latin cacs 2004 cc cz

Sesión # 311 Estimación del Retorno de Inversión en Proyectos Relacionados con la Generación, Administración y

Protección de Información Carlos Zamora, CISA, CISM / Conseti

Carlos Chalico, CISA, CISSP, CISM / Mancera Ernst & Young

2

Agenda

• Objetivos de la sesión • Revisión de conceptos generales. • Tendencias. • Identificación de retos. • La brecha de seguridad. • La justificación financiera de proyectos como parte de la estrategia

de negocio. • La importancia de la estimación del retorno de la inversión en

proyectos de generación, administración y protección de información.

• Las 7 Cs de la calidad en el contenido de un caso de negocio. • Los roles del caso de negocio en la vida de un proyecto. • Elementos que deben formar un caso de negocio. • Marco de trabajo para definir un caso de negocio basado en ROI. • Identificando costos ocultos e impactos colaterales.

3

Agenda

• Proyección financiera estática y dinámica. • Marco metodológico sugerido para estimar el ROI. • Requerimientos y factores críticos de éxito. • Caso práctico. • El análisis de riesgos. • La diferencia entre generación – administración y protección de la

información al estimar retornos de inversión. • De la preocupación a la conciencia. • Modelo de seguridad de la información. • Riesgos de seguridad de la información = Riesgos de negocio. • El análisis ROSI. • Estimando el ROSI. • Valor en riesgo. • Caso práctico. • Preguntas. • Conclusiones.

4

Objetivos de la Sesión

• Facilitar el entendimiento de los elementos mínimos con los que debe contar la estimación del Retorno de Inversión en proyectos relacionados con la generación, administración y protección de la información.

• Proporcionar elementos que faciliten el desarrollo de casos de negocio que justifiquen la inversión en este tipo de proyectos.

• Revisar el papel que juega el análisis de riesgos en este tipo de proyectos y analizar cómo marca una diferencia importante entre la protección de información y la generación o administración de la misma.

• Al concluir la sesión, el participante identificará al análisis del retorno de inversión en lo particular y al desarrollo de casos de negocio en lo general, como vehículos indispensables en la generación de proyectos exitosos.

5

Revisión de Conceptos Generales

El grado en el que puedes expresar algo en números representa el grado en el que realmente lo entiendes.

—William Thompson, “Lord Kelvin”

(1824–1907)

6

?Se recupera la inversión

en una solución de

este tipo

¿

7

Una realidad en las empresas ...“En un 70% de las ocasiones, las organizaciones no ven

capitalizada su inversión en Tecnología de Información

con los beneficios esperados en el tiempo estimado,

impactando sus finanzas, operación y negocio en

general.” – www.intermanagers.com


8

• “De las empresas que sufren una avería a los 15 días de haber sucedido un desastre, las estadísticas destacan que un 56% NUNCA podrá reiniciar sus actividades, mientras que un 29% estará en riesgo de cerrar sus operaciones en los siguientes dos años” – Information Systems Control Journal

• “Sin la necesidad de cambiar máquinas o sustituir al personal, las empresas pueden incrementar su competitividad hasta 100%, sólo modificando algunos puntos clave en los que su productividad se vea frenada sin tener que hacer costosas inversiones” – Bussiness Harvard Review

• “En México los directores de las empresas dedican el 70% de su tiempo a labores de contexto y organización de sus áreas, en lugar de preocuparse por elevar la competitividad de la compañía” – Mundo Ejecutivo


9

¿Nuestra estrategia ya incorpora todas las

posibilidades de negocio que las nuevas Tecnologías de la Información nos habilitan?


10

• Justificar la viabilidad económica para la asignación de Recursos Humanos y Financieros a un proyecto de este tipo, como soporte a los procesos de generación, administración y protección de la información

• Proyección del flujo de inversión requerido para la elaboración del presupuesto

Objetivo del estudio Costo - Beneficio


11

• El ROI de proyectos de generación, administración y protección de la información es un mecanismo de control que forma parte de la Planeación Estratégica, según las mejores prácticas de Gobierno de TI

- PO5 (CoBIT) Managing IT Investment IT GOVERNANCE INSTITUTE


12

• ¿Qué significa el término información? – Datos organizados en una forma que es útil para las personas que la

reciben. La información es requerida por las personas para mejorar su comprensión y lograr objetivos específicos*. La información es usada para la toma de decisiones, es por ello que es considerada uno de los activos más importantes.

