View
217
Download
0
Category
Preview:
Citation preview
Gestión del Riesgo Operativo – Seguridad de la información
Jorge A. Aguilar
Contenido.
1. Objetivo
2. Gestión del Riesgo Operativo
3. Estándares y Prácticas para la Gestión de Riesgo Operativo y Seguridad de la Información
4. Estrategia para la Gestión de Riesgos y Seguridad de la Información
5. Consideraciones
2
Para abrir apetito ….¿Cuánto tiempo podría operar su Organización sin
información, infraestructura de TI, teléfonos, oficinas o personal?
¿Cuántos incidentes se presentan en su Empresa?
¿De qué tipo?
¿Cómo afectan a los procesos, actividades y resultados de la Organización?
¿La empresa está preparada para dar respuesta a estos incidentes?
¿Es necesario realizar una Gestión de:
• Riesgo Tecnológico
• Continuidad del Negocio
• Gestión de Riesgo Operativo?
3
4
Procesos, Tecnología, Riesgos …oConceptos cuyo origen es la manufactura en serie
oProducción basada en procesos
oConexión en diferentes etapas de la producción
oFundamentos del Análisis de Procesos:
• Línea de Ensamblaje• Sistematización• Desarrollo de Estándares• Estandarización.
5
Procesos, Tecnología, Riesgos y …
¡¡¡ Tecnología de Información !!!
•Respecto a la TI, muchas empresas están en el “antier”
•Falta de entendimiento y definición de procesos de TI en la Organización
•Inversión en TI sin alineación a objetivos y prioridades del Negocio
•Incidentes, pérdidas, escándalos y mayor regulación debido a la creciente dependencia de las Organizaciones en la TI
El Riesgo:o Es incertidumbre acerca de futuros resultados
o La vida diaria de un ser humano está llena de riesgos.
o Ni el hombre ni las organizaciones que él crea, pueden vivir sin “gestionar riesgos”.
o El no tomar conciencia de los riesgos asumidos, no significa que no estén presentes.
o Para toda acción la pregunta no es si tomar o no tomar riesgos, sino “cuáles riesgos asumir”y “cuáles mitigar”.
6
7
Amenazas.
oHumanas
• Sabotaje
• Actos Criminales
• Manifestaciones
oInfraestructura
• Fallas Eléctricas
• Fallas en Telecomunicaciones
• Fallas en Infraestructura de Servicios y Recursos de TI
oNaturales• Inundaciones• Terremotos• Pandemia
Algunos ejemplos …
8
9
1. Objetivo
“El no tomar conciencia de los riesgos asumidosno significa que no estén presentes … (cosas pasan)”
1. Objetivo.Examinar las mejores prácticas y desarrollo
más recientes en la Administración del Riesgo Operativo y Seguridad de la Información.
10
11
2. Gestión de Riesgo Operativo
“Por que el ser humano prefiere creer en aquello que prefiere sea verdad”- Más vale demostrarlo -
12
2.1. Antecedentes.o Comité de Basilea
o El Riesgo Operativo no había sido considerado como parte del marco integral de Administración de Riesgos.
o Salvo en circunstancias específicas, los riesgos operativos no habían sido motivo de preocupación de la alta dirección, clientes o accionistas.
o El Riesgo Operativo es difícil de medir y cuantificar.
o Regulaciones recientes enfatizan la medición y administración proactiva del Riesgo Operativo.
13
2.2. Propósito.
oLa organización debe: Conocer su “perfil de riesgo”. Identificar las causas de aquellas situaciones que representen una exposición extrema. Evaluar y determinar acciones de manera proactiva.
14
2.3. Definiciones.
o Riesgo Operativo.
Riesgo de pérdida resultante de una falta de adecuación o una falla de los procesos, el personal y los sistemas internos o bien de acontecimientos externos.
o Riesgo Tecnológico.
Pérdida potencial por daños, interrupción, alteración o fallas derivadas del uso o dependencia en el hardware, software, sistemas, aplicaciones, redes y cualquier otro canal de distribución de información en la prestación de servicios bancarios con los clientes de la Institución.
