Presentacin de PowerPoint

ESCUELA SUPERIOR POLITECNICA DEL LITORALMAESTRIA EN SEGURIDAD INFORMTICA APLICADA

ISO 27001

Artculo RIESGO DE TI

NOMBRE: LUIS CHOEZ ACOSTA

PORQUE LOS SISTEMAS FALLAN... Hable un idioma comn sobre el riesgo en TIIntroduccin El riesgo es incertidumbre, y su gestin exige de manera urgente que los directivos racionalicen una serie de compromisos muy complejos e importantes. El modelo presentado en este artculo por GEORGE WESTERMAN y RICHARD HUNTER plantea un lenguaje comn que se debe utilizar por los directivos y responsables de TI de las instituciones en la cual deben identificar, analizar y gestionar los riesgos en TI de una manera integral. Luego, se debe mejorar los fundamentos de la TI, implantar un proceso de gestin del riesgo y crear una cultura de concienciacin del riesgo en las instituciones. Todos estos procesos generar una contenido que aumenta los ingresos y que permita tambin de reducir los riesgos.El riesgo es incertidumbreLos riesgos que ms me preocupan son los que desconozcoPero de todos los riesgos que afronta una empresa, los de TI suelen ser los que menos se entienden.La mayora de los directivos no saben como visualizar mas all del Impacto inmediato de virus y fallos de seguridad o de continuidad en las operacionesPara muchos directivos, las decisiones en TI estn cargadas de incertidumbre. La probabilidad y las implicaciones de un fallo del sistema son inciertas.

Las implicaciones de otros riesgos, como fallos de privacidad, datos imprecisos, fracasos de proyectos o incluso la rigidez corporativa son an ms inciertas. Todos estos riesgos tienen causas muy complejas y ninguna solucin perfecta. Y cada vez son ms importantes.Lo importante aqu es que es evidente que los directivos de la compaa no entendieron las posibles consecuencias de un fallo en un sistema crtico para el funcionamiento del negocio, y por ello no tomaron medidas para hacerlo manejableEs imposible acertar siempre en las decisiones, pero todas las empresas pueden mejorar la toma de decisiones relacionadas con el riesgo en TI.

Como abordar riesgos:

La incapacidad de gestionar incertidumbres sobre volmenes de transaccin y la fiabilidad del sistema tuvo consecuencias tremendas para ambas empresasSe pueden atender de forma intuitiva los riesgos de nivel alto con repercusiones en los medios de comunicacin (como virus, apagones o la seguridad inalmbrica), pero pasan por alto muchos otros de nivel ms bajo (como controles internos inadecuados o anticuados, aplicaciones frgiles).Por tanto, toda supervisin o discusin de inversin en TI debe tener en cuenta el impacto en los riesgos de la empresa, no slo en sus necesidades estratgicas.RIESGOS CLAVESNo existe ninguna decisin en TI que est libre de riesgo (o cuyo riesgo sea neutro). Todos los riesgos en TI tienen repercusiones en la empresa

Disponibilidad: Mantener los sistemas (y sus procesos empresariales) operativos, y recuperarse de las interrupciones

Los directivos deben conocer los riesgos de disponibilidad para cada uno de los procesos importantes, plasmados en un Plan de continuidad del negocio.

ACCESO. Asegurar un acceso adecuado a datos y sistemas, de forma que las personas indicadas tengan disponibilidad total, las que no lo sean no lo tengan y la informacin confidencial est a salvo de un uso incorrecto.

Los ejecutivos deben controlar quin tiene acceso a qu tipo de informacin, as como retirar el acceso a aquellos empleados que abandonan la empresa y poder identificar con exactitud quin y cundo ha accedido a informacin confidencial.

PRECISIN. Facilitar informacin correcta, pertinente y completa que cubra las exigencias de direccin, personal, clientes, proveedores y reguladores.

El Tesoro britnico pag por error 2.000 millones de libras en crditos fiscales en 2003-2004 despus de instalar un nuevo sistema sin haberlo probado eficazmente. Muchas empresas estn expuestas a niveles de riesgo elevados y desconocidos por la existencia de inventarios imprecisos, balances ocultos o su incapacidad para tener una visin general precisa de sus clientes clave o ventas.

AGILIDAD. Realizar los cambios que necesita la empresa con un coste y a un ritmo adecuados.

Aunque el riesgo de agilidad no resulta siempre tan evidente, la mayora de empresas afronta algn tipo de riesgo de este tipo. La razn de que muchos directivos no fijen una fecha de lanzamiento concreta o aplacen los grandes cambios es que no estn seguros de si el departamento de sistemas cumplir con los plazos.

TRES ELEMENTOS ESENCIALES EN LA GESTIN DE RIESGOS DE TI

Fundamentos: El factor mas importante de riesgo es la complejidad. Una base de infraestructura, aplicaciones y personal de apoyo bien estructurada, bien gestionada y no ms compleja de lo estrictamente necesario.Elimina complejidades desconocidas que podran impedir a los directivos mantener, integrar y cambiar de forma eficiente las tecnologas y los procesos empresariales asociados.Las personas que gestionan los fundamentos han de tener los conocimientos necesarios, y los procesos, las salvaguardas, los controles y la supervisin adecuados.

Procesos de Gobierno: Procedimientos y polticas que dan una visin a nivel empresarial de todos los riesgos en TI.

Ayudan a los directivos de nivel inferior a identificar y obtener recursos para el riesgo, al tiempo que proporcionan a los directivos de mayor rango una visin clara de los grandes riesgos que afronta la empresa.

Cultura de Riesgo: Los miembros de la empresa cuentan con un conocimiento adecuado del riesgo, y discuten sobre l de forma habitual, abierta y sin miedos.

Indica cul es la actitud correcta en relacin al riesgo, y reduce los temores a revelar riesgos.

Minimiza la ocultacin de los riesgos y el rechazo a las acciones apropiadas por razones slo de riesgo