¿ESTÁ PREPARADA MI ORGANIZACIÓN PARA LA INNOVACIÓN TECNOLÓGICA Y LA TRANSFORMACIÓN DIGITAL?
En el mes de la ciberseguridad queremos compartirles nuestra encuesta sobre Gobierno de TI y Ciberseguridad, y nuestra visión sobre la forma de abordar la planificación estratégica para nivelar en forma balanceada el grado de innovación en cada compañía, lo que llamamos “CUBO DEL GOBIERNO TECNOLÓGICO”, en el cual podemos evaluar las condiciones de entorno de negocio, desarrollo de la tecnología y la madurez y capacidades de la gestión, lo que nos permite determinar el grado de innovación en:
--> Lo requerido para el crecimiento del negocio (Entorno)
--> El desarrollo tecnológico y procesos de producción (Tecnología)
--> La gestión necesaria para el desarrollo del negocio y la tecnología asociada (Gestión)
#bdotambienesseguridad #bdoargentina #api
Avances tecnológicos del siglo XXI y ejemplos de estos
2019 BDO Argentina Encuesta Gob IT y Ciberseguridad
1. Gobierno de TI y Ciberseguridad:
¿ESTÁ PREPARADA MI ORGANIZACIÓN PARA LA INNOVACIÓN
TECNOLÓGICA Y LA TRANSFORMACIÓN DIGITAL?
Resultados y análisis de la Encuesta Regional Clientes y Prospects
BDO LATAM 2019
#BDOTAMBIENESSEGURIDAD
En la actualidad, pensar en administrar la tecnología sin una visión relacionada
con la seguridad de la información, y pensar en aplicar seguridad sin conocer
cómo se administra la tecnología y la información, es impensado, y aún más, sin
saber hacia dónde se encamina el negocio. Pensar hoy los negocios frente a la
innovación y transformación digital a la que se encamina sin el apoyo de la
tecnología y la seguridad de la información, también es impensado.
Entonces, ¿Qué debería conocer, como directivo, para tomar las decisiones
adecuadas respecto de los objetivos planteados para mi empresa? ¿Cómo se
construye el plan de negocios en función de objetivos y resultados esperados,
si no puedo reconocer y valorar los recursos necesarios para llegar a ellos? Las
áreas tecnológicas… ¿Están preparadas para pensar en función del negocio y
responder a las necesidades de innovación y transformación digital?, y en las
áreas del negocio ¿Se tienen en cuenta las necesidades de gobierno y
cumplimiento de la compañía en función de los riesgos asociados a su entorno
de negocio en el uso de la tecnología?
Desde BDO Argentina hemos planteado una nueva visión sobre el gobierno
tecnológico para alcanzar la innovación en el negocio y la transformación
digital, y desde este foco, en esta encuesta hemos detectado la brecha actual
para alcanzar este objetivo.
2. Objetivo y alcance del estudio
El objetivo de nuestro estudio es el
determinar el nivel de madurez e
implementación de capacidades de
gobierno de la tecnología en las
empresas, para estimar el nivel de
exposición a las brechas de seguridad
en el negocio, respecto del uso de la
tecnología, y cuán distantes pueden
estar de alcanzar la transformación
digital y contar con herramientas
tecnológicas necesarias para innovar
en su negocio.
El estudio se desarrolló en la región
LATAM, con la participación de +200
de los principales CXO
Latinoamericanos de industrias tales
como Bancos y aseguradoras,
Servicios de tecnología, medios y
telecomunicaciones, Sector Público,
Petróleo y gas, Agronegocios,
Comercialización y retail, Salud,
Hotelería y entretenimiento,
Manufactura y Transporte y logística.
3. Planificación estratégica y grado de
innovación (entorno, gestión,
tecnología)
La estrategia corporativa y sus
necesidades de innovación en el
negocio de cada una de estas
industrias, requiere de cambios en su
entorno de gestión y tecnológico, lo
que impacta directamente a su
función de acompañar al negocio con
soluciones tecnológicas que le den un
resultado que aporte al cumplimiento
de sus objetivos. Por ello, esta
necesidad de innovación planteada
desde la estrategia corporativa está
condicionada por el mercado y las
presiones regulatorias, ya que hoy se
requiere un alto rendimiento,
velocidad en los cambios y la toma de
decisiones de negocio, mayor
transparencia y nuevas regulaciones,
casualmente basadas en su mayoría
por la información y el uso de nuevas
tecnologías.
