SlideShare una empresa de Scribd logo

Latin cacs 2004 CC CZ

Carlos Chalico
Carlos Chalico

Este documento presenta una sesión sobre la estimación del retorno de inversión en proyectos relacionados con la generación, administración y protección de la información. La agenda incluye objetivos, conceptos generales, tendencias, retos, justificación financiera, importancia de estimar el ROI y elementos para desarrollar un caso de negocio basado en ROI. También cubre temas como costos ocultos, proyecciones financieras, marco metodológico y estudios de caso.

Tecnología
1 de 56
Descargar para leer sin conexión
Sesión # 311 Estimación del Retorno de Inversión en Proyectos Relacionados con la Generación, Administración y Protección de Información Carlos Zamora, CISA, CISM / Conseti Carlos Chalico, CISA, CISSP, CISM / Mancera Ernst & Young
2 Agenda • Objetivos de la sesión • Revisión de conceptos generales. • Tendencias. • Identificación de retos. • La brecha de seguridad. • La justificación financiera de proyectos como parte de la estrategia de negocio. • La importancia de la estimación del retorno de la inversión en proyectos de generación, administración y protección de información. • Las 7 Cs de la calidad en el contenido de un caso de negocio. • Los roles del caso de negocio en la vida de un proyecto. • Elementos que deben formar un caso de negocio. • Marco de trabajo para definir un caso de negocio basado en ROI. • Identificando costos ocultos e impactos colaterales.
3 Agenda • Proyección financiera estática y dinámica. • Marco metodológico sugerido para estimar el ROI. • Requerimientos y factores críticos de éxito. • Caso práctico. • El análisis de riesgos. • La diferencia entre generación – administración y protección de la información al estimar retornos de inversión. • De la preocupación a la conciencia. • Modelo de seguridad de la información. • Riesgos de seguridad de la información = Riesgos de negocio. • El análisis ROSI. • Estimando el ROSI. • Valor en riesgo. • Caso práctico. • Preguntas. • Conclusiones.
4 Objetivos de la Sesión • Facilitar el entendimiento de los elementos mínimos con los que debe contar la estimación del Retorno de Inversión en proyectos relacionados con la generación, administración y protección de la información. • Proporcionar elementos que faciliten el desarrollo de casos de negocio que justifiquen la inversión en este tipo de proyectos. • Revisar el papel que juega el análisis de riesgos en este tipo de proyectos y analizar cómo marca una diferencia importante entre la protección de información y la generación o administración de la misma. • Al concluir la sesión, el participante identificará al análisis del retorno de inversión en lo particular y al desarrollo de casos de negocio en lo general, como vehículos indispensables en la generación de proyectos exitosos.
5 Revisión de Conceptos
 Generales El grado en el que puedes expresar algo en números representa el grado en el que realmente lo entiendes. —William Thompson, “Lord Kelvin” (1824–1907)
6 ? Se recupera la inversión en una solución de este tipo ¿
7 Una realidad en las empresas ... “En un 70% de las ocasiones, las organizaciones no ven capitalizada su inversión en Tecnología de Información con los beneficios esperados en el tiempo estimado, impactando sus finanzas, operación y negocio en general.”– www.intermanagers.com Revisión de Conceptos
 Generales
8 • “De las empresas que sufren una avería a los 15 días de haber sucedido un desastre, las estadísticas destacan que un 56% NUNCA podrá reiniciar sus actividades, mientras que un 29% estará en riesgo de cerrar sus operaciones en los siguientes dos años” – Information Systems Control Journal • “Sin la necesidad de cambiar máquinas o sustituir al personal, las empresas pueden incrementar su competitividad hasta 100%, sólo modificando algunos puntos clave en los que su productividad se vea frenada sin tener que hacer costosas inversiones” – Bussiness Harvard Review • “En México los directores de las empresas dedican el 70% de su tiempo a labores de contexto y organización de sus áreas, en lugar de preocuparse por elevar la competitividad de la compañía” – Mundo Ejecutivo Revisión de Conceptos
 Generales
9 ¿Nuestra estrategia ya incorpora todas las posibilidades de negocio que las nuevas Tecnologías de la Información nos habilitan? Revisión de Conceptos
 Generales
10 • Justificar la viabilidad económica para la asignación de Recursos Humanos y Financieros a un proyecto de este tipo, como soporte a los procesos de generación, administración y protección de la información • Proyección del flujo de inversión requerido para la elaboración del presupuesto Objetivo del estudio Costo - Beneficio Revisión de Conceptos
 Generales
11 • El ROI de proyectos de generación, administración y protección de la información es un mecanismo de control que forma parte de la Planeación Estratégica, según las mejores prácticas de Gobierno de TI - PO5 (CoBIT) Managing IT Investment IT GOVERNANCE INSTITUTE Revisión de Conceptos
 Generales
12 • ¿Qué significa el término información? – Datos organizados en una forma que es útil para las personas que la reciben. La información es requerida por las personas para mejorar su comprensión y lograr objetivos específicos*. La información es usada para la toma de decisiones, es por ello que es considerada uno de los activos más importantes. • ¿Qué tipo de información existe? – Documental. – Cognoscitiva. – Electrónica. • ¿Qué es la seguridad de la información? – Disciplina que tiene por objeto salvaguardar la confidencialidad, integridad y disponibilidad de la información, en alineación con los objetivos estratégicos del negocio al que sirve. Seguridad Informática *Fuente: Computers Today; Donald Sanders Revisión de Conceptos
 Generales
13 • La conciencia en torno al tema de Seguridad de la Información es baja. • Son pocos los CEO o incluso CxO que se involucran. • Generalmente sólo el CIO se relaciona. • Se da enfoque unidimensional al concepto. • Es poca la legislación que existe en Latinoamérica en torno a este tema. • La poca legislación que existe se conoce en bajo grado. • Altos niveles de preocupación e indiferencia, pocos de conciencia (este tema en particular se detallará al hablar de la diapositiva 41, más adelante). • Crece la brecha de seguridad. • Existen conflictos en el entendimiento del concepto “Seguridad de la Información”. Tendencias
14 • El principal rubro de inversión es la tecnología (94%). • 16% reporta a su consejo de dirección sobre incidentes de seguridad de la información en una base mensual. • 19% mantiene completamente alineado su modelo de seguridad de la información a la estrategia de negocio. • En América Latina sólo el 9% considera tener un modelo de seguridad de clase mundial o adecuado. • La limitación presupuestal es el principal obstáculo (60%). • Sólo alrededor de un 20% calcula un retorno de inversión. • Menos de la mitad considera tener habilidades para detectar un incidente o reaccionar a él. Fuente: Encuesta Global de Seguridad de la Información. Ernst & Young 2003. 1400 Encuestados, 66 países, México incluido. Tendencias
15 • La necesidad por atender iniciativas de seguridad crecerá a nivel global un 19.8% por año del 2004 a 2008. • El crecimiento de regulaciones en el continente americano aumentará la demanda de servicios de seguridad de la información. • Resaltará la importancia de comprender la Evaluación de Riesgos. • Las mejoras en la Seguridad Nacional de todos los países requerirán mayores inversiones en seguridad de la información. Fuente: Key Forecast Assumptions for the Worldwide Security Services Market, 2004-2008 (IDC) Tendencias
16 • Se desarrollarán mejores herramientas para la medición del retorno de la inversión, sin utilizar métricas estandarizadas. • Servicios proactivos, como los de administración de actualizaciones de seguridad, pruebas de penetración / aplicación y desarrollo de servicios, ayudarán a aliviar el dolor sufrido por muchas organizaciones. • La participación de los especialistas de seguridad se realizará en etapas más tempranas del procesamiento de datos (desarrollo, adquisición). • El tema de control de acceso tomará más fuerza. Fuente: Key Forecast Assumptions for the Worldwide Security Services Market, 2004-2008 (IDC) Tendencias
