lunes, 21 de junio de 2010

ISACA international Conference 2010 - El lenguaje de los riesgos de TI

La Information System Audit and Control Association – ISACA es una organización sin ánimo de lucro que es decana de las asociaciones en lo referente a los temas de seguridad y control en tecnologías de información. Dentro de sus múltiples actividades, anualmente organiza un evento de alcance global para reconocer los temas emergentes y retos que los profesionales en tecnologías de información, auditores y entes de aseguramiento y control, así como todos aquellos interesados en los desarrollos tecnológicos, deben advertir de cara a los cambios y tendencias que se presentan en el hacer organizacional y en los avances de la ciencia y la tecnología.

En el 2010 la conferencia internacional desarrollada en Cancún, México, deja ver claramente que las tendencias asociadas con la computación en la nube, la administración de riesgos de tecnologías de información, la generación de valor con tecnologías de información y los temas de continuidad de negocio son los elementos que marcan y marcarán la práctica de las organizaciones que asumen el reto de caminar en la nueva década del nuevo milenio.

La computación en la nube, ya no es más una tendencia, sino una realidad que empieza a desarrollarse en las empresas. Muchas de las presentaciones, incluso se estableció una pista completa para tratar el tema, se mostraron como aplicaciones prácticas del concepto, ilustrando con ejemplos y casos, la forma como se viene desplegando el concepto en países como Australia y Estados Unidos, donde se encuentran muchos de los proveedores de este servicio.

Así mismo, esta realidad hace evidente un riesgo sistémico de falla, dado que en un ecosistema interrelacionado de empresas que proveen servicios en la nube, existe una interdependencia que hace que una falla en una parte de la malla de proveedores, repercuta en el servicio de una u otra empresa. Así las cosas, esta advertencia, hacen más elaborada las reflexiones que sobre el particular se vienen haciendo para darle vida con seguridad y control al reto de los servicios en la nube.

Por otro lado la administración de los riesgos en tecnología de información, asociado con el marco general de Risk IT, establece una serie de elementos de consideración, que permiten al profesional de TI, advertir las amenazas relevantes a la generación de valor de las TIC’s en la organización, no sólo desde la perspectiva tecnológica, sino desde la visión integral de personas, tecnología y procesos. Risk IT es una herramienta estratégica y táctica que permite un gobierno eficiente y efectivo de los riesgos de tecnología en las organizaciones, para lo cual establece tres dominios de conocimiento fundamentales: gobierno de los riesgos, evaluación de los riesgos y respuesta a los riesgos.



Tomado de: ISACA. http://www.isaca.org/Knowledge-Center/PublishingImages/Risk-IT-VAL-IT-Full.jpg

La administración de los riesgos de TI, establece una práctica fundamental en los objetivos de negocio, dada la alta dependencia de la tecnología de las organizaciones modernas. Así las cosas, un marco de referencia como Risk IT, define una ruta a seguir, una forma estructural de identificar el valor y la comunicación del mismo, integrada al portafolio de iniciativas del área de tecnología, como una forma de identificar y valorar el apetito y tolerancia al riesgo de la organización sobre los temas de TI.

De igual forma, los nuevos avances en el tema de Cobit 5.0, que integra los diferentes esfuerzos de buenas prácticas que viene desarrollando ISACA tanto en el tema de riesgos, como en el de seguridad la información (Business Information Security Model), así como en el tema regulatorio y de cumplimiento, hacen parte de un giro estratégico que la asociación y su práctica internacional materializada en sus más de 40000 miembros, ha identificado. La información se convierte en el centro de la gestión misma del área de tecnología. Mientras las tecnologías de información detallan los medios para el uso de la información, la información en sí misma es la razón de ser del área de tecnología.

El valor que percibe la organización del área de TI, se refleja más en el uso mismo de la información. Es decir, en los comportamientos y valores que los individuos identifican y practican frente al procesamiento de los datos, más que en el despliegue de herramientas tecnológicas. En este contexto, el Cobit 5.0 presenta el Information Reference Model, que centra la atención de cada uno de los profesionales de TI en la riqueza misma de la información y sus diferentes relaciones de negocio y de éstos con sus clientes.

Finalmente y no menos importante, los se detallaron aspectos asociados con la continuidad del negocio donde la tecnología funge como el apalancador táctico y estratégico para que las consideraciones de las buenas prácticas revisadas se hagan realidad. De nada sirve contar con un reconocimiento del valor estratégico de la información en la organización, si el soporte de las herramientas mismas, no hace parte de la visión general del gobierno de las tecnologías de información. En este escenario, la continuidad del negocio no puede ser confundida como un seguro técnico que se compra e implementa en la infraestructura técnica de la organización, sino como un proceso estratégico y táctico que incorpora en el marco general de riesgos de TI, la manera real y práctica como la organización responde a una falla parcial o total de los equipos de computación que soportan la operación.

Las charlas asociadas con continuidad de negocio, muestran con claridad mitos y realidades que muchas veces se ignoran frente a este reto organizacional, donde la tecnología, al igual que otros elementos como las evacuaciones, pandemias, emergencias, entre otros, hacen parte de la sintonía requerida por la organización para sobrevivir a un evento bien sea fortuito, intencional o no.

Si bien el evento revisa múltiples perspectivas en los temas previamente desarrollados, es importante anotar que en la vista conjunta tanto de latinoamericanos como europeos, así como de asiáticos y americanos, el lenguaje de los riesgos hace confluir las miradas y los análisis, lo cual genera una dinámica generosa y particular que permite asistir a una conversación internacional sobre una realidad local y propia de cada empresa.

ISACA Internacional Conference 2010, es una experiencia que motiva la imaginación y el entendimiento de una realidad heterogénea y muchas veces ambigua, que sólo en una construcción colectiva de saberes es posible avizorar un modelo parcial de la realidad de la seguridad y el control en el uso de las tecnologías de información a nivel global