10º Webinar EXIN en Castellano: Certificación ISO 20000 para proveedores internos de TI
3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de gestión de...
-
Upload
exin -
Category
Technology
-
view
474 -
download
0
description
Transcript of 3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de gestión de...
Cómo Evaluar Riesgos en un Sistema
de Gestión de Servicios de TI
Manera práctica de evaluar y administrar
riesgos relacionados con los servicios de TI
Con la colaboración de ... Global Lynx de México S.A. de C.V.
Génova 33-101, Col. Juárez, CP 06600. México. D.F.
Teléfonos: +52 (55) 5511 0193 / 95 / 97
Web: www.globallynx.com
Email: [email protected]
Ponente Luis Alberto Ochoa Castillejos
Su experiencia principal es diseñar e implementar mejoras en la
administración de servicios de tecnología de información
enfocados a las mejores prácticas de ITIL, ISO/IEC 20000,
ISO/IEC 27000, COBIT e ISO/IEC 27000.
Ha desarrollado proyectos en organizaciones como: Grupo
Mexicano de Seguros GMX, IMSS, Compartamos Banco,
NEXTEL, MAXCOM, Hewlett Packard, Triara, PEMEX GIT, SAT,
Banco de México, CFE CENACE, PEMEX DCF, Banco Bital,
Banco Banamex, Pemex PEP, Telmex, Roche Syntex,
ALESTRA, UNINET, Daimler-Chrysler, UNI2 (España), TELESP
(Brasil), PEMEX PGPB, AHMSA, CISEN, Grupo Jumex entre
otros
4
Sistema de Gestión de Servicios
● Un sistema de gestión es un conjunto de
políticas, procesos y procedimientos
relacionados que trabajan juntos para
alcanzar un objetivo general.
● Las relaciones dentro del sistema deben
influenciarse unas a otras por el bien del
conjunto.
● Ayuda a lograr los objetivos de la
organización mediante una serie de
estrategias, que incluyen la optimización
de procesos, el enfoque centrado en la
gestión y el pensamiento disciplinado.
Sistema de Gestión de Servicios de TI
Sistema de Gestión del Servicio (SMS)
Diseño y transición de servicios nuevos o cambiados
Procesos de resolución
Gestión de incidentes y peticiones de servicio
Gestión de problemas
Procesos de relación
Gestión de la relación con el negocio
Gestión de proveedores
Procesos de entrega del servicio
Responsabilidad de la Dirección
Establecer el SMS
Gobierno de procesos operado por otras
partes
Gestión de la documentación
Gestión de los recursos
Gestión de la capacidad
Gestión de la continuidad y
disponibilidad del servicio
Gestión del nivel de servicio
Reporteo del servicio
Gestión de la seguridad de la
información
Presupuesto y contabilidad de
los servicios de TI
Procesos de control Gestión de la configuración Gestión de cambios Gestión de liberaciones y despliegues
6
● Al entender la estructura de sistemas, las interconexiones entre
los activos y los componentes del servicio y cómo los cambios en
algún área afectarán a todo el sistema, un prestador de servicios
puede entregar beneficios, como:
Sistema de Gestión de Servicios de TI
Habilidad para adaptarse
Desempeño sustentable
Gestión de servicios eficiente y
eficaz
Mejor enfoque para gestionar
servicios, riesgos y costos
Menor conflicto entre procesos
Reducción de burocracia y
duplicidad
7
Riesgo
● Toda las actividades en una organización implican
riesgos.
● Los riesgos se gestionan identificando, analizando
y posteriormente evaluando si deberían ser
modificados por un tratamiento de riesgos.
● Las organizaciones comunican a y consultan con
las partes interesadas, monitorean y revisan el
riesgo y los controles que modifican al riesgo para
asegurar que no se requiera un tratamiento de
riesgos adicional.
El efecto de incertidumbre que las organizaciones tienen al
alcanzar sus objetivos, debido a influencias y factores internos y
externos.