• ¿Qué tipo de información existe? – Documental. – Cognoscitiva. – Electrónica.

• ¿Qué es la seguridad de la información? – Disciplina que tiene por objeto salvaguardar la confidencialidad,

integridad y disponibilidad de la información, en alineación con los objetivos estratégicos del negocio al que sirve.

Seguridad Informática*Fuente: Computers Today; Donald Sanders


13

• La conciencia en torno al tema de Seguridad de la Información es baja.

• Son pocos los CEO o incluso CxO que se involucran. • Generalmente sólo el CIO se relaciona. • Se da enfoque unidimensional al concepto. • Es poca la legislación que existe en Latinoamérica en torno a

este tema. • La poca legislación que existe se conoce en bajo grado. • Altos niveles de preocupación e indiferencia, pocos de

conciencia (este tema en particular se detallará al hablar de la diapositiva 41, más adelante).

• Crece la brecha de seguridad. • Existen conflictos en el entendimiento del concepto “Seguridad

de la Información”.

Tendencias

14

• El principal rubro de inversión es la tecnología (94%).

• 16% reporta a su consejo de dirección sobre incidentes de seguridad de la información en una base mensual.

• 19% mantiene completamente alineado su modelo de seguridad de la información a la estrategia de negocio.

• En América Latina sólo el 9% considera tener un modelo de seguridad de clase mundial o adecuado.

• La limitación presupuestal es el principal obstáculo (60%).

• Sólo alrededor de un 20% calcula un retorno de inversión.

• Menos de la mitad considera tener habilidades para detectar un incidente o reaccionar a él.

Fuente: Encuesta Global de Seguridad de la Información. Ernst & Young 2003. 1400 Encuestados, 66 países, México incluido.

Tendencias

15

• La necesidad por atender iniciativas de seguridad crecerá a nivel global un 19.8% por año del 2004 a 2008.

• El crecimiento de regulaciones en el continente americano aumentará la demanda de servicios de seguridad de la información.

• Resaltará la importancia de comprender la Evaluación de Riesgos.

• Las mejoras en la Seguridad Nacional de todos los países requerirán mayores inversiones en seguridad de la información.

Fuente: Key Forecast Assumptions for the Worldwide Security Services Market, 2004-2008 (IDC)

Tendencias

16

• Se desarrollarán mejores herramientas para la medición del retorno de la inversión, sin utilizar métricas estandarizadas.

• Servicios proactivos, como los de administración de actualizaciones de seguridad, pruebas de penetración / aplicación y desarrollo de servicios, ayudarán a aliviar el dolor sufrido por muchas organizaciones.

• La participación de los especialistas de seguridad se realizará en etapas más tempranas del procesamiento de datos (desarrollo, adquisición).

• El tema de control de acceso tomará más fuerza.Fuente: Key Forecast Assumptions for the Worldwide Security Services Market, 2004-2008 (IDC)

Tendencias

17

¿ qué quiero mejorar en mi organización ?

¿ qué procesos debo revisar para lograr esos objetivos ?

¿ qué soluciones tecnológicas requiero para habilitar mis nuevos procesos ?

… las preguntas deben ser :

¿ qué beneficios me trae esa solución a mi organización ?

… y no simplemente:

Identificación de Retos

18

Beneficios esperados

Beneficios planeados

En la Evaluación de una Solución Tecnológica, los beneficios a considerar, no son los que cada una de las soluciones tecnológicas evaluadas me pueda dar…….Son los que nuestra estrategia nos exija.

Operativos Estratégicos

Cualitativos Cuantitativos


19

•Reducción de inventarios

• Reducción de reprocesos de información

• Simplificación de procesos operativos (cobros, pedidos, etc.)

• Reducción de costos operativos

• Reducción de costos administrativos

• Análisis operativo y financiero de la empresa, en tiempo real

• Soporte de decisiones: información real, congruente y oportuna

• Mejor capacidad de respuesta al cliente

• Pronósticos más certeros

• Reducción del ciclo total de proceso

• Optimización de recursos escasos

• Habilitación de nuevos negocios

• Habilitación de nuevos canales

Operativos Estratégicos


20

• Aumento en inversión de tecnología de información en general.