17 ¿ qué quiero mejorar en mi organización ? ¿ qué procesos debo revisar para lograr esos objetivos ? ¿ qué soluciones tecnológicas requiero para habilitar mis nuevos procesos ? … las preguntas deben ser : ¿ qué beneficios me trae esa solución a mi organización ? … y no simplemente: Identificación de Retos
18 Beneficios esperados Beneficios planeados En la Evaluación de una Solución Tecnológica, los beneficios a considerar, no son los que cada una de las soluciones tecnológicas evaluadas me pueda dar…….Son los que nuestra estrategia nos exija. Operativos Estratégicos Cualitativos Cuantitativos Identificación de Retos
19 •Reducción de inventarios • Reducción de reprocesos de información • Simplificación de procesos operativos (cobros, pedidos, etc.) • Reducción de costos operativos • Reducción de costos administrativos • Análisis operativo y financiero de la empresa, en tiempo real • Soporte de decisiones: información real, congruente y oportuna • Mejor capacidad de respuesta al cliente • Pronósticos más certeros • Reducción del ciclo total de proceso • Optimización de recursos escasos • Habilitación de nuevos negocios • Habilitación de nuevos canales Operativos Estratégicos Identificación de Retos
20 • Aumento en inversión de tecnología de información en general. • Incremento en el uso de nuevas tecnologías en lo particular (dispositivos inalámbricos). • Ausencia de la función de seguridad de la información en múltiples organizaciones. • Falta de participación de los CxO en el tema • Falta de participación de la función de seguridad de la información en las etapas tempranas de adquisición e implantación de soluciones de manejo de información. • Traducción de los riesgos derivados del manejo de información en riesgos de negocio. Identificación de Retos
21 La Brecha de SeguridadInversiónTotal Alto Bajo 1990’s 2000’sTiempo Brecha de Seguridad Sistemas de Información Seguridad de la Información
22 La Justificación Financiera de Proyectos como Parte de la Estrategia de Negocio Planeación estratégica Análisis de procesos Administración de proyectos Dirección e infraestructura Sistemase infraestructura tecnológica Desempeño y Logros Evaluación Administrar (tecnología de) Información Estrategia de negocio Implantación Desem peño y Logros Desempeñoy Logros Requerimientos de TI Evaluación Evaluación de proyectos ADMINISTRACIÓN DE RIESGOS
23 • Basada en un análisis de costos y oportunidades otorga certidumbre a los accionistas • Compromete a la Administración y dueños de procesos con los Resultados proyectados • Basada en un análisis de Riesgos es una herramienta que reduce la probabilidad de fracaso de la inversión • Es un elemento que forma parte de la Estrategia de Administración de la organización La Importancia de la Estimación del Retorno de la Inversión.
24 • Requiere de una especificación y análisis de Factibilidad que contribuye a alinear a la estrategia de negocio y a la estrategia tecnológica • Genera “sinergia” y “compromiso” con los equipos de trabajo (Procesos y Tecnología) • Considera los escenarios futuros y los factores críticos de éxito para conseguir los resultados esperados • Es un ejercicio que facilita el “aprendizaje” y colabora con el ciclo de madurez de la organización La Importancia de la Estimación del Retorno de la Inversión.
25 Las 7 Cs de la Calidad en el Contenido * • Correcto alineamiento con la decisión. • Concentración en todos los participantes de la decisión y reflejo en el criterio de decisión. • Completo análisis de todas las áreas de valor. • Conexión con los objetivos de negocio. • Credibilidad de análisis. • Conciencia de expresión. • Compendio de sucesos de éxito. *Fuente: Making Technology Investments Profitable; Jack Keen, Bonnie Digrius
26 Los Roles del Caso de Negocio en la Vida de un Proyecto • Durante el Fondeo. – “Imán” de Dinero. • Durante la Implantación. – Convencedor de Audiencias. – Timón. – Porrista. – Recordatorio de Ejecutivos. • Durante la Vida Operacional. – Medidor del progreso en la entrega de valor. *Fuente: Making Technology Investments Profitable; Jack Keen, Bonnie Digrius
27 Procesos duplicados y repetitivos Problemas de acceso y disponibilidad de información Procesos que pueden automatizarse Cuantificar beneficios operativos y estratégicos Elementos que Deben
 Formar un Caso de Negocio Identificar
28 Beneficios Cualitativos y Cuantitativos Beneficios Directos Beneficios Indirectos Riesgos y Factores críticos de éxito Calificar Elementos que Deben
 Formar un Caso de Negocio
29 Requerimientos de Negocio Recursos de TI Procesos de TI Planeación AnálisisdelaestrategiaOrganizacional EstablecimientodeAgendayPresupuestode Proyectos Integración,delRFP,Estrategiay procedimiento decontroldeAdquisicióndelT.I. Equipos de Trabajo ■ AREA DE SISTEMAS ■ FINANZAS ■ AREAS DE NEGOCIO Aplicación de Normas, Políticas y Procedimientos Marco de Trabajo para Definir un Caso de Negocio Basado en ROI
30 Identificando Costos Ocultos 
 e Impactos Colaterales •Curva de Aprendizaje • Costos de Capacitación continua • Soporte consultivo adicional • Impacto en las Capacidades de la Infraestructura (Hardware, Software, Comunicaciones) • Impacto en el Soporte técnico y de Servicios después de la implantación • Administración del Cambio • Mantenimiento de la Tecnología •Cultura organizacional • Esquemas de Operación y Colaboración • Seguridad de la Información • Esquema en la toma de decisiones • Relaciones con clientes y proveedores • Aprendizaje organizacional • Cambios en el Control Interno y procesos • Habilitación de nuevas políticas y procedimientos • Seguridad Costos Ocultos Impactos Colaterales
31 Marco Metodológico sugerido
 para Estimar el ROI PROCESO DE ADMINISTRACION DEL PROYECTO ANALISIS Y EVALUACIÓN DE RIESGOS ANALISIS DE REQUERIMIENTOS DE NEGOCIO DETERMINAR BENEFICIOS ESPERADOS PROYECCIÓN DE ESCENARIOS Y ANÁLISIS DE RIESGOS ESTUDIO DE COSTOS Y PLANEACION DE LA CAPACIDAD ESTIMACIÓN FINANCIERA ESTÁTICA Y DINÁMICA VALIDACIÓN DE RESULTADOS Y ESTRATEGIA VALIDACIÓN Y SOPORTE ESTRATÉGICO A LAS PROYECCIONES DEL PROYECTO “...Recordar que es un ejercicio de estimación y proyección de escenarios operativos y de proceso con una fuerte carga de subjetividad, conforme madure la práctica, los resultados del ejercicio tendrán mayor certidumbre..”
32 Proyección Financiera
 Estática y Dinámica Proyección Estática • Suma de la Cuantificación de Beneficios por periodo establecido para el proyecto. • Determinación del Periodo de desarrollo e implantación del proyecto para puesta en marcha • Comparativo entre la Inversión Total del Proyecto y el Beneficio cuantificado hacia el proyecto Inversión Total del Proyecto Sumatoria de beneficios cuantificados en el Periodo Determinado Proyección Dinámica • Considera el desarrollo del análisis costo-beneficio en el tiempo. • Se proyectan los flujos de la inversión y los flujos de los beneficios del proyecto. • Se considera el Valor Futuro y el Valor Presente Neto del Dinero de acuerdo a la inflación • Considera la Tasa Interna de Retorno (TIR) • Se proyecta el flujo financiero de acuerdo a un periodo de tiempo (Semanas, Meses, Años).
33 Proyección Estática Proyección Dinámica ROI Dólar = 9.52426431 Proyecciónestática ennúmerogruesos: Opción 1 Inversión 944,191 Recuperación anual 1,127,407 ROI en años = 0.8375 Opción 2 Inversión 961,087 Recuperación anual 1,127,407 ROI en años = 0.8525 Opción 3 Inversión 1,608,563 Recuperación anual 1,127,407 ROI en años = 1.4268 ➲ Valor Presente Neto $ 2,204,000 ➲ Tasa Intera de Retorno 48.23% ➲ Periodo de Recuperación 16 - 18 Meses Inversión Inicial $ 4,024,134.096 0 1 2 3 4 5 $ 2,526,104 $ 5,098,208.52 Tiempo Años Proyección Financiera
 Estática y Dinámica
34 Requerimientos y Factores
 Críticos de Éxito Desarrollar siempre el ROI durante la fase de estudio de factibilidad del Proyecto. Involucrar siempre a las áreas de negocio, financiera y legal de la organización. Tener a la mano los presupuestos de operación del año anterior, presente y futuro general de la organización y por área. Realizar ejercicios dinámicos para identificar los beneficios esperados del proyecto. Cuantificar el impacto de los beneficios Vs los presupuestos de operación por área y global Involucrar siempre al área de R.H. Realizar el análisis de Riesgos considerando los escenarios
