Latin cacs 2004 CC CZ
-
Upload
carlos-chalico -
Category
Technology
-
view
101 -
download
2
Transcript of Latin cacs 2004 CC CZ
Sesión # 311 Estimación del Retorno de Inversión en Proyectos Relacionados con la Generación, Administración y
Protección de Información Carlos Zamora, CISA, CISM / Conseti
Carlos Chalico, CISA, CISSP, CISM / Mancera Ernst & Young
2
Agenda
• Objetivos de la sesión • Revisión de conceptos generales. • Tendencias. • Identificación de retos. • La brecha de seguridad. • La justificación financiera de proyectos como parte de la estrategia
de negocio. • La importancia de la estimación del retorno de la inversión en
proyectos de generación, administración y protección de información.
• Las 7 Cs de la calidad en el contenido de un caso de negocio. • Los roles del caso de negocio en la vida de un proyecto. • Elementos que deben formar un caso de negocio. • Marco de trabajo para definir un caso de negocio basado en ROI. • Identificando costos ocultos e impactos colaterales.
3
Agenda
• Proyección financiera estática y dinámica. • Marco metodológico sugerido para estimar el ROI. • Requerimientos y factores críticos de éxito. • Caso práctico. • El análisis de riesgos. • La diferencia entre generación – administración y protección de la
información al estimar retornos de inversión. • De la preocupación a la conciencia. • Modelo de seguridad de la información. • Riesgos de seguridad de la información = Riesgos de negocio. • El análisis ROSI. • Estimando el ROSI. • Valor en riesgo. • Caso práctico. • Preguntas. • Conclusiones.
4
Objetivos de la Sesión
• Facilitar el entendimiento de los elementos mínimos con los que debe contar la estimación del Retorno de Inversión en proyectos relacionados con la generación, administración y protección de la información.
• Proporcionar elementos que faciliten el desarrollo de casos de negocio que justifiquen la inversión en este tipo de proyectos.
• Revisar el papel que juega el análisis de riesgos en este tipo de proyectos y analizar cómo marca una diferencia importante entre la protección de información y la generación o administración de la misma.
• Al concluir la sesión, el participante identificará al análisis del retorno de inversión en lo particular y al desarrollo de casos de negocio en lo general, como vehículos indispensables en la generación de proyectos exitosos.
5
Revisión de Conceptos Generales
El grado en el que puedes expresar algo en números representa el grado en el que realmente lo entiendes.
—William Thompson, “Lord Kelvin”
(1824–1907)
7
Una realidad en las empresas ...“En un 70% de las ocasiones, las organizaciones no ven
capitalizada su inversión en Tecnología de Información
con los beneficios esperados en el tiempo estimado,
impactando sus finanzas, operación y negocio en
general.” – www.intermanagers.com
Revisión de Conceptos Generales
8
• “De las empresas que sufren una avería a los 15 días de haber sucedido un desastre, las estadísticas destacan que un 56% NUNCA podrá reiniciar sus actividades, mientras que un 29% estará en riesgo de cerrar sus operaciones en los siguientes dos años” – Information Systems Control Journal
• “Sin la necesidad de cambiar máquinas o sustituir al personal, las empresas pueden incrementar su competitividad hasta 100%, sólo modificando algunos puntos clave en los que su productividad se vea frenada sin tener que hacer costosas inversiones” – Bussiness Harvard Review
• “En México los directores de las empresas dedican el 70% de su tiempo a labores de contexto y organización de sus áreas, en lugar de preocuparse por elevar la competitividad de la compañía” – Mundo Ejecutivo
Revisión de Conceptos Generales
9
¿Nuestra estrategia ya incorpora todas las
posibilidades de negocio que las nuevas Tecnologías de la Información nos habilitan?
Revisión de Conceptos Generales
10
• Justificar la viabilidad económica para la asignación de Recursos Humanos y Financieros a un proyecto de este tipo, como soporte a los procesos de generación, administración y protección de la información
• Proyección del flujo de inversión requerido para la elaboración del presupuesto
Objetivo del estudio Costo - Beneficio
Revisión de Conceptos Generales
11
• El ROI de proyectos de generación, administración y protección de la información es un mecanismo de control que forma parte de la Planeación Estratégica, según las mejores prácticas de Gobierno de TI
- PO5 (CoBIT) Managing IT Investment IT GOVERNANCE INSTITUTE
Revisión de Conceptos Generales
12
• ¿Qué significa el término información? – Datos organizados en una forma que es útil para las personas que la
reciben. La información es requerida por las personas para mejorar su comprensión y lograr objetivos específicos*. La información es usada para la toma de decisiones, es por ello que es considerada uno de los activos más importantes.
