"Gestin de riesgos TI.

Cmo implantar las mejores prcticas"

Luis Fuertes Marketing Manager de Symantec.
A medida que las corporaciones, los particulares y nuestra economa dependen cada vez ms de Internet y de los sistemas informticos, los riesgos de dichos sistemas se hacen mucho ms evidentes e incrementan su importancia.

Los problemas o los fallos de los sistemas informticos ocasionan

graves crisis empresariales - daos en la reputacin causados por suplantaciones de identidad, prdidas de negocios por fallos en sistemas, as como restricciones normativas que surgen por temas derivados del cumplimiento de las polticas establecidas. Recientemente, hemos podido ver algunas noticias sobre historias relacionadas con los riesgos en las tecnologas de la informacin, incluyendo ataques de phishing, robo de datos confidenciales, suplantaciones de identidad, robo de cintas con copias de seguridad, pleitos derivados de un deficiente mantenimiento y backup de registros electrnicos, problemas derivados de la propiedad intelectual, entre otros.

Debido a esto, parece evidente ver por qu los ejecutivos de las corporaciones desean obtener respuestas a
la siguiente pregunta sobre riesgos TI: cmo podemos reducir de manera significativa el riesgo y mejorar los rendimientos de las inversiones realizadas en sistemas informticos?

La respuesta a esta pregunta podemos encontrarla si nos ocupamos de los riesgos informticos dentro de un
marco integrado para la gestin de riesgos empresariales. Los riesgos TI necesitan ser identificados, medidos y gestionados como parte de un nico entorno que incorpora todos los riesgos corporativos. Asimismo, dichos riesgos informticos deben estar supervisados por el equipo de gestin de mayor nivel para conocer y ofrecer pautas que permitan establecer las combinaciones apropiadas de riesgos/recompensas, y con ello conseguir un mayor rendimiento de las inversiones en TI. El nombre con el que se conocen estas acciones para gestionar y equilibrar los riesgos y recompensas en bienes informticos es Gestin de Riesgos TI.

La realidad de la Gestin de Riesgos TI

La mayora de las compaas, administraciones autonmicas o locales y ciudadanos apenas conocen los peligros que corren sus sistemas informticos, no explotan en su totalidad la amplia gama de herramientas que existen para gestionar dichas situaciones, y tampoco han comenzado a implementar los conocimientos y los procesos necesarios para gestionar este tipo de riesgos.

Las corporaciones han sufrido en parte, porque la gestin de riesgos TI es un campo nuevo, emergente, en
donde los modelos de riesgos tradicionales no se aplican siempre con total limpieza. Normalmente, las corporaciones suelen tener un conocimiento muy limitado del impacto que puede tener la prdida de los bienes informticos o la imposibilidad para acceder a sus aplicaciones o informacin. Por ejemplo, la capacidad para transferir riesgos es un concepto fundamental en materia de riesgos financieros; sin embargo, como en los mercados lquidos no es posible todava comprar y vender riesgos informticos, las corporaciones deben crear sus propias competencias internas para gestionar este tipo de situaciones por s mismas.

Asimismo, los riesgos informticos son ms difciles de cuantificar. En TI, an no existe el tipo de modelo
actuarial o estadstico avanzado que valora los riesgos financieros para darles un nivel de precisin razonable. Sin embargo, los puntos de vista "ms o menos apropiados" basados en la heurstica y en la experiencia ofrecen unas medidas precisas, valiosas y utilizables de los riesgos informticos.

Para alcanzar este modelo de evaluacin de riesgos TI basado en buenas prcticas, las corporaciones

deberan: 1. Incrementar sus conocimientos sobre la naturaleza de los diferentes riesgos 2. Determinar el impacto cuantificado de la prdida de informacin o de los problemas para acceder a sus aplicaciones 3. Conocer las herramientas disponibles para gestionar los riesgos informticos 4. Ajustar la gestin de riesgos TI al valor de la corporacin. 5. Crear una capacidad sistemtica y corporativa para gestionar los riesgos a la seguridad.

Incremento de los conocimientos sobre los riesgos informticos Los riesgos informticos pueden estar relacionados con la prdida potencial de informacin y la recuperacin
de dichos datos, o bien, con el uso permanente de la informacin. Estas acciones abarcan las siguientes seis categoras.

