Cómo evaluar riesgos en un sistema de gestión de servicios de TI.
Con base en las normas ISO/IEC 20000-1:2011(E), ISO 31000 e ISO 27005, se presentará una manera práctica de evaluar y administrar riesgos relacionados con los servicios de TI y poder cumplir con los requisitos de la norma ISO/IEC 20000-1:2011(E).
3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de gestión de servicios de TI
1.
2. Cómo Evaluar Riesgos en un Sistema de Gestión de Servicios de TI
Manera práctica de evaluar y administrar riesgos relacionados con los servicios de TI
3. Con la colaboración de ...
Global Lynx de México S.A. de C.V. Génova 33-101, Col. Juárez, CP 06600. México. D.F. Teléfonos: +52 (55) 5511 0193 / 95 / 97 Web: www.globallynx.com Email: contacto@globallynx.com
Ponente
Luis Alberto Ochoa Castillejos
Su experiencia principal es diseñar e implementar mejoras en la administración de servicios de tecnología de información enfocados a las mejores prácticas de ITIL, ISO/IEC 20000, ISO/IEC 27000, COBIT e ISO/IEC 27000.
Ha desarrollado proyectos en organizaciones como: Grupo Mexicano de Seguros GMX, IMSS, Compartamos Banco, NEXTEL, MAXCOM, Hewlett Packard, Triara, PEMEX GIT, SAT, Banco de México, CFE CENACE, PEMEX DCF, Banco Bital, Banco Banamex, Pemex PEP, Telmex, Roche Syntex, ALESTRA, UNINET, Daimler-Chrysler, UNI2 (España), TELESP (Brasil), PEMEX PGPB, AHMSA, CISEN, Grupo Jumex entre otros
4. 4
Sistema de Gestión de Servicios
●Un sistema de gestión es un conjunto de políticas, procesos y procedimientos relacionados que trabajan juntos para alcanzar un objetivo general.
●Las relaciones dentro del sistema deben influenciarse unas a otras por el bien del conjunto.
●Ayuda a lograr los objetivos de la organización mediante una serie de estrategias, que incluyen la optimización de procesos, el enfoque centrado en la gestión y el pensamiento disciplinado.
5. Sistema de Gestión de Servicios de TI
Sistema de Gestión del Servicio (SMS)
Diseño y transición de servicios nuevos o cambiados
Procesos de resolución Gestión de incidentes y peticiones de servicio Gestión de problemas
Procesos de relación
Gestión de la relación con el negocio
Gestión de proveedores
Procesos de entrega del servicio
Responsabilidad de la Dirección Establecer el SMS
Gobierno de procesos operado por otras partes Gestión de la documentación Gestión de los recursos
Gestión de la capacidad
Gestión de la continuidad y disponibilidad del servicio
Gestión del nivel de servicio
Reporteo del servicio
Gestión de la seguridad de la información
Presupuesto y contabilidad de los servicios de TI
Procesos de control Gestión de la configuración Gestión de cambios Gestión de liberaciones y despliegues
6. 6
●Al entender la estructura de sistemas, las interconexiones entre los activos y los componentes del servicio y cómo los cambios en algún área afectarán a todo el sistema, un prestador de servicios puede entregar beneficios, como:
Sistema de Gestión de Servicios de TI
Habilidad para adaptarse
Desempeño sustentable
Gestión de servicios eficiente y eficaz
Mejor enfoque para gestionar servicios, riesgos y costos
Menor conflicto entre procesos
Reducción de burocracia y duplicidad
7. 7
Riesgo
●Toda las actividades en una organización implican riesgos.
●Los riesgos se gestionan identificando, analizando y posteriormente evaluando si deberían ser modificados por un tratamiento de riesgos.
●Las organizaciones comunican a y consultan con las partes interesadas, monitorean y revisan el riesgo y los controles que modifican al riesgo para asegurar que no se requiera un tratamiento de riesgos adicional.
El efecto de incertidumbre que las organizaciones tienen al alcanzar sus objetivos, debido a influencias y factores internos y externos.
