Papel dentro del gobierno de TI
Cuando se habla de tecnología y de mantener la seguridad sobre ésta, fácilmente se piensa en términos de protección física, lógica y protección sobre los sistemas y equipos. Solo al final se trata lo referente a medidas técnicas. Sin embargo, esta seguridad es limitada y debe ser respaldada por una gestión y procedimientos adecuados; de aquí la importancia de alinear estas medidas con las estrategias del negocio.
A partir de esto, aparece el concepto de gobernanza de TI o gobierno de TI (GTI), que busca la alineación de las tecnologías de la información y las comunicaciones con las estrategias del negocio. De esta forma, se aplican las mejores prácticas de administración con el fin de ayudar en la toma de decisiones, mientras se proporciona el mejor uso de la tecnología.
Por ello, el gobierno de TI tiene como objetivo entender la importancia estratégica de TI para mantener las operaciones e implementar las actividades que se requieran a futuro.
Este gobierno integra procesos y recursos de TI con la información de las estrategias y objetivos de la organización, la finalidad es alcanzar estos objetivos añadiendo valor al negocio[1] con el debido equilibrio sobre los riesgos y el retorno de inversión sobre TI y sus procesos.
En el año 1996, la asociación ISACA (Information Systems Audit and Contol Association, Asociación de Auditoría y Control en Sistemas de Información) teniendo en cuenta que el gobierno de TI requería un marco de referencia para lograr los fines expuestos, lanzó COBIT (Control Objetives for Information and Related Technologies, Control de Objetivos para Información y Tecnologías Relacionadas) que ofrecía principios para gestionar la tecnología dentro del gobierno de TI.
El marco de trabajo de COBIT, en su versión 4.1, brinda buenas prácticas a través del manejo de dominios y procesos, con el cual se plantean los objetivos de control para la información y tecnología relacionada que permita a las organizaciones mantener vigilancia respecto a los requerimientos del negocio y gestionar los recursos de tecnología. De esta forma, se busca alinear las metas organizacionales con las metas de TI.
Así, dentro del dominio, planeación y organización, el proceso PO9 hace referencia a la evaluación y administración de los riesgos de TI, donde se busca documentar en un nivel común y acordado, estrategias de mitigación y riesgos residuales de acuerdo a los límites definidos por las directivas. La idea es identificar, analizar y evaluar impactos potenciales sobre las metas de la organización. Al aplicar esto, se logra garantizar que la administración de riesgos se incluye dentro de todos los procesos administrativos y se establecen planes de acción para la mitigación, teniendo en cuenta las recomendaciones de todos los niveles organizacionales y la divulgación sobre los mismos.
Para la última versión de COBIT 5, generada este año, se toma la gestión de riesgos como un objetivo de gobernanza para la creación de valor, buscando la optimización de riesgos, haciendo el mapeo de estos junto a la optimización de recursos y el realce de beneficios a las metas organizacionales de información y tecnología. La finalidad es cumplir con procesos, capacidad en servicios, habilidades, competencias, principios y políticas, información, estructura organizacional, además del ambiente ético y cultural requerido[2].
Esta versión de COBIT dentro del dominio APO (alineación, planeación y organización), contiene un proceso de riesgos APO12 (gestión del riesgo), en el cual se integra la gestión de riesgos empresariales relacionados con tecnología, con la evaluación, dirección y monitoreo (EDM) de la organización. Además tiene un enfoque en los riesgos de los terceros.
Para lograr esta gestión, se requiere contar con los planes estratégicos y tácticos de TI, junto al portafolio de servicios, los planes de riesgos a nivel de proyecto, riesgos asociados a los proveedores, resultados de pruebas de contingencia e histórico de riesgos. Con esto, lo que se busca es la definición de planes de acciones correctivas para riesgos de TI y la definición de directrices de administración que puedan surgir de la evaluación de riesgos. El objetivo es llegar a una administración de nivel óptimo en donde se ve la implantación de la gestión de riesgos en toda la organización, bajo una buena administración. Con todas las medidas de buenas prácticas, procesos automatizados y la debida revisión y mejora continua por parte de las directivas.
Es importante definir algunas premisas cuando se gestionan riesgos, sin importar si son de tipo tecnológico u otros y cuando se habla de implementar medidas de seguridad dentro de las organizaciones. Dentro de estas están:
- Apoyo y aval de la alta gerencia o administración. Sin esto no tiene sentido el proyecto de seguridad.