35 Validar la cuantificación de beneficios producto de la implantación de T.I. Con las áreas de finanzas y de procesos de acuerdo con sus registros financieros, involucrarlos al momento de realizar las proyecciones de flujo. Generar la validación de beneficios cualitativos y cuantitativos por Dirección de área de Negocio. Considerar siempre la política de adquisiciones y proyectos de la empresa. Considerar siempre la inversión en capacitación y soporte externo. Realizar sesiones de trabajo dinámicas para obtener mejores resultados. Requerimientos y Factores
 Críticos de Éxito
36 Caso Práctico
37 Riesgo Control Situación Ideal El Análisis de Riesgos
38 Riesgo Control Sobrecontrol El Análisis de Riesgos
39 Riesgo Control Riesgo Remanente Mitigar Eliminar Transferir Asumir El Análisis de Riesgos
40 Disminución de Riesgo Reducción de Costos Incremento de Ingresos Aumento de Productividad La Diferencia Entre Generación – Administración y Protección de la Información al estimar ROI Generación – Administración de Información Protección de Información Vs.
41 Análisis de Riesgos De la Preocupación a la Conciencia • No más FUD (Fear, Uncertainty and Doubt). Preocupación Conciencia Riesgo Preocupación ConcienciaIndiferencia Ignora los riesgos o considera que no existen. No tiene temor por las amenazas que puedan existir en el ambiente. Definitivamente no hay patrocinio, ni interés de la Alta Dirección. Ejecuta acciones aisladas y reactivas. Teme amenazas y posibles vulnerabilidades, aunque no conoce sus riesgos. Carece de acciones encaminadas a entender sus riesgos Sospecha que ha habido incidentes, pero ignora el impacto y recurrencia de los mismos. Puede no existir patrocinio de la Alta Dirección. El tema de seguridad de la información forma parte de la estrategia de negocio. Existe un proceso continuo y permanente de análisis de riesgos y de acciones para atenderlos La seguridad está intrínseca en el proceso de negocio. Existe un claro patrocinio de la Alta Dirección.
42 Modelo de Seguridad de la Información Información Segura Riesgo Administrado Estándares Mínimos Dependencia de la Tecnología Impacto AltaBaja Alto Bajo Formal Alcance Empresarial Alineado Continuo Proactivo Validado Periódico Departamentalizado Reactivo Informal Probado Desarrollado Documentado Responde Programado Independiente Táctico Integrado
43 Riesgos de Información = 
 • ¿Qué pasaría si sus equipos de cómputo se detuvieran por completo? • ¿Se imagina con una base de datos en la que los valores de los campos pudieran ser modificados sin que se requiriera de ninguna autorización? ¿Cómo dirigiría una campaña de correo directo con direcciones equivocadas? ¿Cómo mandar facturas y estados de cuenta? • ¿Qué pasaría si su competencia se adueñara del mercado anticipándose a atacarlo ¡CON SUS PROPIAS ESTRATEGIAS!? • ¿Ha identificado la forma en la que su información puede y debe protegerse desde el punto de vista legal?
44 • ROSI. Return On Security Investment. • Históricamente Sistemas de Información es un centro de costo, no de ingresos. • La seguridad de la información hereda esta visión • La seguridad de la información se relaciona con el análisis de riesgos. • El análisis de riesgos busca identificar amenazas y vulnerabilidades que un activo o grupo de activos puede tener y mide sus probabilidades de ocurrencia. • La seguridad de la información buscará reducir el riesgo al mínimo, a través de la definición de controles que representen valores menores a los impactos producidos por la potencial ocurrencia de las amenazas, lo que se relaciona directamente con el valor del propio activo, que se sustenta en su criticidad para el negocio. • El problema no es nuevo. 1882 Fire sprinklers. • Investigaciones científicas Idaho University – Hummer (valuación de ataques). @stake – Hoover (ingeniería de software). El Análisis ROSI
45 • Premisa: – Mientras más temprano se involucre la seguridad en los procesos, más bajo será el costo del modelo de seguridad de la información. • Altermativas: – No hacer nada, considerar al ROSI como inválido e ir por estrategia de FUD. – Colgar al proyecto de seguridad de otro que sí produzca un ingreso. – Calcular el ROSI. • Elementos clave: – Activos (de información y digitales). – Criticidad. – Amenazas. – Riesgos. – Impacto. El Análisis ROSI
46 • Los Intangibles. – Imagen. – Confianza. – Posicionamiento. • El monto invertido no garantiza que se alcanzará un cierto nivel de seguridad, pero implica acciones y movimiento. • No existe una relación fija entre la inversión y el retorno. • La adquisición de seguridad no es necesariamente un asunto que se relacione con la imagen, en la mayoría de los casos será un tema del que no se pueda o deba hablar. Estimando el ROSI
47 • Valor en Riesgo. • Manejo de intangibles a la medida. • El beneficio que debe esperarse principalmente de los proyectos de seguridad de la información es la reducción de riesgos, no el incremento en la productividad, el aumento en los ingresos o la reducción de costos. • El monto invertido en la atención (preventiva, detectiva, correctiva) de un incidente de seguridad, debe ser menor al impacto causado por su ocurrencia. Estimando el ROSI
48 Beneficios Costos Año 1 Año 2 Año 3 Año 4 Año 5 CostoparalaEmpresa Nivel de Inversión en Seguridad CI Curva de Costos Tangibles Curva de Costos Totales Valor de Riesgo Reducido Valor en Riesgo ROI Tradicional Retorno Basado en Riesgos Valor en Riesgo
49 • Calcular el valor en riesgo. • Estimar la ocurrencia de una amenaza. • Evaluar el costo de propiedad. • Calcular el valor de la reducción del riesgo. Valor en Riesgo
50 1. Identificar los objetivos y procesos de negocio. 2. Identificar los activos (de información y digitales) que los soportan. 3. Estimar el valor de los activos (VA) considerando elementos como costo inicial, costo de mantenimiento, valor que representa para la Compañía y/o valor que representa en el mercado para la competencia. 4. Identificar amenazas por activo. 5. Identificar vulnerabilidades y el factor de exposición (FE) por activo. 6. Determinar la tasa de ocurrencia anual (TOA) de cada vulnerabilidad por activo. 7. Determinar la expectativa de pérdida simple (EPS) multiplicando VA por FE (por amenaza por activo). 8. Determinar la expectativa de pérdida anual (EPA, también conocida como valor en riesgo) multiplicando la TOA por la EPS (por amenaza por activo). Valor en Riesgo
51 9. Priorizar activos por EPA. 10. Diseñar soluciones por activo atendiendo a la priorización realizada y buscando alineamiento a la Política Directriz de Seguridad de la Información. 11. Estimar reducción de la EPA por la adopción de las medidas de seguridad (valor en riesgo reducido). 12. Estimar costo de soluciones considerando necesidades individuales y generales. 13. Comparar costo de soluciones contra la diferencia que exista entre la EPA y la EPA reducida de cada activo. 14. Estimar la recuperación de la inversión en función de la reducción de la EPA por activo. 15. Priorizar la ejecución de soluciones. 16. Ejecutar plan. 17. Mantenerlo. Valor en Riesgo
52 Caso Práctico
53 ¿ ? Preguntas
54 Conclusiones • El ROI de proyectos relacionados con la generación y administración de la información es una herramienta de estimación • Es un factor de control interno de la organización • Es un elemento que ayuda a reducir la incertidumbre • Es una herramienta de trabajo necesaria para el ambiente competitivo de los negocios en el siglo XXI • Favorece a la madurez de las organizaciones • Compromete a la Alta Dirección y Gerencias con los resultados proyectados por ellos mismos ante los accionistas • Es un ejercicio que favorece el “aprendizaje” y genera sinergia entre los equipos de trabajo
55 • La información es uno de los activos más importantes de cualquier Compañía. • La Seguridad de la Información es un tema de negocio (tecnología, procesos, gente). • La inversión en Seguridad de la Información debe ser realizada con un enfoque de riesgos. • La aceptación de la inversión relacionada con la Seguridad de la Información requiere de casos de negocio adecuadamente preparados. • Resulta de utilidad basar en prácticas líderes la definición del Modelo de Seguridad. • Es importante: – Cerrar la Brecha de Seguridad. – Pasar de la Preocupación a la Conciencia. – Buscar la definición de un Modelo de Seguridad Maduro Conclusiones
56 Gracias Carlos Zamora, CISA, CISM / Conseti carlos.zamora@conseti.com.mx Carlos Chalico, CISA, CISSP, CISM / Mancera Ernst & Young carlos.chalico@mx.ey.com