• Incremento en el uso de nuevas tecnologías en lo particular (dispositivos inalámbricos).

• Ausencia de la función de seguridad de la información en múltiples organizaciones.

• Falta de participación de los CxO en el tema • Falta de participación de la función de seguridad de la

información en las etapas tempranas de adquisición e implantación de soluciones de manejo de información.

• Traducción de los riesgos derivados del manejo de información en riesgos de negocio.


21

La Brecha de SeguridadIn

vers

ión

Tota

l

Alto

Bajo1990’s 2000’sTiempo

Brecha de SeguridadSistemas de Información

Seguridad de la Información

22

La Justificación Financiera de Proyectos como Parte de la Estrategia de Negocio

Planeación estratégica

Análisis de procesos

Administración de proyectos

Dirección e infraestructura

Sistem

as e infraestructura

tecnológica

Desempeño y Logros

Eva

luac

ión

Administrar (tecnología de) Información

Estrategia de negocio

Implantación

Desempeño y

Logros

Desem

peño y Logros

Requerimientos de TI

EvaluaciónEvaluación de

proyectos

ADMINISTRACIÓN DE RIESGOS

23

• Basada en un análisis de costos y oportunidades otorga certidumbre a los accionistas

• Compromete a la Administración y dueños de procesos con los Resultados proyectados

• Basada en un análisis de Riesgos es una herramienta que reduce la probabilidad de fracaso de la inversión

• Es un elemento que forma parte de la Estrategia de Administración de la organización

La Importancia de la Estimación del Retorno de la Inversión.

24

• Requiere de una especificación y análisis de Factibilidad que contribuye a alinear a la estrategia de negocio y a la estrategia tecnológica

• Genera “sinergia” y “compromiso” con los equipos de trabajo (Procesos y Tecnología)

• Considera los escenarios futuros y los factores críticos de éxito para conseguir los resultados esperados

• Es un ejercicio que facilita el “aprendizaje” y colabora con el ciclo de madurez de la organización

La Importancia de la Estimación del Retorno de la Inversión.

25

Las 7 Cs de la Calidad en el Contenido *

• Correcto alineamiento con la decisión. • Concentración en todos los participantes de la

decisión y reflejo en el criterio de decisión. • Completo análisis de todas las áreas de valor. • Conexión con los objetivos de negocio. • Credibilidad de análisis. • Conciencia de expresión. • Compendio de sucesos de éxito.

*Fuente: Making Technology Investments Profitable; Jack Keen, Bonnie Digrius

26

Los Roles del Caso de Negocio en la Vida de un Proyecto

• Durante el Fondeo. – “Imán” de Dinero.

• Durante la Implantación. – Convencedor de Audiencias. – Timón. – Porrista. – Recordatorio de Ejecutivos.

• Durante la Vida Operacional. – Medidor del progreso en la entrega de valor.

*Fuente: Making Technology Investments Profitable; Jack Keen, Bonnie Digrius

27

Procesos duplicados y repetitivos

Problemas de acceso y disponibilidad de

informaciónProcesos

que pueden automatizarse

Cuantificar beneficios operativos y estratégicos

Elementos que Deben Formar un Caso de Negocio

Identificar

28

Beneficios Cualitativos y Cuantitativos

Beneficios Directos

Beneficios IndirectosRiesgos y

Factores críticos de éxito

Calificar

Elementos que Deben Formar un Caso de Negocio

29

Requerimientosde Negocio

Recursos deTI

Procesosde TIPl

anea

ción

Aná

lisis

de

la e

stra

tegi

a O

rgan

izac

iona

lEs

tabl

ecim

ient

o de

Age

nda

y Pr

esup

uest

o de

Pr

oyec

tos

Inte

grac

ión,

del

RFP

, Est

rate

gia

y pr

oced

imie

nto

de c

ontr

ol d

e A

dqui

sici

ón d

el T

.I.