8. 8
Gestión de riesgos
La gestión de riesgos le permite a la organización:
Aumentar la probabilidad de alcanzar sus objetivos
Estar consciente de la necesidad de identificar y tratar los riesgos en toda la organización
Mejorar la identificación de oportunidades y amenazas
Cumplir con requerimientos regulatorios y legales relevantes y normas internacionales
Mejorar la eficiencia y la eficacia operativa
Mejorar la gestión de incidentes y reducción de pérdidas
Mejorar la confianza de las partes interesadas “stakeholders”
9. 9
La gestión de riesgos contribuye a:
Gestión de riesgos
Que se identifiquen los riesgos
Que se valoren los riesgos en términos de sus consecuencias para el negocio y la probabilidad de su ocurrencia
Que la probabilidad y consecuencias de que dichos riesgos sean comunicados y comprendidos
Que se establezca una orden de prioridad para el tratamiento de riesgos
Dar prioridad para las acciones para reducir la ocurrencia de un riesgo
10. 10
ISO/IEC 27005
Proceso para la Gestión de Riesgos
Comunicación del Riesgo
ESTABLECIENDO EL CONTEXTO
REVISION Y MONITOREO DE RIESGOS
IDENTIFICACIÓN DE RIESGOS
ESTIMACIÓN DE RIESGOS
EVALUACIÓN DE RIESGOS
TRATAMIENTO DE RIESGOS
APROBACIÓN DEL RIESGO
EVALUACIÓN DE RIESGOS
ANÁLISIS DE RIESGOS
DECISION DE RIESGO PUNTO 1
Evaluación satisfactoria
No
Si
No
Si
DECISION DE RIESGO PUNTO 2
Tratamiento satisfactorio
Fin de la primera iteración subsecuente
11. 11
Identificación de Riesgos
Esta parte de la gestión de riesgos implica nombrar el riesgo
Al identificar un riesgo no es necesario tratar de explicar o cuantificar el riesgo, solo tener la mayor cantidad de ideas posibles sobre que puede amenazar el éxito de un proyecto o estrategia
La lluvia de ideas es probablemente la mejor manera de hacer esto, ya que las ideas que surjan tienden a descubrir riesgos que no eran tan obvios al principio
Cada riesgo identificado o sospechado debería estar documentado junto con sus consecuencias potenciales
12. 12
Evaluación de Riesgos
Una vez que el equipo ha identificado los riesgos pueden empezar a cuantificar el impacto y la probabilidad del riesgo
El impacto es el efecto en una estrategia o proyecto (y sus clientes) si el riesgo se volviera una realidad, y se experimentaran las consecuencias
La mayoría de los enfoques de gestión de riesgos utilizan descripciones cualitativas y cuantitativas
Esto significa que las consecuencias e impactos están definidos en palabras, y posteriormente se les asocia un valor numérico
13. 13
Evaluación de Riesgos (cont.)
Los números son usados para clasificar el riesgo, mientras la descripción es usada para definir cómo tratar con el riesgo
Hay que notar que un riesgo con una probabilidad del 100% no es un riesgo; es una certeza y por lo tanto un problema
Estos riesgos deberían ser quitados del plan de riesgos y ser tratados como problemas
De igual manera un riesgo con probabilidad de 0 debería ser quitado del plan
14. 14
Tratamiento de Riesgos
Reducción de Riesgos: Acciones tomadas para disminuir la probabilidad, consecuencias negativas, o ambas, asociadas con un riesgo
Retención de Riesgos: Aceptación de la carga de la pérdida o beneficio ganado por un riesgo en particular.
Evasión de Riesgos: Decisión de no involucrarse con, o acción de retirarse de una situación de riesgo.
Transferencia de Riesgos: Compartir con otra parte la carga de pérdida o el beneficio de ganancia, por un riesgo
Existen cuatro opciones para el tratamiento de riesgos:
15. 15
Riesgos en un Sistema de Gestión de Servicios de TI
●La alta dirección debe proporcionar evidencia de su compromiso para planear, establecer, implementar, operar, monitorear, revisar, mantener y mejorar el SGS y los servicios asegurando que se gestionen y valoren los riesgos a los servicios.