Recomendados

Introducción a la inteligencia de negocios
Introducción a la inteligencia de negociosIntroducción a la inteligencia de negocios
Introducción a la inteligencia de negociosJuan Anaya
 
Predictive planning 31 ago 14 v2
Predictive planning 31 ago 14 v2Predictive planning 31 ago 14 v2
Predictive planning 31 ago 14 v2Pedro San Martin
 
inteligencia de_negocios
inteligencia de_negociosinteligencia de_negocios
inteligencia de_negociosEdgar Barrios
 
Asher customer Centricity Analytics
Asher customer Centricity Analytics Asher customer Centricity Analytics
Asher customer Centricity Analytics Pedro San Martin
 
Unidad 5 acitividad 1 inteligencia de negocios
Unidad 5 acitividad 1 inteligencia de negociosUnidad 5 acitividad 1 inteligencia de negocios
Unidad 5 acitividad 1 inteligencia de negociosGCIRIDIAN
 
Photoshop cs4 lisez-moi
Photoshop cs4 lisez-moiPhotoshop cs4 lisez-moi
Photoshop cs4 lisez-moiJeyson Mendoza Quintero
 
Du bon usage des badges
Du bon usage des badgesDu bon usage des badges
Du bon usage des badgesJosselin Perrus
 
Proyecto Intercambia Cultura (Elige un idioma).
Proyecto Intercambia Cultura (Elige un idioma).Proyecto Intercambia Cultura (Elige un idioma).
Proyecto Intercambia Cultura (Elige un idioma).guadalinfo.bedar
 

Recomendados

Introducción a la inteligencia de negocios
Introducción a la inteligencia de negociosIntroducción a la inteligencia de negocios
Introducción a la inteligencia de negociosJuan Anaya
 
Predictive planning 31 ago 14 v2
Predictive planning 31 ago 14 v2Predictive planning 31 ago 14 v2
Predictive planning 31 ago 14 v2Pedro San Martin
 
inteligencia de_negocios
inteligencia de_negociosinteligencia de_negocios
inteligencia de_negociosEdgar Barrios
 
Asher customer Centricity Analytics
Asher customer Centricity Analytics Asher customer Centricity Analytics
Asher customer Centricity Analytics Pedro San Martin
 
Unidad 5 acitividad 1 inteligencia de negocios
Unidad 5 acitividad 1 inteligencia de negociosUnidad 5 acitividad 1 inteligencia de negocios
Unidad 5 acitividad 1 inteligencia de negociosGCIRIDIAN
 
Photoshop cs4 lisez-moi
Photoshop cs4 lisez-moiPhotoshop cs4 lisez-moi
Photoshop cs4 lisez-moiJeyson Mendoza Quintero
 
Du bon usage des badges
Du bon usage des badgesDu bon usage des badges
Du bon usage des badgesJosselin Perrus
 
Proyecto Intercambia Cultura (Elige un idioma).
Proyecto Intercambia Cultura (Elige un idioma).Proyecto Intercambia Cultura (Elige un idioma).
Proyecto Intercambia Cultura (Elige un idioma).guadalinfo.bedar
 
2002 0292
2002 02922002 0292
2002 0292Zephia Zare
 
Quelle difference voyez vous ?
Quelle difference voyez vous ?Quelle difference voyez vous ?
Quelle difference voyez vous ?ETTIJANI
 
Guía para la Edición de Contenidos en la Web de Google
Guía para la Edición de Contenidos en la Web de GoogleGuía para la Edición de Contenidos en la Web de Google
Guía para la Edición de Contenidos en la Web de GoogleNoa Marcos
 
Projet de ia terminer. 4
Projet de ia terminer. 4Projet de ia terminer. 4
Projet de ia terminer. 4veronicakeays
 
Presupuesto
PresupuestoPresupuesto
PresupuestoAndres Garza
 
David la chapelle ppt
David la chapelle pptDavid la chapelle ppt
David la chapelle pptLéa Klein
 
Twitter fil #greenconnected
Twitter fil #greenconnectedTwitter fil #greenconnected
Twitter fil #greenconnectedYoumatter
 
Consultas en access
Consultas en accessConsultas en access
Consultas en accessSara Silva
 
Passé composé
Passé composéPassé composé
Passé composécatherinespurritt
 
Hercules y cia
Hercules y ciaHercules y cia
Hercules y ciaAndres Garza
 
Dossier aisles
Dossier aislesDossier aisles
Dossier aislesinfoartes
 
Qué es un podcast
Qué es un podcastQué es un podcast
Qué es un podcastMEP
 
Informes
InformesInformes
InformesSara Silva
 
L histoire de-pepe
L histoire de-pepeL histoire de-pepe
L histoire de-pepeRenée Gasser
 
1032 1-study file
1032 1-study file1032 1-study file
1032 1-study fileRomain De Loin
 
Animalier ( p. bois)
Animalier ( p. bois)Animalier ( p. bois)
Animalier ( p. bois)Renée Gasser
 
Sistemasinformaticos
SistemasinformaticosSistemasinformaticos
SistemasinformaticosMariano Suarez Veintimilla
 
Competencias tuning y men
Competencias tuning y menCompetencias tuning y men
Competencias tuning y menDiegoVillada
 
Les Suisses
Les SuissesLes Suisses
Les SuissesRenée Gasser
 
Les courses
Les coursesLes courses
Les courseskg434061mhs
 
Areas de responsabilidad TIC
Areas de responsabilidad TICAreas de responsabilidad TIC
Areas de responsabilidad TICjf_rdgz_blanco
 
Auditoría Continua
Auditoría ContinuaAuditoría Continua
Auditoría ContinuaJorge Amaya
 

Más contenido relacionado

Destacado

Quelle difference voyez vous ?
Quelle difference voyez vous ?Quelle difference voyez vous ?
Quelle difference voyez vous ?ETTIJANI
 
Guía para la Edición de Contenidos en la Web de Google
Guía para la Edición de Contenidos en la Web de GoogleGuía para la Edición de Contenidos en la Web de Google
Guía para la Edición de Contenidos en la Web de GoogleNoa Marcos
 
Projet de ia terminer. 4
Projet de ia terminer. 4Projet de ia terminer. 4
Projet de ia terminer. 4veronicakeays
 
David la chapelle ppt
David la chapelle pptDavid la chapelle ppt
David la chapelle pptLéa Klein
 
Twitter fil #greenconnected
Twitter fil #greenconnectedTwitter fil #greenconnected
Twitter fil #greenconnectedYoumatter
 
Consultas en access
Consultas en accessConsultas en access
Consultas en accessSara Silva
 
Dossier aisles
Dossier aislesDossier aisles
Dossier aislesinfoartes
 
Qué es un podcast
Qué es un podcastQué es un podcast
Qué es un podcastMEP
 
Animalier ( p. bois)
Animalier ( p. bois)Animalier ( p. bois)
Animalier ( p. bois)Renée Gasser
 
Competencias tuning y men
Competencias tuning y menCompetencias tuning y men
Competencias tuning y menDiegoVillada
 

Destacado (20)

2002 0292
2002 02922002 0292
2002 0292
 
Quelle difference voyez vous ?
Quelle difference voyez vous ?Quelle difference voyez vous ?
Quelle difference voyez vous ?
 
Guía para la Edición de Contenidos en la Web de Google
Guía para la Edición de Contenidos en la Web de GoogleGuía para la Edición de Contenidos en la Web de Google
Guía para la Edición de Contenidos en la Web de Google
 
Projet de ia terminer. 4
Projet de ia terminer. 4Projet de ia terminer. 4
Projet de ia terminer. 4
 
Presupuesto
PresupuestoPresupuesto
Presupuesto
 
David la chapelle ppt
David la chapelle pptDavid la chapelle ppt
David la chapelle ppt
 
Twitter fil #greenconnected
Twitter fil #greenconnectedTwitter fil #greenconnected
Twitter fil #greenconnected
 
Consultas en access
Consultas en accessConsultas en access
Consultas en access
 
Passé composé
Passé composéPassé composé
Passé composé
 
Hercules y cia
Hercules y ciaHercules y cia
Hercules y cia
 
Dossier aisles
Dossier aislesDossier aisles
Dossier aisles
 
Qué es un podcast
Qué es un podcastQué es un podcast
Qué es un podcast
 
Informes
InformesInformes
Informes
 
L histoire de-pepe
L histoire de-pepeL histoire de-pepe
L histoire de-pepe
 
1032 1-study file
1032 1-study file1032 1-study file
1032 1-study file
 
Animalier ( p. bois)
Animalier ( p. bois)Animalier ( p. bois)
Animalier ( p. bois)
 
Sistemasinformaticos
SistemasinformaticosSistemasinformaticos
Sistemasinformaticos
 
Competencias tuning y men
Competencias tuning y menCompetencias tuning y men
Competencias tuning y men
 
Les Suisses
Les SuissesLes Suisses
Les Suisses
 
Les courses
Les coursesLes courses
Les courses
 

Similar a Latin cacs 2004 CC CZ

Areas de responsabilidad TIC
Areas de responsabilidad TICAreas de responsabilidad TIC
Areas de responsabilidad TICjf_rdgz_blanco
 
Auditoría Continua
Auditoría ContinuaAuditoría Continua
Auditoría ContinuaJorge Amaya
 
Temas de mayor interés para el CIO (2010)
Temas de mayor interés para el CIO (2010)Temas de mayor interés para el CIO (2010)
Temas de mayor interés para el CIO (2010)Gabriel Marcos
 
Ucasal u01 ppt 97 2003 - parte 1
Ucasal u01 ppt 97 2003 - parte 1Ucasal u01 ppt 97 2003 - parte 1
Ucasal u01 ppt 97 2003 - parte 1claudiocj7
 
Aporte de los datos a la analítica en la transformación digital - (Mariano Mu...
Aporte de los datos a la analítica en la transformación digital - (Mariano Mu...Aporte de los datos a la analítica en la transformación digital - (Mariano Mu...
Aporte de los datos a la analítica en la transformación digital - (Mariano Mu...Mariano Muñoz Martín
 
