integrando los riesgos de ti a la gestion de riesgo corporativo

Integrando los Riesgos de TI a la Gestin del Riesgo Corporativo

Lic. Franco N. Rigante, CISA,CRISC,PMP

Conferencista Biografa Franco Nelson Rigante, CISA, CRISC licenciado en Sistemas de la Universidad de Buenos Aires, certificado como PMP, con estudios de Posgrado en Administracin y Planeamiento Estratgico. Trabaj durante 10 aos en el Banco Central de la Repblica Argentina, auditando sistemas informticos de entidades financieras. Actualmente es Socio de IT Advisory de Grant Thornton Argentina, liderando proyectos internacionales sobre aspectos de IT Governance, Risk & Compliance. Posee experiencia laboral en Alemania, Espaa y Honduras, fue profesor en una Maestra de Auditora y en carreras universitarias de grado, se ha desempeado como Consultor para el BID y el Banco Mundial y ha dictado conferencias para PMI (Argentina), ITSMF (Espaa) e ISACA (Uruguay). Es autor de artculos sobre IT-GRC para medios grficos especializados y forma parte del equipo de trabajo de ISACA Madrid para la traduccin oficial al castellano de COBIT 5.

Introduccin Consenso

Conceptual Seleccin

Metodologa

Ejecucin Proceso de Anlisis de Riesgos TI

Integracin con Riesgo

Operacional

Agenda Road Map

Toda Organizacin tiene Riesgos

Riesgo proviene del italiano risico o rischio que, a su vez, tiene origen en el rabe clsico rizq (lo que depara la providencia). El trmino hace referencia a la proximidad o contingencia de un posible dao. (Diccionario de la Real Academia Espaola)

Riesgos de TI y el Riesgo Corporativo

Fuente: Risk IT Framework - ISACA (Information System Audit and Control)

Governance, Risk & Compliance

Enfoque holstico para maximizar la creacin de valor desde IT para los stakeholders, alineando e integrando las actividades que la organizacin realiza sobre:

Gobierno Corporativo

Gestin Integral del Riesgo Corporativo

Cumplimiento de leyes y regulaciones aplicables.

Empezando por el Final - Resultados

Riesgo por Proceso

Riesgo por Soluc. Inf.

Riesgo por Tipo Activo

Riesgo por Activo

Riesgo por Amenaza

Ej. Riesgos de TI de Plazo Fijo

Ej. Riesgos del Core Bancario (Solucin)

Ej. Riesgos del Hardware

Ej. Riesgos del AS/400

Ej. Riesgos de Acceso No Autorizado


Conceptual Seleccin

Metodologa



Operacional

Agenda Road Map

El activo por excelencia, que interesa tanto a clientes externos, internos, terceros y entes de supervisin y

control es la Informacin.

Activo + Valioso Soportado por

Activos de TI/SI

Proceso de Negocio = Informacin + TI/SI

Ejemplos de Procesos de una Entidad

Productos/Servicios de la Entidad

Caja de Ahorro

Proceso 1

(Ej. Alta)

Proceso 2

(Ej. Operacin)

Proceso 3

(Ej. Baja)

Contabilidad

Ejemplo de un proceso

Incidencia de TI para un Proceso

%

variable

Riesgo residual TI/SI a gestionar

Impacto TI/SI

Criticidad para el

Negocio

Probabilidad de

Ocurrencia

(Mitigantes del Impacto

y de la Probabilidad)

Amenaza

Lo determina

el Propietario

del Negocio

Lo determina el Dueo

del Riesgo de TI

(experto TI/SI)

Historia +

Expectativa

Riesgo Residual: Componentes

Impacto tecnolgico vs criticidad

Determinacin del componente tecnolgico

Lo determina el

Propietario del

Negocio

Lo determina el

Dueo del

Riesgo de TI

(experto TI/SI)

Concepto de Criticidad para el Negocio


Conceptual Seleccin

Metodologa



Operacional

Agenda Road Map

mayor objetividad (mtricas, clculos, variables)

documentacin / trazabilidad

lenguaje comn = mejor comunicacin

respaldo en estndares internacionales

mtodo sistemtico para posteriores evaluaciones

enfoque consistente, eficiente e integrado

transparencia de riesgos de TI para la Direccin

independencia de criterios personalizados

alineamiento con regulaciones futuras

Ventajas de utilizar una Metodologa

Contexto normativo local - Riesgos

A 5203

A 4793

A 4609

Lineamientos Gestin Riesgo Corporativo

Riesgo Operacional

Riesgos de TI

Evaluar Marco Regulatorio - Ejemplo

Entonces Qu Metodologa elegir?

