reputacional. Cmo afectara un ataque ciberntico

a su prestigio y marca?

Fallas de control. Es posible que las brechas o debilidades

en los controles de TI y en la seguridad sean factores
contribuyentes?

Centros de servicios compartidos. Esto aumentara el

riesgo para el aprovisionamiento de TI y seguridad de la
informacin?

Riesgos de TI. Cmo atender las reas clave de riesgo

relacionadas con la seguridad, resistencia y la fuga de
datos?

Seguridad de propiedad intelectual y de datos. Est

protegido contra la fuga o prdida de datos y contra
empleados conflictivos?

Adquisiciones selectivas e integracin eficaz. Qu tan

exitosas son sus inversiones si no puede integrar el entorno
de las TI de una compaa adquirida?

Fuente: Los 10 principales riesgos en los negocios, 2010 de Ernst & Young. Esta publicacin se puede descargar en: www.ey.com/mx/publicaciones (seccin Asesora)

Perspectivas sobre los riesgos de TI | Informe de negocios

En pocas palabras, la ITRM es influenciada por las mismas

fuerzas del mercado que los otros riesgos y sirve de apoyo
para el logro de los objetivos generales del negocio. Es dentro
de este entorno que las organizaciones deben manejar su
universo de riesgos de TI. Este se presenta en el marco incluido
a continuacin. En l se muestran y destacan las 11 categoras
de riesgos ms importantes (la dcima primera categora es
alineacin de la estrategia que se presenta en el centro del
grfico), la cual analizaremos con mayor detalle ms adelante.
Los riesgos dentro de estas categoras cambiarn con el paso del
tiempo, dependiendo de las megatendencias de TI que enfrentan
las empresas. La ITRM ofrece el marco general de riesgo y
control que habilita los objetivos de control ms importantes
para las TI: eficacia, eficiencia, cumplimiento, confidencialidad,
integridad y disponibilidad.

Algunos de los riesgos clave en los cuales debemos enfocarnos y

sus consecuencias para la ITRM son:

La creciente importancia de la ITRM

El paradigma de los riesgos de TI siempre ha estado sujeto
a cambios, pero la complejidad y los tipos de riesgo han
aumentado considerablemente en los ltimos aos y continuarn
incrementndose. Los modelos cambiantes de negocios,
una mayor regulacin y los actos intencionales de crmenes
cibernticos aumentan la exposicin al riesgo y la necesidad
de imponer un nuevo rgimen de administracin de riesgos. La
grfica anexa muestra cmo han cambiado los riesgos con el
paso del tiempo.

Las tendencias como la subcontratacin de los procesos de

negocio (business process outsourcing o BPO, por sus siglas
en ingls), la computacin en nube y la subcontratacin de
TI estn generando una mayor dependencia de terceros. Por
lo tanto, la administracin de la continuidad del negocio (y
garantizar la disponibilidad de las instalaciones de TI) tiene
dimensiones y complejidades externas adicionales.

Los acontecimientos como los incidentes de WikiLeaks, el

robo de identidad y la computacin mvil estn obligando a
las compaas a enfocarse ms en los riesgos relacionados
con la fuga de datos.

Las directrices de proteccin de datos de la Unin Europea

estn ayudando a las compaas a tomar medidas contra
el aumento de los crmenes cibernticos, del phishing y del
fraude en lnea.

Queda claro que, sin incluir las inquietudes relacionadas con el

inicio del nuevo milenio, los riesgos de TI van en aumento. La
amplitud y profundidad de los riesgos y la necesidad de contar
con contramedidas eficaces se est intensificando de manera
rpida, y probablemente continuar aumentando. Muchos
negocios estn reconociendo esto; en nuestra reciente Encuesta
de Agenda de Riesgo de TI (IT Risk Agenda Survey 2), dos
terceras partes de los encuestados estuvieron de acuerdo en que
la administracin de riesgos de TI se ha vuelto ms desafiante en
los ltimos aos.

El entorno de negocios y la ITRM

El entorno del negocio
Administracin de riesgos de TI
Efi cacia

Megatendencias de TI

Proveedores
terceros y
subcontratacin

Globalizacin

Confianza del
inversionista

en
to

da
d

Evitar violaciones
de seguridad

Entorno fsico

Capacidad mejorada
Datos

ad

Agenda de cambio

Infraestructura

Dotacin de
personal
Operaciones

Proteger la
marca

Previsibilidad
Transparencia y confianza

Universo de
riesgos de TI

Crmenes cibernticos
Amenazas internas

Seguridad y
privacidad

Costo de
operaciones reducido

Administrar el
cumplimiento y
la expectativa
Experiencia
ntegra del
cliente

lid

Resistencia

Aplicaciones y
bases de datos

Objetivos de
negocios
Habilitar la
innovacin y el
cambio

Administracin
de programas y
del cambio

ni
bi

Recuperacin
econmica y
volatilidad del
mercado

Computacin en nube

i
al
ci
en
fi d
Con

Nuevos modelos
de negocio y
tecnologa

Consumerizacin

Cump
lim
i

Presin
reglamentaria

Legal y
reglamentario

ncia
cie
Efi

Presin sobre los

mrgenes

Resultados

po

Fuerzas del
mercado

s
Di

Integridad

Impulsar el
crecimiento
Excelencia
operativa

Favor de consultar la seccin Acerca de nuestra encuesta al final de este informe.

Perspectivas sobre los riesgos de TI | Informe de negocios

Nuevos modelos de negocio

Amenazas emergentes
Requisitos reglamentarios crecientes

Ms incidentes
de daos por
intrusiones (virus,
gusanos, ataques
DOS, etc.)

Exposicin al
riesgo

Ataques a los
servicios de
internet y red

Unin Europea
directrices de
proteccin de datos

Evolucin de
la economa
conectada

Ao 2000

Sarbanes-Oxley

Aumento de
los crmenes
cibernticos y
del phishing

Amenazas
terroristas
enfocadas

Aumento en el robo
de identidad

Espionaje
industrial
organizado

11 de septiembre
guerra contra el
terrorismo

Mayor concientizacin de
los riesgos del acceso a
informacin privilegiada y
de la propiedad intelectual

1995 1999

2000 2003

2004 2007

2008 2012

Inicio del internet

Comercio
electrnico

Empresas
extendidas

Empresas sin
fronteras

Se ha vuelto ms difcil la administracin de los riesgos de TI

con el paso de los aos?

12%

3%

18%

19%

48%

Totalmente de acuerdo
De acuerdo
Indiferente

El crecimiento de las tecnologas, como la computacin mvil,

la computacin en nube y la virtualizacin, as como la rpida
adopcin de las plataformas de redes sociales y del comercio/
pagos en lnea no muestran seales de que disminuirn. Se
seguirn creando tecnologas, cada una de las cuales plantear
un nuevo conjunto de riesgos y retos cuya naturaleza difcilmente
podr predecirse. Algunas compaas han adoptado la nueva
tecnologa y la han aprovechado para ayudar a que sus negocios
crezcan. Por ejemplo, Groupon, el nuevo sitio de internet para
obtener descuentos en productos de consumo y servicios,
tard nicamente tres aos en alcanzar ingresos de USD 1 mil
millones. Estas compaas de rpido movimiento dependen
mucho de una ITRM eficaz, ya que reconocen que un incidente
relacionado con un riesgo de TI que exponga los datos y que
afecte la confianza de los clientes en la compaa podra poner
en peligro su existencia misma.
Los crmenes cibernticos son un riesgo impredecible que
inevitablemente ha dado pie a ms normas y una mayor
supervisin por parte del gobierno. Por ende, las directrices de
proteccin de datos de la Unin Europea, la Ley Sarbanes-Oxley
y las normas de seguridad de datos de la Industria de Tarjetas
de Pago tambin se han vuelto impulsores importantes para
la inversin en procesos y procedimientos relacionados con la
ITRM.

En desacuerdo
Totalmente en desacuerdo
4

Incidente de
WikiLeaks

Aumento del
fraude en lnea

Empresas
extendidas

Auge del
comercio
electrnico
Inicio de la era
del internet

Datos de
seguridad de
la industria
de tarjetas de
pago
Mayor tendencia
hacia la
subcontratacin de
BPO/TI

Negocio de
telfonos
Computacin en
inteligentes y de la
nube
computacin mvil

Perspectivas sobre los riesgos de TI | Informe de negocios

El universo de riesgos de TI
Para administrar los riesgos de TI de forma eficaz, las empresas
necesitan tener una visin amplia y completa de todo el
panorama de riesgos de TI. Nosotros hemos creado un marco
para proporcionar esta visin, llamado el universo de riesgos
de TI. Esta perspectiva integral le proporciona a las empresas
un punto de partida para ayudarlas a identificar y manejar los
riesgos y retos actuales de TI, as como los que puedan surgir
con el tiempo.

Legal y
reglamentario

Aplicaciones y
bases de datos

Administracin
de programas y
del cambio

Dao a los servidores

Arquitectura de TI
inflexible
Robo
Tecnologa obsoleta

Seguridad y
privacidad

Entorno fsico

Infraestructura

Dotacin de
personal

Datos

Intrusin de software
malicioso
Ataques de virus
Ataques a sitios web
Mala administracin de
parches

n de la Es
tr
ci
a
ea

Universo de
riesgos de TI

Excedentes
presupuestales
Retrasos importantes
Baja calidad de los
entregables
Control de cambios
ineficaz

Proveedores
terceros y
outsourcing

ia

Aplicaciones no
soportadas
Fallas crticas del
sistema
Incapacidad para
manejar la carga
Asuntos de
configuracin

g
te

Nivel de servicio bajo

Fuga de datos
Soporte inadecuado
Falta de aseguramiento

Incumplimiento con
reglamentos
Incumplimiento con
contratos de licencias de
software

Al
in

El universo de riesgos de TI destaca la necesidad de contar con

una estrategia alineada para manejar las 10 amplias categoras
de riesgos. Estas son relativamente estables, pero los riesgos
dentro de ellas variarn de una compaa a otra y cambiarn a
medida que pase el tiempo.

Fallas en los servicios

pblicos
Desastres naturales
Huelgas
Sanciones
ambientales

Operaciones

Revelacin de datos
sensibles
Corrupcin de datos
Acceso no autorizado
Falla en minar la
informacin

Errores del operador

durante el respaldo o
mantenimiento
Fallas en los procesos
operativos

Prdida de recursos clave

de TI
Incapacidad para reclutar
personal de TI
Habilidades inadecuadas
Falta de
conocimiento del
negocio

Perspectivas sobre los riesgos de TI | Informe de negocios

Cmo los diferentes entornos de negocios

afectan el universo de riesgos de TI
Debido a que los riesgos de TI estn tan estrechamente
vinculados a los riesgos de negocios, los integrantes del
consejo deben hacer preguntas crticas sobre la eficacia de la
administracin de riesgos de TI. No es necesario que cuenten
con un amplio conocimiento sobre TI para poder identificar estas
preguntas importantes y reveladoras.
nicamente necesitan tener dos cosas en claro:

Qu tanto depende su compaa de sistemas de TI rentables,

ininterrumpidos y seguros (TI defensiva)
Qu tanto depende esta de lograr una ventaja competitiva a
travs de las TI (TI ofensiva) o de ambas

Entender esto les ayudar a hacer las preguntas correctas.

Las compaas pueden utilizar esta Cuadrcula del Impacto
Estratgico de TI para ayudarles a ver sus prioridades de
TI objetivamente, qu tan crticas para el negocio son sus
funciones operativas cotidianas y si se requiere de una mayor
innovacin e inversin en TI.
Una vez que una empresa tiene conocimiento de la modalidad en
la que se encuentra, se puede enfocar en lo que s es importante
para sus circunstancias especficas e implementar un gobierno y

El entorno de negocios y la ITRM

controles personalizados en la medida de lo necesario.

Cabe destacar que las grandes empresas casi nunca se
encuentran en una sola modalidad. Pueden encontrarse en varias
modalidades del cuadrante al mismo tiempo, dependiendo de la
parte de la empresa bajo anlisis y de las aplicaciones centrales
que se utilicen en esa parte de la misma.
Por ejemplo, las empresas (o partes de las mismas) que se
encuentran en la modalidad de Fbrica o Estratgica (es decir,
en la parte alta del eje vertical) se deben enfocar en las medidas
de continuidad del negocio para evitar interrupciones operativas.
Para este tipo de empresas, la seguridad y confiabilidad de la
informacin debe ser una prioridad en las reuniones del consejo.
Por ejemplo, este debe certificar que la administracin supervisa
las redes de la empresa para detectar violaciones a la seguridad
y que la continuidad del negocio y los planes de recuperacin en
caso de desastres estn implementados y sean eficaces.
Las empresas (o partes de las mismas) en la modalidad de
Cambio o Estratgica (es decir, en la parte alta del eje
horizontal) se deben enfocar ms en administrar sus inversiones
de TI en la innovacin y en mantener una perspectiva general del
cambiante panorama de las TI. Las actividades de administracin
de riesgos generalmente se enfocaran en mitigar los riesgos
de las iniciativas de TI relacionadas con proyectos, programas
y administracin del cambio. Por ejemplo, las actividades ms
comunes de control se podran enfocar en el aseguramiento de
los proyectos estratgicos de TI, la madurez de la configuracin
y los procesos de control del cambio, as como control sobre la
arquitectura de la empresa.

Defensiva

Necesidad cada vez mayor de tecnologa de

la informacin confiable

Modalidad de fbrica

Si un sistema falla ms de un minuto, hay una prdida

inmediata en el negocio.
Una disminucin en el tiempo de respuesta por ms de
un segundo tiene consecuencias serias para los usuarios
internos y externos.
La mayora de las actividades centrales de negocios se
realizan en lnea.
El trabajo de sistemas en su mayora es de mantenimiento.
El trabajo de sistemas ofrece poca distincin estratgica y
reduccin drstica de costos.