Plataforma de criptotitulización
Plataforma de criptotitulizaciónPlataforma de criptotitulización
Plataforma de criptotitulizaciónPhD Ismael Santiago
 
Plataforma de criptotitulización
Plataforma de criptotitulizaciónPlataforma de criptotitulización
Plataforma de criptotitulizaciónPhD Ismael Santiago
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de tiRosmery Banr
 
Procesos inteligentes para_aseguradoras
Procesos inteligentes para_aseguradorasProcesos inteligentes para_aseguradoras
Procesos inteligentes para_aseguradorasDaniel Cruz Harris
 
Semana 9 sistemas de información gerencial (sig)
Semana 9 sistemas de información gerencial (sig)Semana 9 sistemas de información gerencial (sig)
Semana 9 sistemas de información gerencial (sig)edithua
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de tiRosmery Banr
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de tiRosmery Banr
 
proyectos de inversion
proyectos de inversion proyectos de inversion
proyectos de inversionPerez Ivan
 
Optimizacion de costos en tiempo de crisis 12 jun 20 v1
Optimizacion de costos en tiempo de crisis 12 jun 20 v1Optimizacion de costos en tiempo de crisis 12 jun 20 v1
Optimizacion de costos en tiempo de crisis 12 jun 20 v1Pedro San Martin
 

Similar a Latin cacs 2004 CC CZ (20)

Areas de responsabilidad TIC
Areas de responsabilidad TICAreas de responsabilidad TIC
Areas de responsabilidad TIC
 
Auditoría Continua
Auditoría ContinuaAuditoría Continua
Auditoría Continua
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en Infraestructura
 
Datasec - Experiencias - Cybersecurity 2013
Datasec - Experiencias - Cybersecurity 2013Datasec - Experiencias - Cybersecurity 2013
Datasec - Experiencias - Cybersecurity 2013
 
Cobit5 Introducción
Cobit5 IntroducciónCobit5 Introducción
Cobit5 Introducción
 
Temas de mayor interés para el CIO (2010)
Temas de mayor interés para el CIO (2010)Temas de mayor interés para el CIO (2010)
Temas de mayor interés para el CIO (2010)
 
Semana3 ati
Semana3 atiSemana3 ati
Semana3 ati
 
Ucasal u01 ppt 97 2003 - parte 1
Ucasal u01 ppt 97 2003 - parte 1Ucasal u01 ppt 97 2003 - parte 1
Ucasal u01 ppt 97 2003 - parte 1
 
Aporte de los datos a la analítica en la transformación digital - (Mariano Mu...
Aporte de los datos a la analítica en la transformación digital - (Mariano Mu...Aporte de los datos a la analítica en la transformación digital - (Mariano Mu...
Aporte de los datos a la analítica en la transformación digital - (Mariano Mu...
 
Plataforma de criptotitulización
Plataforma de criptotitulizaciónPlataforma de criptotitulización
Plataforma de criptotitulización
 
Plataforma de criptotitulización
Plataforma de criptotitulizaciónPlataforma de criptotitulización
Plataforma de criptotitulización
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de ti
 
2019 encuesta BDO LATAM
2019 encuesta BDO LATAM2019 encuesta BDO LATAM
2019 encuesta BDO LATAM
 
Procesos inteligentes para_aseguradoras
Procesos inteligentes para_aseguradorasProcesos inteligentes para_aseguradoras
Procesos inteligentes para_aseguradoras
 
Entregable final
Entregable finalEntregable final
Entregable final
 
Semana 9 sistemas de información gerencial (sig)
Semana 9 sistemas de información gerencial (sig)Semana 9 sistemas de información gerencial (sig)
Semana 9 sistemas de información gerencial (sig)
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de ti
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de ti
 
proyectos de inversion
proyectos de inversion proyectos de inversion
proyectos de inversion
 
Optimizacion de costos en tiempo de crisis 12 jun 20 v1
Optimizacion de costos en tiempo de crisis 12 jun 20 v1Optimizacion de costos en tiempo de crisis 12 jun 20 v1
Optimizacion de costos en tiempo de crisis 12 jun 20 v1
 

Más de Carlos Chalico

Isaca monterrey dic 2019
Isaca monterrey dic 2019Isaca monterrey dic 2019
Isaca monterrey dic 2019Carlos Chalico
 
ISACA Monterrey - Confianza Digital Diciembre 2018
ISACA Monterrey - Confianza Digital Diciembre 2018ISACA Monterrey - Confianza Digital Diciembre 2018
ISACA Monterrey - Confianza Digital Diciembre 2018Carlos Chalico
 
ISACA Privacidad LATAM
ISACA Privacidad LATAMISACA Privacidad LATAM
ISACA Privacidad LATAMCarlos Chalico
 
EuroCACS 2016 There are giants in the sky
EuroCACS 2016 There are giants in the skyEuroCACS 2016 There are giants in the sky
EuroCACS 2016 There are giants in the skyCarlos Chalico
 
133 Chalico Privacidad
133 Chalico Privacidad133 Chalico Privacidad
133 Chalico PrivacidadCarlos Chalico
 
121 Chalico Internet de las Cosas
121 Chalico Internet de las Cosas121 Chalico Internet de las Cosas
121 Chalico Internet de las CosasCarlos Chalico
 
Asobancaria definiendo la estrategia de privacidad
Asobancaria definiendo la estrategia de privacidadAsobancaria definiendo la estrategia de privacidad
Asobancaria definiendo la estrategia de privacidadCarlos Chalico
 
Día Internacional de Protección de Datos Personales IFAI 2015
Día Internacional de Protección de Datos Personales IFAI 2015Día Internacional de Protección de Datos Personales IFAI 2015
Día Internacional de Protección de Datos Personales IFAI 2015Carlos Chalico
 
Latin CACS 2009 Carlos Chalico
Latin CACS 2009 Carlos ChalicoLatin CACS 2009 Carlos Chalico
Latin CACS 2009 Carlos ChalicoCarlos Chalico
 
Día Internacional de la Protección de Datos Personales 2015
Día Internacional de la Protección de Datos Personales 2015Día Internacional de la Protección de Datos Personales 2015
Día Internacional de la Protección de Datos Personales 2015Carlos Chalico
 
InfoDF Auditoría de Sistemas
InfoDF Auditoría de SistemasInfoDF Auditoría de Sistemas
InfoDF Auditoría de SistemasCarlos Chalico
 
Data Lifecycle Risks Considerations and Controls
Data Lifecycle Risks Considerations and ControlsData Lifecycle Risks Considerations and Controls
Data Lifecycle Risks Considerations and ControlsCarlos Chalico
 
InfoDF Protección de Datos Personales en Redes Sociales
InfoDF Protección de Datos Personales en Redes SocialesInfoDF Protección de Datos Personales en Redes Sociales
InfoDF Protección de Datos Personales en Redes SocialesCarlos Chalico
 

Más de Carlos Chalico (19)

Isaca monterrey dic 2019
Isaca monterrey dic 2019Isaca monterrey dic 2019
Isaca monterrey dic 2019
 
ISACA Monterrey - Confianza Digital Diciembre 2018
ISACA Monterrey - Confianza Digital Diciembre 2018ISACA Monterrey - Confianza Digital Diciembre 2018
ISACA Monterrey - Confianza Digital Diciembre 2018
 
ISACA Privacidad LATAM
ISACA Privacidad LATAMISACA Privacidad LATAM
ISACA Privacidad LATAM
 
ISACA DevOps LATAM
ISACA DevOps LATAMISACA DevOps LATAM
ISACA DevOps LATAM
 
Kijiji 160616
Kijiji 160616Kijiji 160616
Kijiji 160616
 
EuroCACS 2016 There are giants in the sky
EuroCACS 2016 There are giants in the skyEuroCACS 2016 There are giants in the sky
EuroCACS 2016 There are giants in the sky
 
133 Chalico Privacidad
133 Chalico Privacidad133 Chalico Privacidad
133 Chalico Privacidad
 
121 Chalico Internet de las Cosas
121 Chalico Internet de las Cosas121 Chalico Internet de las Cosas
121 Chalico Internet de las Cosas
 
Asobancaria definiendo la estrategia de privacidad
Asobancaria definiendo la estrategia de privacidadAsobancaria definiendo la estrategia de privacidad
Asobancaria definiendo la estrategia de privacidad
 
Día Internacional de Protección de Datos Personales IFAI 2015
Día Internacional de Protección de Datos Personales IFAI 2015Día Internacional de Protección de Datos Personales IFAI 2015
Día Internacional de Protección de Datos Personales IFAI 2015
 
Latin CACS 2009 224
Latin CACS 2009 224Latin CACS 2009 224
Latin CACS 2009 224
 
Latin CACS 2009 Carlos Chalico
Latin CACS 2009 Carlos ChalicoLatin CACS 2009 Carlos Chalico
Latin CACS 2009 Carlos Chalico
 