8
Gestión de riesgos
La gestión de riesgos le permite a la organización:
Aumentar la probabilidad de alcanzar sus objetivos
Estar consciente de la necesidad de identificar y tratar los riesgos en
toda la organización
Mejorar la identificación de oportunidades y amenazas
Cumplir con requerimientos regulatorios y legales relevantes y
normas internacionales
Mejorar la eficiencia y la eficacia operativa
Mejorar la gestión de incidentes y reducción de pérdidas
Mejorar la confianza de las partes interesadas “stakeholders”
9
La gestión de riesgos contribuye a:
Gestión de riesgos
Que se identifiquen los riesgos
Que se valoren los riesgos en términos de sus consecuencias para el
negocio y la probabilidad de su ocurrencia
Que la probabilidad y consecuencias de que dichos riesgos sean
comunicados y comprendidos
Que se establezca una orden de prioridad para el tratamiento de
riesgos
Dar prioridad para las acciones para reducir la ocurrencia de un
riesgo
10
ISO/IEC 27005
Proceso para la Gestión de Riesgos
Com
unic
ació
n de
l Rie
sgo
ESTABLECIENDO EL CONTEXTO
RE
VIS
ION
Y M
ON
ITO
RE
O D
E R
IES
GO
S
IDENTIFICACIÓN DE RIESGOS
ESTIMACIÓN DE RIESGOS
EVALUACIÓN DE RIESGOS
TRATAMIENTO DE RIESGOS
APROBACIÓN DEL RIESGO
EVALUACIÓN DE RIESGOS
ANÁLISIS DE RIESGOS
DECISION DE RIESGO PUNTO 1
Evaluación satisfactoria
No
Si
No
Si
DECISION DE RIESGO PUNTO 2
Tratamiento satisfactorio
Fin de la primera iteración subsecuente
11
Identificación de Riesgos
Esta parte de la gestión de riesgos implica nombrar el riesgo
Al identificar un riesgo no es necesario tratar de explicar o cuantificar
el riesgo, solo tener la mayor cantidad de ideas posibles sobre que
puede amenazar el éxito de un proyecto o estrategia
La lluvia de ideas es probablemente la mejor manera de hacer esto,
ya que las ideas que surjan tienden a descubrir riesgos que no eran
tan obvios al principio
Cada riesgo identificado o sospechado debería estar documentado
junto con sus consecuencias potenciales
12
Evaluación de Riesgos
Una vez que el equipo ha identificado los riesgos pueden empezar a
cuantificar el impacto y la probabilidad del riesgo
El impacto es el efecto en una estrategia o proyecto (y sus clientes)
si el riesgo se volviera una realidad, y se experimentaran las
consecuencias
La mayoría de los enfoques de gestión de riesgos utilizan
descripciones cualitativas y cuantitativas
Esto significa que las consecuencias e impactos están definidos en
palabras, y posteriormente se les asocia un valor numérico
13
Evaluación de Riesgos (cont.)
Los números son usados para clasificar el riesgo, mientras la
descripción es usada para definir cómo tratar con el riesgo
Hay que notar que un riesgo con una probabilidad del 100% no es un
riesgo; es una certeza y por lo tanto un problema
Estos riesgos deberían ser quitados del plan de riesgos y ser
tratados como problemas
De igual manera un riesgo con probabilidad de 0 debería ser quitado
del plan
14
Tratamiento de Riesgos
Reducción de Riesgos: Acciones tomadas para disminuir la
probabilidad, consecuencias negativas, o ambas, asociadas con un
riesgo
Retención de Riesgos: Aceptación de la carga de la pérdida o
beneficio ganado por un riesgo en particular.
Evasión de Riesgos: Decisión de no involucrarse con, o acción de
retirarse de una situación de riesgo.
Transferencia de Riesgos: Compartir con otra parte la carga de
pérdida o el beneficio de ganancia, por un riesgo
Existen cuatro opciones para el tratamiento de riesgos:
15
Riesgos en un Sistema de Gestión de Servicios de TI
● La alta dirección debe proporcionar evidencia de su
compromiso para planear, establecer, implementar, operar,
monitorear, revisar, mantener y mejorar el SGS y los servicios
asegurando que se gestionen y valoren los riesgos a los
servicios.
● Se deben valorar los riesgos a todos los elementos de garantía
y utilidad de los servicios de TI y mitigarlos cuando sea
posible.
