Archivo del sitio

El Riesgo Operativo y Tecnológico.

Se me ocurren muchas formas por las cuales las operaciones de TI en una empresa pueden parar. Yo siempre he dicho que las operaciones de TI son como una cadena, tan fuerte como su eslabón más débil. Ha ocurrido que por el mal funcionamiento de un aire acondicionado, se crea una humedad excesiva, que causa corto circuitos en el sistema eléctrico de centros de datos, obligando a parar las operaciones mientras se identifica el daño, se repara y se reinician los sistemas. Si esto tarda una hora, se pueden imaginar el estrago que causaría, por ejemplo en una sucursal bancaria, pasar diciéndoles a los clientes que estaremos reconectados en una hora. Ha ocurrido, es un hecho histórico y probablemente seguirá ocurriendo si la gestión de TI no prevé estas “posibles” fallas.

El riesgo operativo se refiere a la probabilidad de que una empresa incurra en pérdidas financieras por la interrupción de sus operaciones, debido a fallas en los procesos, las personas, las causas naturales, los siniestros y la fallas de sistemas de información. La legislación que regula las operaciones empresariales, especialmente de instituciones financieras y de empresas que cotizan en bolsa, en países desarrollados, ha obligado a las empresas en esos países, a considerar, implementar y demostrar a través de auditorías periódicas, que han realizado una evaluación de sus riesgos operativos y que han realizado las provisiones correspondientes para prevenir su materialización y en caso de que ocurran, existan planes bien definidos que permitan volver a funcionamiento normal en un plazo meta predefinido. Estas normas, se han ido implementando en los países latinoamericanos con mayor o menor rapidez, aplicando enfoques rigurosos algunos mientras otros han adoptado más bien un tono relajado. En El Salvador, la Superintendencia del Sistema Financiero, público en Junio del 2011, las Normas Para La Gestión Del Riesgo Operacional De Las Entidades Financieras, que es la norma que obliga a las Instituciones Financieras Reguladas en El Salvador a considerar el Riesgo Operativo dentro de su gestión.

El riesgo tecnológico se refiere a la probabilidad de que los servicios de TI no alcancen los niveles de servicio requeridos para soportar las operaciones de una empresa e impacten en los resultados. Obviamente, esta incluido dentro del Riesgo Operativo. En la norma salvadoreña se específica que el Riesgo Operativo es la probabilidad de incurrir en pérdidas por fallas, entre otras cosas, de los sistemas de información.  Como ya dije antes, hay muchas cosas que pueden hacer que el riesgo tecnológico se materialice, llevando a las operaciones de TI a una situación de cese de operaciones. Los responsables de la gestión de TI en cada empresa deben de considerar cuidadosamente, la creación de un conjunto de procesos que les permita controlar los diferentes componentes de la infraestructura tecnológica, tales como la administración de la configuración, la administración de cambios, la seguridad, la gestión de proyectos y la gestión de contratos con proveedores entre otros. En el caso del riesgo tecnológico es importante considerar que no solo el cese de operaciones impacta en la organización. Cosas como comprometer la información de la organización podría ser una falla grave, que impacta en la imagen global de la empresa. Esto me indica la necesidad e importancia de crear políticas, procedimientos y auditorías de seguridad de la información. Otras situaciones como la lentitud en el servicio impactan directamente en la imagen ante los usuarios y clientes. Esto me indica la necesidad e importancia de tener un proceso de monitoreo de operaciones eficiente, que lleve métricas precisas del nivel de servicio que permitan tomar decisiones respecto al riesgo tecnológico. Si se piensa bien, la gestión del riesgo tecnológico tiene un nivel de sensibilidad alto, que debe de gestionarse proactivamente.

COBIT 5: Un marco de referencia para el Gobierno Empresarial de TI

En Abril del 2012, la Asociación para la Auditoría y Control de los Sistemas de Información, ISACA, (www.isaca.com) lanzó la versión 5 de COBIT. El acrónimo COBIT significa Control Objectives for Information and Related Technology, esto es, Objetivos de Control para la Información y Tecnologías Relacionadas. Este marco de trabajo para el control de TI, ha representado en el mundo una referencia a seguir para la completa gestión de las Tecnologías de la Información. Ha sido retomado en algunos países para cubrir el riesgo tecnológico, en el contexto de la administración de riesgos financieros, mientras que en organizaciones de nivel global, se planifica la gestión de TI a partir de los procesos que define.