• ¿Qué tipo de información existe? – Documental. – Cognoscitiva. – Electrónica.
• ¿Qué es la seguridad de la información? – Disciplina que tiene por objeto salvaguardar la confidencialidad,
integridad y disponibilidad de la información, en alineación con los objetivos estratégicos del negocio al que sirve.
Seguridad Informática*Fuente: Computers Today; Donald Sanders
Revisión de Conceptos Generales
13
• La conciencia en torno al tema de Seguridad de la Información es baja.
• Son pocos los CEO o incluso CxO que se involucran. • Generalmente sólo el CIO se relaciona. • Se da enfoque unidimensional al concepto. • Es poca la legislación que existe en Latinoamérica en torno a
este tema. • La poca legislación que existe se conoce en bajo grado. • Altos niveles de preocupación e indiferencia, pocos de
conciencia (este tema en particular se detallará al hablar de la diapositiva 41, más adelante).
• Crece la brecha de seguridad. • Existen conflictos en el entendimiento del concepto “Seguridad
de la Información”.
Tendencias
14
• El principal rubro de inversión es la tecnología (94%).
• 16% reporta a su consejo de dirección sobre incidentes de seguridad de la información en una base mensual.
• 19% mantiene completamente alineado su modelo de seguridad de la información a la estrategia de negocio.
• En América Latina sólo el 9% considera tener un modelo de seguridad de clase mundial o adecuado.
• La limitación presupuestal es el principal obstáculo (60%).
• Sólo alrededor de un 20% calcula un retorno de inversión.
• Menos de la mitad considera tener habilidades para detectar un incidente o reaccionar a él.
Fuente: Encuesta Global de Seguridad de la Información. Ernst & Young 2003. 1400 Encuestados, 66 países, México incluido.
Tendencias
15
• La necesidad por atender iniciativas de seguridad crecerá a nivel global un 19.8% por año del 2004 a 2008.
• El crecimiento de regulaciones en el continente americano aumentará la demanda de servicios de seguridad de la información.
• Resaltará la importancia de comprender la Evaluación de Riesgos.
• Las mejoras en la Seguridad Nacional de todos los países requerirán mayores inversiones en seguridad de la información.
Fuente: Key Forecast Assumptions for the Worldwide Security Services Market, 2004-2008 (IDC)
Tendencias
16
• Se desarrollarán mejores herramientas para la medición del retorno de la inversión, sin utilizar métricas estandarizadas.
• Servicios proactivos, como los de administración de actualizaciones de seguridad, pruebas de penetración / aplicación y desarrollo de servicios, ayudarán a aliviar el dolor sufrido por muchas organizaciones.
• La participación de los especialistas de seguridad se realizará en etapas más tempranas del procesamiento de datos (desarrollo, adquisición).
• El tema de control de acceso tomará más fuerza.Fuente: Key Forecast Assumptions for the Worldwide Security Services Market, 2004-2008 (IDC)
Tendencias
17
¿ qué quiero mejorar en mi organización ?
¿ qué procesos debo revisar para lograr esos objetivos ?
¿ qué soluciones tecnológicas requiero para habilitar mis nuevos procesos ?
… las preguntas deben ser :
¿ qué beneficios me trae esa solución a mi organización ?
… y no simplemente:
Identificación de Retos
18
Beneficios esperados
Beneficios planeados
En la Evaluación de una Solución Tecnológica, los beneficios a considerar, no son los que cada una de las soluciones tecnológicas evaluadas me pueda dar…….Son los que nuestra estrategia nos exija.
Operativos Estratégicos
Cualitativos Cuantitativos
Identificación de Retos
19
•Reducción de inventarios
• Reducción de reprocesos de información
• Simplificación de procesos operativos (cobros, pedidos, etc.)