●Se deben valorar los riesgos a todos los elementos de garantía y utilidad de los servicios de TI y mitigarlos cuando sea posible.
16. 16
Valoración de riesgos
•Recolectar información acerca de la exposición a riesgos para que la organización pueda tomar las decisiones apropiadas y gestionar los riesgos apropiadamente.
•Identificar y la valorar el nivel (medición) de los riesgos calculados de los activos y de las amenazas hacia, y las vulnerabilidades de, dichos activos.
Gestión de riesgos
•Procesos para monitorear riesgos, tener acceso a información actualizada y confiable sobre riesgos, el equilibrio correcto de control para tratar con dichos riesgos, y procesos de toma de decisiones soportados por un marco de evaluación y valoración de riesgos.
•Identificar, seleccionar y adoptar contramedidas justificadas para los activos al considerar su impacto potencial en los servicios si ocurre una falla, y la reducción de dichos riesgos a un nivel aceptable.
Riesgos en un Sistema de Gestión de Servicios de TI
17. 17
Riesgos en la planeación de un Sistema de Gestión de Servicios de TI
●El prestador de servicios debe crear, implementar y mantener un plan de gestión de servicios.
●La planificación debe tomar en consideración la política de gestión de servicios y los requerimientos del servicio en esta parte de ISO/IEC 20000.
●El plan de gestión de servicios debe contener o incluir una referencia sobre el enfoque que se tomará para la gestión de riesgos y el criterio de aceptación de los mismos.
18. 18
Riesgos al Implementar un Sistema de Gestión de Servicios de TI
●El prestador de servicio debe implementar y operar un SGSTI para el diseño, transición, entrega y mejora de los servicios de acuerdo al plan de gestión de servicios, a través de actividades incluyendo por lo menos:
̶Identificación
̶Valoración
̶Tratamiento …de los riesgos de los servicios de TI.
19. 19
Riesgos en la Revisión de la Dirección
●La alta dirección debe revisar el SGSTI y los servicios en intervalos planeados para asegurar su eficacia y aptitud continua.
●Esta revisión debe incluir valoración de oportunidades para la mejora y la necesidad de cambios al SGSTI , incluyendo la política y objetivos de la gestión de servicios.
●La entrada para las revisiones de la dirección debe incluir por lo menos información sobre los riesgos.
20. 20
Riesgos en la Gestión de Mejoras
Existen varios riesgos que podrían prevenir a la mejora continua del servicio para alcanzar el efecto general deseado:
Enfoque no formalizado hacia la Mejora Continua del Servicio (CSI) e iniciativas que se toman a azar
Monitoreo y análisis insuficiente para identificar las áreas de mayor necesidad
Actitud del personal como ‘Siempre lo hemos hecho de esta manera y siempre ha sido lo suficientemente bueno’
Falta de habilidad para hacer el caso de negocio para la mejora y por lo tanto falta de financiamiento para las iniciativas de mejora
Mucho enfoque en las mejoras de TI sin un entendimiento claro de las necesidades u objetivos del negocio
21. 21
Riesgos en el Diseño de Servicios de TI
Los principales riesgos asociados con el diseño de Servicios de TI son:
Falta potencial de habilidades y conocimiento
Renuencia de los administradores de proyectos para comunicarse y estar involucrado
Renuencia del negocio a estar involucrado
Dirección y estrategia pobres
Falta de información sobre los impactos y prioridades del negocio
Resultados deseados y requerimientos definidos pobremente
Comunicación pobre
22. 22
Riesgos en la Operación del Servicio
Existen dos niveles de riesgos que deben ser considerados desde una perspectiva de gestión del servicio:
̶Riesgos enfrentados por el negocio y los servicios de negocio que usa
̶Riesgos a los servicios de TI que soportan al negocio y sus procesos
Para una visión completa de riesgos, ambos niveles deben ser considerados simultáneamente, ya que interactúan constantemente entre ellos
Los sistemas y procesos de la transición del servicio deberían filtrar y negar dichos riesgos
El efecto de remover los riesgos del negocio de los clientes es la propuesta de valor central de muchos servicios de TI
23. 23
Riesgos en la Entrega del Servicio
Los riesgos asociados con el Catálogo de Servicios son:
Falta de precisión de los datos en el catálogo y no estar bajo un control de cambios riguroso
Aceptación pobre del catálogo de servicios y su utilización en los procesos operativos. Mientras más activo es el catálogo, es más probable que sea preciso en su contenido
Falta de precisión en la información recibida del negocio, TI y la cartera de servicios, con respecto a la información del servicio
Herramientas y recursos insuficientes requeridos para mantener la información
24. 24
Riesgos en la Entrega del Servicio (cont.)