16
Valoración de riesgos
• Recolectar información acerca de la
exposición a riesgos para que la
organización pueda tomar las
decisiones apropiadas y gestionar los
riesgos apropiadamente.
• Identificar y la valorar el nivel (medición)
de los riesgos calculados de los activos
y de las amenazas hacia, y las
vulnerabilidades de, dichos activos.
Gestión de riesgos
• Procesos para monitorear riesgos, tener
acceso a información actualizada y
confiable sobre riesgos, el equilibrio
correcto de control para tratar con
dichos riesgos, y procesos de toma de
decisiones soportados por un marco de
evaluación y valoración de riesgos.
• Identificar, seleccionar y adoptar
contramedidas justificadas para los
activos al considerar su impacto
potencial en los servicios si ocurre una
falla, y la reducción de dichos riesgos a
un nivel aceptable.
Riesgos en un Sistema de Gestión de Servicios de TI
17
Riesgos en la planeación de un Sistema de Gestión
de Servicios de TI
● El prestador de servicios debe crear,
implementar y mantener un plan de gestión
de servicios.
● La planificación debe tomar en
consideración la política de gestión de
servicios y los requerimientos del servicio en
esta parte de ISO/IEC 20000.
● El plan de gestión de servicios debe
contener o incluir una referencia sobre el
enfoque que se tomará para la gestión de
riesgos y el criterio de aceptación de los
mismos.
18
Riesgos al Implementar un Sistema de Gestión de
Servicios de TI
● El prestador de servicio debe implementar y operar un SGSTI
para el diseño, transición, entrega y mejora de los servicios
de acuerdo al plan de gestión de servicios, a través de
actividades incluyendo por lo menos:
Identificación
Valoración
Tratamiento
…de los riesgos de los servicios de TI.
19
Riesgos en la Revisión de la Dirección
● La alta dirección debe revisar el SGSTI y los
servicios en intervalos planeados para
asegurar su eficacia y aptitud continua.
● Esta revisión debe incluir valoración de
oportunidades para la mejora y la necesidad
de cambios al SGSTI , incluyendo la política
y objetivos de la gestión de servicios.
● La entrada para las revisiones de la dirección
debe incluir por lo menos información sobre
los riesgos.
20
Riesgos en la Gestión de Mejoras
Existen varios riesgos que podrían prevenir a la mejora continua
del servicio para alcanzar el efecto general deseado:
Enfoque no formalizado hacia la Mejora Continua del Servicio (CSI) e
iniciativas que se toman a azar
Monitoreo y análisis insuficiente para identificar las áreas de mayor
necesidad
Actitud del personal como ‘Siempre lo hemos hecho de esta manera
y siempre ha sido lo suficientemente bueno’
Falta de habilidad para hacer el caso de negocio para la mejora y por
lo tanto falta de financiamiento para las iniciativas de mejora
Mucho enfoque en las mejoras de TI sin un entendimiento claro de
las necesidades u objetivos del negocio
21
Riesgos en el Diseño de Servicios de TI
Los principales riesgos asociados con el diseño de Servicios de
TI son:
Falta potencial de habilidades y conocimiento
Renuencia de los administradores de proyectos para comunicarse
y estar involucrado
Renuencia del negocio a estar involucrado
Dirección y estrategia pobres
Falta de información sobre los impactos y prioridades del negocio
Resultados deseados y requerimientos definidos pobremente
Comunicación pobre
22
Riesgos en la Operación del Servicio
Existen dos niveles de riesgos que deben ser considerados
desde una perspectiva de gestión del servicio:
Riesgos enfrentados por el negocio y los servicios de
negocio que usa
Riesgos a los servicios de TI que soportan al negocio y sus
procesos
Para una visión completa de riesgos, ambos niveles deben ser
considerados simultáneamente, ya que interactúan
constantemente entre ellos
Los sistemas y procesos de la transición del servicio deberían
filtrar y negar dichos riesgos
El efecto de remover los riesgos del negocio de los clientes es la
propuesta de valor central de muchos servicios de TI
23
Riesgos en la Entrega del Servicio
Los riesgos asociados con el Catálogo de Servicios son:
Falta de precisión de los datos en el catálogo y no estar bajo un
control de cambios riguroso
Aceptación pobre del catálogo de servicios y su utilización en los
procesos operativos. Mientras más activo es el catálogo, es más
probable que sea preciso en su contenido
Falta de precisión en la información recibida del negocio, TI y la
cartera de servicios, con respecto a la información del servicio
Herramientas y recursos insuficientes requeridos para mantener la
información
24
Riesgos en la Entrega del Servicio (cont.)