Mapa de procesos de COBIT 5

Garantizar que el apetito y la tolerancia respectos a los riesgos para el valor de la organizacin son entendidos, articulados, comunicados, gestionados, optimizados, minimizando el riesgo de falta de Compliance

Continuamente identificar, evaluar, y reducir los riesgos de dentro de los niveles fijados por la Direccin, en forma integrado al ERM, balanceando costos y beneficios para la organizacin.

Incluyen prcticas y actividades para tratar riesgos, y los roles en las matrices RACI. Todos los Procesos

Gestionar

Riesgos

Garantizar

Optimizacin de

los Riesgos

Riesgos de TI en COBIT 5

Riesgos de TI en COBIT 5 - Roles

MAGERIT Caractersticas principales

- Creado por Gobierno Espaa

- Establece Tipos de Activos

- Trae un catlogo de amenazas

- Incluye gua de salvaguardas

- Mtodo cualitativo/cuantitativo

- Dependencia: herencia de valor

- Informacin: Activo + valioso

- Dimensiones adicionales (+2)

MAGERIT Caractersticas principales

Riesgos de TI y el Riesgo Corporativo

Fuente: Risk IT Framework - ISACA (Information System Audit and Control)

Escenarios de Riesgos segn Risk IT

Entonces Qu Metodologa elegir?

Las mejores prcticas combinadas!

COBIT

RISK IT

MAGERIT

Regulaciones

Metodologa Anlisis de Riesgos de TI/SI

30

COBIT, para:

Comunicacin con Alta Gerencia y Alineamiento con Negocio

Gestin del Proceso de Anlisis de Riesgos de TI/SI

Considerar amenazas de un inadecuado Gobierno de TI/SI

RISK IT, para:

Escenarios de riesgo, por actor, accin, tiempo, etc.

MAGERIT, para:

Conceptos de Tipos de Activos, Informacin y Dependencias

Considerar catlogo de amenazas para cada tipo de activo.

Regulaciones aplicables, para Compliance


Conceptual Seleccin

Metodologa



Operacional

Agenda Road Map

Proceso de Anlisis Riesgos de TI/SI

Ejecutar Proceso de

Anlisis

Clasificar Activos de

Informacin

Analizar Riesgos de TI

Integrar con Riesgo

Operacional

Gestionar Riesgos de TI

Ejecutar Planes de

Accin

Seguimiento y Mejora

Contnua

Clasificacin de Activos de Informacin

Qu clasificar?

Metodologa

Aplicaciones

(y propagar) Todos los Activos

(ej. Router)

Informacin

(y propagar)

Ejemplo de un proceso

Clasificacin de Activos de Informacin

Optimizar cuestionario clasificacin Incorporar atributos adicionales para mayor precisin:

confidencialidad:

identificar combinacin de campos confidenciales

hbeas data (datos personales)

integridad: sanciones por fallas, frecuencia de uso, montos promedios, plazo de exposicin

disponibilidad: tiles para el armado del BIA.

Identificar los Activos No Informticos crticos

Resultados de la clasificacin

Determinacin de Criticidad para el Negocio (1 a 5)

Opcional: definir punto de corte y corregir ajustes

Preparacin para realizar el Anlisis de Riesgos de los Activos de TI/SI

Propagar resultado

de clasificacin a

activos inferiores

Agrupar activos

Agrupar Activos como Soluciones Inf.

Relacionar y Propagar Clasificacin

Propagar Criticidad a Activos inferiores

Catlogo de amenazas, por tipo de activo Incorporar know-how de los expertos de TI/SI/Seg.Inf.

Impacto tecnolgico inherente y mitigantes para cada amenaza

Anlisis de Riesgos de Activos de TI/SI

Determinar fortaleza mitigantes para calcular riesgo residual

Mapa de Riesgos Residuales

Elaborar Informe Final

Descripcin entorno entidad (negocio y TI/SI) Resumen ejecutivo Etapas del proyecto participantes - alcance Clasificacin de los activos de informacin Catlogo de riesgos analizados Comparativo con el ltimo anlisis de riesgos Mapas y Grficos para mayor comprensin Conclusiones generales del anlisis Tratamiento de los riesgos inaceptables.