Algunos riesgos asociados con la Gestión de los Niveles de Servicio son:
Falta de compromiso, involucramiento y entrada certera del negocio y los clientes
Falta de herramientas y recursos apropiados requeridos para acordar, documentar, monitorear, reportar y revisar los niveles de servicios y los acuerdos.
El proceso se vuelve un proceso burocrático administrativo, en vez de un proceso proactivo y activo que entregue mediciones de beneficio al negocio
Expectativas altas del cliente y baja percepción
25. 25
Riesgos en la Entrega del Servicio (cont.)
Algunos riesgos asociados con la Disponibilidad y Continuidad de Servicio son:
Una falta de compromiso del negocio hacia el proceso de gestión de disponibilidad
Falta de compromiso del negocio y falta de información apropiada sobre estrategias y planes futuros
Falta de compromiso por la alta dirección o falta de recursos y/o presupuesto para el proceso de gestión de disponibilidad
Procesos de reporte que requieran mucha mano de obra
Los procesos se enfocan mucho en la tecnología y no lo suficiente en los servicios y las necesidades del negocio
26. 26
Riesgos en la Entrega del Servicio (cont.)
Gestión de la Continuidad del Negocio y ITSCM
La Gestión de Continuidad del Negocio (BCM) se encarga de gestionar los riesgos para asegurar que una organización pueda continuar operando a un nivel mínimo predeterminado
El proceso de BCM implica reducir el riesgo a un nivel aceptable y planificar la recuperación de los procesos de negocio en caso de que un riesgo se materialice y ocurra una interrupción en el negocio
La ITSCM permite a una organización de TI identificar, valorar y tomar responsabilidad para gestionar sus riesgos
27. 27
Riesgos en la Entrega del Servicio (cont.)
Algunos de los riesgos importantes asociados con la Gestión de la Capacidad incluyen:
Falta de compromiso del negocio hacia el proceso de gestión de la capacidad
Falta de información apropiada del negocio sobre estrategias y planes futuros
Falta de compromiso de la alta dirección o falta de recursos y/o presupuesto para el proceso de gestión de capacidad
Proceso muy burocrático
Los reportes e información proporcionados son muy voluminosos o muy técnicos y no proporcionan la información requerida o apropiada para los clientes y el negocio
28. 28
Riesgos en la Entrega del Servicio (cont.)
Áreas de riesgo importante asociadas con la Gestión de la Seguridad de la Información incluyen:
Falta de compromiso del negocio hacia el proceso de gestión de la seguridad de la información
Falta de compromiso del negocio y falta de información apropiada sobre estrategias y planes futuros
Falta de compromiso por parte de la alta dirección y falta de recursos y/o presupuesto para el proceso de gestión de la seguridad de la información
El proceso se enfoca mucho en asuntos tecnológicos y no lo suficiente en los servicios de TI y las necesidades y prioridades del negocio
Las políticas de seguridad se vuelven burocráticas y/o excesivamente difíciles de seguir, desalentando el cumplimiento
29. 29
Riesgos en la Gestión de Proveedores
Falta de compromiso del negocio y la alta dirección hacia los procesos y procedimientos de gestión de proveedores
Falta de información apropiada sobre las futuras estrategias, planes y políticas del negocio y de TI
Falta de recursos y/o presupuesto para el proceso de gestión de proveedores
Legado de contratos mal escritos y acordados que no soporten las necesidades del negocio o los objetivos del los SLAs y SLRs
Objetivos y niveles de servicio dentro de los contratos que son imposibles de cumplir
Incapacidad para poder cumplir los términos y condiciones del contrato
Gestión de Proveedores
Las áreas de riesgo importantes asociadas con la Gestión de Proveedores incluyen:
30. 30
Riesgos en la Gestión de Proveedores (cont.)