Equipos de Trabajo

■ AREA DE SISTEMAS

■ FINANZAS

■ AREAS DE NEGOCIO

Aplicación de Normas, Políticas y Procedimientos

Marco de Trabajo para Definir un Caso de Negocio Basado en ROI

30

Identificando Costos Ocultos e Impactos Colaterales

•Curva de Aprendizaje

• Costos de Capacitación continua

• Soporte consultivo adicional

• Impacto en las Capacidades de la Infraestructura (Hardware, Software, Comunicaciones)

• Impacto en el Soporte técnico y de Servicios después de la implantación

• Administración del Cambio

• Mantenimiento de la Tecnología

•Cultura organizacional

• Esquemas de Operación y Colaboración

• Seguridad de la Información

• Esquema en la toma de decisiones

• Relaciones con clientes y proveedores

• Aprendizaje organizacional

• Cambios en el Control Interno y procesos

• Habilitación de nuevas políticas y procedimientos

• Seguridad

Costos Ocultos Impactos Colaterales

31

Marco Metodológico sugerido para Estimar el ROI

PROCESO DE ADMINISTRACION DEL PROYECTO

ANALISIS Y EVALUACIÓN DE RIESGOS

ANALISIS DE REQUERIMIENTOS

DE NEGOCIO

DETERMINAR BENEFICIOS ESPERADOS

PROYECCIÓN DE ESCENARIOS Y ANÁLISIS DE

RIESGOS

ESTUDIO DE COSTOS Y

PLANEACION DE

LA CAPACIDAD

ESTIMACIÓN FINANCIERA ESTÁTICA Y DINÁMICA

VALIDACIÓN DE

RESULTADOS Y ESTRATEGIA

VALIDACIÓN Y SOPORTE ESTRATÉGICO A LAS PROYECCIONES DEL PROYECTO

“...Recordar que es un ejercicio de estimación y proyección de escenarios operativos y de proceso con una fuerte carga

de subjetividad, conforme madure la práctica, los resultados del ejercicio tendrán mayor certidumbre..”

32

Proyección Financiera Estática y Dinámica

Proyección Estática

• Suma de la Cuantificación de Beneficios por periodo establecido para el proyecto.

• Determinación del Periodo de desarrollo e implantación del proyecto para puesta en marcha

• Comparativo entre la Inversión Total del Proyecto y el Beneficio cuantificado hacia el proyecto

Inversión Total del Proyecto Sumatoria de beneficios cuantificados en el Periodo Determinado

Proyección Dinámica

• Considera el desarrollo del análisis costo-beneficio en el tiempo.

• Se proyectan los flujos de la inversión y los flujos de los beneficios del proyecto.

• Se considera el Valor Futuro y el Valor Presente Neto del Dinero de acuerdo a la inflación

• Considera la Tasa Interna de Retorno (TIR)

• Se proyecta el flujo financiero de acuerdo a un periodo de tiempo (Semanas, Meses, Años).

33

Proyección Estática Proyección Dinámica

ROI Dólar = 9.52426431

Proyección estática en número gruesos:

Opción 1Inversión 944,191 Recuperación anual 1,127,407 ROI en años = 0.8375

Opción 2Inversión 961,087 Recuperación anual 1,127,407 ROI en años = 0.8525

Opción 3Inversión 1,608,563 Recuperación anual 1,127,407 ROI en años = 1.4268

➲ Valor Presente Neto $ 2,204,000 ➲ Tasa Intera de Retorno 48.23% ➲ Periodo de Recuperación 16 - 18 Meses

Inversión Inicial $ 4,024,134.096

0 1 2 3 4 5

$ 2,526,104 $ 5,098,208.52

Tiempo

Años

Proyección Financiera Estática y Dinámica

34

Requerimientos y Factores Críticos de Éxito

Desarrollar siempre el ROI durante la fase de estudio de factibilidad del Proyecto. Involucrar siempre a las áreas de negocio, financiera y legal de la organización. Tener a la mano los presupuestos de operación del año anterior, presente y futuro general de la organización y por área. Realizar ejercicios dinámicos para identificar los beneficios esperados del proyecto. Cuantificar el impacto de los beneficios Vs los presupuestos de operación por área y global Involucrar siempre al área de R.H. Realizar el análisis de Riesgos considerando los escenarios

35

Validar la cuantificación de beneficios producto de la implantación de T.I. Con las áreas de finanzas y de procesos de acuerdo con sus registros financieros, involucrarlos al momento de realizar las proyecciones de flujo. Generar la validación de beneficios cualitativos y cuantitativos por Dirección de área de Negocio. Considerar siempre la política de adquisiciones y proyectos de la empresa. Considerar siempre la inversión en capacitación y soporte externo. Realizar sesiones de trabajo dinámicas para obtener mejores resultados.