Exposicin Resultados: Consolidaciones

Riesgo por Proceso

Riesgo por Soluc. Inf.

Riesgo por Tipo Activo

Riesgo por Activo

Riesgo por Amenaza

Por peso solucin informtica

Por peso tipo de activo

Por criticidad del activo del tipo

Por impacto de cada amenaza

Por criticidad del activo

todas las soluciones

informticas son iguales?

es igual de importante un

proveedor al hardware?

es igual de importante

una aplicacin que otra?

es igual de importante

una amenaza que otra?

es igual de importante un

activo que otro?

Consolidacin Por Amenaza:

Consolidacin Por Activo:

Consolidacin Por Solucin Informtica:

Consolidacin Por Proceso:

Gestin de Riesgos de Activos de TI/SI

Sustento objetivo de variables

Foto

Original

Eventos de Prdida

Foto

Nueva

Qu pas?

Con qu frecuencia?

Cunto impact?

Cmo funcionaron los

controles existentes?

Ajuste de variables + Subjetiva Indicadores

+ Objetiva


Conceptual Seleccin

Metodologa



Operacional

Agenda Road Map

Proceso Integrando los Riesgos

%

variable

Proceso Integrando los Riesgos

Esquema conceptual basado en GRC Interacciones recomendadas entre los distintos sectores

Roles claves para la Gestin Integral de Riesgos

Clasifica el valor de la informacin (C-I-D) Responsable de declarar los eventos de prdida de su proceso y de solicitar a TI/PAI las acciones necesarias para evitar su reiteracin.

No audita la metodologa de Riesgos de TI No realiza seguimiento de observaciones de auditora. Contrasta el nivel Riesgo de TI con: El umbral de tolerancia fijado por la Direccin Si esta sub-valorado versus los eventos de prdida reales

Roles claves para la Gestin Integral de Riesgos

Audita la metodologa de Riesgos de TI y todo el proceso de Clasificacin de Activos de Informacin, Anlisis de Riesgos de TI, Gestin de Riesgos de TI e Integracin con Riesgos Operacionales. Hace seguimientos de observaciones de TI

Interacta con los dueos de los riesgos de TI para mantener actualizado el catlogo de riesgos a analizar Ejecuta el Proceso de Anlisis de Riesgos de TI Interacta con el rea de Riesgo Operacional para integrar los resultados del Anlisis de Riesgos de TI

Anlisis de Riesgos de TI - Interacciones

Dificultades habituales - Top Ten

integracin inexistente/parcial entre riesgos

inadecuada comprensin de la alta gerencia

solapamiento: duplicacin o falta de cobertura

falta de compromiso de los dueos de riesgos de TI

inconsistencia en mitigantes respecto a auditoras

propietarios de procesos no concientizados en riesgos.

divergencias metodolgicas entre reas

falta de indicadores para sustento de variables claves

rea de Riesgo Operacional toma el rol de Auditora

falta de actualizacin ante eventos claves

Recomendaciones Finales Top Ten

diseo de estructura formal adecuada

integracin metodolgica clara (RO + TI)

procesos y procedimientos acordes con la entidad

respaldo en estndares internacionales reconocidos

mapa de procesos vinculados a activos informticos

consistencia: Riesgos de TI con BIA, DRP y audit.

evitar silos y fomentar visin holstica (GRC)

utilizar el enfoque basado en riesgos a favor

definir indicadores y mtricas claves de Gestin

capacitacin y concientizacin a todos los actores

Preguntas de Cierre

Muchas Gracias!

Lic. Franco N. Rigante, CISA,CRISC,PMP

[email protected]

Blog: http://francoitgrc.wordpress.com

@FrancoIT_GRC

Colaborar Contribuir Conectar

El Knowledge Center es una coleccin de recursos y comunidades en lnea que conecta los miembros de ISACA globalmente, sobre industrias y por enfoque profesional todo en un solo lugar. Usted puede agregar o responder a una discusin, publicar un documento o link, conectar con otros miembros de ISACA, o crear un wiki por participando en una comunidad hoy!

http://www.isaca.org/Knowledge-Center

integrando los riesgos de ti a la gestion de riesgo corporativo

Documents