3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de gestión de...

Cómo Evaluar Riesgos en un Sistema

de Gestión de Servicios de TI

Manera práctica de evaluar y administrar

riesgos relacionados con los servicios de TI

Con la colaboración de ... Global Lynx de México S.A. de C.V.

Génova 33-101, Col. Juárez, CP 06600. México. D.F.

Teléfonos: +52 (55) 5511 0193 / 95 / 97

Web: www.globallynx.com

Email: [email protected]

Ponente Luis Alberto Ochoa Castillejos

Su experiencia principal es diseñar e implementar mejoras en la

administración de servicios de tecnología de información

enfocados a las mejores prácticas de ITIL, ISO/IEC 20000,

ISO/IEC 27000, COBIT e ISO/IEC 27000.

Ha desarrollado proyectos en organizaciones como: Grupo

Mexicano de Seguros GMX, IMSS, Compartamos Banco,

NEXTEL, MAXCOM, Hewlett Packard, Triara, PEMEX GIT, SAT,

Banco de México, CFE CENACE, PEMEX DCF, Banco Bital,

Banco Banamex, Pemex PEP, Telmex, Roche Syntex,

ALESTRA, UNINET, Daimler-Chrysler, UNI2 (España), TELESP

(Brasil), PEMEX PGPB, AHMSA, CISEN, Grupo Jumex entre

otros

4

Sistema de Gestión de Servicios

● Un sistema de gestión es un conjunto de

políticas, procesos y procedimientos

relacionados que trabajan juntos para

alcanzar un objetivo general.

● Las relaciones dentro del sistema deben

influenciarse unas a otras por el bien del

conjunto.

● Ayuda a lograr los objetivos de la

organización mediante una serie de

estrategias, que incluyen la optimización

de procesos, el enfoque centrado en la

gestión y el pensamiento disciplinado.

Sistema de Gestión de Servicios de TI

Sistema de Gestión del Servicio (SMS)

Diseño y transición de servicios nuevos o cambiados

Procesos de resolución

Gestión de incidentes y peticiones de servicio

Gestión de problemas

Procesos de relación

Gestión de la relación con el negocio

Gestión de proveedores

Procesos de entrega del servicio

Responsabilidad de la Dirección

Establecer el SMS

Gobierno de procesos operado por otras

partes

Gestión de la documentación

Gestión de los recursos

Gestión de la capacidad

Gestión de la continuidad y

disponibilidad del servicio

Gestión del nivel de servicio

Reporteo del servicio

Gestión de la seguridad de la

información

Presupuesto y contabilidad de

los servicios de TI

Procesos de control Gestión de la configuración Gestión de cambios Gestión de liberaciones y despliegues

6

● Al entender la estructura de sistemas, las interconexiones entre

los activos y los componentes del servicio y cómo los cambios en

algún área afectarán a todo el sistema, un prestador de servicios

puede entregar beneficios, como:

Sistema de Gestión de Servicios de TI

Habilidad para adaptarse

Desempeño sustentable

Gestión de servicios eficiente y

eficaz

Mejor enfoque para gestionar

servicios, riesgos y costos

Menor conflicto entre procesos

Reducción de burocracia y

duplicidad

7

Riesgo

● Toda las actividades en una organización implican

riesgos.

● Los riesgos se gestionan identificando, analizando

y posteriormente evaluando si deberían ser

modificados por un tratamiento de riesgos.

● Las organizaciones comunican a y consultan con

las partes interesadas, monitorean y revisan el

riesgo y los controles que modifican al riesgo para

asegurar que no se requiera un tratamiento de

riesgos adicional.

El efecto de incertidumbre que las organizaciones tienen al

alcanzar sus objetivos, debido a influencias y factores internos y

externos.