Gestión de Proveedores Las áreas de riesgo importantes asociadas con la Gestión de Proveedores incluyen (cont.):
El personal del proveedor o la cultura organizacional no están alineados con el negocio o el prestador de servicios
Falta de claridad e integración por el proveedor con los procesos, políticas y procedimientos de gestión de servicios del prestador de servicios
Los proveedores no son cooperativos y no están dispuestos a tomar parte y soportar el proceso de gestión de proveedores requerido
Los proveedores son absorbidos y las relaciones, personal y contratos cambian
31. 31
Riesgos en Procesos de Resolución
Gestión de Incidentes Las áreas de riesgo importantes asociadas con la Gestión de Incidentes incluyen:
Estar inundado con incidentes que no pueden ser tratados dentro de escalas de tiempo aceptables debido a falta de recursos disponibles o capacitados apropiadamente
Atraso no deseado de incidentes creados por herramientas de soporte inadecuadas que lanzan alertas y apuntan el progreso
Falta de fuentes de información oportunas y/o adecuadas debido a herramientas inadecuadas o falta de integración
Falta de concordancia en objetivos o acciones debido a OLAs y/o UCs mal alineados o inexistentes
32. 32
Riesgos en Procesos de Resolución (cont.)
Cumplimiento de Solicitudes
Los riesgos que pueden ser encontrados en el Cumplimiento de Solicitudes incluyen:
Alcance definido pobremente, donde la gente no tenga claro exactamente que se espera que maneje el proceso
Interfaces de usuario pobremente diseñadas o implementadas y que los de tal forma que los usuarios tengan dificultad en levantar solicitudes que necesitan
Procesos mal diseñados u operados que son incapaces de tratar con el volumen o naturaleza de las solicitudes realizadas
Capacidades de monitoreo inadecuadas de tal forma que no se pueden recolectar métricas precisas
33. 33
Riesgos en Procesos de Resolución (cont.)
Gestión de Problemas Los riesgos que pueden ser encontrados en el proceso de Gestión de Problemas incluyen:
Estar inundado de problemas que no pueden manejados dentro de las escalas de tiempo aceptables debido a falta de recursos disponibles o bien capacitados
Los problemas se atascan y no progresan como es la intención debido a herramientas de soporte inadecuadas para la investigación
Falta de fuentes de información adecuadas y/o oportunas debido a falta de integración o herramientas inadecuadas
Falta de concordancia en objetivos o acciones debido a OLAs y/o UCs mal alineados o inexistentes
34. 34
Riesgos en los Procesos de Control
Gestión de Configuraciones
Los riesgos que pueden ser encontrados en el proceso de Gestión de Configuraciones y Activos de servicio incluyen:
La tentación de considerarla enfocada a la tecnología (en vez de enfocada al negocio y al servicio)
Degradación de la precisión de la información de configuración con el tiempo, que puede causar errores y ser difícil y costoso corregirlos
Establecer el alcance muy amplio, causando costo y esfuerzos excesivos por un beneficio insuficiente
Establecer el alcance muy limitado, de tal forma el proceso tiene muy poco beneficio
El CMS se vuelve obsoleto debido al movimiento de activos de hardware por personal no autorizado
35. 35
Riesgos en los Procesos de Control (cont.)
Gestión de Cambios
Los riesgos que pueden ser encontrados en el proceso de Gestión de Cambios incluyen:
Falta de compromiso hacia el proceso de gestión de cambios por el negocio
Falta de compromiso con el proceso de gestión de cambios por la dirección de TI
Falta de compromiso con el proceso de gestión de cambios por el personal de TI
Implementación de cambios sin el uso de la gestión de cambios
Introducción de retrasos en la implementación de cambios sin agregar suficiente valor
36. 36
Riesgos en los Procesos de Control (cont.)