Modalidad de apoyo

Incluso con interrupciones constantes de hasta 12 horas

en el servicio, no hay consecuencias importantes.
El tiempo de respuesta para el usuario puede tomar hasta
5 segundos en las operaciones en lnea.
La mayora de los sistemas internos no son visibles para
los proveedores ni para los clientes. Hay poca necesidad
de contar con la capacidad de una extranet.
Las compaas rpidamente pueden regresar a
procedimientos manuales en el 80% de las operaciones
de valor.
El trabajo de sistemas en su mayora es de
mantenimiento.

Ofensiva

Modalidad estratgica

Si un sistema falla por ms de un minuto, hay una prdida

inmediata en el negocio.
Una disminucin en el tiempo de respuesta por ms de un
segundo tiene consecuencias serias para los usuarios internos
y externos.
Los nuevos sistemas prometen transformaciones importantes
en los procesos y servicios.
Los nuevos sistemas prometen grandes reducciones de costos.
Los nuevos sistemas cerrarn importantes brechas de costos,
servicios o de desempeo de los procesos con los competidores.

Modalidad de cambio

Los nuevos sistemas prometen transformaciones importantes

en los procesos y servicios.
Los nuevos sistemas prometen grandes reducciones de costos.
Los nuevos sistemas cerrarn importantes brechas de costos,
servicios o de desempeo de los procesos con los competidores.
Las TI constituyen ms del 50% de la inversin de capital.
Las TI constituyen ms del 15% del gasto corporativo

Necesidad cada vez mayor de nueva tecnologa de la informacin

Fuente: Information Technology and the board of directors, Nolan & McFarlan, Harvard Business Review, octubre de 2005.

Perspectivas sobre los riesgos de TI | Informe de negocios

Las megatendencias de TI ayudan a

identificar los riesgos importantes en
este tema
Para poder apreciar mejor el universo de riesgos de TI y para
crear un enfoque de ITRM, resulta til entender que los riesgos
se ven muy afectados por varias tendencias importantes,
conocidas como megatendencias.

Beneficio de
negocios

Megatendencias

Consumerizacin
emergente

El auge de la
computacin en
nube

Cada una de estas megatendencias trae consigo grandes

oportunidades y retos nuevos y complejos. Cada una se vincula
con el universo de riesgos de TI de varias formas, tal como se
muestra a continuacin:

Riesgos de
negocios/TI

Computacin mvil:
Conectividad en cualquier
momento y en cualquier
lugar/capacidad de alto
volumen de almacenaje de
datos porttil
Medios sociales: Capacidades
nuevas y avanzadas para
compartir informacin, tal
como crowdsourcing

Menor costo total de

propiedad
Enfoque en las actividades
centrales y menor
esfuerzo por administrar la
infraestructura y aplicaciones
de TI
Contribuye a reducir la huella
de carbono global

Categoras afectadas del

universo de riesgos de TI

Mayor vulnerabilidad debido al acceso en

cualquier momento y lugar
Riesgo de intercambio involuntario,
exageracin de comentarios casuales y
revelacin de los datos personales y de la
compaa. La disponibilidad de los datos en la
web facilita los ataques cibernticos
Los empleados podran violar las polticas
relacionadas con la fuga de datos

Seguridad y privacidad
Datos
Legal y reglamentario
Infraestructura

Falta de gobierno y supervisin de la

infraestructura, aplicaciones y bases de datos
de TI
Dependencia del proveedor
Afectaciones posibles a la privacidad y
seguridad
Disponibilidad de TI a ser afectada por el uso
de la nube
Mayor riesgo al incumplimiento reglamentario
(SOX, PCT, etc.). La nube tambin genera retos
en el cumplimiento de la auditora.
La nube podra afectar la agilidad de las TI y de
las empresas. La plataforma establecida por el
proveedor podra no alinearse con el desarrollo
de software y las necesidades estratgicas de
usuario

Seguridad y privacidad
Datos
Proveedores terceros y externos
Aplicaciones y bases de datos
Infraestructura
Legal y reglamentario

La importancia
cada vez
mayor de la
continuidad de
las operaciones

Disponibilidad las 24 horas

del da, 7 das a la semana,
365 das al ao de los
sistemas de TI para permitir
la continuidad en el servicio
al cliente, las operaciones, el
comercio electrnico, etc.

Planes de continuidad del negocio y de

recuperacin en caso de desastres que
fallan y provocan prdidas financieras o
reputacionales

Infraestructura
Aplicaciones y bases de datos
Dotacin de personal
Operaciones
Entorno fsico

Mayor
perseverancia
del crimen
ciberntico

N/A

Propagacin de cdigos maliciosos en los

sistemas de la compaa que provocan cadas
en el sistema
Riesgo de robo de informacin personal,
financiera y de salud
Prdida de datos confidenciales causada por
vulnerabilidades externas
Prdida financiera debido a transferencias
bancarias no autorizadas

Seguridad y privacidad
Datos

Que se asignen derechos de acceso que van

ms all de lo que se requiere en la funcin
de los empleados o contratistas
Que no se eliminen los derechos de acceso
de empleados o contratistas cuando dejan de
trabajar en la empresa

Datos
Aplicaciones y bases de datos
Entorno fsico

Que no se entreguen los proyectos y

programas de TI dentro del presupuesto,
oportunidad, calidad y alcance, provocando
una fuga de valor

Administracin de programas y del

cambio

Mayor exposicin
a amenazas
internas

El acelerado
programa de
cambio

N/A

La adopcin rpida de nuevos

modelos de negocios o la
reduccin de costos le da a
las empresas una ventaja
competitiva

Perspectivas sobre los riesgos de TI | Informe de negocios

1. Consumerizacin emergente: Esto se refiere a cuando una

nueva tecnologa de la informacin surge por primera vez en el
mercado del consumidor y despus se propaga a las empresas.
Esto da como resultado la convergencia de la industria de las TI
y electrnica de consumo, y un cambio en la innovacin de las
TI de las grandes empresas al hogar. La computacin mvil y las
redes sociales son ejemplos de la consumerizacin, los cuales
cada vez ms estn siendo adoptados por un amplio pblico
y en muchos grupos demogrficos. Son ejemplos de cmo la
tecnologa est proporcionndole al usuario grandes facilidades,
como acceso a la informacin en cualquier momento y lugar
(computacin mvil), mejores capacidades para compartir
informacin (redes sociales) y altos volmenes de datos
porttiles (computacin mvil). La consumerizacin tambin da
lugar a nuevos riesgos relacionados con la accesibilidad a travs
de la computacin mvil o la revelacin involuntaria de datos
personales o de la compaa a travs de las redes sociales.