Requerimientos y Factores Críticos de Éxito

36

Caso Práctico

37

Ries

go

Contr

olSituación Ideal

El Análisis de Riesgos

38

Ries

go

Contr

ol

Sobrecontrol


39

Ries

go

Contr

olRiesgo Remanente

Mitigar Eliminar Transferir Asumir


40

Disminución de Riesgo

Reducción de Costos Incremento de Ingresos

Aumento de Productividad

La Diferencia Entre Generación – Administración y Protección de la

Información al estimar ROI

Generación – Administración

de Información

Protección de Información

Vs.

41

Análisis de Riesgos

De la Preocupación a la Conciencia

• No más FUD (Fear, Uncertainty and Doubt).

Preocupación ConcienciaRiesgo

Preocupación ConcienciaIndiferencia

Ignora los riesgos o considera que no existen. No tiene temor por las amenazas que puedan existir en el ambiente. Definitivamente no hay patrocinio, ni interés de la Alta Dirección.

Ejecuta acciones aisladas y reactivas. Teme amenazas y posibles vulnerabilidades, aunque no conoce sus riesgos. Carece de acciones encaminadas a entender sus riesgos Sospecha que ha habido incidentes, pero ignora el impacto y recurrencia de los mismos. Puede no existir patrocinio de la Alta Dirección.

El tema de seguridad de la información forma parte de la estrategia de negocio. Existe un proceso continuo y permanente de análisis de riesgos y de acciones para atenderlos La seguridad está intrínseca en el proceso de negocio. Existe un claro patrocinio de la Alta Dirección.

42

Modelo de Seguridad de la Información

Inform

ación Segura

Riesgo Administrado

Estándares Mínimos

Dependencia de la Tecnología

Impa

cto

AltaBaja

Alto

Bajo

Formal

Alcance EmpresarialAlineado Continuo

Proactivo

ValidadoPeriódico

Departamentalizado

Reactivo

Informal

Probado

Desarrollado Documentado

Responde

Programado

Independiente

Táctico

Integrado

43

Riesgos de Información =

• ¿Qué pasaría si sus equipos de cómputo se detuvieran por completo?

• ¿Se imagina con una base de datos en la que los valores de los campos pudieran ser modificados sin que se requiriera de ninguna autorización? ¿Cómo dirigiría una campaña de correo directo con direcciones equivocadas? ¿Cómo mandar facturas y estados de cuenta?

• ¿Qué pasaría si su competencia se adueñara del mercado anticipándose a atacarlo ¡CON SUS PROPIAS ESTRATEGIAS!?

• ¿Ha identificado la forma en la que su información puede y debe protegerse desde el punto de vista legal?

44

• ROSI. Return On Security Investment. • Históricamente Sistemas de Información es un centro de costo, no de

ingresos. • La seguridad de la información hereda esta visión • La seguridad de la información se relaciona con el análisis de riesgos. • El análisis de riesgos busca identificar amenazas y vulnerabilidades que un

activo o grupo de activos puede tener y mide sus probabilidades de ocurrencia.

• La seguridad de la información buscará reducir el riesgo al mínimo, a través de la definición de controles que representen valores menores a los impactos producidos por la potencial ocurrencia de las amenazas, lo que se relaciona directamente con el valor del propio activo, que se sustenta en su criticidad para el negocio.

• El problema no es nuevo. 1882 Fire sprinklers. • Investigaciones científicas Idaho University – Hummer (valuación de

ataques). @stake – Hoover (ingeniería de software).

El Análisis ROSI

45

• Premisa: – Mientras más temprano se involucre la seguridad en los procesos,

más bajo será el costo del modelo de seguridad de la información.

• Altermativas: – No hacer nada, considerar al ROSI como inválido e ir por estrategia

de FUD. – Colgar al proyecto de seguridad de otro que sí produzca un ingreso. – Calcular el ROSI.

• Elementos clave: – Activos (de información y digitales). – Criticidad. – Amenazas. – Riesgos. – Impacto.

El Análisis ROSI

46

• Los Intangibles. – Imagen. – Confianza. – Posicionamiento.