Gestión de Cambios
Los riesgos que pueden ser encontrados en el proceso de Gestión de Cambios incluyen (cont.):
Tiempo insuficiente permitido para una valoración de cambios apropiada
Tiempo insuficiente permitido para la implementación de cambios
Recursos insuficientes para la valoración, planificación e implementación del número de cambios requeridos por el negocio
Falta de claridad sobre cómo la gestión de cambios debería interactuar con otros procesos de gestión de servicios
Falta de claridad sobre cómo la gestión de cambios debería interactuar con otros procesos de gestión de servicios
37. 37
Riesgos en los Procesos de Control (cont.)
Gestión de Liberaciones y Despliegues
Los riesgos que pueden ser encontrados en el proceso de Gestión de Liberaciones y Despliegues incluyen:
Utilizar personal que no está dedicado a las actividades de liberaciones y despliegues, especialmente si el esfuerzo toma una cantidad significativa de su tiempo
Caer en el uso del proceso de gestión de liberaciones y despliegues para gestionar el servicio de retiro
Políticas corporativas inadecuadas, p.ej. seguridad, licencias de software
Dificultad al rastrear y gestionar las licencias de software, p.ej. debido a complejidad
38. 38
Riesgos en los Procesos de Control (cont.)
Cambios inesperados en controles regulatorios o requerimientos de licencias
Expectativas/objetivos dudosos de los clientes, usuarios, proveedores y otros proveedores
Malos entendidos/diferencias culturales (entre clientes, usuarios, proveedores y otros proveedores)
Gestión de Liberaciones y Despliegues
Los riesgos que pueden ser encontrados en el proceso de Gestión de Liberaciones y Despliegues incluyen (cont.):
Malos entendidos/diferencias culturales (entre clientes, usuarios, proveedores y otros proveedores)
39. 39
Riesgos en los Procesos de Control (cont.)
Falta de claridad sobre los roles y las responsabilidades
Intereses personales que crean conflicto y comprometen la calidad
Falla al obtener autorización apropiada en el tiempo correcto
Gestión de Liberaciones y Despliegues Los riesgos que pueden ser encontrados en el proceso de Gestión de Liberaciones y Despliegues incluyen (cont.):
Indecisión o tardanza en la toma de decisiones
Falla de soporte operativo
Falla de los proveedores en cumplir las obligaciones contractuales
Retrasos en la negociación contractual
40. 40
Riesgos en los Procesos de Control (cont.)
Diseño inadecuado
Gestión de Liberaciones y Despliegues Los riesgos que pueden ser encontrados en el proceso de Gestión de Liberaciones y Despliegues incluyen (cont.):
Falla en la infraestructura
Diferencias/dependencias en la infraestructura/aplicaciones
Barreras o restricciones imprevistas debido a la infraestructura
Cambio organizacional que tiene un impacto importante en la moral de los empleados
41. Con la colaboración de ...
Global Lynx de México S.A. de C.V.
Génova 33-101, Col. Juárez, CP 06600. México. D.F.
Teléfonos: +52 (55) 5511 0193 / 95 / 97
Web: www.globallynx.com
Email: contacto@globallynx.com
Ponente
Luis Alberto Ochoa Castillejos Su experiencia principal es diseñar e implementar mejoras en la administración de servicios de tecnología de información enfocados a las mejores prácticas de ITIL, ISO/IEC 20000, ISO/IEC 27000, COBIT e ISO/IEC 27000. Ha desarrollado proyectos en organizaciones como: Grupo Mexicano de Seguros GMX, IMSS, Compartamos Banco, NEXTEL, MAXCOM, Hewlett Packard, Triara, PEMEX GIT, SAT, Banco de México, CFE CENACE, PEMEX DCF, Banco Bital, Banco Banamex, Pemex PEP, Telmex, Roche Syntex, ALESTRA, UNINET, Daimler-Chrysler, UNI2 (España), TELESP (Brasil), PEMEX PGPB, AHMSA, CISEN, Grupo Jumex entre otros
42. Con la colaboración de:
@exin_es
¡GRACIAS!
youtube/exinexams
facebook.com/EXINEnCastellano
slideshare.net/EXINEnCastellano