Seguridad: es el riesgo de ver la informacin alterada o utilizada por personas no autorizadas mediante, por ejemplo, delitos informticos, infracciones internas y terrorismo electrnico. Disponibilidad: riesgo que se produce por la imposibilidad de acceder a la informacin cuando, por ejemplo, se produce un fallo en el sistema debido a, entre otras cosas, cambios en la configuracin, falta de redundancia en las arquitecturas informticas, o errores humanos. Recuperabilidad: riesgo que se genera cuando la informacin necesaria no puede recuperarse en un tiempo suficiente despus de un incidente relacionado con la seguridad o la disponibilidad debido a , por ejemplo, fallos en hardware y/o en software, amenazas externas, o desastres naturales. Rendimiento: riesgo que se crea cuando la informacin necesaria no puede suministrarse debido a, entre otros factores, arquitecturas distribuidas, picos en la demanda, o heterogeneidad en el entorno de las TI. Escalabilidad: riesgo que se produce cuando las principales nuevas fuentes de demanda de informacin (nuevas aplicaciones, nuevas lneas de negocio) no pueden manejarse de forma rentable debido, principalmente, a crecimiento del volumen de negocio, cuellos de botella en el suministro, o a arquitecturas aisladas. Cumplimiento: riesgo que se genera cuando la gestin o el uso de la informacin infringe los requisitos normativos.Por ejemplo, normativas gubernamentales, pautas de la direccin corporativa o polticas internas.

Conocimiento del impacto cuantificado en la corporacin Es esencial entender los riesgos en trminos de probabilidad de un evento capaz de generar alguna situacin
de este tipo, y en trminos del valor temporal de la exposicin a un peligro en caso de producirse dicho riesgo. Asimismo, los riesgos necesitan ser cuantificados para cada aplicacin empresarial esencial. Conociendo estos dos parmetros, las personas encargadas de tomar decisiones pueden plasmar estos valores en un sencillo grfico bidimiensional, asignando las prioridades de reduccin/solucin de riesgos a diferentes aplicaciones. Adems de esto, se puede definir y aplicar una poltica de forma efectiva y sistemtica a toda la empresa, para ocuparse de diferentes riesgos o de mltiples categoras de riesgos.

Un examen ms general de los riesgos de mltiples categoras y el establecimiento de correlaciones de los

riesgos en dichas categoras, puede servirnos de ayuda para cuantificar de mejor manera el impacto de estas situaciones. De esta manera, una vulnerabilidad ya explotada puede generar un riesgo de recuperabilidad. Un problema relacionado con el rendimiento de una aplicacin que impide el acceso a datos puede suponer el inicio de un riesgo a la seguridad o crear un riesgo de cumplimiento. El impacto de todo esto puede ser directo o indirecto- incluyendo un efecto financiero, legal, prdida de clientes o la creacin de dependencias operativas. A su vez, cada uno de estos efectos puede tener una serie de implicaciones directas.

Conocimiento de los enfoques para la Gestin de Riesgos TI Los riesgos informticos tienen diferentes orgenes y, por lo tanto, se precisan diferentes enfoques para
gestionarlos y mitigarlos. Hablando de forma generalizada, estos enfoques requieren una combinacin de procesos, personal, tecnologa e informacin. 1. En primer lugar, los procesos para hacer funcionar un centro de datos y las operaciones de las TI estn atravesando un perodo parecido de rpida evolucin, a medida que las mejores

2.

3.

4.

organizaciones de TI estn cambiando sus modelos arbitrarios por un enfoque ms rigurosamente diseado, ejecutado y sistemticamente medido. Los estndares IT Infrastructure Library (ITIL) e International Organization for Standardization (ISO), entre otros, estn cobrando cada vez ms relevancia para describir los mejores procesos operativos informticos de su clase. En segundo lugar, las compaas estn poniendo ms atencin en los papeles que deben tener sus trabajadores en la batalla que mantienen para reducir los riesgos. Las empresas estn experimentando con una amplia variedad de tcnicas, incluyendo el incremento de la concienciacin, la determinacin del papel que debe tener cada persona, nuevas divisiones del trabajo, nuevos puestos y especialidades, as como las mejoras de las capacidades para reducir riesgos a todos los niveles. En tercer lugar, los proveedores estn lanzando al mercado nuevas soluciones de software, respondiendo as a la demanda para mejorar la gestin de riesgos informticos. Los rpidos avances han creado un arsenal de software para replicacin a larga distancia, clustering, contenidos, deteccin de intrusiones y phishing, proteccin de datos y copias de seguridad, valoracin de las vulnerabilidades y gestin de polticas. Pero lo ms importante es que estas herramientas se estn integrando para ofrecer soluciones impulsadas por el flujo de trabajo y diseadas para seguir los procesos personalizados y los requisitos normativos. La automatizacin impulsada por eventos se est llevando a cabo cada vez ms en forma de los siempre caros procesos manuales para anlisis y soluciones. En cuarto lugar, las fuentes de informacin disponibles ofrecen un conocimiento sobre las amenazas y las vulnerabilidades emergentes y/o conocidas, pudindose comparar frente a los entornos internos de seguridad de la compaa (riesgos a la seguridad, firmas y bases de datos de virus, parches y configuraciones del sistema operativo), para identificar peligros y desarrollar planes de mitigacin. Teniendo en cuenta la velocidad con la que se propagan los ataques en la red, un tipo de inteligencia para alertas tempranas resulta esencial para garantizar el xito de una defensa proactiva.