Latin CACS 2007 CC CZ
Latin CACS 2007 CC CZLatin CACS 2007 CC CZ
Latin CACS 2007 CC CZ
 
Día Internacional de la Protección de Datos Personales 2015
Día Internacional de la Protección de Datos Personales 2015Día Internacional de la Protección de Datos Personales 2015
Día Internacional de la Protección de Datos Personales 2015
 
IT Governance
IT GovernanceIT Governance
IT Governance
 
InfoDF Auditoría de Sistemas
InfoDF Auditoría de SistemasInfoDF Auditoría de Sistemas
InfoDF Auditoría de Sistemas
 
Data Lifecycle Risks Considerations and Controls
Data Lifecycle Risks Considerations and ControlsData Lifecycle Risks Considerations and Controls
Data Lifecycle Risks Considerations and Controls
 
InfoDF Protección de Datos Personales en Redes Sociales
InfoDF Protección de Datos Personales en Redes SocialesInfoDF Protección de Datos Personales en Redes Sociales
InfoDF Protección de Datos Personales en Redes Sociales
 
Giss 2009 Final
Giss 2009 FinalGiss 2009 Final
Giss 2009 Final
 

Último

El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 

Último (20)

El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 

Latin cacs 2004 CC CZ

  • 1. Sesión # 311 Estimación del Retorno de Inversión en Proyectos Relacionados con la Generación, Administración y Protección de Información Carlos Zamora, CISA, CISM / Conseti Carlos Chalico, CISA, CISSP, CISM / Mancera Ernst & Young
  • 2. 2 Agenda • Objetivos de la sesión • Revisión de conceptos generales. • Tendencias. • Identificación de retos. • La brecha de seguridad. • La justificación financiera de proyectos como parte de la estrategia de negocio. • La importancia de la estimación del retorno de la inversión en proyectos de generación, administración y protección de información. • Las 7 Cs de la calidad en el contenido de un caso de negocio. • Los roles del caso de negocio en la vida de un proyecto. • Elementos que deben formar un caso de negocio. • Marco de trabajo para definir un caso de negocio basado en ROI. • Identificando costos ocultos e impactos colaterales.
  • 3. 3 Agenda • Proyección financiera estática y dinámica. • Marco metodológico sugerido para estimar el ROI. • Requerimientos y factores críticos de éxito. • Caso práctico. • El análisis de riesgos. • La diferencia entre generación – administración y protección de la información al estimar retornos de inversión. • De la preocupación a la conciencia. • Modelo de seguridad de la información. • Riesgos de seguridad de la información = Riesgos de negocio. • El análisis ROSI. • Estimando el ROSI. • Valor en riesgo. • Caso práctico. • Preguntas. • Conclusiones.
  • 4. 4 Objetivos de la Sesión • Facilitar el entendimiento de los elementos mínimos con los que debe contar la estimación del Retorno de Inversión en proyectos relacionados con la generación, administración y protección de la información. • Proporcionar elementos que faciliten el desarrollo de casos de negocio que justifiquen la inversión en este tipo de proyectos. • Revisar el papel que juega el análisis de riesgos en este tipo de proyectos y analizar cómo marca una diferencia importante entre la protección de información y la generación o administración de la misma. • Al concluir la sesión, el participante identificará al análisis del retorno de inversión en lo particular y al desarrollo de casos de negocio en lo general, como vehículos indispensables en la generación de proyectos exitosos.
  • 5. 5 Revisión de Conceptos
 Generales El grado en el que puedes expresar algo en números representa el grado en el que realmente lo entiendes. —William Thompson, “Lord Kelvin” (1824–1907)
  • 6. 6 ? Se recupera la inversión en una solución de este tipo ¿
  • 7. 7 Una realidad en las empresas ... “En un 70% de las ocasiones, las organizaciones no ven capitalizada su inversión en Tecnología de Información con los beneficios esperados en el tiempo estimado, impactando sus finanzas, operación y negocio en general.”– www.intermanagers.com Revisión de Conceptos
 Generales
  • 8. 8 • “De las empresas que sufren una avería a los 15 días de haber sucedido un desastre, las estadísticas destacan que un 56% NUNCA podrá reiniciar sus actividades, mientras que un 29% estará en riesgo de cerrar sus operaciones en los siguientes dos años” – Information Systems Control Journal • “Sin la necesidad de cambiar máquinas o sustituir al personal, las empresas pueden incrementar su competitividad hasta 100%, sólo modificando algunos puntos clave en los que su productividad se vea frenada sin tener que hacer costosas inversiones” – Bussiness Harvard Review • “En México los directores de las empresas dedican el 70% de su tiempo a labores de contexto y organización de sus áreas, en lugar de preocuparse por elevar la competitividad de la compañía” – Mundo Ejecutivo Revisión de Conceptos
 Generales
  • 9. 9 ¿Nuestra estrategia ya incorpora todas las posibilidades de negocio que las nuevas Tecnologías de la Información nos habilitan? Revisión de Conceptos
 Generales
  • 10. 10 • Justificar la viabilidad económica para la asignación de Recursos Humanos y Financieros a un proyecto de este tipo, como soporte a los procesos de generación, administración y protección de la información • Proyección del flujo de inversión requerido para la elaboración del presupuesto Objetivo del estudio Costo - Beneficio Revisión de Conceptos
 Generales
  • 11. 11 • El ROI de proyectos de generación, administración y protección de la información es un mecanismo de control que forma parte de la Planeación Estratégica, según las mejores prácticas de Gobierno de TI - PO5 (CoBIT) Managing IT Investment IT GOVERNANCE INSTITUTE Revisión de Conceptos
 Generales
  • 12. 12 • ¿Qué significa el término información? – Datos organizados en una forma que es útil para las personas que la reciben. La información es requerida por las personas para mejorar su comprensión y lograr objetivos específicos*. La información es usada para la toma de decisiones, es por ello que es considerada uno de los activos más importantes. • ¿Qué tipo de información existe? – Documental. – Cognoscitiva. – Electrónica. • ¿Qué es la seguridad de la información? – Disciplina que tiene por objeto salvaguardar la confidencialidad, integridad y disponibilidad de la información, en alineación con los objetivos estratégicos del negocio al que sirve. Seguridad Informática *Fuente: Computers Today; Donald Sanders Revisión de Conceptos
 Generales
  • 13. 13 • La conciencia en torno al tema de Seguridad de la Información es baja. • Son pocos los CEO o incluso CxO que se involucran. • Generalmente sólo el CIO se relaciona. • Se da enfoque unidimensional al concepto. • Es poca la legislación que existe en Latinoamérica en torno a este tema. • La poca legislación que existe se conoce en bajo grado. • Altos niveles de preocupación e indiferencia, pocos de conciencia (este tema en particular se detallará al hablar de la diapositiva 41, más adelante). • Crece la brecha de seguridad. • Existen conflictos en el entendimiento del concepto “Seguridad de la Información”. Tendencias
  • 14. 14 • El principal rubro de inversión es la tecnología (94%). • 16% reporta a su consejo de dirección sobre incidentes de seguridad de la información en una base mensual. • 19% mantiene completamente alineado su modelo de seguridad de la información a la estrategia de negocio. • En América Latina sólo el 9% considera tener un modelo de seguridad de clase mundial o adecuado. • La limitación presupuestal es el principal obstáculo (60%). • Sólo alrededor de un 20% calcula un retorno de inversión. • Menos de la mitad considera tener habilidades para detectar un incidente o reaccionar a él. Fuente: Encuesta Global de Seguridad de la Información. Ernst & Young 2003. 1400 Encuestados, 66 países, México incluido. Tendencias
  • 15. 15 • La necesidad por atender iniciativas de seguridad crecerá a nivel global un 19.8% por año del 2004 a 2008. • El crecimiento de regulaciones en el continente americano aumentará la demanda de servicios de seguridad de la información. • Resaltará la importancia de comprender la Evaluación de Riesgos. • Las mejoras en la Seguridad Nacional de todos los países requerirán mayores inversiones en seguridad de la información. Fuente: Key Forecast Assumptions for the Worldwide Security Services Market, 2004-2008 (IDC) Tendencias