Debido a ello es que entendemos que
una forma de abordar la planificación
estratégica para nivelar en forma
balanceada el grado de innovación en
cada compañía, se traduce en
conformar un “CUBO DEL GOBIERNO
TECNOLÓGICO”, en el cual podamos
evaluar las condiciones de entorno de
negocio, desarrollo de la tecnología y
la madurez y capacidades de la
gestión, lo que nos permite
determinar el grado de innovación en:
Lo requerido para el crecimiento
del negocio (Entorno)
El desarrollo tecnológico y procesos
de producción (Tecnología)
La gestión necesaria para el
desarrollo del negocio y la
tecnología asociada (Gestión)
4. Primera dimensión del cubo |
ENTORNO
De los tipos de industria involucrados,
el 52% deben cumplir con
regulaciones de su mercado y otro
40% posee certificaciones de sistemas
de gestión (como, por ejemplo,
ISO27001, ISO20000, ISO9001) las
cuales requieren el cumplimiento de
requisitos tanto desde áreas de
negocio como desde áreas
tecnológicas. Entre uno de los
requisitos, tanto en regulaciones
como en certificaciones, se encuentra
la capacitación y concientización a
todo el personal de la organización.
Hemos identificado que en estos
aspectos ha sido capacitado el 75%
del personal.
Generalmente desde cada una de las
empresas se ha tomado como
iniciativa primaria el capacitar y
concientizar al usuario final (58% de
los encuestados), pero la
problemática de pensar sólo en este
sentido lleva a dos consideraciones de
importancia. La primera es que
habitualmente el programa de
capacitación sólo está dirigido a
temas básicos de seguridad y el uso
de la tecnología, y la segunda es que
aquellos que más capacitados deben
estar, en función de sus
responsabilidades tanto de dirección
como de gestión, son los cargos
técnicos o directivos (38% de personal
técnico y 35% de directivos de los
encuestados), pero no son
convocados a participar de este tipo
de programas. Un dato no menor, es
que el 31% de los encuestados no
posee un programa de capacitación.
Definiciones y recursos para el gobierno
5. Otras consideraciones importantes
que definen las condiciones del
entorno de una organización para la
innovación y transformación digital
arrojaron los siguientes resultados:
Si bien el 100% de los
encuestados posee separación de
ambientes, sólo el 70% segrega
funciones por ambiente
De las áreas de seguridad de la
información de cada uno de los
encuestados, el 80% gestiona su
presupuesto y el 70% es
independiente de la Gerencia de
Sistemas
Respecto de la asignación de
presupuesto a acciones
requeridas por necesidades de
seguridad de la información, el
74% corresponde a proyectos del
negocio, el 60% a amenazas y
riesgos actuales, y el 60% a
actualizaciones de TI
Sólo el 54% de los encuestados
posee servicios de TI organizados
y documentados, y sólo el 50% de
las áreas de seguridad tienen más
de 3 colaboradores
Sólo el 60% de los encuestados
posee un marco normativo de
seguridad de la información
Sólo el 60% de los encuestados
posee política y normas de
seguridad de la información para
la gestión de terceros
(proveedores, contratistas,
consultores)
Respecto del aumento del
presupuesto asignado a Tecnología y
Seguridad de la Información, en años
anteriores hemos visto que su
crecimiento se debió principalmente
a dar respuesta a las brechas de
seguridad. Actualmente, e impulsado
por las nuevas regulaciones y la
necesidad de innovación, el aumento
en la inversión en tecnología,
seguridad y capacitación se estima en
un 32% entre 2018 y el primer
semestre de 2019.
6. Segunda dimensión del cubo |
GESTIÓN
Como comentamos en el inicio,
necesitamos de la gestión para el
desarrollo del negocio y la tecnología
asociada, y principalmente si
pensamos desarrollar nuevos
negocios apoyados en todas las
facilidades y beneficios que puede
brindarnos la tecnología… Si sabemos
gestionarla.