grandes corporaciones ahora subcontratan al menos algunas

partes de su TI en la nube. Los beneficios derivados del uso de
la computacin en nube incluyen una reduccin de los costos
totales de propiedad, y permiten que las compaas se enfoquen
en su negocio principal, ya que se reduce el esfuerzo general
para administrar las operaciones de infraestructura. Adems de
estos beneficios, el uso cada vez mayor de la nube reducir la
huella ecolgica en general, ya que permite un uso ms eficaz de
los activos de TI. La nube tambin trae consigo varios riesgos y
retos nuevos que tienen que atenderse, tal como la propiedad de
datos, riesgos relacionados con la disponibilidad de datos y retos
en el cumplimiento reglamentario de auditoras.
3. La importancia cada vez mayor de la continuidad
de operaciones: A medida que aumenta la complejidad e
interconexin de las compaas, tambin se ha incrementado el
impacto que tiene la falta de disponibilidad de cualquier recurso
de TI. En el mundo actual de una empresa sin fronteras, hay
un impacto visible en cascada de la incapacidad de cualquier
parte de la cadena de valor de la organizacin para cumplir con
sus compromisos. Adems, muchos negocios cada vez dependen
ms de que sus sistemas de TI estn disponibles las 24 horas
para sus operaciones de ventas y atencin al cliente, u otras
operaciones centrales de la compaa. A pesar de que muchas
compaas reconocen la importancia de la continuidad operativa
y de la recuperacin en caso de desastres, otras an estn
luchando con este tema. Muchas compaas no tienen planes
de continuidad del negocio, y las que s los tienen rara vez los
prueban. Ahora ms que nunca, la continuidad tiene un lugar
ms importante en el universo de riesgos de TI. Esto se puede
apreciar en los resultados de la Encuesta Global de Seguridad
de la Informacin de Ernst & Young 2010 (Ernst & Young
Global Information Security Survey 2010), la cual arroj que la
disponibilidad de los recursos de TI se identifica como el riesgo
nmero uno.

2. El auge de la computacin en nube: Esto se refiere a una

manera de utilizar el internet para tener acceso a los datos
utilizando el software de un tercero que opera en el hardware
de otro tercero, posiblemente a travs del centro de datos
de algn otro tercero. En este ejemplo, ese centro de datos
generalmente opera a travs de un proveedor de servicios de
nube que ofrece el servicio y que se paga conforme se utiliza.
Como se muestra en el diagrama anexo, esto se ofrece en varios
servicios del mercado comn, incluyendo la IaaS (Infraestructura
como Servicio o Infrastructure as a Service), la PaaS (Plataforma
como Servicio o Platform as a Service), y SaaS (Software como
Servicio o Software as a Service).
Las compaas estn utilizando cada vez ms la nube para
soportar todos (o una parte de) sus sistemas. Varias encuestas
sobre el uso del internet muestran que ms del 50% de las

Servicios de centros de datos

En el servidor
del usuario

Middleware

Sistema operativo

Sistema operativo

Virtualizacin

Virtualizacin

Servidores

Servidores

Almacenaje

Almacenaje

Redes

Redes

Administrado por usted

Tiempo de ejecucin

(como un servicio)

Aplicaciones

Aplicaciones

Datos

Datos

Tiempo de ejecucin

Tiempo de ejecucin

Middleware
Sistema operativo
Virtualizacin
Servidores
Almacenaje
Redes

Perspectivas sobre los riesgos de TI | Informe de negocios

Middleware
Sistema operativo
Virtualizacin
Servidores
Almacenaje
Redes

Administrado por el proveedor

Middleware

Datos

Software

(como un servicio)

Administrado por el proveedor

Tiempo de ejecucin

Aplicaciones

Administrado por el proveedor

Administrado por usted

Datos

Plataforma

(como un servicio)

Administrado por usted

Aplicaciones

Infraestructura

4. Mayor perseverancia del crimen ciberntico: Cada vez

ms, las compaas son vctimas del crimen ciberntico. Las
estadsticas del FBI muestran que los ndices de crmenes
cibernticos en 2009 y 2010 aumentaron ms que nunca y se
incrementaron en 20% desde 2008. La investigacin realizada
por el gobierno del Reino Unido (la Oficina de Seguridad
Ciberntica y Aseguramiento de Informacin) arroj que el costo
total de los crmenes cibernticos para la economa britnica
es de aproximadamente 27 mil millones de libras esterlinas
al ao. El estudio muestra que la mayor parte de la prdida
(21 mil millones de libras esterlinas) la estn solventando los
negocios britnicos y que dichas prdidas son debido a la fuga
de datos sumamente importantes de las compaas, ya que
el espionaje y el robo de propiedad intelectual son las dos
fuentes ms importantes que generan prdidas econmicas
en el Reino Unido. En un inicio, los crmenes cibernticos eran
el trabajo de personas que realizaban actividades de piratera
informtica (hacking), tales como el robo de identidad para su
beneficio econmico personal. Ms recientemente, los crmenes
cibernticos los llevan a cabo grupos ms organizados que
trabajan juntos, utilizando ms recursos, habilidades y con un
mejor alcance. Las Amenazas Persistentes Avanzadas (APT)
son un problema que va en aumento. La naturaleza de estas
actividades es que no estn enfocadas en obtener ganancias a
corto plazo. El objetivo es mantenerse al descubierto y recabar
cuanta informacin importante de la compaa les sea posible
(propiedad intelectual, tarifas, propuestas, diseo de productos
nuevos, planes estratgicos, etc.). Las medidas tradicionales de
la seguridad de la informacin son relativamente ineficientes
para hacer frente a las APT y esto ha obligado a las compaas a
tomar medidas adicionales contra las amenazas externas.
5. Mayor exposicin a amenazas internas: Los incidentes
relacionados con WikiLeaks exhibidos recientemente han
mostrado que la seguridad interna es al menos tan importante
como las amenazas externas. En un incidente, un exempleado
descontento de un banco suizo le entreg a WikiLeaks los
datos de las cuentas bancarias de ms de 2,000 personas
prominentes, potencialmente exhibiendo una evasin fiscal. Este
incidente una vez ms hace hincapi en que los empleados con
acceso a informacin crtica y restringida pueden poner a las
empresas en riesgo al revelar informacin al pblico. Este riesgo
se ha visto alimentado por el comportamiento de empleados

conflictivos y descontentos como resultado de la crisis financiera

o de un impulso por actuar a favor del inters pblico. En
la prctica, muchas firmas se encuentran lidiando con la
administracin de accesos ya que deben buscar proporcionar el
acceso adecuado a la informacin a la gente correcta que labora
en sus empresas. La experiencia nos dice que (1) las compaas
no pueden decir cules son los elementos ms valiosos e
importantes de datos; (2) dnde se encuentran estos elementos;
y (3) a dnde se envan estos datos.
6. El acelerado programa de cambio: El cambio contina siendo
una constante en las TI. Desde siempre, las compaas han
hecho un esfuerzo por construir y profesionalizar un panorama
ERP para apoyar sus procesos centrales. Hoy en da parece
que el enfoque cambi al grupo alrededor del ERP central, tal
como Riesgo y Cumplimiento de Gobierno (Governance Risk &
Compliance o GRC, por sus siglas en ingls) y la inteligencia de
negocios. Adems, la crisis financiera ha frenado la innovacin
en muchas empresas, a raz de los cortes presupuestales. Por
lo tanto, han dejado de invertir en el cambio estratgico en
los ltimos aos, lo que ha dado pie a una importante base
instalada del legado de TI. Por estas dos razones, los proyectos
y programas de TI siguen siendo las prioridades de TI ms
importantes.
Sin embargo, las estadsticas sobre los proyectos y programas
en la materia no son alentadoras; segn el informe publicado
por Standish, aproximadamente dos de cada tres proyectos
se clasifica como no exitoso, lo que significa que rebasa
el presupuesto, lleg demasiado tarde, o no est dando los
beneficios anticipados. El bajo ndice de xito da como resultado
una fuga importante de valor en las compaas de TI, debido
a que reciben menos valor por su dinero invertido en las TI
de lo que haban anticipado. A fin de mejorar el ndice de xito
en estos proyectos y programas, las empresas pueden tomar
medidas adicionales, tales como implementar programas de
Aseguramiento de Calidad para los proyectos estratgicos ms
importantes.
Para obtener mayor informacin sobre estas tendencias y otros temas relacionados,
consulte nuestro informe, Innovacin para el crecimiento: Su funcin en la nueva
economa global (Innovating for growth: Its role in the new global economy)
(disponible en www.ey.com). Este informe analiza estas tendencias y otros temas
relacionados con mayor detalle.