Para el Director de TI, a cargo de la planificación, implementación, operación y evaluación de la Infraestructura Tecnológica que soportará la obtención de los objetivos institucionales, COBIT ha proporcionado una guía a seguir para revisar la validez de su estrategia de gestión, para evaluar la correcta definición y ejecución óptima, así como para buscar la mejora continua, integrando el trabajo de TI a la dinámica empresarial, que siempre buscará una mejor forma de gestionar la Tecnología.  Aunque ISACA es una asociación de Auditores de Sistemas, la filosofía del marco de referencia COBIT ha evolucionado a través del tiempo, pasando por varios enfoques. El enfoque inicial era en auditoría, lo cual era lógico por su origen. Posteriormente, el enfoque fue en la definición de controles. Esta etapa fue correlacionada con la creación de marcos de referencia como COSO para el control interno. En otro día nos dedicaremos a este tema. En la versión 4.1 de COBIT, el enfoque estaba orientado a la Gestión de TI considerando elementos de Gobierno de TI y finalmente, esta versión 5 ha sido enfocada en el Gobierno Empresarial de las Tecnologías de la Información. Prácticamente puede seguirse una historia evolutiva de la gestión de TI a partir de COBIT, que se expande desde finales de los años 60 hasta hoy.

Si reflexionamos sobre este intervalo de tiempo, es lógico para todos los que conocemos de las Tecnologías de la Información que se han dado grandes saltos en las innovaciones, tecnologías, arquitecturas, metodologías de diseño de sistemas y hasta en los procesos para integrar servicios de TI. COBIT no es lo único que ha cambiado, las Tecnologías de la Información han estado evolucionando. Igualmente, la Gestión de las Tecnologías de la Información ha evolucionado. COBIT 5 llega en un momento en el que se ha entendido con meridiana claridad, los mecanismos de gestión necesarios para ordenar no sólo la vastedad de tecnologías disponibles, sino también las diferentes normas, estándares y metodologías de gestión de TI existentes, para permitir una implementación exitosa en las organizaciones, siguiendo procesos bien definidos, auto gestionables e integradores del conocimiento existente sobre la gestión de TI. Por esto, el último enfoque de COBIT esta orientado al Gobierno Empresarial de las Tecnologías de la Información, para lograr unir las responsabilidades de TI, con las responsabilidades de la alta dirección, que tiene que gobernar todos los aspectos de la empresa, incluyendo las Tecnologías de la Información.

¿Qué son los controles de TI?

La definición de controles se refiere a la creación de mecanismos que aseguren que los objetivos de la inversión en TI son cumplidos y que los riesgos inherentes a las Tecnologías de la Información son mitigados. Estos mecanismos están representados por todas las acciones, documentos y configuraciones de dispositivos que permiten identificar quién es el responsable del control, en qué consiste, la frecuencia de uso, los productos que se emitirán para garantizar su ejecución, así como la medición de los resultados y las acciones correctivas a realizar para mejorar la situación controlada. Específicamente estamos hablando de cosas como los manuales organizacionales de las funciones de TI, de las políticas que definan los lineamientos a seguir, de los procedimientos existentes para especificar como se hacen las operaciones diarias y rutinarias en el contexto de la infraestructura tecnológica de la organización, de los reportes que se emitirán y a quienes se presentarán para toma de decisiones, incluyendo su frecuencia de emisión. Con esta claridad, pasamos a darnos cuenta de que los controles de TI no tienen nada de místico, son documentos con los que todo el mundo esta familiarizado.

Sin embargo, muchas unidades de TI carecen de controles claves, dejando la obtención de resultados y otros factores como la seguridad, la efectividad y la eficiencia de sus operaciones al azar. Veamos un ejemplo. Se conoce que el acceso a la información de la organización debe de ser restringida solamente al personal autorizado y siguiendo un principio de asignación de privilegios mínimos necesarios para cumplir con las funciones de su perfil de puestos. Este simple hecho, plantea la necesidad de varios controles para contar con un acceso a la información adecuado. Controles que podemos enumerar para esta área incluyen: procedimientos de creación de usuarios, procedimientos de asignación de privilegios, matrices de segregación de funciones, procedimientos de revisión de usuarios inactivos, procedimientos de revisión de privilegios otorgados. Los responsables de TI, que están acostumbrados a ejecutar un ciclo de vida para la implementación de sistemas, deben de crear un paralelo con el ciclo de vida de un usuario para diseñar los controles que les garantizarán que no van a existir usuarios con acceso a información a la que no están autorizados, tomando en cuenta los cambios de estado que el usuario tendrá durante toda su vida activa en la organización. Errores típicos encontrados en la gestión de accesos se dan porque al cambiar de funciones una persona, le asignan los privilegios de su nuevo rol, pero no le remueven los privilegios de su rol anterior. Cuando un usuario ha repetido 3 o 4 veces el cambio de rol, tiene privilegios que le permiten por sí solo iniciar, ejecutar y cerrar operaciones en los sistemas. Esta simple falla de control es la que puede llevar a la ejecución exitosa de casos de fraude en las organizaciones. Esto representaría una falla de control grave.

Es importante mencionar que en el tema de controles, la función de TI tiene que participar en igual proporción de responsabilidades con el negocio, para garantizar que ambos entienden la necesidad del control, el riesgo que están cubriendo y colaborar para lograr una aplicación efectiva de los controles diseñados. Esto incluye la colaboración en la identificación de mejoras en los controles y su implementación inmediata, una vez se aprueba la siguiente versión del control.

A %d blogueros les gusta esto: