Symantec Corp. dio a conocer hoy su IT Risk Management Report Volume II (Informe de Administración de Riesgos de TI, Volumen II) el cual revela que la administración de riesgos de TI está cobrando más importancia, pero también menciona que siguen existiendo algunos mitos sobre el tema. Aún cuando los resultados muestran que los profesionales están adoptando un enfoque más equilibrado que incluye riesgos de disponibilidad, seguridad, cumplimiento y desempeño, los malos entendidos de la administración de riesgos de TI pueden producir fallas potenciales y, como consecuencia, impactar la continuidad del negocio. El informe también indica que los problemas en los procesos generan 53 por ciento de los incidentes de TI, mientras que el departamento de TI generalmente da poca importancia a la frecuencia con se presentan los incidentes de pérdida de datos.
El informe está basado en el análisis de más de 400 encuestas bien estructuradas y realizadas a profundidad a profesionales de TI alrededor del mundo, el cual identifica importantes aspectos, tendencias y análisis, al mismo tiempo que disipa los siguientes mitos comúnmente asociados a los riesgos de TI:
• La administración de riesgos de TI está enfocada solo en la seguridad
• La administración de riesgos de TI es un proyecto
• La tecnología por sí sola puede manejar los riesgos de TI
• La administración de riesgos de TI se ha convertido en una disciplina formal
Mito uno: los Riesgos de TI son iguales a los Riesgos de Seguridad
Contrario a las percepciones tradicionales que generalmente asocian los riesgos de TI con los riesgos de seguridad, los resultados de la encuesta muestran el surgimiento de una visión más amplia entre los profesionales de TI. Un 78 por ciento de los participantes calificaron los riesgos de disponibilidad como “críticos” o “graves”, mientras que los riesgos de seguridad, de desempeño y de cumplimientos obtuvieron una calificación de 70, 68 y 63 por ciento respectivamente.
El hecho de que solamente el 15 por ciento separara las calificaciones más altas y bajas indica que los profesionales de TI están adoptando un enfoque de los riesgos de TI más equilibrado y menos basado en la seguridad.
“Es muy alentador ver cómo en todo el reporte de Symantec las organizaciones están reconociendo lo crítico que puede resultar manejar los riesgos de TI en áreas que van mas allá de la seguridad, como son la disponibilidad y el desempeño”, dijo Jon Oltsik, analista senior del Enterprise Strategy Group. “En un mundo conectado como el actual, las organizaciones entienden que las fallas que a lo largo de un espectro mas amplio de servicios de TI pueden impactar las operaciones de los negocios y los resultados.”
Los resultados del informe confirmaron que los riesgos de seguridad y cumplimiento generalmente llaman la atención debido a su alta visibilidad e impacto —63 por ciento de los encuestados dijeron que los incidentes de pérdida de datos tienen un gran impacto en sus empresas. Sin embargo, el mayor énfasis está en los riesgos de disponibilidad, los cuales de acuerdo con el reporte, pueden moverse a través de la cadena de valor con un impacto en la eficacia que puede tener un impacto de millones de dólares, incluso por pequeños problemas de desempeño. Los investigadores de Dartmouth y la Universidad de Virginia recientemente determinaron que una falla hipotética denominada SCADA (Supervisory Control and Data Acquisition por su referencia en inglés) generada en la red de una refinería petrolera produciría un impacto económico estimado en USD $405 millones de dólares, donde el proveedor solamente asumiría USD $255 millones del impacto y los demás integrantes de la cadena de suministros asumirían la pérdida restante.
Mito dos: Administración de Riesgos de TI es un Proyecto
El mito de que el control de riesgos de TI se puede realizar en un solo proyecto o incluso como una serie de ejercicios puntuales por periodos o años de presupuestos, desconoce la naturaleza dinámica del entorno de riesgos internos y externos de TI. La administración de riesgos de TI debe verse como un proceso continuo para mantener la estabilidad ante el cambiante panorama que los negocios enfrentan actualmente. Los incidentes de seguridad, cumplimiento, disponibilidad y desempeño de TI atacan a la organización moderna a una velocidad alarmante. El reporte reveló las siguientes expectativas de los participantes sobre la frecuencia con que suceden los diferentes tipos de incidentes de TI:
• 69 por ciento espera que ocurra un incidente menor de TI una vez al mes
• 63 por ciento espera que ocurra una falla mayor de TI al menos una vez al año
• 26 por ciento espera que un incidente asociado con la falta de cumplimiento de regulaciones ocurra al menos una vez al año
• 25 por ciento espera un incidente de pérdida de datos al menos una vez al año
El reporte muestra que las organizaciones más efectivas tienen un enfoque más integral. Sin embargo, muchas organizaciones parecen estar fallando en la implementación de controles fundamentales de riesgos, como la clasificación y manejo de activos, donde el 40 por ciento de los participantes calificaron su desempeño con un 75 por ciento de efectividad o un porcentaje mayor. Además, solo el 34 por ciento de los participantes cree que tienen un inventario actualizado para sus equipos inalámbricos y móviles, los cuales son esenciales en el mundo de los negocios actuales.