Perspectivas sobre los riesgos de TI | Informe de negocios

Administracin de riesgos de
TI
En las siguientes reas de riesgo de TI, su empresa vivi
algn incidente o evento negativo en los ltimos 12 meses?
(promedio de la respuesta s)
20.00%
18.00%

14.00%
12.00%
10.00%
8.00%
6.00%
4.00%

Despus les preguntamos a los ejecutivos encuestados si tenan

planeado gastar ms o menos dinero en las diferentes categoras
del universo de riesgos de TI. Su respuesta muestra que:

2.00%

io
ne
En
te
s
t
r
or
dm
ce
no
ro
in
s
fs
is
y
tr
ic
ou
ac
o
Do
ts
i
ou
n
ta
de
ci
rc
n
in
pr
g
og
de
A
r
pe
am
pl
rs
ic
as
ac
on
y
io
al
de
ne
lc
s
y
am
ba
bi
se
Le
o
s
ga
de
ly
da
re
to
gl
s
am
en
ta
rio

ra
c

Pr
ov
e

ed

or
es

Se
g

ur

id

ad

pe

Da

to
s

0.00%

pr
iv
ac
In
id
fr
ad
ae
st
ru
ct
ur
a

Para abordar las tendencias cambiantes en los riesgos de TI,

as como cualquiera de las categoras importantes dentro del
universo de riesgos de TI, muchas empresas quiz tengan que
realizar una reevaluacin o reajuste importante de su enfoque
ITRM. No solo deben tomar en cuenta el estado actual, sino
tambin considerar la futura respuesta del negocio a las
megatendencias.
En nuestra encuesta, les preguntamos a los ejecutivos en qu
categoras del universo de riesgos de TI haban tenido la mayor
cantidad de incidentes negativos relacionados con TI. Nuestros
resultados muestran que los tres incidentes ms comunes se
observaron en las categoras de (1) seguridad y privacidad, (2)
infraestructura y (3) datos. No es de sorprenderse que las tres
categoras tambin estn relacionadas con la mayora de las
megatendencias de TI.

16.00%

Las megatendencias actuales en TI

Para cada una de las reas de riesgo de TI, su empresa tiene

planeado gastar ms, menos o igual en los prximos 12 meses
(en comparacin con los 12 meses anteriores) para mitigar
los riesgos relacionados? (Escala del eje Y: % de encuestados
que respondieron ms - % de encuestados que respondieron
menos)

Las categoras de seguridad y privacidad, as como la de

infraestructura se identifican como reas de alto riesgo y las
empresas estn planeando gastar ms para mitigar dichos
riesgos.
Aunque las aplicaciones y bases de datos no son una
categora inmediata de alto riesgo, las compaas estn
planeando gastar ms (con el posible riesgo de gastar
demasiado).
Los riesgos relacionados con los datos an no son una
prioridad para las empresas (lo que significa un posible
riesgo de que gasten de menos).

Gastar de ms?
14%
12%
10%
8%
6%

Gastar de menos?

4%
2%

10

Da
to
Do
s
ta
c
pe i
rs n d
on e
al
re
gl
am L
e
en ga
ta l y
rio
Pr
ov
ou ter eed
ts ce or
ou ro es
rc s y
in
g

In
fr
ae
st
ru
ct
A
ur
p
ba li
a
ca
s
es c
Se
gu
de ion
rid
da es
ad
to y
s
y
pr
iv
ac
id
ad
O
pr
pe
og A
ra
ra dm
ci
m i
on
as ni
es
y str
de ac
l c in
am d
bi e
En
o
to
rn
o
fs
ic
o

0%

Perspectivas sobre los riesgos de TI | Informe de negocios

Tomar responsabilidad por la administracin

de los riesgos de TI

Crear un marco de ITRM proactivo

El primer paso para crear un programa de ITRM eficaz y
proactivo es identificar sus componentes centrales. Es
aqu donde las empresas pueden aprovechar su marco
de administracin de riesgos existente para garantizar
una coordinacin, colaboracin, cobertura de riesgos, y
administracin de riesgos congruente en toda compaa. El
grfico en la pgina siguiente muestra un marco de ITRM
detallado y aborda los componentes clave de arriba hacia abajo.

Un reto clave para las grandes empresas es cmo incorporar

eficazmente los esfuerzos de ITRM en toda la organizacin. No
es posible que un solo control, funcin o capa organizacional
mitigue los complejos riesgos de TI actuales. Los riesgos
necesitan coordinarse, junto con las diferentes lneas de defensa
que tiene cada compaa. Por ende, estas necesitan implementar
controles a travs de estas diferentes lneas de defensa para
regresar a los riesgos de TI inherentes a un nivel que est
alineado con el apetito de riesgo estratgico de la empresa. La
eficacia general de la ITRM se determina dependiendo de qu
tan capaces son las organizaciones para implementar controles
eficaces en estas lneas de defensa y a travs de todas las
funciones y partes interesadas.

Las diferentes funciones involucradas en la administracin de riesgos:

lneas de defensa

Recuperacin
econmica y volatilidad
del mercado

Confianza del
inversionista

Computacin en
nube

Mercadotecnia

Continuidad

Adquisiciones
y SCM*

Crmenes
cibernticos
Amenazas
internas
Programa de
cambio

Control de
inventarios
Manufactura
Ventas y
distribucin

Lograr los
objetivos de
negocio
Habilitar la innovacin
y el cambio

Transacciones
TI
Impuestos
Finanzas
Legal/
reglamentario
Recursos
Humanos

Auditora
interna

Direccin
administrativa

Cumplimiento

Consejo

Control
interno
Administracin
de riesgos

Supervisin

Investigacin
y desarrollo

Funciones de riesgo

Nuevos modelos de
negocio y tecnologa

Estrategia

Presin sobre los

mrgenes

Consumerizacin

Funciones de apoyo de negocios

Globalizacin

Presin
reglamentaria

Administrar los
riesgos de TI
mediante las
lneas de defensa

Megatendencias
de TI

Operaciones

Fuerzas del
mercado y
estrategia

Comit de
auditora
Otros
comits

Proteger la marca
Administrar el
cumplimiento y la
expectativa

Experiencia ntegra
del cliente
Impulsar el
crecimiento
Excelencia operativa

*Supply Chain Management

Las actividades y procesos de ITRM (por ejemplo, la

evaluacin de riesgos, administracin de problemas,
administracin de crisis) son llevadas a cabo por
muchas funciones diferentes en cada organizacin
dentro de las diversas lneas de defensa. Algunas
perspectivas sobre los procesos y actividades se
pueden encontrar en las siguientes secciones.

Perspectivas sobre los riesgos de TI | Informe de negocios

11

Programa de Administracin de Riesgos de TI

1

Gobierno de riesgos de TI

3 Identificacin y

Organizacin

anlisis de riesgos

(gente, programa, funcin)

Evaluaciones de riesgo

Anlisis de
escenarios

Ad
de min
vu am istr
ln en ac
er az i
ab a n
ilid s y
ad

Acep
taci
n
riesg del
o

Estrategia de riesgos

Adm
de p inistra
cin
rd
incid idas p
ente or
s

Administracin de
problemas

Procesos de riesgo y procedimientos operativos

es
ort
rep
s y gos
rica
s
Mt de rie

Polticas y normas

Marco de proceso, riesgo y control

n e
ci y d
na ia o
di ar nt
or nt ie
Co me ram
a
gl gu
re ase

Impulsores del negocio y

requisitos regulatorios

Riesgo

ejo

n
Ma

de

la

sis
cri

Una cultura de concientizacin del riesgo

establecida desde los niveles ms altos y
que se difunde a toda la empresa

Operaciones de riesgo y control optimizadas

Perspectivas confiables sobre el riesgo

que apoyan las decisiones y habilitan el
desempeo

Costo

Racionalizacin o reduccin de traslapos y

redundancias de riesgo

Esfuerzos enfocados en los riesgos que

realmente importan en lugar de enfocarse
en las reas de bajo riesgo

Valor

Concientizacin
y capacitacin

Herramientas y tecnologa
Monitoreo e informacin de cumplimiento

Resultados

Crear la confianza para tomar riesgos en

lugar de simplemente buscar evitarlos

La funcin de riesgo ofrece sugerencias

para mejorar el proceso

1 Monitoreo y presentacin de informacin

del gobierno y cumplimiento de riesgos de
TI.

2 Impulsores de negocios, requisitos

reglamentarios y la estrategia de riesgos
(TI).

La propiedad, responsabilidad y supervisin son los fundamentos

de cualquier programa de administracin de riesgos. El
componente de gobierno del riesgo de un programa de ITRM
debe contar con un lder eficaz, es decir, un ejecutivo que pueda
manejar iniciativas empresariales estratgicas y tcticas en los
diferentes ambientes de TI. El gobierno general de un programa
de ITRM se puede beneficiar de la tabla de riesgos de TI para
permitir el constante monitoreo del cumplimiento y presentacin
de informacin sobre la eficacia del programa y la postura en
cuanto al riesgo.

La mayora de las empresas no dedican suficiente tiempo

para definir claramente los asuntos de negocios crticos o los
impulsores de negocios que generan la necesidad de contar con
un programa de ITRM. Estos impulsores deben estar alineados
con los objetivos de negocios, los requisitos reglamentarios y las
directrices del consejo de administracin y la alta administracin.
Si no existe tal alineacin, existe la posibilidad de que haya
confusin al momento de coordinar los diferentes programas y
comunicar la visin general del riesgo empresarial. Esta visin
debe incluir una gua sobre la tolerancia y procesos de riesgo,
expectativas para la funcin de administracin de riesgos y la
inclusin de los procesos de riesgo, tal como la seguridad de TI a
las operaciones estndar de TI.

Es aqu donde las empresas implementan sus procesos

y evalan su complimiento con las polticas, normas,
procedimientos y requisitos reglamentarios. Las capacidades
de monitoreo y de presentacin de informacin estn diseadas
para proporcionarle a la administracin puntos de vista
organizacionales y un anlisis de tendencias para los riesgos,
asuntos de control y vulnerabilidades.

12

3 Organizacin/Identificacin y anlisis de
riesgos/Polticas y normas.
La ITRM debe contar con una definicin adecuada de las
funciones y responsabilidades. As mismo, un programa de
ITRM debe definir polticas, normas y lineamientos que sean
justos para todas las partes interesadas y que proporcionen una
administracin eficaz de los procedimientos operativos mismos.
Esto debe especificar quin es el dueo y el responsable de
definir los procedimientos de riesgos de TI de la empresa, y de
supervisar y ofrecer la gua necesaria para elaborarlos.

Perspectivas sobre los riesgos de TI | Informe de negocios

Debido a que las empresas operan en un entorno de riesgo

de cambio constante, estas necesitan establecer un proceso
congruente para identificar y clasificar los riesgos, lo cual incluye
definir una taxonoma para los riesgos y controles internos, la
clasificacin de riesgos, la priorizacin de brechas y parmetros
en cuanto a la frecuencia y rigurosidad de las evaluaciones de
los riesgos de TI y de los controles internos. Mediante el anlisis
de riesgos se revelan las brechas en los procesos de la compaa
para administrarlos en toda la gama de exposiciones potenciales,
que incluyen los riesgos legales, polticos, econmicos, sociales,
tecnolgicos, ambientales, reputacionales, culturales y de
mercadotecnia. La priorizacin de los riesgos es un indicador
de la importancia relativa del riesgo, incluyendo la probabilidad
de que se presente la amenaza, el grado de vulnerabilidad y el
posible impacto en el negocio.

4 Marco de proceso, riesgo y control.

Las empresas deben contar con un modelo que incorpore un
marco del proceso, riesgos y controles de TI (biblioteca) con
base en los requisitos reglamentarios, internos y de prcticas
lder. Adems, las empresas deben disear metodologas y
procedimientos para permitir un proceso de evaluacin de
riesgos sustentable y repetible del riesgo de TI para apoyar los
objetivos de la ITRM.

5 Procesos de riesgo y procedimientos

operativos.
Los procesos y procedimientos operativos son la parte medular
de la fase de ejecucin de un programa de ITRM y deben estar
directamente relacionados con la norma de administracin de
riesgos seleccionada. Este es el punto crtico para la ITRM. Los
elementos centrales deben incluir:

Un anlisis de escenarios para desastres y eventos

Administracin de prdidas por incidentes para registrar los
eventos y estimar su impacto financiero
Aseguramiento y coordinacin reglamentaria para los
procesos de administracin de riesgos, a fin de apoyar
la mejora continua de los datos y procesos de riesgos
orientados a TI
Mtricas y presentacin de informacin de riesgos para
contar con una perspectiva continua de la exposicin al
riesgo
Administracin de problemas para el manejo de estos de
manera operativa
Aceptacin del riesgo para los riesgos residuales por parte
de la administracin
Administracin de amenazas y vulnerabilidad
Administracin de crisis durante desastres y eventos
importantes
Concientizacin y capacitacin para mejorar las capacidades
con el objetivo de lograr la excelencia operativa en la ITRM

Perspectivas sobre los riesgos de TI | Informe de negocios

13

Lo que las empresas estn

haciendo

La adopcin de la ITRM

Cul de los siguientes enunciados describe mejor el programa

ITRM en su organizacin?
12%
36%

13%

17%

En la Encuesta de Agenda de Riesgo de TI (IT Risk Agenda

Survey) investigamos el grado de adopcin de la ITRM y
descubrimos que ms de una tercera parte de las empresas
tena un programa bien establecido y que casi una cuarta parte
haba implementado un programa de ITRM recientemente. El
30% de los encuestados se encontraba implementando o estaba
considerando implementar un programa. As mismo, un anlisis
ms profundo de estos resultados arroj que tambin existe
una correlacin entre el tamao de las empresas y el porcentaje
de adopcin. Es decir, es mucho ms probable que las grandes
empresas (700 o ms empleados) hayan implementado un
programa establecido de ITRM que las compaas con menos
empleados.