• El monto invertido no garantiza que se alcanzará un cierto nivel de seguridad, pero implica acciones y movimiento.

• No existe una relación fija entre la inversión y el retorno. • La adquisición de seguridad no es necesariamente un asunto

que se relacione con la imagen, en la mayoría de los casos será un tema del que no se pueda o deba hablar.

Estimando el ROSI

47

• Valor en Riesgo. • Manejo de intangibles a la medida. • El beneficio que debe esperarse principalmente de los

proyectos de seguridad de la información es la reducción de riesgos, no el incremento en la productividad, el aumento en los ingresos o la reducción de costos.

• El monto invertido en la atención (preventiva, detectiva, correctiva) de un incidente de seguridad, debe ser menor al impacto causado por su ocurrencia.

Estimando el ROSI

48

BeneficiosCostos

Año 1 Año 2 Año 3 Año 4 Año 5

Cos

to p

ara

la E

mpr

esa

Nivel de Inversión en Seguridad

CI

Curva de Costos Tangibles

Curva de Costos Totales

Valor de Riesgo Reducido

Valor en Riesgo

ROI Tradicional Retorno Basado en Riesgos

Valor en Riesgo

49

• Calcular el valor en riesgo. • Estimar la ocurrencia de una amenaza. • Evaluar el costo de propiedad. • Calcular el valor de la reducción del riesgo.

Valor en Riesgo

50

1. Identificar los objetivos y procesos de negocio.

2. Identificar los activos (de información y digitales) que los soportan.

3. Estimar el valor de los activos (VA) considerando elementos como costo inicial, costo de mantenimiento, valor que representa para la Compañía y/o valor que representa en el mercado para la competencia.

4. Identificar amenazas por activo.

5. Identificar vulnerabilidades y el factor de exposición (FE) por activo.

6. Determinar la tasa de ocurrencia anual (TOA) de cada vulnerabilidad por activo.

7. Determinar la expectativa de pérdida simple (EPS) multiplicando VA por FE (por amenaza por activo).

8. Determinar la expectativa de pérdida anual (EPA, también conocida como valor en riesgo) multiplicando la TOA por la EPS (por amenaza por activo).

Valor en Riesgo

51

9. Priorizar activos por EPA.

10. Diseñar soluciones por activo atendiendo a la priorización realizada y buscando alineamiento a la Política Directriz de Seguridad de la Información.

11. Estimar reducción de la EPA por la adopción de las medidas de seguridad (valor en riesgo reducido).

12. Estimar costo de soluciones considerando necesidades individuales y generales.

13. Comparar costo de soluciones contra la diferencia que exista entre la EPA y la EPA reducida de cada activo.

14. Estimar la recuperación de la inversión en función de la reducción de la EPA por activo.

15. Priorizar la ejecución de soluciones.

16. Ejecutar plan.

17. Mantenerlo.

Valor en Riesgo

52

Caso Práctico

53

¿ ?Preguntas

54

Conclusiones

• El ROI de proyectos relacionados con la generación y administración de la información es una herramienta de estimación

• Es un factor de control interno de la organización • Es un elemento que ayuda a reducir la incertidumbre • Es una herramienta de trabajo necesaria para el ambiente

competitivo de los negocios en el siglo XXI • Favorece a la madurez de las organizaciones • Compromete a la Alta Dirección y Gerencias con los

resultados proyectados por ellos mismos ante los accionistas • Es un ejercicio que favorece el “aprendizaje” y genera sinergia

entre los equipos de trabajo

55

• La información es uno de los activos más importantes de cualquier Compañía.

• La Seguridad de la Información es un tema de negocio (tecnología, procesos, gente).

• La inversión en Seguridad de la Información debe ser realizada con un enfoque de riesgos.

• La aceptación de la inversión relacionada con la Seguridad de la Información requiere de casos de negocio adecuadamente preparados.

• Resulta de utilidad basar en prácticas líderes la definición del Modelo de Seguridad.

• Es importante: – Cerrar la Brecha de Seguridad. – Pasar de la Preocupación a la Conciencia. – Buscar la definición de un Modelo de Seguridad Maduro

Conclusiones

56

Gracias Carlos Zamora, CISA, CISM / Conseti

[email protected] Carlos Chalico, CISA, CISSP, CISM / Mancera Ernst & Young

[email protected]