Algunos riesgos asociados con la Gestión de los Niveles de
Servicio son:
Falta de compromiso, involucramiento y entrada certera del
negocio y los clientes
Falta de herramientas y recursos apropiados requeridos para
acordar, documentar, monitorear, reportar y revisar los niveles de
servicios y los acuerdos.
El proceso se vuelve un proceso burocrático administrativo, en
vez de un proceso proactivo y activo que entregue mediciones de
beneficio al negocio
Expectativas altas del cliente y baja percepción
25
Riesgos en la Entrega del Servicio (cont.)
Algunos riesgos asociados con la Disponibilidad y Continuidad de
Servicio son:
Una falta de compromiso del negocio hacia el proceso de gestión
de disponibilidad
Falta de compromiso del negocio y falta de información apropiada
sobre estrategias y planes futuros
Falta de compromiso por la alta dirección o falta de recursos y/o
presupuesto para el proceso de gestión de disponibilidad
Procesos de reporte que requieran mucha mano de obra
Los procesos se enfocan mucho en la tecnología y no lo suficiente
en los servicios y las necesidades del negocio
26
Riesgos en la Entrega del Servicio (cont.)
Gestión de la Continuidad del Negocio y ITSCM
La Gestión de Continuidad del Negocio (BCM) se encarga de
gestionar los riesgos para asegurar que una organización pueda
continuar operando a un nivel mínimo predeterminado
El proceso de BCM implica reducir el riesgo a un nivel aceptable y
planificar la recuperación de los procesos de negocio en caso de
que un riesgo se materialice y ocurra una interrupción en el
negocio
La ITSCM permite a una organización de TI identificar, valorar y
tomar responsabilidad para gestionar sus riesgos
27
Riesgos en la Entrega del Servicio (cont.)
Algunos de los riesgos importantes asociados con
la Gestión de la Capacidad incluyen:
Falta de compromiso del negocio hacia el proceso de gestión de la
capacidad
Falta de información apropiada del negocio sobre estrategias y
planes futuros
Falta de compromiso de la alta dirección o falta de recursos y/o
presupuesto para el proceso de gestión de capacidad
Proceso muy burocrático
Los reportes e información proporcionados son muy voluminosos
o muy técnicos y no proporcionan la información requerida o
apropiada para los clientes y el negocio
28
Riesgos en la Entrega del Servicio (cont.)
Áreas de riesgo importante asociadas con la Gestión de la
Seguridad de la Información incluyen:
Falta de compromiso del negocio hacia el proceso de gestión de la
seguridad de la información
Falta de compromiso del negocio y falta de información apropiada
sobre estrategias y planes futuros
Falta de compromiso por parte de la alta dirección y falta de
recursos y/o presupuesto para el proceso de gestión de la
seguridad de la información
El proceso se enfoca mucho en asuntos tecnológicos y no lo
suficiente en los servicios de TI y las necesidades y prioridades
del negocio
Las políticas de seguridad se vuelven burocráticas y/o
excesivamente difíciles de seguir, desalentando el cumplimiento
29
Riesgos en la Gestión de Proveedores
Falta de compromiso del negocio y la alta dirección hacia los
procesos y procedimientos de gestión de proveedores
Falta de información apropiada sobre las futuras estrategias,
planes y políticas del negocio y de TI
Falta de recursos y/o presupuesto para el proceso de gestión de
proveedores
Legado de contratos mal escritos y acordados que no soporten las
necesidades del negocio o los objetivos del los SLAs y SLRs
Objetivos y niveles de servicio dentro de los contratos que son
imposibles de cumplir
Incapacidad para poder cumplir los términos y condiciones del
contrato
Gestión de Proveedores
Las áreas de riesgo importantes asociadas con la Gestión de
Proveedores incluyen:
30
Riesgos en la Gestión de Proveedores (cont.)