El uso de herramientas
22%

Muchos proveedores de software ofrecen servicios de

administracin de riesgos o de Riesgo y Cumplimiento de
Gobierno (Governance Risk & Compliance o GRC, por sus siglas
en ingls). Estas herramientas a menudo vinculan los requisitos
de negocios con una herramienta de reportes que puede
incorporar informacin y varios elementos de riesgo a fin de
obtener un punto de vista del riesgo de TI en toda la empresa.
Le preguntamos a los encuestados en la Encuesta de Agenda
de Riesgo de TI si utilizan dichas plataformas. Observamos que
mientras ms maduro sea el programa de ITRM dentro de la
empresa, ms probable ser que la empresa las utilice. Desde
nuestra perspectiva, una compaa debe considerar seriamente
la adopcin de las herramientas adecuadas; nuestro sondeo
sugiere que el uso de estas podra ser un componente clave para
lograr un programa maduro de ITRM.

Nivel 5
El programa ha estado bien establecido por
varios aos
Nivel 4
Implementamos un programa en los
ltimos tres aos
Nivel 3
Estamos en proceso de implementar un
programa
Nivel 2
Actualmente nos encontramos evaluando
opciones para un programa
Nivel 1
No estamos considerando implementar un
programa

En su empresa se utilizan herramientas o aplicaciones de software para apoyar la ITRM (p. ej. herramientas de GRC)?
100%
90%

22%

80%

27%

70%
60%
50%
40%

20%

30%

31%

20%
10%
0%

S, dependemos de dichas herramientas o

aplicaciones para apoyar nuestros esfuerzos de
administracin de riesgos de TI

Nivel 5

Nivel 4

Nivel 3

S, pero las utilizamos de manera limitada

No, no estamos considerando utilizar dichas herramientas

No, pero estamos considerando utilizar dichas

herramientas

14

Perspectivas sobre los riesgos de TI | Informe de negocios

El valor percibido de la ITRM

En el entorno de negocios actual, las compaas tienen que
demostrar valor a partir de los procedimientos que ponen
en marcha, bien sea que hayan surgido o no, de inversiones
recientes. Adems del valor de la administracin de riesgos,
le pedimos a los entrevistados de la Encuesta de la Agenda de
Riesgo de TI (IT Risk Agenda) que calificaran la eficacia de sus
procesos de ITRM en comparacin con su competencia. Los
resultados muestran que las empresas con una ITRM madura
calificaron la eficacia de su ITRM mucho ms alto que sus pares.
Desde nuestro punto de vista, estas organizaciones utilizan
su programa de ITRM para obtener una ventaja competitiva:
sabemos que existe una relacin estrecha entre el tiempo
durante el cual el programa de ITRM ha estado funcionando y su
eficacia superior en comparacin con la competencia. Esto se
puede traducir en un riesgo reputacional menor, mayor confianza
por parte de las partes interesadas y ms calificaciones
preferenciales por parte de los comentaristas y reguladores
externos.

El valor agregado tambin se puede demostrar de otras maneras:

nuestros resultados muestran que las empresas que tienen
ms experiencia en ITRM, por los aos en que han tenido un
programa ms establecido, estn ms alertas a los riesgos y
ms conscientes a las tendencias cambiantes en los riesgos
de TI. Estas podran tener estndares y expectativas ms altas
para su programa, por lo que trabajan ms arduamente para
mantenerse un paso adelante de los riesgos de TI, en lugar de
solo mantenerse al tanto de los mismos.
Aquellos que no estn considerando un programa tienen
mayores probabilidades de ser ambivalentes con respecto a si los
riesgos de TI son ms desafiantes o no. Esto podra sugerir un
mayor nivel de complacencia o una gran falta de concientizacin
en comparacin con aquellas empresas que s tienen un
programa.

Cmo comparara usted la eficacia de la ITRM de su empresa con la de su competencia? (porcentaje de encuestados que
respondieron el nuestro es ms eficaz)
Nivel 5
El programa ha estado bien establecido por
varios aos

30%

Nivel 4
Implementamos un programa en los
ltimos tres aos

20%

Nivel 3
Estamos en proceso de implementar un
programa
Nivel 2
Actualmente nos encontramos evaluando
opciones para un programa
Nivel 1
No estamos considerando implementar un
programa

25%

15%
10%
5%
0%

Nivel 1
Nivel 5

Nivel 4

Nivel 3

Nivel 2

- 5%

Perspectivas sobre los riesgos de TI | Informe de negocios

15

Acte ahora
Este panorama cambiante exige claramente una revisin
profunda de los riesgos de negocios y de TI y de la
estrategia corporativa que rodean las megatendencias de la
consumerizacin, computacin en nube, continuidad del negocio,
crmenes cibernticos, amenazas internas y el programa
acelerado de cambio. Por ejemplo: se podra realizar una revisin
de las polticas de administracin de datos y de trabajo remoto
para ver si la funcin de TI pudiera manejar cualquier riesgo
futuro que pudiera surgir de las nuevas tecnologas mviles y
del uso de los medios sociales actuales. Esto podra impulsar
una iniciativa para obtener una posicin ms progresista y
preventiva. Una empresa se debe preguntar si est preparada
solo para sobrellevar la situacin, limitar el dao y permitir la
continuidad del negocio o si realmente est preparada para
evitar que ocurra un incidente.

Acte ahora: siguientes pasos para

mejorar e implementar la ITRM

Si el Director de Informtica o el Consejo necesita ms evidencia,

una evaluacin de la competencia sera un buen punto de
partida para comenzar a aclarar an ms el valor a obtenerse
de la implementacin de la ITRM. De lo contrario, un incidente
de un competidor clave se podra utilizar como escenario para
determinar el impacto sobre su propia empresa, con un enfoque
particular sobre cmo afectan los ingresos y el valor, lo que
podra ayudar a superar cuestiones presupuestales.

Enfoque en los riesgos importantes de TI

En todo caso, el trabajo relacionado con la ITRM necesita ser

ambicioso y minucioso. La naturaleza cambiante del panorama
de riesgos de TI significa que las empresas deben monitorear
continuamente si estn o no sincronizadas con la naturaleza de
las amenazas actuales, y en comparacin con los pares de su
industria, si son vulnerables a daos reputacionales o de activos
de la marca.
Por lo tanto, proponemos los siguientes pasos que las empresas
deben implementar para poner en marcha la ITRM:

16

Despus de leer este artculo, podra usted responder a las

siguientes preguntas con respecto a su empresa?
Habilitar el desempeo del negocio
1. Cules son los riesgos tpicos en su industria que
afectan el desempeo de su negocio?
2. Qu tan importante es la ITRM como parte de su
administracin de riesgos general?
3. Entiende usted qu tanto la ITRM puede mejorar el
desempeo de su negocio?