• Reducción de costos operativos
• Reducción de costos administrativos
• Análisis operativo y financiero de la empresa, en tiempo real
• Soporte de decisiones: información real, congruente y oportuna
• Mejor capacidad de respuesta al cliente
• Pronósticos más certeros
• Reducción del ciclo total de proceso
• Optimización de recursos escasos
• Habilitación de nuevos negocios
• Habilitación de nuevos canales
Operativos Estratégicos
Identificación de Retos
20
• Aumento en inversión de tecnología de información en general.
• Incremento en el uso de nuevas tecnologías en lo particular (dispositivos inalámbricos).
• Ausencia de la función de seguridad de la información en múltiples organizaciones.
• Falta de participación de los CxO en el tema • Falta de participación de la función de seguridad de la
información en las etapas tempranas de adquisición e implantación de soluciones de manejo de información.
• Traducción de los riesgos derivados del manejo de información en riesgos de negocio.
Identificación de Retos
21
La Brecha de SeguridadIn
vers
ión
Tota
l
Alto
Bajo1990’s 2000’sTiempo
Brecha de SeguridadSistemas de Información
Seguridad de la Información
22
La Justificación Financiera de Proyectos como Parte de la Estrategia de Negocio
Planeación estratégica
Análisis de procesos
Administración de proyectos
Dirección e infraestructura
Sistem
as e infraestructura
tecnológica
Desempeño y Logros
Eva
luac
ión
Administrar (tecnología de) Información
Estrategia de negocio
Implantación
Desempeño y
Logros
Desem
peño y Logros
Requerimientos de TI
EvaluaciónEvaluación de
proyectos
ADMINISTRACIÓN DE RIESGOS
23
• Basada en un análisis de costos y oportunidades otorga certidumbre a los accionistas
• Compromete a la Administración y dueños de procesos con los Resultados proyectados
• Basada en un análisis de Riesgos es una herramienta que reduce la probabilidad de fracaso de la inversión
• Es un elemento que forma parte de la Estrategia de Administración de la organización
La Importancia de la Estimación del Retorno de la Inversión.
24
• Requiere de una especificación y análisis de Factibilidad que contribuye a alinear a la estrategia de negocio y a la estrategia tecnológica
• Genera “sinergia” y “compromiso” con los equipos de trabajo (Procesos y Tecnología)
• Considera los escenarios futuros y los factores críticos de éxito para conseguir los resultados esperados
• Es un ejercicio que facilita el “aprendizaje” y colabora con el ciclo de madurez de la organización
La Importancia de la Estimación del Retorno de la Inversión.
25
Las 7 Cs de la Calidad en el Contenido *
• Correcto alineamiento con la decisión. • Concentración en todos los participantes de la
decisión y reflejo en el criterio de decisión. • Completo análisis de todas las áreas de valor. • Conexión con los objetivos de negocio. • Credibilidad de análisis. • Conciencia de expresión. • Compendio de sucesos de éxito.
*Fuente: Making Technology Investments Profitable; Jack Keen, Bonnie Digrius
26
Los Roles del Caso de Negocio en la Vida de un Proyecto
• Durante el Fondeo. – “Imán” de Dinero.
• Durante la Implantación. – Convencedor de Audiencias. – Timón. – Porrista. – Recordatorio de Ejecutivos.
• Durante la Vida Operacional. – Medidor del progreso en la entrega de valor.
*Fuente: Making Technology Investments Profitable; Jack Keen, Bonnie Digrius
27
Procesos duplicados y repetitivos
Problemas de acceso y disponibilidad de
informaciónProcesos
que pueden automatizarse
Cuantificar beneficios operativos y estratégicos
Elementos que Deben Formar un Caso de Negocio
Identificar
28
Beneficios Cualitativos y Cuantitativos
Beneficios Directos
Beneficios IndirectosRiesgos y
Factores críticos de éxito
Calificar
Elementos que Deben Formar un Caso de Negocio
29
Requerimientosde Negocio
Recursos deTI
Procesosde TIPl
anea
ción
Aná
lisis
de
la e
stra
tegi
a O
rgan
izac
iona
lEs
tabl
ecim
ient
o de
Age
nda
y Pr
esup
uest
o de
Pr
oyec
tos
Inte
grac
ión,
del
RFP
, Est
rate
gia
y pr
oced
imie
nto
de c
ontr
ol d
e A
dqui
sici
ón d
el T
.I.