Gestión de Proveedores
Las áreas de riesgo importantes asociadas con la Gestión de
Proveedores incluyen (cont.):
El personal del proveedor o la cultura organizacional no están
alineados con el negocio o el prestador de servicios
Falta de claridad e integración por el proveedor con los procesos,
políticas y procedimientos de gestión de servicios del prestador de
servicios
Los proveedores no son cooperativos y no están dispuestos a
tomar parte y soportar el proceso de gestión de proveedores
requerido
Los proveedores son absorbidos y las relaciones, personal y
contratos cambian
31
Riesgos en Procesos de Resolución
Gestión de Incidentes
Las áreas de riesgo importantes asociadas con la Gestión de
Incidentes incluyen:
Estar inundado con incidentes que no pueden ser tratados dentro
de escalas de tiempo aceptables debido a falta de recursos
disponibles o capacitados apropiadamente
Atraso no deseado de incidentes creados por herramientas de
soporte inadecuadas que lanzan alertas y apuntan el progreso
Falta de fuentes de información oportunas y/o adecuadas debido a
herramientas inadecuadas o falta de integración
Falta de concordancia en objetivos o acciones debido a OLAs y/o
UCs mal alineados o inexistentes
32
Riesgos en Procesos de Resolución (cont.)
Cumplimiento de Solicitudes
Los riesgos que pueden ser encontrados en el Cumplimiento de
Solicitudes incluyen:
Alcance definido pobremente, donde la gente no tenga claro
exactamente que se espera que maneje el proceso
Interfaces de usuario pobremente diseñadas o implementadas y
que los de tal forma que los usuarios tengan dificultad en levantar
solicitudes que necesitan
Procesos mal diseñados u operados que son incapaces de tratar
con el volumen o naturaleza de las solicitudes realizadas
Capacidades de monitoreo inadecuadas de tal forma que no se
pueden recolectar métricas precisas
33
Riesgos en Procesos de Resolución (cont.)
Gestión de Problemas
Los riesgos que pueden ser encontrados en el proceso de Gestión
de Problemas incluyen:
Estar inundado de problemas que no pueden manejados dentro
de las escalas de tiempo aceptables debido a falta de recursos
disponibles o bien capacitados
Los problemas se atascan y no progresan como es la intención
debido a herramientas de soporte inadecuadas para la
investigación
Falta de fuentes de información adecuadas y/o oportunas debido a
falta de integración o herramientas inadecuadas
Falta de concordancia en objetivos o acciones debido a OLAs y/o
UCs mal alineados o inexistentes
34
Riesgos en los Procesos de Control
Gestión de Configuraciones
Los riesgos que pueden ser encontrados en el proceso de Gestión
de Configuraciones y Activos de servicio incluyen:
La tentación de considerarla enfocada a la tecnología (en vez de
enfocada al negocio y al servicio)
Degradación de la precisión de la información de configuración
con el tiempo, que puede causar errores y ser difícil y costoso
corregirlos
Establecer el alcance muy amplio, causando costo y esfuerzos
excesivos por un beneficio insuficiente
Establecer el alcance muy limitado, de tal forma el proceso tiene
muy poco beneficio
El CMS se vuelve obsoleto debido al movimiento de activos de
hardware por personal no autorizado
35
Riesgos en los Procesos de Control (cont.)
Gestión de Cambios
Los riesgos que pueden ser encontrados en el proceso de Gestión
de Cambios incluyen:
Falta de compromiso hacia el proceso de gestión de cambios por
el negocio
Falta de compromiso con el proceso de gestión de cambios por la
dirección de TI
Falta de compromiso con el proceso de gestión de cambios por el
personal de TI
Implementación de cambios sin el uso de la gestión de cambios
Introducción de retrasos en la implementación de cambios sin
agregar suficiente valor
36
Riesgos en los Procesos de Control (cont.)