4. Entiende usted la modalidad (fbrica, estratgica,

apoyo o cambio) en la que se encuentra(n) (partes de)
su empresa? Cules son las reas clave de riesgo?
5. Cmo es que las seis megatendencias del riesgo de TI
afectan los riesgos que en esta materia enfrenta su
empresa?
6. Tiene usted una perspectiva precisa de cmo sus
empleados utilizan los dispositivos mviles y las redes
sociales para realizar su trabajo, en especial con respecto
al flujo de los datos de la compaa y la posible fuga de
datos?
Su programa de ITRM
7. Qu tan preparada est la administracin de su
compaa para adoptar el riesgo de TI como un reto en
toda la empresa? Est usted enfocando sus riesgos
clave y asigna el gasto a los que son ms importantes?
8. Est usted evaluando continuamente los riesgos
de TI?
9.Su programa de ITRM cubre todos los componentes
analizados en las pginas 12 y 13 de este informe?
10. Tiene usted conocimiento de la madurez de su
programa de ITRM? Qu se necesita hacer para llevar
su programa al siguiente nivel?
11. Qu funcin pueden tener las tecnologas
habilitadoras en su programa de ITRM?

Perspectivas sobre los riesgos de TI | Informe de negocios

Acerca de nuestra encuesta Agenda de

Riesgos de TI:
En colaboracin con la Unidad de Inteligencia Econmica
(Economist Intelligence Unit o EIU, por sus siglas en ingls),
realizamos una encuesta de las actitudes hacia los riesgos
de TI en las empresas ms importantes del mundo. Durante
junio/julio de 2010, se realizaron entrevistas en lnea con 818
altos ejecutivos en la funcin de TI (48% CIO y 52% CTO). Las
compaas fueron de los sectores de negocios ms importantes:
manufactura, servicios pblicos, medios, comercio al menudeo,
tecnologa, servicios mdicos, transporte, agricultura y servicios
profesionales y financieros.
Cada una de las empresas tena ingresos anuales generales de
ms de USD 500 millones y el ingreso anual de ms de la mitad
de las empresas encuestadas era de entre USD 1 mil millones
y USD 10 mil millones. Cada empresa tena entre 100 y 1,000
empleados de TI de tiempo completo.

Ernst & Young

Aseguramiento | Asesora | Fiscal | Transacciones
Acerca de Ernst & Young
Ernst & Young es un lder global en servicios de aseguramiento,
fiscales, transacciones y asesora. En todo el mundo, nuestras
152,000 personas se encuentran unidas por nuestros valores
compartidos y firme compromiso hacia la calidad. Marcamos la
diferencia ayudando a nuestra gente, nuestros clientes y nuestras
comunidades en general a alcanzar su potencial.
Acerca de los Servicios de Asesora de Ernst & Young
La relacin entre la mejora en el desempeo y los riesgos es un reto
cadavez ms complejo y primordial para los negocios, ya que su
desempeo est directamente relacionado con el reconocimiento
y manejo eficaz del riesgo. Ya sea que su enfoque sea en la
transformacin del negocio o en mantener los logros, contar con los
asesores adecuados puede marcar la diferencia. Nuestros 20,000
profesionales en asesora forman una de las redes globales ms
extensas de cualquier organizacin profesional, la cual integra a
equipos multidisciplinarios y experimentados que trabajan con
nuestros clientes para brindarles una experiencia poderosa y de
gran calidad. Utilizamos metodologas comprobadas e integrales
para ayudarles a alcanzar sus prioridades estratgicas y a efectuar
mejoras que sean sostenibles durante un mayor plazo. Entendemos
que para alcanzar su potencial como organizacin requiere de
servicios que respondan a sus necesidades especficas; por
lo tanto, le ofrecemos una amplia experiencia en el sector y
profundo conocimiento sobre el tema para aplicarlos de manera
proactiva y objetiva. Nos comprometemos a medir las ganancias e
identificar en dnde la estrategia est proporcionando el valor que
su negocio necesita. As es como Ernst & Young marca la diferencia.
Ernst & Young se refiere a la organizacin global de firmas
miembro conocidas como Ernst & Young Global Limited, en la
que cada una de ellas acta como una entidad legal separada.
Ernst & Young Global Limited no provee servicios a clientes.
Para ms informacin visite: www.ey.com/mx
2012 Mancera S.C.
Integrante de Ernst & Young Global
Derechos Reservados.
Clave: CEP001
Esta publicacin contiene informacin en forma de resumen
y, por lo tanto, su uso es solo para orientacin en general.
No debe considerarse que sustituya un ejercicio de investigacin
detallada o una opinin profesional. Ni EYGM Limited, ni ningn otro
miembro de la organizacin global de Ernst & Young asume
cualquier responsabilidad por prdidas ocasionadas a cualquier
persona que acte o deje de actuar como resultado de cualquier
material en esta publicacin. Para cualquier asunto en particular,
deber consultar al asesor, que corresponda.

Acerca de Ernst & Young

En Ernst & Young nuestros servicios se enfocan en las
necesidades y problemas especficos del negocio de cada uno
de nuestros clientes, porque reconocemos que cada uno es
exclusivo de ese negocio.
La tecnologa de la informacin (TI) es clave para que
las organizaciones modernas puedan competir. Ofrece la
oportunidad de estar ms cerca, ms enfocado y de responder
con mayor rapidez a los clientes, y puede redefinir tanto la
eficacia como la eficiencia de las operaciones. Sin embargo,
conforme crece la oportunidad, tambin aumenta el riesgo.
La administracin eficaz de riesgos de TI le ayuda a mejorar
la ventaja competitiva de sus operaciones en la materia al
hacer que estas sean ms rentables y al reducir los riesgos
relacionados con el funcionamiento de sus sistemas. Nuestros
6,000 profesionales en riesgos de TI recurren a nuestra vasta
experiencia personal para brindarle nuevas perspectivas y
asesora objetiva y abierta, dondequiera que se encuentre en el
mundo.
Trabajamos con usted para desarrollar un enfoque integral y
holstico en relacin con sus riesgos de TI o para tratar asuntos
especficos de riesgo y seguridad de la informacin.
Entendemosque para poder alcanzar su potencial requiere
serviciospersonalizados y metodologas congruentes.
Trabajamos paradarle el beneficio de nuestra amplia
experiencia en el sector, unprofundo conocimiento del tema
y las perspectivas ms recientesde nuestro trabajo a nivel
mundial. As es como Ernst & Young marca la diferencia.
Para obtener ms informacin acerca de cmo podemos
marcar la diferencia en su empresa, favor de contactar a
nuestros profesionales.

Contacto en Mxico:
Carlos Chalico
LI, CISA, CISSP, CISM, CGEIT, CRISC, PbDA
Socio Asesora
Ernst & Young
Tel.: +52 (55) 1101 6414