De los encuestados, el 65% ha
desarrollado proyectos de negocio
que se apoyan en la tecnología, y
dentro de estos proyectos los
principales requerimientos se han
enfocado en:
Mejora de aplicaciones existentes
(89%)
Tecnología móvil y nuevas
aplicaciones (56%)
Tercerización de servicios
tecnológicos y servicios de nube
(30%)
Cualquiera de estos requerimientos,
sin importar si se trata de una
tecnología existente o nueva,
requiere condiciones específicas para
asegurar su buena gestión, por lo que
cuando desarrollamos nuestros
proyectos tecnológicos no solo
debemos enfocarnos en el software o
en el hardware, sino que también
debemos incluir entre otras cosas
aspectos de seguridad, capacitación
de personal técnico y participación de
los usuarios, para asegurar los
resultados que el uso de la tecnología
brinda para conseguir los objetivos de
negocio.
Con relación a esto hemos
identificado que el 77% de los
encuestados ha evaluado en su
gestión de proyectos tecnológicos
aspectos de seguridad, y notado con
cierta preocupación que el 54%
realiza evaluaciones de riesgo y
pruebas de usuario, y tan sólo el 40%
realiza una revisión de código y
pentest aplicativo previo al pasaje a
producción.
Desarrollo del negocio en base a tecnología
7. Entendemos que teniendo en cuenta
principalmente los aspectos
regulatorios actuales, todos los
encuestados han respondido que
realizan un análisis de riesgos e
impacto de integridad y
confidencialidad de los datos, y un
89% agrega aspectos de riesgos e
impacto de cumplimiento. Lo que aún
permanece distante de esta
preocupación, es lo relacionado a la
capacitación en el uso de la
tecnología aplicada en cada uno de
los proyectos (67%).
De igual forma, la participación de los
usuarios en los diferentes estadios de
un proyecto tecnológico sigue siendo
baja:
Análisis de la solución,
participación del usuario en el
análisis y selección de
herramientas tecnológica, para
verificar que funcionalmente
responda a sus necesidades y las
del negocio (56%)
Participación en pruebas, para
que el usuario clave seleccionado
por el negocio de su conformidad
sobre el resultado esperado por la
herramienta (33%)
Aprobación final, como validación
necesaria por el negocio al
finalizar un proyecto (44%)
Respecto de la gestión de la
información por parte de las áreas de
negocio, el 70% de los encuestados
clasifica su criticidad y criterios de
uso, el 64% valida la metodología de
backups y tiempo de resguardo, pero
el 30% de los encuestados no se
involucra o no es consultado.
Para la continuidad de negocio, las
empresas, en su mayoría manejan
una gestión de incidentes que incluye
las definiciones a tomar en caso de
incidente mayor para activar el DRP, y
posee un sitio de contingencia (77% y
85% respectivamente), y si bien el
69% realiza pruebas de verificación
anuales, solo el 27% interviene en
pruebas, o no realiza rotación de los
asignados para asegurar que todos
estén capacitados.
8. Tercera dimensión del cubo |
TECNOLOGÍA
Cualquier organización necesita
adoptar una visión de gobierno de
tecnología e implementarla ordenada
y metodológicamente, para
administrarla en forma segura y bajo
una estrategia corporativa que le
permita asignar responsabilidades y
recursos orientados a la concreción
de sus objetivos de negocio y las
necesidades de cumplimiento de su
industria.
En línea con esto, el 85% de los
encuestados ha respondido que sus
comunicaciones, umbrales de
capacidad y funcionamiento de
infraestructura de energía son
monitoreados. De igual forma, el 54%
de los encuestados tiene algún
servicio de TI tercerizado y los mismos
son controlados en un 85%. Los
aspectos para destacar en base a su
cuidado, y que deben ser mejorados,
son los siguientes:
El 54% de los encuestados activa
las pistas de auditoria para la
registración de ABM de usuarios,
accesos, uso de usuarios
privilegiados, etc.
El 38% de los encuestados no
realiza un pentest anual, y sólo un
23% realiza un análisis de
vulnerabilidades interno
Sólo el 15% verifica el
funcionamiento de equipos de
protección ambiental
Sólo el 8% realiza
enmascaramiento u ofuscación de
datos en ambiente de desarrollo
¿Estamos preparados para la innovación?
9. Con relación a los incidentes de
seguridad, el 56% de los encuestados
ha sufrido en este último año lo
siguiente:
42% de los encuestados, Intrusión
interna
42% de los encuestados, Error
humano
21% de los encuestados, Error
intensional
Si analizamos la información, la mayor
parte de los incidentes de seguridad
son internos y están relacionados con
el factor humano. En general las
motivaciones están asociadas a robo
de datos (35%) y fraude interno
(20%). Respecto de la intrusión
externa, la principal motivación se
refiere a la disrupción del servicio
(45%), y entre las formas de ataque se
encontraron relacionadas con virus
(74%) y ransomware (26%), donde
sobre este último el 20% de los
atacados pagaron rescate.