Ajuste de los costes para gestin de riesgos informticos con el valor empresarial Se precisan inversiones en procesos, tecnologa de personal e informtica, para mitigar los riesgos. Sin
embargo, como los presupuestos para las TI son limitados (y se estn viendo sometidos a una presin constante para reducirlos), las principales compaas necesitan asegurarse de no sobreinvertir o infrainvertir en gestin de riesgos. Cmo pueden las compaas administrar sus inversiones en gestin de riesgos TI de manera efectiva y eficiente? El concepto de "Utility Computing" ha emergido a lo largo de los ltimos aos como el enfoque ms prometedor para ajustar los costes de las TI con el valor empresarial. En la "Utility Computing", el papel de la TI respecto a la empresa ha evolucionado para pasar de ser un "centro de coste" a convertirse en un "centro de servicio." De esta manera, la organizacin de TI logra cuatro actividades principales: 1. 2. 3. 4. Ofrecer las TI como un conjunto de servicios bien definidos, desarrollados y gestionados por un grupo de "gestin de servicios" que se interrelaciona con la empresa Presentar estos servicios a la empresa, mediante "acuerdos de nivel de servicio" y reembolsos a la empresa . Crear y mantener una infraestructura compartida y heterognea para mejorar la utilizacin de capital y reducir costes, en vez de crear sistemas personalizados para cada aplicacin empresarial Realizar operaciones de TI de manera automtica, para aumentar la eficiencia del trabajo y reducir costes

El dominio de las actividades de la "utility computing" representa toda una expedicin para las
organizaciones de TI. El primer paso que deben dar es descubrir los bienes informticos, por ejemplo los servidores y los equipos para almacenamiento, intentando vincular dichos bienes a procesos empresariales esenciales. En segundo lugar, hay que redisear y consolidar el entorno, mejorando las eficiencias en productividad del administrador y en la utilizacin de recursos. En tercer lugar, hay que comenzar un proceso de estandarizacin - clasificando las aplicaciones y acordando el empleo de proveedores determinados para hardware de almacenamiento y de servidores, gestionando al mismo tiempo el entorno mediante un conjunto estndar de herramientas de software. En cuarto lugar, hay que automatizar, con la finalidad de reducir el tiempo y el trabajo necesarios para solicitar, aprovisionar y gestionar el entorno. Y, en quinto lugar, hay que pasar a un modelo autntico de proveedor de servicios, igualando el suministro de nivel de servicio con los costes, distribuyndolos o reembolsndolos a las unidades empresariales.

Creacin de una capacidad institucional para controlar los riesgos TI Las principales corporaciones estn creando una capacidad institucional para entender, controlar y actuar
sobre los riesgos informticos, con el mismo nivel de anlisis minucioso y urgencia que el de los riesgos financieros. Utilizando los conocimientos provenientes de una variedad de fuentes, las empresas han establecido un mapa de "puntos calientes" relacionados con los riesgos, mostrando el impacto potencial y la probabilidad de seis riesgos de las TI en sus lneas de negocios, los principales procesos empresariales o las aplicaciones ms importantes. A continuacin, se ha creado un programa prioritario para encontrar soluciones a estos riesgos, instalando herramientas de software, incorporando personal, aplicando mejoras a los procesos y utilizando informacin. De esta forma, las organizaciones han controlado los riesgos, evaluando y aplicando mejoras permanentemente. En estas corporaciones, la gestin de riesgos informticos est afectando fundamentalmente a la direccin de las TI y a los enfoques para la gestin de riesgos.

Cuando las compaas deciden incorporar la gestin de riesgos informticos dentro de una capacidad
institucional, las preguntas que la mayora de las organizaciones desean contestar son:

En qu momento y cmo necesita avanzar nuestra estrategia informtica, teniendo en cuenta que deseamos seguir manteniendo un nivel de riesgo aceptable? " Deberamos tener nuevos cargos o ampliar los ya existentes para ocuparnos de riesgos informticos creando, por ejemplo, la figura del Gestor de Riesgos TI? " Cmo podemos crear unos sistemas de gestin y elaboracin de informes para monitorizar el rendimiento? " Debemos crear una junta directiva para supervisar y aprobar las decisiones relacionadas con los riesgos informticos Cmo podemos formar a nuestro personal informtico, adems de ampliar los conocimientos de los trabajadores de la empresa para que sean conscientes y conozcan los riesgos TI? "Qu pasos deberamos dar para hacer los procesos de planificacin y prueba ms rigurosos y nuestros sistemas ms impenetrables?

La mejora de la Gestin de Riesgos TI debera estar incluida en los planes de casi todos los ejecutivos de alto nivel que trabajan para grandes corporaciones. Estos ejecutivos, conscientes de los riesgos informticos, deben conocer las herramientas disponibles para gestionar estas situaciones, y establecer una capacidad institucional para controlarlos. Asimismo, deberan estar en una mejor posicin para mejorar los riesgos y los rendimientos de las inversiones realizadas en informtica.