8

Gestión de riesgos

La gestión de riesgos le permite a la organización:

Aumentar la probabilidad de alcanzar sus objetivos

Estar consciente de la necesidad de identificar y tratar los riesgos en

toda la organización

Mejorar la identificación de oportunidades y amenazas

Cumplir con requerimientos regulatorios y legales relevantes y

normas internacionales

Mejorar la eficiencia y la eficacia operativa

Mejorar la gestión de incidentes y reducción de pérdidas

Mejorar la confianza de las partes interesadas “stakeholders”

9

La gestión de riesgos contribuye a:

Gestión de riesgos

Que se identifiquen los riesgos

Que se valoren los riesgos en términos de sus consecuencias para el

negocio y la probabilidad de su ocurrencia

Que la probabilidad y consecuencias de que dichos riesgos sean

comunicados y comprendidos

Que se establezca una orden de prioridad para el tratamiento de

riesgos

Dar prioridad para las acciones para reducir la ocurrencia de un

riesgo

10

ISO/IEC 27005

Proceso para la Gestión de Riesgos

Com

unic

ació

n de

l Rie

sgo

ESTABLECIENDO EL CONTEXTO

RE

VIS

ION

Y M

ON

ITO

RE

O D

E R

IES

GO

S

IDENTIFICACIÓN DE RIESGOS

ESTIMACIÓN DE RIESGOS

EVALUACIÓN DE RIESGOS

TRATAMIENTO DE RIESGOS

APROBACIÓN DEL RIESGO

EVALUACIÓN DE RIESGOS

ANÁLISIS DE RIESGOS

DECISION DE RIESGO PUNTO 1

Evaluación satisfactoria

No

Si

No

Si

DECISION DE RIESGO PUNTO 2

Tratamiento satisfactorio

Fin de la primera iteración subsecuente

11

Identificación de Riesgos

Esta parte de la gestión de riesgos implica nombrar el riesgo

Al identificar un riesgo no es necesario tratar de explicar o cuantificar

el riesgo, solo tener la mayor cantidad de ideas posibles sobre que

puede amenazar el éxito de un proyecto o estrategia

La lluvia de ideas es probablemente la mejor manera de hacer esto,

ya que las ideas que surjan tienden a descubrir riesgos que no eran

tan obvios al principio

Cada riesgo identificado o sospechado debería estar documentado

junto con sus consecuencias potenciales

12

Evaluación de Riesgos

Una vez que el equipo ha identificado los riesgos pueden empezar a

cuantificar el impacto y la probabilidad del riesgo

El impacto es el efecto en una estrategia o proyecto (y sus clientes)

si el riesgo se volviera una realidad, y se experimentaran las

consecuencias

La mayoría de los enfoques de gestión de riesgos utilizan

descripciones cualitativas y cuantitativas

Esto significa que las consecuencias e impactos están definidos en

palabras, y posteriormente se les asocia un valor numérico

13

Evaluación de Riesgos (cont.)

Los números son usados para clasificar el riesgo, mientras la

descripción es usada para definir cómo tratar con el riesgo

Hay que notar que un riesgo con una probabilidad del 100% no es un

riesgo; es una certeza y por lo tanto un problema

Estos riesgos deberían ser quitados del plan de riesgos y ser

tratados como problemas

De igual manera un riesgo con probabilidad de 0 debería ser quitado

del plan

14

Tratamiento de Riesgos

Reducción de Riesgos: Acciones tomadas para disminuir la

probabilidad, consecuencias negativas, o ambas, asociadas con un

riesgo

Retención de Riesgos: Aceptación de la carga de la pérdida o

beneficio ganado por un riesgo en particular.

Evasión de Riesgos: Decisión de no involucrarse con, o acción de

retirarse de una situación de riesgo.

Transferencia de Riesgos: Compartir con otra parte la carga de

pérdida o el beneficio de ganancia, por un riesgo

Existen cuatro opciones para el tratamiento de riesgos:

15

Riesgos en un Sistema de Gestión de Servicios de TI

● La alta dirección debe proporcionar evidencia de su

compromiso para planear, establecer, implementar, operar,

monitorear, revisar, mantener y mejorar el SGS y los servicios

asegurando que se gestionen y valoren los riesgos a los

servicios.