  • 16. 16 • Se desarrollarán mejores herramientas para la medición del retorno de la inversión, sin utilizar métricas estandarizadas. • Servicios proactivos, como los de administración de actualizaciones de seguridad, pruebas de penetración / aplicación y desarrollo de servicios, ayudarán a aliviar el dolor sufrido por muchas organizaciones. • La participación de los especialistas de seguridad se realizará en etapas más tempranas del procesamiento de datos (desarrollo, adquisición). • El tema de control de acceso tomará más fuerza. Fuente: Key Forecast Assumptions for the Worldwide Security Services Market, 2004-2008 (IDC) Tendencias
  • 17. 17 ¿ qué quiero mejorar en mi organización ? ¿ qué procesos debo revisar para lograr esos objetivos ? ¿ qué soluciones tecnológicas requiero para habilitar mis nuevos procesos ? … las preguntas deben ser : ¿ qué beneficios me trae esa solución a mi organización ? … y no simplemente: Identificación de Retos
  • 18. 18 Beneficios esperados Beneficios planeados En la Evaluación de una Solución Tecnológica, los beneficios a considerar, no son los que cada una de las soluciones tecnológicas evaluadas me pueda dar…….Son los que nuestra estrategia nos exija. Operativos Estratégicos Cualitativos Cuantitativos Identificación de Retos
  • 19. 19 •Reducción de inventarios • Reducción de reprocesos de información • Simplificación de procesos operativos (cobros, pedidos, etc.) • Reducción de costos operativos • Reducción de costos administrativos • Análisis operativo y financiero de la empresa, en tiempo real • Soporte de decisiones: información real, congruente y oportuna • Mejor capacidad de respuesta al cliente • Pronósticos más certeros • Reducción del ciclo total de proceso • Optimización de recursos escasos • Habilitación de nuevos negocios • Habilitación de nuevos canales Operativos Estratégicos Identificación de Retos
  • 20. 20 • Aumento en inversión de tecnología de información en general. • Incremento en el uso de nuevas tecnologías en lo particular (dispositivos inalámbricos). • Ausencia de la función de seguridad de la información en múltiples organizaciones. • Falta de participación de los CxO en el tema • Falta de participación de la función de seguridad de la información en las etapas tempranas de adquisición e implantación de soluciones de manejo de información. • Traducción de los riesgos derivados del manejo de información en riesgos de negocio. Identificación de Retos
  • 21. 21 La Brecha de SeguridadInversiónTotal Alto Bajo 1990’s 2000’sTiempo Brecha de Seguridad Sistemas de Información Seguridad de la Información
  • 22. 22 La Justificación Financiera de Proyectos como Parte de la Estrategia de Negocio Planeación estratégica Análisis de procesos Administración de proyectos Dirección e infraestructura Sistemase infraestructura tecnológica Desempeño y Logros Evaluación Administrar (tecnología de) Información Estrategia de negocio Implantación Desem peño y Logros Desempeñoy Logros Requerimientos de TI Evaluación Evaluación de proyectos ADMINISTRACIÓN DE RIESGOS
  • 23. 23 • Basada en un análisis de costos y oportunidades otorga certidumbre a los accionistas • Compromete a la Administración y dueños de procesos con los Resultados proyectados • Basada en un análisis de Riesgos es una herramienta que reduce la probabilidad de fracaso de la inversión • Es un elemento que forma parte de la Estrategia de Administración de la organización La Importancia de la Estimación del Retorno de la Inversión.
  • 24. 24 • Requiere de una especificación y análisis de Factibilidad que contribuye a alinear a la estrategia de negocio y a la estrategia tecnológica • Genera “sinergia” y “compromiso” con los equipos de trabajo (Procesos y Tecnología) • Considera los escenarios futuros y los factores críticos de éxito para conseguir los resultados esperados • Es un ejercicio que facilita el “aprendizaje” y colabora con el ciclo de madurez de la organización La Importancia de la Estimación del Retorno de la Inversión.
  • 25. 25 Las 7 Cs de la Calidad en el Contenido * • Correcto alineamiento con la decisión. • Concentración en todos los participantes de la decisión y reflejo en el criterio de decisión. • Completo análisis de todas las áreas de valor. • Conexión con los objetivos de negocio. • Credibilidad de análisis. • Conciencia de expresión. • Compendio de sucesos de éxito. *Fuente: Making Technology Investments Profitable; Jack Keen, Bonnie Digrius
  • 26. 26 Los Roles del Caso de Negocio en la Vida de un Proyecto • Durante el Fondeo. – “Imán” de Dinero. • Durante la Implantación. – Convencedor de Audiencias. – Timón. – Porrista. – Recordatorio de Ejecutivos. • Durante la Vida Operacional. – Medidor del progreso en la entrega de valor. *Fuente: Making Technology Investments Profitable; Jack Keen, Bonnie Digrius
  • 27. 27 Procesos duplicados y repetitivos Problemas de acceso y disponibilidad de información Procesos que pueden automatizarse Cuantificar beneficios operativos y estratégicos Elementos que Deben
 Formar un Caso de Negocio Identificar
  • 28. 28 Beneficios Cualitativos y Cuantitativos Beneficios Directos Beneficios Indirectos Riesgos y Factores críticos de éxito Calificar Elementos que Deben
 Formar un Caso de Negocio
  • 29. 29 Requerimientos de Negocio Recursos de TI Procesos de TI Planeación AnálisisdelaestrategiaOrganizacional EstablecimientodeAgendayPresupuestode Proyectos Integración,delRFP,Estrategiay procedimiento decontroldeAdquisicióndelT.I. Equipos de Trabajo ■ AREA DE SISTEMAS ■ FINANZAS ■ AREAS DE NEGOCIO Aplicación de Normas, Políticas y Procedimientos Marco de Trabajo para Definir un Caso de Negocio Basado en ROI
  • 30. 30 Identificando Costos Ocultos 
 e Impactos Colaterales •Curva de Aprendizaje • Costos de Capacitación continua • Soporte consultivo adicional • Impacto en las Capacidades de la Infraestructura (Hardware, Software, Comunicaciones) • Impacto en el Soporte técnico y de Servicios después de la implantación • Administración del Cambio • Mantenimiento de la Tecnología •Cultura organizacional • Esquemas de Operación y Colaboración • Seguridad de la Información • Esquema en la toma de decisiones • Relaciones con clientes y proveedores • Aprendizaje organizacional • Cambios en el Control Interno y procesos • Habilitación de nuevas políticas y procedimientos • Seguridad Costos Ocultos Impactos Colaterales
  • 31. 31 Marco Metodológico sugerido
 para Estimar el ROI PROCESO DE ADMINISTRACION DEL PROYECTO ANALISIS Y EVALUACIÓN DE RIESGOS ANALISIS DE REQUERIMIENTOS DE NEGOCIO DETERMINAR BENEFICIOS ESPERADOS PROYECCIÓN DE ESCENARIOS Y ANÁLISIS DE RIESGOS ESTUDIO DE COSTOS Y PLANEACION DE LA CAPACIDAD ESTIMACIÓN FINANCIERA ESTÁTICA Y DINÁMICA VALIDACIÓN DE RESULTADOS Y ESTRATEGIA VALIDACIÓN Y SOPORTE ESTRATÉGICO A LAS PROYECCIONES DEL PROYECTO “...Recordar que es un ejercicio de estimación y proyección de escenarios operativos y de proceso con una fuerte carga de subjetividad, conforme madure la práctica, los resultados del ejercicio tendrán mayor certidumbre..”
  • 32. 32 Proyección Financiera
 Estática y Dinámica Proyección Estática • Suma de la Cuantificación de Beneficios por periodo establecido para el proyecto. • Determinación del Periodo de desarrollo e implantación del proyecto para puesta en marcha • Comparativo entre la Inversión Total del Proyecto y el Beneficio cuantificado hacia el proyecto Inversión Total del Proyecto Sumatoria de beneficios cuantificados en el Periodo Determinado Proyección Dinámica • Considera el desarrollo del análisis costo-beneficio en el tiempo. • Se proyectan los flujos de la inversión y los flujos de los beneficios del proyecto. • Se considera el Valor Futuro y el Valor Presente Neto del Dinero de acuerdo a la inflación • Considera la Tasa Interna de Retorno (TIR) • Se proyecta el flujo financiero de acuerdo a un periodo de tiempo (Semanas, Meses, Años).
  • 33. 33 Proyección Estática Proyección Dinámica ROI Dólar = 9.52426431 Proyecciónestática ennúmerogruesos: Opción 1 Inversión 944,191 Recuperación anual 1,127,407 ROI en años = 0.8375 Opción 2 Inversión 961,087 Recuperación anual 1,127,407 ROI en años = 0.8525 Opción 3 Inversión 1,608,563 Recuperación anual 1,127,407 ROI en años = 1.4268 ➲ Valor Presente Neto $ 2,204,000 ➲ Tasa Intera de Retorno 48.23% ➲ Periodo de Recuperación 16 - 18 Meses Inversión Inicial $ 4,024,134.096 0 1 2 3 4 5 $ 2,526,104 $ 5,098,208.52 Tiempo Años Proyección Financiera
 Estática y Dinámica
  • 34. 34 Requerimientos y Factores
 Críticos de Éxito Desarrollar siempre el ROI durante la fase de estudio de factibilidad del Proyecto. Involucrar siempre a las áreas de negocio, financiera y legal de la organización. Tener a la mano los presupuestos de operación del año anterior, presente y futuro general de la organización y por área. Realizar ejercicios dinámicos para identificar los beneficios esperados del proyecto. Cuantificar el impacto de los beneficios Vs los presupuestos de operación por área y global Involucrar siempre al área de R.H. Realizar el análisis de Riesgos considerando los escenarios
