| Artículos | 18 MAY 2007

La gestión de riesgos en TI se hace primordial en las compañías

La seguridad y la presión de los reguladores son algunas de las causas
Nuria Cordón.
En la misma medida que las compañías dependen cada vez más de las tecnologías de la información para sus procesos de negocio, se está empezado a dar más importancia a la gestión de los riesgos asociados con los sistemas de TI.

Según un reciente estudio de la consultora Accenture, la gestión de riesgos se ha convertido en la prioridad de los altos ejecutivos de las mayores empresas. Esto, representa un cambio radical en los resultados del mismo estudio de los tres años anteriores que apuntaban a aspectos relacionados con la mejora en la gestión del personal y del talento como principales preocupaciones. Para Josep Micolau, customer solution architect de CA, “en la actualidad las empresas se enfrentan a la necesidad de ser altamente competitivas y ofrecer a los clientes una oferta de productos y servicios continuamente actualizada”. Para ello, según Micolau, “deben aprovechar todas las oportunidades que ofrecen las nuevas tecnologías y disponer de los mecanismos de gestión TI que permitan un tiempo mínimo para la puesta en marcha de las nuevas iniciativas”. Este nuevo escenario tan exigente ha generado la necesidad de una política de gestión de riesgos eficaz. Sin embargo, para Isabel Fernández, directora de producto de Neo Metrics, “la causa que ha propiciado este cambio reside en la voluntad de distintos órganos reguladores, tanto nacionales como internacionales, de implantar normativas que mitiguen el efecto de posibles contingencias, sobre todo en una economía tan globalizada como la actual”. No obstante, para Fernández, “las compañías han sabido anticipar el impacto económico de una adecuada gestión del riesgo; no sólo con la reducción del capital regulatorio, sino con la creación de un nuevo paradigma en la personalización del pricing y la posibilidad de definir la rentabilidad ponderada en riesgo para cada producto y cliente”.
Entre los riesgos que más preocupan a los directivos de tecnologías de la información, según un informe realizado en Europa y Oriente Medio por Freeform Dynamics, se encuentra la pérdida de información crítica para el negocio y el tiempo de inactividad operacional provocados por los fallos en los sistemas clave, seguidos muy de cerca del uso ilícito de información confidencial. Asimismo, según dicho informe, la importancia de los riesgos en áreas tales como el cumplimiento de regulaciones y aspectos legales acentúa la necesidad de la trazabilidad y otros imperativos de la gestión de la información que sólo se pueden abordar con unas TI eficaces. Sin embargo, Accenture y Symantec han aglutinado todas estas preocupaciones en tres puntos clave: la seguridad de las aplicaciones, la monitorización y gestión de la seguridad y la conformidad con la normativa. Conseguir la tecnología y estrategia necesarias para garantizar estos tres aspectos básicos es el objetivo de muchas organizaciones.
En la actualidad, existen diversas tecnologías con las que las empresas están abordando la gestión de riesgos y, para que su implementación sea satisfactoria y permita obtener los objetivos deseados, “es importante que esté en consonancia con las políticas de seguridad de la empresa y con los procesos de negocio existentes”, señala Micolau.

Seguridad
La presión del mercado, el aumento de la complejidad del software y la escasa utilización de las buenas prácticas en el desarrollo de aplicaciones, según Accenture, está provocando que muchas organizaciones desplieguen aplicaciones comerciales y a medida con un nivel de seguridad inadecuado. Para la consultora, las vulnerabilidades del software provienen de un escaso uso de los métodos y los procesos seguros de diseño, de errores de codificación y de estrategias inadecuadas de pruebas y despliegue. Estas vulnerabilidades se traducen en pérdidas económicas y en daños a la imagen de la organización. Además, en última instancia, las aplicaciones sin garantía de seguridad pueden terminar afectando a la cuenta de resultados de la organización.
De acuerdo con César Peñacoba, consulting & integration de HP España, “generalmente, las responsabilidades de seguridad suelen estar dispersas, bien por departamentos como RRHH, Seguridad física o Seguridad IT o, en grandes corporaciones, porque cada empresa tiene sus propias atribuciones. Esto hace que sea extremadamente difícil definir e implantar una política única y conseguir implicar a todas las personas afectadas”.

Monitorización y gestión
A medida que el negocio y la tecnología crecen en complejidad, los departamentos de TI tienen que afrontar un alto ritmo de cambio en las prioridades de negocio, originado por la demanda de reducción de costes, disponibilidad, nuevas amenazas de seguridad y la aparición de nuevas obligaciones regulatorias. Para Accenture, uno de los mayores desafíos en esta situación es “cómo gestionar las cantidades ingentes de información sobre respuesta a eventos de seguridad que muchas organizaciones recogen. La cuestión clave es cómo utilizar los datos para monitorizar y gestionar la infraestructura de seguridad de TI con un nivel aceptable de riesgo sin incurrir en costes innecesarios”.
Y es que, las organizaciones necesitan responder a las amenazas de seguridad de una manera eficaz y medible para cuantificar de forma rápida la magnitud de cualquier amenaza, determinar sus efectos y responder de forma adecuada para así prevenir o atenuar las pérdidas.

Normativa
Según David Pérez Lázaro, socio de Accenture, “alcanzar y demostrar conformidad con las leyes, políticas, normas y estándares reguladores de la industria puede ser costoso y complicado”. Por ello, para llegar a la conformidad, las organizaciones deben implementar un marco global construido sobre controles de procesos de tecnología y negocio. Sin embargo, los cambiantes requisitos reguladores de hoy en día están haciendo cada vez más difícil implementar soluciones eficaces de conformidad regulatoria que no requieran reinversiones frecuentes en TI. Y es que, el cumplimiento normativo puede ser a menudo un desafío vago y ambiguo, particularmente cuando las organizaciones se ven obligadas a cumplir con múltiples regulaciones que se complementan pero que pueden contradecirse. Por ello, según Pérez, “los controles de la conformidad han de estar integrados dentro de la estrategia de TI de la organización y estar soportados por una mezcla apropiada de tecnología, operaciones y de gestión”.


Juan Ramón Fontán, responsable de servicios de asesoría de Symantec.
“La tecnología tiene que abarcar la valoración, la gestión y el control del riesgo“
--------------------------------------------------------------------------------------------------------------
Al hablar de la tecnología que forma parte de una política de gestión de riesgos, Juan Ramón Fontán, responsable de servicios de asesoría de Symantec, diferencia tres tipos: En primer lugar destaca aquellas “herramientas que se utilizan para valorar el riesgo, una tarea nada sencilla”. Una vez que se ha llevado a cabo la valoración, es necesaria “una tecnología que sea capaz de gestionar ese riesgo, de ayudar a las compañías a automatizar los procesos de gestión de riesgos”. Para Fontán,

Compartir

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información