● Se deben valorar los riesgos a todos los elementos de garantía

y utilidad de los servicios de TI y mitigarlos cuando sea

posible.

16

Valoración de riesgos

• Recolectar información acerca de la

exposición a riesgos para que la

organización pueda tomar las

decisiones apropiadas y gestionar los

riesgos apropiadamente.

• Identificar y la valorar el nivel (medición)

de los riesgos calculados de los activos

y de las amenazas hacia, y las

vulnerabilidades de, dichos activos.

Gestión de riesgos

• Procesos para monitorear riesgos, tener

acceso a información actualizada y

confiable sobre riesgos, el equilibrio

correcto de control para tratar con

dichos riesgos, y procesos de toma de

decisiones soportados por un marco de

evaluación y valoración de riesgos.

• Identificar, seleccionar y adoptar

contramedidas justificadas para los

activos al considerar su impacto

potencial en los servicios si ocurre una

falla, y la reducción de dichos riesgos a

un nivel aceptable.

Riesgos en un Sistema de Gestión de Servicios de TI

17

Riesgos en la planeación de un Sistema de Gestión

de Servicios de TI

● El prestador de servicios debe crear,

implementar y mantener un plan de gestión

de servicios.

● La planificación debe tomar en

consideración la política de gestión de

servicios y los requerimientos del servicio en

esta parte de ISO/IEC 20000.

● El plan de gestión de servicios debe

contener o incluir una referencia sobre el

enfoque que se tomará para la gestión de

riesgos y el criterio de aceptación de los

mismos.

18

Riesgos al Implementar un Sistema de Gestión de

Servicios de TI

● El prestador de servicio debe implementar y operar un SGSTI

para el diseño, transición, entrega y mejora de los servicios

de acuerdo al plan de gestión de servicios, a través de

actividades incluyendo por lo menos:

Identificación

Valoración

Tratamiento

…de los riesgos de los servicios de TI.

19

Riesgos en la Revisión de la Dirección

● La alta dirección debe revisar el SGSTI y los

servicios en intervalos planeados para

asegurar su eficacia y aptitud continua.

● Esta revisión debe incluir valoración de

oportunidades para la mejora y la necesidad

de cambios al SGSTI , incluyendo la política

y objetivos de la gestión de servicios.

● La entrada para las revisiones de la dirección

debe incluir por lo menos información sobre

los riesgos.

20

Riesgos en la Gestión de Mejoras

Existen varios riesgos que podrían prevenir a la mejora continua

del servicio para alcanzar el efecto general deseado:

Enfoque no formalizado hacia la Mejora Continua del Servicio (CSI) e

iniciativas que se toman a azar

Monitoreo y análisis insuficiente para identificar las áreas de mayor

necesidad

Actitud del personal como ‘Siempre lo hemos hecho de esta manera

y siempre ha sido lo suficientemente bueno’

Falta de habilidad para hacer el caso de negocio para la mejora y por

lo tanto falta de financiamiento para las iniciativas de mejora

Mucho enfoque en las mejoras de TI sin un entendimiento claro de

las necesidades u objetivos del negocio

21

Riesgos en el Diseño de Servicios de TI

Los principales riesgos asociados con el diseño de Servicios de

TI son:

Falta potencial de habilidades y conocimiento

Renuencia de los administradores de proyectos para comunicarse

y estar involucrado

Renuencia del negocio a estar involucrado

Dirección y estrategia pobres

Falta de información sobre los impactos y prioridades del negocio

Resultados deseados y requerimientos definidos pobremente

Comunicación pobre

22

Riesgos en la Operación del Servicio

Existen dos niveles de riesgos que deben ser considerados

desde una perspectiva de gestión del servicio:

Riesgos enfrentados por el negocio y los servicios de

negocio que usa

Riesgos a los servicios de TI que soportan al negocio y sus

procesos

Para una visión completa de riesgos, ambos niveles deben ser

considerados simultáneamente, ya que interactúan

constantemente entre ellos

Los sistemas y procesos de la transición del servicio deberían

filtrar y negar dichos riesgos

El efecto de remover los riesgos del negocio de los clientes es la

propuesta de valor central de muchos servicios de TI

23

Riesgos en la Entrega del Servicio

Los riesgos asociados con el Catálogo de Servicios son:

Falta de precisión de los datos en el catálogo y no estar bajo un

control de cambios riguroso

Aceptación pobre del catálogo de servicios y su utilización en los

procesos operativos. Mientras más activo es el catálogo, es más

probable que sea preciso en su contenido

Falta de precisión en la información recibida del negocio, TI y la

cartera de servicios, con respecto a la información del servicio

Herramientas y recursos insuficientes requeridos para mantener la

información

24

Riesgos en la Entrega del Servicio (cont.)

Algunos riesgos asociados con la Gestión de los Niveles de

Servicio son:

Falta de compromiso, involucramiento y entrada certera del

negocio y los clientes

Falta de herramientas y recursos apropiados requeridos para

acordar, documentar, monitorear, reportar y revisar los niveles de

servicios y los acuerdos.

El proceso se vuelve un proceso burocrático administrativo, en

vez de un proceso proactivo y activo que entregue mediciones de

beneficio al negocio

Expectativas altas del cliente y baja percepción

25


Algunos riesgos asociados con la Disponibilidad y Continuidad de

Servicio son:

Una falta de compromiso del negocio hacia el proceso de gestión

de disponibilidad

Falta de compromiso del negocio y falta de información apropiada

sobre estrategias y planes futuros

Falta de compromiso por la alta dirección o falta de recursos y/o

presupuesto para el proceso de gestión de disponibilidad

Procesos de reporte que requieran mucha mano de obra

Los procesos se enfocan mucho en la tecnología y no lo suficiente

en los servicios y las necesidades del negocio

26


Gestión de la Continuidad del Negocio y ITSCM

La Gestión de Continuidad del Negocio (BCM) se encarga de

gestionar los riesgos para asegurar que una organización pueda

continuar operando a un nivel mínimo predeterminado

El proceso de BCM implica reducir el riesgo a un nivel aceptable y

planificar la recuperación de los procesos de negocio en caso de

que un riesgo se materialice y ocurra una interrupción en el

negocio

La ITSCM permite a una organización de TI identificar, valorar y

tomar responsabilidad para gestionar sus riesgos

27


Algunos de los riesgos importantes asociados con

la Gestión de la Capacidad incluyen:

Falta de compromiso del negocio hacia el proceso de gestión de la

capacidad

Falta de información apropiada del negocio sobre estrategias y

planes futuros

Falta de compromiso de la alta dirección o falta de recursos y/o

presupuesto para el proceso de gestión de capacidad

Proceso muy burocrático

Los reportes e información proporcionados son muy voluminosos

o muy técnicos y no proporcionan la información requerida o

apropiada para los clientes y el negocio

28


Áreas de riesgo importante asociadas con la Gestión de la

Seguridad de la Información incluyen:

Falta de compromiso del negocio hacia el proceso de gestión de la

seguridad de la información

Falta de compromiso del negocio y falta de información apropiada

sobre estrategias y planes futuros

Falta de compromiso por parte de la alta dirección y falta de

recursos y/o presupuesto para el proceso de gestión de la

seguridad de la información

El proceso se enfoca mucho en asuntos tecnológicos y no lo

suficiente en los servicios de TI y las necesidades y prioridades

del negocio

Las políticas de seguridad se vuelven burocráticas y/o

excesivamente difíciles de seguir, desalentando el cumplimiento

29

Riesgos en la Gestión de Proveedores

Falta de compromiso del negocio y la alta dirección hacia los

procesos y procedimientos de gestión de proveedores

Falta de información apropiada sobre las futuras estrategias,

planes y políticas del negocio y de TI

Falta de recursos y/o presupuesto para el proceso de gestión de

proveedores

Legado de contratos mal escritos y acordados que no soporten las

necesidades del negocio o los objetivos del los SLAs y SLRs

Objetivos y niveles de servicio dentro de los contratos que son

imposibles de cumplir

Incapacidad para poder cumplir los términos y condiciones del

contrato

Gestión de Proveedores

Las áreas de riesgo importantes asociadas con la Gestión de

Proveedores incluyen:

30

Riesgos en la Gestión de Proveedores (cont.)

Gestión de Proveedores


Proveedores incluyen (cont.):

El personal del proveedor o la cultura organizacional no están

alineados con el negocio o el prestador de servicios

Falta de claridad e integración por el proveedor con los procesos,

políticas y procedimientos de gestión de servicios del prestador de

servicios

Los proveedores no son cooperativos y no están dispuestos a

tomar parte y soportar el proceso de gestión de proveedores

requerido

Los proveedores son absorbidos y las relaciones, personal y

contratos cambian

31

Riesgos en Procesos de Resolución

Gestión de Incidentes


Incidentes incluyen:

Estar inundado con incidentes que no pueden ser tratados dentro

de escalas de tiempo aceptables debido a falta de recursos

disponibles o capacitados apropiadamente

Atraso no deseado de incidentes creados por herramientas de

soporte inadecuadas que lanzan alertas y apuntan el progreso

Falta de fuentes de información oportunas y/o adecuadas debido a

herramientas inadecuadas o falta de integración

Falta de concordancia en objetivos o acciones debido a OLAs y/o

UCs mal alineados o inexistentes

32

Riesgos en Procesos de Resolución (cont.)

Cumplimiento de Solicitudes

Los riesgos que pueden ser encontrados en el Cumplimiento de

Solicitudes incluyen:

Alcance definido pobremente, donde la gente no tenga claro

exactamente que se espera que maneje el proceso

Interfaces de usuario pobremente diseñadas o implementadas y

que los de tal forma que los usuarios tengan dificultad en levantar

solicitudes que necesitan

Procesos mal diseñados u operados que son incapaces de tratar

con el volumen o naturaleza de las solicitudes realizadas

Capacidades de monitoreo inadecuadas de tal forma que no se

pueden recolectar métricas precisas

33

Riesgos en Procesos de Resolución (cont.)

Gestión de Problemas

Los riesgos que pueden ser encontrados en el proceso de Gestión

de Problemas incluyen:

Estar inundado de problemas que no pueden manejados dentro

de las escalas de tiempo aceptables debido a falta de recursos

disponibles o bien capacitados

Los problemas se atascan y no progresan como es la intención

debido a herramientas de soporte inadecuadas para la

investigación

Falta de fuentes de información adecuadas y/o oportunas debido a

falta de integración o herramientas inadecuadas

Falta de concordancia en objetivos o acciones debido a OLAs y/o

UCs mal alineados o inexistentes

34

Riesgos en los Procesos de Control

Gestión de Configuraciones


de Configuraciones y Activos de servicio incluyen:

La tentación de considerarla enfocada a la tecnología (en vez de

enfocada al negocio y al servicio)

Degradación de la precisión de la información de configuración

con el tiempo, que puede causar errores y ser difícil y costoso

corregirlos

Establecer el alcance muy amplio, causando costo y esfuerzos

excesivos por un beneficio insuficiente

Establecer el alcance muy limitado, de tal forma el proceso tiene

muy poco beneficio

El CMS se vuelve obsoleto debido al movimiento de activos de

hardware por personal no autorizado

35

Riesgos en los Procesos de Control (cont.)

Gestión de Cambios


de Cambios incluyen:

Falta de compromiso hacia el proceso de gestión de cambios por

el negocio

Falta de compromiso con el proceso de gestión de cambios por la

dirección de TI

Falta de compromiso con el proceso de gestión de cambios por el

personal de TI

Implementación de cambios sin el uso de la gestión de cambios

Introducción de retrasos en la implementación de cambios sin

agregar suficiente valor

36


Gestión de Cambios


de Cambios incluyen (cont.):

Tiempo insuficiente permitido para una valoración de cambios

apropiada

Tiempo insuficiente permitido para la implementación de cambios

Recursos insuficientes para la valoración, planificación e

implementación del número de cambios requeridos por el negocio

Falta de claridad sobre cómo la gestión de cambios debería

interactuar con otros procesos de gestión de servicios

Falta de claridad sobre cómo la gestión de cambios debería

interactuar con otros procesos de gestión de servicios

37


Gestión de Liberaciones y Despliegues


de Liberaciones y Despliegues incluyen:

Utilizar personal que no está dedicado a las actividades de

liberaciones y despliegues, especialmente si el esfuerzo toma una

cantidad significativa de su tiempo

Caer en el uso del proceso de gestión de liberaciones y

despliegues para gestionar el servicio de retiro

Políticas corporativas inadecuadas, p.ej. seguridad, licencias de

software

Dificultad al rastrear y gestionar las licencias de software, p.ej.

debido a complejidad

38


Cambios inesperados en controles regulatorios o requerimientos

de licencias

Expectativas/objetivos dudosos de los clientes, usuarios,

proveedores y otros proveedores

Malos entendidos/diferencias culturales (entre clientes, usuarios,

proveedores y otros proveedores)



de Liberaciones y Despliegues incluyen (cont.):

Malos entendidos/diferencias culturales (entre clientes, usuarios,

proveedores y otros proveedores)

39


Falta de claridad sobre los roles y las responsabilidades

Intereses personales que crean conflicto y comprometen la calidad

Falla al obtener autorización apropiada en el tiempo correcto




Indecisión o tardanza en la toma de decisiones

Falla de soporte operativo

Falla de los proveedores en cumplir las obligaciones contractuales

Retrasos en la negociación contractual

40


Diseño inadecuado




Falla en la infraestructura

Diferencias/dependencias en la infraestructura/aplicaciones

Barreras o restricciones imprevistas debido a la infraestructura

Cambio organizacional que tiene un impacto importante en la

moral de los empleados

Con la colaboración de ... Global Lynx de México S.A. de C.V.

Génova 33-101, Col. Juárez, CP 06600. México. D.F.

Teléfonos: +52 (55) 5511 0193 / 95 / 97

Web: www.globallynx.com

Email: [email protected]

Ponente Luis Alberto Ochoa Castillejos

Su experiencia principal es diseñar e implementar mejoras en la

administración de servicios de tecnología de información

enfocados a las mejores prácticas de ITIL, ISO/IEC 20000,

ISO/IEC 27000, COBIT e ISO/IEC 27000.

Ha desarrollado proyectos en organizaciones como: Grupo

Mexicano de Seguros GMX, IMSS, Compartamos Banco,

NEXTEL, MAXCOM, Hewlett Packard, Triara, PEMEX GIT, SAT,

Banco de México, CFE CENACE, PEMEX DCF, Banco Bital,

Banco Banamex, Pemex PEP, Telmex, Roche Syntex,

ALESTRA, UNINET, Daimler-Chrysler, UNI2 (España), TELESP

(Brasil), PEMEX PGPB, AHMSA, CISEN, Grupo Jumex entre

otros

Con la colaboración de:

@exin_es

¡GRACIAS!

youtube/exinexams

facebook.com/EXINEnCastellano

slideshare.net/EXINEnCastellano

3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de gestión de...

Technology

Transcript of 3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de gestión de...