  • 35. 35 Validar la cuantificación de beneficios producto de la implantación de T.I. Con las áreas de finanzas y de procesos de acuerdo con sus registros financieros, involucrarlos al momento de realizar las proyecciones de flujo. Generar la validación de beneficios cualitativos y cuantitativos por Dirección de área de Negocio. Considerar siempre la política de adquisiciones y proyectos de la empresa. Considerar siempre la inversión en capacitación y soporte externo. Realizar sesiones de trabajo dinámicas para obtener mejores resultados. Requerimientos y Factores
 Críticos de Éxito
  • 40. 40 Disminución de Riesgo Reducción de Costos Incremento de Ingresos Aumento de Productividad La Diferencia Entre Generación – Administración y Protección de la Información al estimar ROI Generación – Administración de Información Protección de Información Vs.
  • 41. 41 Análisis de Riesgos De la Preocupación a la Conciencia • No más FUD (Fear, Uncertainty and Doubt). Preocupación Conciencia Riesgo Preocupación ConcienciaIndiferencia Ignora los riesgos o considera que no existen. No tiene temor por las amenazas que puedan existir en el ambiente. Definitivamente no hay patrocinio, ni interés de la Alta Dirección. Ejecuta acciones aisladas y reactivas. Teme amenazas y posibles vulnerabilidades, aunque no conoce sus riesgos. Carece de acciones encaminadas a entender sus riesgos Sospecha que ha habido incidentes, pero ignora el impacto y recurrencia de los mismos. Puede no existir patrocinio de la Alta Dirección. El tema de seguridad de la información forma parte de la estrategia de negocio. Existe un proceso continuo y permanente de análisis de riesgos y de acciones para atenderlos La seguridad está intrínseca en el proceso de negocio. Existe un claro patrocinio de la Alta Dirección.
  • 42. 42 Modelo de Seguridad de la Información Información Segura Riesgo Administrado Estándares Mínimos Dependencia de la Tecnología Impacto AltaBaja Alto Bajo Formal Alcance Empresarial Alineado Continuo Proactivo Validado Periódico Departamentalizado Reactivo Informal Probado Desarrollado Documentado Responde Programado Independiente Táctico Integrado
  • 43. 43 Riesgos de Información = 
 • ¿Qué pasaría si sus equipos de cómputo se detuvieran por completo? • ¿Se imagina con una base de datos en la que los valores de los campos pudieran ser modificados sin que se requiriera de ninguna autorización? ¿Cómo dirigiría una campaña de correo directo con direcciones equivocadas? ¿Cómo mandar facturas y estados de cuenta? • ¿Qué pasaría si su competencia se adueñara del mercado anticipándose a atacarlo ¡CON SUS PROPIAS ESTRATEGIAS!? • ¿Ha identificado la forma en la que su información puede y debe protegerse desde el punto de vista legal?
  • 44. 44 • ROSI. Return On Security Investment. • Históricamente Sistemas de Información es un centro de costo, no de ingresos. • La seguridad de la información hereda esta visión • La seguridad de la información se relaciona con el análisis de riesgos. • El análisis de riesgos busca identificar amenazas y vulnerabilidades que un activo o grupo de activos puede tener y mide sus probabilidades de ocurrencia. • La seguridad de la información buscará reducir el riesgo al mínimo, a través de la definición de controles que representen valores menores a los impactos producidos por la potencial ocurrencia de las amenazas, lo que se relaciona directamente con el valor del propio activo, que se sustenta en su criticidad para el negocio. • El problema no es nuevo. 1882 Fire sprinklers. • Investigaciones científicas Idaho University – Hummer (valuación de ataques). @stake – Hoover (ingeniería de software). El Análisis ROSI
  • 45. 45 • Premisa: – Mientras más temprano se involucre la seguridad en los procesos, más bajo será el costo del modelo de seguridad de la información. • Altermativas: – No hacer nada, considerar al ROSI como inválido e ir por estrategia de FUD. – Colgar al proyecto de seguridad de otro que sí produzca un ingreso. – Calcular el ROSI. • Elementos clave: – Activos (de información y digitales). – Criticidad. – Amenazas. – Riesgos. – Impacto. El Análisis ROSI
  • 46. 46 • Los Intangibles. – Imagen. – Confianza. – Posicionamiento. • El monto invertido no garantiza que se alcanzará un cierto nivel de seguridad, pero implica acciones y movimiento. • No existe una relación fija entre la inversión y el retorno. • La adquisición de seguridad no es necesariamente un asunto que se relacione con la imagen, en la mayoría de los casos será un tema del que no se pueda o deba hablar. Estimando el ROSI
  • 47. 47 • Valor en Riesgo. • Manejo de intangibles a la medida. • El beneficio que debe esperarse principalmente de los proyectos de seguridad de la información es la reducción de riesgos, no el incremento en la productividad, el aumento en los ingresos o la reducción de costos. • El monto invertido en la atención (preventiva, detectiva, correctiva) de un incidente de seguridad, debe ser menor al impacto causado por su ocurrencia. Estimando el ROSI
  • 48. 48 Beneficios Costos Año 1 Año 2 Año 3 Año 4 Año 5 CostoparalaEmpresa Nivel de Inversión en Seguridad CI Curva de Costos Tangibles Curva de Costos Totales Valor de Riesgo Reducido Valor en Riesgo ROI Tradicional Retorno Basado en Riesgos Valor en Riesgo
  • 49. 49 • Calcular el valor en riesgo. • Estimar la ocurrencia de una amenaza. • Evaluar el costo de propiedad. • Calcular el valor de la reducción del riesgo. Valor en Riesgo
  • 50. 50 1. Identificar los objetivos y procesos de negocio. 2. Identificar los activos (de información y digitales) que los soportan. 3. Estimar el valor de los activos (VA) considerando elementos como costo inicial, costo de mantenimiento, valor que representa para la Compañía y/o valor que representa en el mercado para la competencia. 4. Identificar amenazas por activo. 5. Identificar vulnerabilidades y el factor de exposición (FE) por activo. 6. Determinar la tasa de ocurrencia anual (TOA) de cada vulnerabilidad por activo. 7. Determinar la expectativa de pérdida simple (EPS) multiplicando VA por FE (por amenaza por activo). 8. Determinar la expectativa de pérdida anual (EPA, también conocida como valor en riesgo) multiplicando la TOA por la EPS (por amenaza por activo). Valor en Riesgo
  • 51. 51 9. Priorizar activos por EPA. 10. Diseñar soluciones por activo atendiendo a la priorización realizada y buscando alineamiento a la Política Directriz de Seguridad de la Información. 11. Estimar reducción de la EPA por la adopción de las medidas de seguridad (valor en riesgo reducido). 12. Estimar costo de soluciones considerando necesidades individuales y generales. 13. Comparar costo de soluciones contra la diferencia que exista entre la EPA y la EPA reducida de cada activo. 14. Estimar la recuperación de la inversión en función de la reducción de la EPA por activo. 15. Priorizar la ejecución de soluciones. 16. Ejecutar plan. 17. Mantenerlo. Valor en Riesgo
  • 54. 54 Conclusiones • El ROI de proyectos relacionados con la generación y administración de la información es una herramienta de estimación • Es un factor de control interno de la organización • Es un elemento que ayuda a reducir la incertidumbre • Es una herramienta de trabajo necesaria para el ambiente competitivo de los negocios en el siglo XXI • Favorece a la madurez de las organizaciones • Compromete a la Alta Dirección y Gerencias con los resultados proyectados por ellos mismos ante los accionistas • Es un ejercicio que favorece el “aprendizaje” y genera sinergia entre los equipos de trabajo
  • 55. 55 • La información es uno de los activos más importantes de cualquier Compañía. • La Seguridad de la Información es un tema de negocio (tecnología, procesos, gente). • La inversión en Seguridad de la Información debe ser realizada con un enfoque de riesgos. • La aceptación de la inversión relacionada con la Seguridad de la Información requiere de casos de negocio adecuadamente preparados. • Resulta de utilidad basar en prácticas líderes la definición del Modelo de Seguridad. • Es importante: – Cerrar la Brecha de Seguridad. – Pasar de la Preocupación a la Conciencia. – Buscar la definición de un Modelo de Seguridad Maduro Conclusiones
  • 56. 56 Gracias Carlos Zamora, CISA, CISM / Conseti carlos.zamora@conseti.com.mx Carlos Chalico, CISA, CISSP, CISM / Mancera Ernst & Young carlos.chalico@mx.ey.com