Equipos de Trabajo
■ AREA DE SISTEMAS
■ FINANZAS
■ AREAS DE NEGOCIO
Aplicación de Normas, Políticas y Procedimientos
Marco de Trabajo para Definir un Caso de Negocio Basado en ROI
30
Identificando Costos Ocultos e Impactos Colaterales
•Curva de Aprendizaje
• Costos de Capacitación continua
• Soporte consultivo adicional
• Impacto en las Capacidades de la Infraestructura (Hardware, Software, Comunicaciones)
• Impacto en el Soporte técnico y de Servicios después de la implantación
• Administración del Cambio
• Mantenimiento de la Tecnología
•Cultura organizacional
• Esquemas de Operación y Colaboración
• Seguridad de la Información
• Esquema en la toma de decisiones
• Relaciones con clientes y proveedores
• Aprendizaje organizacional
• Cambios en el Control Interno y procesos
• Habilitación de nuevas políticas y procedimientos
• Seguridad
Costos Ocultos Impactos Colaterales
31
Marco Metodológico sugerido para Estimar el ROI
PROCESO DE ADMINISTRACION DEL PROYECTO
ANALISIS Y EVALUACIÓN DE RIESGOS
ANALISIS DE REQUERIMIENTOS
DE NEGOCIO
DETERMINAR BENEFICIOS ESPERADOS
PROYECCIÓN DE ESCENARIOS Y ANÁLISIS DE
RIESGOS
ESTUDIO DE COSTOS Y
PLANEACION DE
LA CAPACIDAD
ESTIMACIÓN FINANCIERA ESTÁTICA Y DINÁMICA
VALIDACIÓN DE
RESULTADOS Y ESTRATEGIA
VALIDACIÓN Y SOPORTE ESTRATÉGICO A LAS PROYECCIONES DEL PROYECTO
“...Recordar que es un ejercicio de estimación y proyección de escenarios operativos y de proceso con una fuerte carga
de subjetividad, conforme madure la práctica, los resultados del ejercicio tendrán mayor certidumbre..”
32
Proyección Financiera Estática y Dinámica
Proyección Estática
• Suma de la Cuantificación de Beneficios por periodo establecido para el proyecto.
• Determinación del Periodo de desarrollo e implantación del proyecto para puesta en marcha
• Comparativo entre la Inversión Total del Proyecto y el Beneficio cuantificado hacia el proyecto
Inversión Total del Proyecto Sumatoria de beneficios cuantificados en el Periodo Determinado
Proyección Dinámica
• Considera el desarrollo del análisis costo-beneficio en el tiempo.
• Se proyectan los flujos de la inversión y los flujos de los beneficios del proyecto.
• Se considera el Valor Futuro y el Valor Presente Neto del Dinero de acuerdo a la inflación
• Considera la Tasa Interna de Retorno (TIR)
• Se proyecta el flujo financiero de acuerdo a un periodo de tiempo (Semanas, Meses, Años).
33
Proyección Estática Proyección Dinámica
ROI Dólar = 9.52426431
Proyección estática en número gruesos:
Opción 1Inversión 944,191 Recuperación anual 1,127,407 ROI en años = 0.8375
Opción 2Inversión 961,087 Recuperación anual 1,127,407 ROI en años = 0.8525
Opción 3Inversión 1,608,563 Recuperación anual 1,127,407 ROI en años = 1.4268
➲ Valor Presente Neto $ 2,204,000 ➲ Tasa Intera de Retorno 48.23% ➲ Periodo de Recuperación 16 - 18 Meses
Inversión Inicial $ 4,024,134.096
0 1 2 3 4 5
$ 2,526,104 $ 5,098,208.52
Tiempo
Años
Proyección Financiera Estática y Dinámica
34
Requerimientos y Factores Críticos de Éxito
Desarrollar siempre el ROI durante la fase de estudio de factibilidad del Proyecto. Involucrar siempre a las áreas de negocio, financiera y legal de la organización. Tener a la mano los presupuestos de operación del año anterior, presente y futuro general de la organización y por área. Realizar ejercicios dinámicos para identificar los beneficios esperados del proyecto. Cuantificar el impacto de los beneficios Vs los presupuestos de operación por área y global Involucrar siempre al área de R.H. Realizar el análisis de Riesgos considerando los escenarios
35
Validar la cuantificación de beneficios producto de la implantación de T.I. Con las áreas de finanzas y de procesos de acuerdo con sus registros financieros, involucrarlos al momento de realizar las proyecciones de flujo. Generar la validación de beneficios cualitativos y cuantitativos por Dirección de área de Negocio. Considerar siempre la política de adquisiciones y proyectos de la empresa. Considerar siempre la inversión en capacitación y soporte externo. Realizar sesiones de trabajo dinámicas para obtener mejores resultados.
