ESCUELA SUPERIOR POLITECNICA DEL

LITORAL
MAESTRIA EN SEGURIDAD INFORMTICA APLICADA
ISO 27001

Artculo RIESGO DE TI

NOMBRE:

LUIS CHOEZ ACOSTA

PORQUE LOS SISTEMAS FALLAN...

HABLE UN IDIOMA COMN SOBRE EL RIESGO EN TI

Introduccin
El riesgo es incertidumbre, y su gestin
exige de manera urgente que los
directivos racionalicen
una serie de
compromisos
muy
complejos
e
importantes.
El modelo presentado en este artculo por
GEORGE WESTERMAN y RICHARD HUNTER
plantea un lenguaje comn que se debe
utilizar por los directivos y responsables
de TI de las instituciones en la cual deben
identificar, analizar y gestionar los riesgos
en TI de una manera integral.

Luego, se debe mejorar los fundamentos de

la TI, implantar un proceso de gestin del
riesgo y crear una cultura de concienciacin
del riesgo en las instituciones. Todos estos
procesos generar una contenido que
aumenta los ingresos y que permita
tambin de reducir los riesgos.

El riesgo es incertidumbre
Los riesgos que ms me preocupan son los que
desconozco
Pero de todos los riesgos que afronta una empresa,
los de TI suelen ser los que menos se entienden.
La mayora de los directivos no saben como visualizar
mas all del Impacto inmediato de virus y fallos de
seguridad o de continuidad en las operaciones
Para muchos directivos, las decisiones en TI estn
cargadas de incertidumbre. La probabilidad y las
implicaciones de un fallo del sistema son inciertas.

Las implicaciones de otros riesgos, como fallos de privacidad,

datos imprecisos, fracasos de proyectos o incluso la rigidez
corporativa son an ms inciertas. Todos estos riesgos
tienen causas muy complejas y ninguna solucin perfecta. Y
cada vez son ms importantes.
Lo importante aqu es que es evidente que los directivos de la
compaa no entendieron las posibles consecuencias de un
fallo en un sistema crtico para el funcionamiento del
negocio, y por ello no tomaron medidas para hacerlo
manejable
Es imposible acertar siempre en las decisiones, pero todas las
empresas
pueden
mejorar
la
toma
de
decisiones
relacionadas con el riesgo en TI.

COMO ABORDAR RIESGOS:

La
incapacidad
de
gestionar
incertidumbres sobre volmenes de
transaccin y la fiabilidad del sistema
tuvo consecuencias tremendas para
ambas empresas
Se pueden atender de forma intuitiva los
riesgos de nivel alto con repercusiones
en los medios de comunicacin (como
virus,
apagones
o
la
seguridad
inalmbrica), pero pasan por alto
muchos otros de nivel ms bajo (como
controles
internos
inadecuados
o
anticuados, aplicaciones frgiles).
Por tanto, toda supervisin o discusin de
inversin en TI debe tener en cuenta el

RIESGOS CLAVES
No existe ninguna decisin en TI que est libre de riesgo
(o cuyo riesgo sea neutro). Todos los riesgos en TI tienen
repercusiones en la empresa
Disponibilidad: Mantener los sistemas (y sus procesos
empresariales)
operativos,
y
recuperarse
de
las
interrupciones
Los directivos deben conocer los riesgos de disponibilidad
para cada uno de los procesos importantes, plasmados en
un Plan de continuidad del negocio.

ACCESO. Asegurar un acceso adecuado a datos y

sistemas, de forma que las personas indicadas
tengan disponibilidad total, las que no lo sean
no lo tengan y la informacin confidencial est a
salvo de un uso incorrecto.
Los ejecutivos deben controlar quin tiene
acceso a qu tipo de informacin, as como
retirar el acceso a aquellos
empleados que
abandonan la empresa y poder identificar con
exactitud quin y cundo ha accedido a
informacin confidencial.

PRECISIN. Facilitar informacin correcta, pertinente

y completa que cubra las exigencias de direccin,
personal, clientes, proveedores y reguladores.
El Tesoro britnico pag por error 2.000 millones de
libras en crditos fiscales en 2003-2004 despus de
instalar un nuevo sistema sin haberlo probado
eficazmente. Muchas empresas estn expuestas a
niveles de riesgo elevados y desconocidos por la
existencia de inventarios imprecisos, balances
ocultos o su incapacidad para tener una visin
general precisa de sus clientes clave o ventas.

AGILIDAD. Realizar los cambios que necesita la

empresa con un coste y a un ritmo adecuados.
Aunque el riesgo de agilidad no resulta
siempre tan evidente, la mayora de empresas
afronta algn tipo de riesgo de este tipo. La
razn de que muchos directivos no fijen una
fecha de lanzamiento concreta o aplacen los
grandes cambios es que no estn seguros de si
el departamento de sistemas cumplir con los
plazos.

TRES ELEMENTOS ESENCIALES EN LA GESTIN DE

RIESGOS DE TI

Fundamentos: El factor mas importante de

riesgo es la complejidad. Una base de
infraestructura, aplicaciones y personal
de apoyo bien estructurada, bien
gestionada y no ms compleja de lo
estrictamente necesario.
Elimina complejidades desconocidas que
podran
impedir
a
los
directivos
mantener, integrar y cambiar de forma
eficiente las tecnologas y los procesos
empresariales asociados.
Las
personas
que
gestionan
fundamentos
han
de
tener
conocimientos
necesarios,
y
procesos,
las
salvaguardas,

los
los
los
los

Procesos de Gobierno: Procedimientos y

polticas que dan una visin a nivel
empresarial de todos los riesgos en TI.
Ayudan a los directivos de nivel inferior a
identificar y obtener recursos para el riesgo,
al tiempo que proporcionan a los directivos
de mayor rango una visin clara de los
grandes riesgos que afronta la empresa.

Cultura de Riesgo: Los miembros de la empresa

cuentan con un conocimiento adecuado del riesgo,
y discuten sobre l de forma habitual, abierta y
sin miedos.
Indica cul es la actitud correcta en relacin al
riesgo, y reduce los temores a revelar riesgos.
Minimiza la ocultacin de los riesgos y el rechazo a
las acciones apropiadas por razones slo de riesgo