- Definición de los responsables del desarrollo, implantación y gestión de las medidas acordadas.
- Alineación de las medidas definidas con los objetivos y la cultura organizacional. Al igual que con las definiciones de procesos de seguridad y gestión de riesgos a otros niveles, se realiza con el fin de encontrar un marco general e integral que dicte los principios y normas de la gestión para toda la organización.
- Procesos de comunicación y retroalimentación bien definidos que permitan el flujo adecuado para realizar la gestión.
- Mantenimiento y mejora continua de la gestión para realizar ajustes y cambios pertinentes en los momentos idóneos. Esta gestión debe realizarse mediante la medición, dado que es la única forma de confirmar el funcionamiento e implantar medidas para mejorar. Por lo anterior, el uso de métricas es relevante. La idea es recolectar, analizar y reportar datos de desempeño relevantes.
Por ejemplo, pueden usarse factores como el porcentaje de riesgos mitigados de una auditoría a la anterior, número de unidades de negocio en las cuales se han identificado riesgos, controles definidos por unidad, asignación de recursos por unidad de negocio proporcionales a la ganancia o riesgo, entre otras; y con ello definir acciones de mejora y acciones correctivas. De igual forma, las métricas definidas pueden definirse en tres tipos: métricas de impacto, métricas de efectividad o eficiencia y métricas para medir la implantación de medidas[3]. Para verificar o comparar la efectividad de la gestión de riesgos y seguridad puede tomarse como referencia el modelo de madurez de COBIT[4], a través del proceso de certificación en ISO 27000[5] y revisando la norma ISO 27004, que trata sobre métricas y medidas.
Concluyendo, la gestión de riesgos tecnológicos en la actualidad, dada la masificación de la tecnología en las sociedades y todo lo referente a la sociedad de la información, nos implica brindar mayor atención a los riesgos tecnológicos. Más allá de las medidas técnicas que se tomen para su mitigación, hacerlo desde la gestión misma a nivel directivo, con la finalidad de no hacer de ésta, un simple medio o una barrera para lograr niveles óptimos de seguridad.
Para información adicional sobre el riesgo tecnológico y su actuar en las sociedades consultar:
- Filosofía de la tecnología y Riesgo Tecnológico. Una confrontación con los riesgos y las tecnologías:http://ecotropicos.saber.ula.ve/db/ssaber/Edocs/pubelectronicas/agoratrujillo/Agora8/ivan_mateos.pdf
- Riesgos de Origen Tecnológico: apuntes conceptuales para una definición, caracterización y reconocimiento de las perspectivas de estudio del riesgo tecnológico:
http://200.21.104.25/lunazul/downloads/Lunazul29_9.pdf
- World Economic Forum, Global Risks 2012: http://www3.weforum.org/docs/WEF_GlobalRisks_Report_2012.pdf
Referencias
[1] Instituto de Gobierno de TI. COBIT 4.1., Marco de Trabajo - Objetivos de control – Directrices Generales – Modelos de Madurez, 2007.
[2] Instituto de Gobierno de TI. COBIT 5. A Business Framework for the governance and management of enterprise IT, 2012.
[3] ISO (International Standard Organization). Estándar de Seguridad ISO/IEC 27002. Tecnología de la Información – código de prácticas para la gestión de la seguridad de la información, 2005
[3] HARRIS, Shon, CISSP Certification Exam Guide, Tercera edición, McGraw-Hill, 2005.
[1] El valor al negocio puede interpretarse desde diferentes perspectivas: es aquello que le puede retribuir algún tipo de beneficio o ganancia a la organización; puede ser en términos económicos, capital intelectual, imagen, entre otros.
[2] Para mayor información sobre el nuevo marco de COBIT http://www.isaca.org/COBIT/Pages/default.aspx y http://www.slideshare.net/CarlosFrancavilla/cobit-5-comparacion-con-cobit-41
[3] Para mayor información sobre el proceso de desarrollo de métricas consultar NIST SP-800-55
[4] Plantea 6 niveles de madurez (de 0 a 5) desde no existente a optimizado.
[5] Requerimientos para implantación de un sistema de seguridad de la información ISO 27001 y buenas prácticas para implantación de controles ISO 27002