Gestión de Cambios
Los riesgos que pueden ser encontrados en el proceso de Gestión
de Cambios incluyen (cont.):
Tiempo insuficiente permitido para una valoración de cambios
apropiada
Tiempo insuficiente permitido para la implementación de cambios
Recursos insuficientes para la valoración, planificación e
implementación del número de cambios requeridos por el negocio
Falta de claridad sobre cómo la gestión de cambios debería
interactuar con otros procesos de gestión de servicios
Falta de claridad sobre cómo la gestión de cambios debería
interactuar con otros procesos de gestión de servicios
37
Riesgos en los Procesos de Control (cont.)
Gestión de Liberaciones y Despliegues
Los riesgos que pueden ser encontrados en el proceso de Gestión
de Liberaciones y Despliegues incluyen:
Utilizar personal que no está dedicado a las actividades de
liberaciones y despliegues, especialmente si el esfuerzo toma una
cantidad significativa de su tiempo
Caer en el uso del proceso de gestión de liberaciones y
despliegues para gestionar el servicio de retiro
Políticas corporativas inadecuadas, p.ej. seguridad, licencias de
software
Dificultad al rastrear y gestionar las licencias de software, p.ej.
debido a complejidad
38
Riesgos en los Procesos de Control (cont.)
Cambios inesperados en controles regulatorios o requerimientos
de licencias
Expectativas/objetivos dudosos de los clientes, usuarios,
proveedores y otros proveedores
Malos entendidos/diferencias culturales (entre clientes, usuarios,
proveedores y otros proveedores)
Gestión de Liberaciones y Despliegues
Los riesgos que pueden ser encontrados en el proceso de Gestión
de Liberaciones y Despliegues incluyen (cont.):
Malos entendidos/diferencias culturales (entre clientes, usuarios,
proveedores y otros proveedores)
39
Riesgos en los Procesos de Control (cont.)
Falta de claridad sobre los roles y las responsabilidades
Intereses personales que crean conflicto y comprometen la calidad
Falla al obtener autorización apropiada en el tiempo correcto
Gestión de Liberaciones y Despliegues
Los riesgos que pueden ser encontrados en el proceso de Gestión
de Liberaciones y Despliegues incluyen (cont.):
Indecisión o tardanza en la toma de decisiones
Falla de soporte operativo
Falla de los proveedores en cumplir las obligaciones contractuales
Retrasos en la negociación contractual
40
Riesgos en los Procesos de Control (cont.)
Diseño inadecuado
Gestión de Liberaciones y Despliegues
Los riesgos que pueden ser encontrados en el proceso de Gestión
de Liberaciones y Despliegues incluyen (cont.):
Falla en la infraestructura
Diferencias/dependencias en la infraestructura/aplicaciones
Barreras o restricciones imprevistas debido a la infraestructura
Cambio organizacional que tiene un impacto importante en la
moral de los empleados
Con la colaboración de ... Global Lynx de México S.A. de C.V.
Génova 33-101, Col. Juárez, CP 06600. México. D.F.
Teléfonos: +52 (55) 5511 0193 / 95 / 97
Web: www.globallynx.com
Email: [email protected]
Ponente Luis Alberto Ochoa Castillejos
Su experiencia principal es diseñar e implementar mejoras en la
administración de servicios de tecnología de información
enfocados a las mejores prácticas de ITIL, ISO/IEC 20000,
ISO/IEC 27000, COBIT e ISO/IEC 27000.
Ha desarrollado proyectos en organizaciones como: Grupo
Mexicano de Seguros GMX, IMSS, Compartamos Banco,
NEXTEL, MAXCOM, Hewlett Packard, Triara, PEMEX GIT, SAT,
Banco de México, CFE CENACE, PEMEX DCF, Banco Bital,
Banco Banamex, Pemex PEP, Telmex, Roche Syntex,
ALESTRA, UNINET, Daimler-Chrysler, UNI2 (España), TELESP
(Brasil), PEMEX PGPB, AHMSA, CISEN, Grupo Jumex entre
otros
Con la colaboración de:
@exin_es
¡GRACIAS!
youtube/exinexams
facebook.com/EXINEnCastellano
slideshare.net/EXINEnCastellano