Requerimientos y Factores Críticos de Éxito
40
Disminución de Riesgo
Reducción de Costos Incremento de Ingresos
Aumento de Productividad
La Diferencia Entre Generación – Administración y Protección de la
Información al estimar ROI
Generación – Administración
de Información
Protección de Información
Vs.
41
Análisis de Riesgos
De la Preocupación a la Conciencia
• No más FUD (Fear, Uncertainty and Doubt).
Preocupación ConcienciaRiesgo
Preocupación ConcienciaIndiferencia
Ignora los riesgos o considera que no existen. No tiene temor por las amenazas que puedan existir en el ambiente. Definitivamente no hay patrocinio, ni interés de la Alta Dirección.
Ejecuta acciones aisladas y reactivas. Teme amenazas y posibles vulnerabilidades, aunque no conoce sus riesgos. Carece de acciones encaminadas a entender sus riesgos Sospecha que ha habido incidentes, pero ignora el impacto y recurrencia de los mismos. Puede no existir patrocinio de la Alta Dirección.
El tema de seguridad de la información forma parte de la estrategia de negocio. Existe un proceso continuo y permanente de análisis de riesgos y de acciones para atenderlos La seguridad está intrínseca en el proceso de negocio. Existe un claro patrocinio de la Alta Dirección.
42
Modelo de Seguridad de la Información
Inform
ación Segura
Riesgo Administrado
Estándares Mínimos
Dependencia de la Tecnología
Impa
cto
AltaBaja
Alto
Bajo
Formal
Alcance EmpresarialAlineado Continuo
Proactivo
ValidadoPeriódico
Departamentalizado
Reactivo
Informal
Probado
Desarrollado Documentado
Responde
Programado
Independiente
Táctico
Integrado
43
Riesgos de Información =
• ¿Qué pasaría si sus equipos de cómputo se detuvieran por completo?
• ¿Se imagina con una base de datos en la que los valores de los campos pudieran ser modificados sin que se requiriera de ninguna autorización? ¿Cómo dirigiría una campaña de correo directo con direcciones equivocadas? ¿Cómo mandar facturas y estados de cuenta?
• ¿Qué pasaría si su competencia se adueñara del mercado anticipándose a atacarlo ¡CON SUS PROPIAS ESTRATEGIAS!?
• ¿Ha identificado la forma en la que su información puede y debe protegerse desde el punto de vista legal?
44
• ROSI. Return On Security Investment. • Históricamente Sistemas de Información es un centro de costo, no de
ingresos. • La seguridad de la información hereda esta visión • La seguridad de la información se relaciona con el análisis de riesgos. • El análisis de riesgos busca identificar amenazas y vulnerabilidades que un
activo o grupo de activos puede tener y mide sus probabilidades de ocurrencia.
• La seguridad de la información buscará reducir el riesgo al mínimo, a través de la definición de controles que representen valores menores a los impactos producidos por la potencial ocurrencia de las amenazas, lo que se relaciona directamente con el valor del propio activo, que se sustenta en su criticidad para el negocio.
• El problema no es nuevo. 1882 Fire sprinklers. • Investigaciones científicas Idaho University – Hummer (valuación de
ataques). @stake – Hoover (ingeniería de software).
El Análisis ROSI
45
• Premisa: – Mientras más temprano se involucre la seguridad en los procesos,
más bajo será el costo del modelo de seguridad de la información.
• Altermativas: – No hacer nada, considerar al ROSI como inválido e ir por estrategia
de FUD. – Colgar al proyecto de seguridad de otro que sí produzca un ingreso. – Calcular el ROSI.
• Elementos clave: – Activos (de información y digitales). – Criticidad. – Amenazas. – Riesgos. – Impacto.
El Análisis ROSI
46
• Los Intangibles. – Imagen. – Confianza. – Posicionamiento.