Mito tres: La Tecnología por si sola mitiga los riesgos de TI
Aunque la tecnología juega un papel importante en la mitigación de riesgos, el personal y los procesos apoyados en la tecnología determinan la eficacia de un programa de administración de riesgos de TI. De acuerdo con el reporte, los
problemas en los procesos causan el 53 por ciento de los incidentes de IT. Varios controles también muestran un descenso en la calificación con respecto al Volumen I del reporte presentado el año pasado, lo que aumenta la preocupación.
De hecho, controles de procesos como el entrenamiento y la toma de conciencia sobre riesgos disminuyó de 50 por ciento en comparación con el estudio del año anterior a solo un 43 por ciento de encuestados que afirmaron que sus programas entrenamiento y toma de conciencia sobre riesgos tenían una eficacia superior al 75 por ciento.
El nuevo informe, similar al Volumen I, muestra muy poca mejoría y una baja calificación en el control y clasificación del inventario y los activos. Solo 43 por ciento de los participantes que calificaron el control del ciclo vital de los datos con una eficacia “superior al 75 por ciento”, lo que representa una disminución de 17 por ciento en comparación con el año anterior. La fragilidad de estos controles sugiere que los recursos serán tratados igualmente de forma que algunos sistemas, procesos y los objetos estarán sobreprotegidos y otros desprotegidos ante los riesgos de TI, lo que genera ineficiencias en costos y servicios.
El Volumen II del Informe de Administración de Riesgos de TI reconoció una mejoría del 10 por ciento en la cifra de participantes que calificaron como seguro el desarrollo de las aplicaciones “con una eficacia superior al 75 por ciento”. El informe también señala que la administración de problemas está cobrando relevancia en la agenda de los participantes.
Mito cuatro: La Administración de Riesgos de TI se ha Convertido en una Disciplina Formal
El reporte deja claro que la administración de riesgos de TI es una disciplina en evolución, en lugar de ser una ciencia precisa, pues se basa en la experiencia acumulada de los individuos y las organizaciones que se van adaptando a los cambios en el ambiente de negocios y tecnología. El informe reveló una mayor comprensión entre los profesionales de TI sobre cómo la administración de riesgos de TI incorpora elementos de manejo de riesgos en la operación, control de calidad, gobernabilidad de la TI. Además, los usuarios podrían ver la administración de riesgos de TI como un conjunto de principios y relaciones, aplicables universalmente a través de diversas geografías e industrias.
Diferencias entre las industrias
El informe también ilustra sobre el estado de la administración de riesgos de TI en varias industrias en particular. De todos los sectores, los participantes de la industria de salud esperaban la mayoría de los incidentes de TI. Por la complejidad y naturaleza muy particular de los servicios de salud, así como sus estrictos requisitos de cumplimiento, probablemente tienen una mayor preocupación por los sistemas de TI. El sector de las telecomunicaciones obtuvo la máxima calificación en el uso de controles para los riesgos de TI, seguido de cerca por los servicios bancarios y financieros. Este éxito posiblemente obedece a una mayor gobernabilidad y escrutinio en el cumplimiento de los dos sectores y a la preocupación por la protección de datos personales.
“En su segundo año, el Reporte de Administración de Riesgos de TI ofrece a los profesionales de TI y altos ejecutivos conocimientos únicos sobre esta disciplina —que incluyen comprender lo que funciona y lo que no para dar una orientación útil y mejores prácticas para la correcta ejecución de los programas”, dijo David Thompson, Presidente del Grupo de Tecnologías de la Información y Servicios de Symantec. “Una mayor comprensión de la práctica del control de riesgos de TI motiva a las organizaciones a tomar riesgos calculados con confianza y a utilizar la TI como ventaja competitiva”.
El Volumen II del Reporte de Administración de Riesgos de TI está disponible en el sitio Web de Symantec http://www.symantec.com/business/theme.jsp?themeid=itrisk_report