Respecto de los principales controles
implementados, los mismos se
refieren a soluciones de antivirus,
antispam y firewall, siendo
únicamente el 66% de los
encuestados los que implementaron
soluciones de IDS/IPS, encriptación de
datos y doble factor de autenticación,
y un 44%, control de contenido y
seguridad móvil.
10. Conclusiones
Nuestra encuesta y entendimiento de la
problemática de la innovación
tecnológica en pos de potenciar el
negocio, demuestra que aún hace falta
crear y generar capacidades de
reconversión tanto en el conocimiento y
concientización del personal como en la
cultura y madurez de las organizaciones.
Es necesario reafirmar nuestras bases
iniciales en aspectos de gestión para
llegar a completar los aspectos de
gobierno necesarios para hacer un salto
a la verdadera transformación digital que
posibilite y brinde al negocio la tan
ansiada innovación.
Los principales puntos de desarrollo que
hemos identificado en este trabajo,
dentro de nuestro CUBO DE GOBIERNO
TECNOLÓGICO para caminar hacia la
innovación, son:
Entorno
Crear programas de concientización
en relación con el entorno de
negocio y responsabilidades de la
organización
Incluir en los programas de
concientización a los Directivos y al
personal técnico
Facilitar los recursos profesionales
adecuados, que permitan una buena
gestión y una segregación adecuada
Establecer un marco documental
que facilite y delimite la gestión
tecnológica alineada al negocio
Gestión
Mejorar los controles previos al
pasaje a producción e involucrar a
los usuarios, dándoles participación
en los proyectos y capacitándolos en
el uso de las nuevas tecnologías
El negocio debe involucrarse en las
definiciones y actividades de
continuidad operacional y
tecnológica
Tecnología
Mejorar los controles periódicos de
seguridad en infraestructura de TI y
acceso a la información
Mejorar los controles a proveedores
críticos de servicios tercerizados
Implementar herramientas para la
seguridad móvil, tecnología de
virtualización y nube
Implementar procesos de control y
herramientas para prevenir
incidentes internos
Principales puntos de desarrollo para
caminar hacia la innovación
11. Principales puntos de desarrollo para
caminar hacia la innovación
Pablo Silberfich – Socio API (pilberfich@bdoargentina.com)
Fabián Descalzo - Gerente API (fdescalzo@bdoargentina.com)
12. LA GENTE QUE CONOCE,
CONOCE BDO
Becher y Asociados S.R.L, una sociedad Argentina de responsabilidad limitada, es miembro de BDO International Limited, una compañía limitada por
garantía del Reino Unido, y forma parte de la red internacional BDO de empresas independientes asociadas. BDO es el nombre comercial de la red BDO y de
cada una de las empresas asociadas de BDO. Este mensaje es confidencial, para uso exclusivo de sus destinatario/s.
Becher y Asociados S.R.L., an argentine limited partnership, is a member of BDO International Limited, a UK company limited by guarantee, and forms part
of the international BDO network of independent member firms. BDO is the brand name for the BDO network and for each of the BDO Member Firms. This
message is confidential, for exclusive use of its recipient/s.
NUESTRAS OFICINAS
BUENOS AIRES
Retiro | Maipú 942, Planta Baja
C1006ACN, Cdad. de Buenos Aires
Distrito Tecnológico | Rondeau 2664, Planta Baja
C1262ABH, Cdad. de Buenos Aires
CÓRDOBA
Av. Hipólito Yrigoyen 146, Piso 5ºB
X5000JHO, Córdoba
ROSARIO
Edificio Nordlink, Madres de Plaza 25 de Mayo 3020, Piso 6
S2013SWJ, Rosario
Teléfono: 54 11 4106-7000/ 5274-5100
www.bdoargentina.com
REPRESENTANTES
MENDOZA
Paso de los Andes 1147
M5502BJW, Mendoza
SALTA
Néstor Patrón Costas 724
A4406BGB, Salta
TUCUMÁN
Crisóstomo Álvarez 780
T4000CHP, San Miguel de Tucumán