• El monto invertido no garantiza que se alcanzará un cierto nivel de seguridad, pero implica acciones y movimiento.
• No existe una relación fija entre la inversión y el retorno. • La adquisición de seguridad no es necesariamente un asunto
que se relacione con la imagen, en la mayoría de los casos será un tema del que no se pueda o deba hablar.
Estimando el ROSI
47
• Valor en Riesgo. • Manejo de intangibles a la medida. • El beneficio que debe esperarse principalmente de los
proyectos de seguridad de la información es la reducción de riesgos, no el incremento en la productividad, el aumento en los ingresos o la reducción de costos.
• El monto invertido en la atención (preventiva, detectiva, correctiva) de un incidente de seguridad, debe ser menor al impacto causado por su ocurrencia.
Estimando el ROSI
48
BeneficiosCostos
Año 1 Año 2 Año 3 Año 4 Año 5
Cos
to p
ara
la E
mpr
esa
Nivel de Inversión en Seguridad
CI
Curva de Costos Tangibles
Curva de Costos Totales
Valor de Riesgo Reducido
Valor en Riesgo
ROI Tradicional Retorno Basado en Riesgos
Valor en Riesgo
49
• Calcular el valor en riesgo. • Estimar la ocurrencia de una amenaza. • Evaluar el costo de propiedad. • Calcular el valor de la reducción del riesgo.
Valor en Riesgo
50
1. Identificar los objetivos y procesos de negocio.
2. Identificar los activos (de información y digitales) que los soportan.
3. Estimar el valor de los activos (VA) considerando elementos como costo inicial, costo de mantenimiento, valor que representa para la Compañía y/o valor que representa en el mercado para la competencia.
4. Identificar amenazas por activo.
5. Identificar vulnerabilidades y el factor de exposición (FE) por activo.
6. Determinar la tasa de ocurrencia anual (TOA) de cada vulnerabilidad por activo.
7. Determinar la expectativa de pérdida simple (EPS) multiplicando VA por FE (por amenaza por activo).
8. Determinar la expectativa de pérdida anual (EPA, también conocida como valor en riesgo) multiplicando la TOA por la EPS (por amenaza por activo).
Valor en Riesgo
51
9. Priorizar activos por EPA.
10. Diseñar soluciones por activo atendiendo a la priorización realizada y buscando alineamiento a la Política Directriz de Seguridad de la Información.
11. Estimar reducción de la EPA por la adopción de las medidas de seguridad (valor en riesgo reducido).
12. Estimar costo de soluciones considerando necesidades individuales y generales.
13. Comparar costo de soluciones contra la diferencia que exista entre la EPA y la EPA reducida de cada activo.
14. Estimar la recuperación de la inversión en función de la reducción de la EPA por activo.
15. Priorizar la ejecución de soluciones.
16. Ejecutar plan.
17. Mantenerlo.
Valor en Riesgo
54
Conclusiones
• El ROI de proyectos relacionados con la generación y administración de la información es una herramienta de estimación
• Es un factor de control interno de la organización • Es un elemento que ayuda a reducir la incertidumbre • Es una herramienta de trabajo necesaria para el ambiente
competitivo de los negocios en el siglo XXI • Favorece a la madurez de las organizaciones • Compromete a la Alta Dirección y Gerencias con los
resultados proyectados por ellos mismos ante los accionistas • Es un ejercicio que favorece el “aprendizaje” y genera sinergia
entre los equipos de trabajo
55
• La información es uno de los activos más importantes de cualquier Compañía.
• La Seguridad de la Información es un tema de negocio (tecnología, procesos, gente).
• La inversión en Seguridad de la Información debe ser realizada con un enfoque de riesgos.
• La aceptación de la inversión relacionada con la Seguridad de la Información requiere de casos de negocio adecuadamente preparados.
• Resulta de utilidad basar en prácticas líderes la definición del Modelo de Seguridad.
• Es importante: – Cerrar la Brecha de Seguridad. – Pasar de la Preocupación a la Conciencia. – Buscar la definición de un Modelo de Seguridad Maduro
Conclusiones
56
Gracias Carlos Zamora, CISA, CISM / Conseti
[email protected] Carlos Chalico, CISA, CISSP, CISM / Mancera Ernst & Young