Tipología de eventos de pérdida según Basilea II
Fraude Interno
Fraude Externo
Relaciones laborales y seguridad en el puesto de trabajo
Prácticas con clientes, productos y negocios
Daños en Activos y Materiales
Fallas en Sistemas
Ejecución, entrega y Administración de Procesos
1
2
3
4
5
6
7
16
3. Estándares y Prácticas para la Gestión de Riesgo Operativo y Seguridad de la Información“El error está en aquel dato obviamente correcto que no necesita verificación”
17
3.1 ERM (Enterprise Risk Mgmt)o COSO ERM (Committee of Sponsoring
Organization of the Treadway Commission
o COSO publicó el “Enterprise Risk Management Integratred Framework”
o Modelo tridimensional que establece cuatro categorías de objetivos, ocho componentes de la gestión de riesgos, y unidades de la entidad
o Proporciona una basta y útil información para desarrollar y operar el proceso de Gestión de Riesgos
o Segmenta la Gestión de Riesgos en alcances específicos, simplificando el análisis e implementación de soluciones.
Monitoring
Information & Communication
Control Activities
Risk Response
Risk Assessment
Event Identification
Objective Setting
Internal Environment
STRATEGIC
OPERATIONS
REPORTING
COMPLIANCEE
NTITY LE
VE
L
DIV
ISIO
N
BU
SIN
ES
S U
NIT
SU
BS
IDIA
RY
18
3.2 AAIRMo Compendio de tres organizaciones: AIRMIC
(Association of Insurance and Risk Managers), la ALARM (National Forum for Risk Management in the Public Sector), y el IRM (Institute of Risk Management)
o Inicia desde los objetivos estratégicos de la organización y es soportado por auditorías formales.
o Incluye un apéndice con una relación de técnicas de identificación de riesgos, así como métodos para el análisis de riesgos.
o Descripción detallada de las etapas y actividades requeridas para la administración de riesgos.
19
3.3. AS/NZ 4360o Estándar Australiano / Neo Zelandés
o Inició en 1995, segunda edición en 1999 y una versión publicada en Agosto del 2004.
o Agrega referencias a actividades para el establecimiento del contexto del proceso, comunicación y consulta de resultados, carece de referencias específicas a roles y responsabilidades disponibles en el AAIRM.
Establish the Context
Identify Risks
Evaluate Risks
Analyse Risks
Treat Risks
20
3.4. ISO/IEC 31000o Proporciona principios y lineamientos generales
para la Gestión de Riesgos
o Puede utilizarse para todo tipo de Organización y en cualquier ámbito (estrategias, servicios, productos, procesos, proyectos)
o Para todo tipo de riesgo
Process(Clause 5)
Establishingthe context (5.3)
Risk treatment(5.5)
Riskidentification
(5.4.2)
Risk analysis(5.4.3)
Riskevaluation
(5.4.4)
Risk assessment(5.4)
Monitoring
&
review
(5.6)
Comunication&consultation
5.2
21
3.5. GRCo Governance, Risk & Compliance
o Fomentado por diversos Corporativos
o Alcance Organizacional
22
3.7. ISO/IEC 27000o Activos de Información = VALOR para la
Organización
o Proporciona un Marco de Gestión para la Seguridad de la Información
• Metódico• Documental• Objetivos y resultados claros• Gestión de Riesgos
o Preservar la Confidencialidad, Integridad y Disponibilidad de la Información :
• 11 dominios• 39 objetivos de control • 133 controles
23
ISO/IEC 27000: Información Protegida
Adquisición, Desarrollo y Mantto de Sistemas
Adquisición, Desarrollo y Mantto de Sistemas
Gestión de Comunicac. y Operaciones
Gestión de Comunicac. y Operaciones
Continuidad del NegocioContinuidad del NegocioGestión deRecursos Humanos
Gestión deRecursos Humanos
CumplimientoCumplimiento
Gestión de ActivosGestión de Activos
Organizaciónde la SeguridadOrganización
de la Seguridad
Control de AccesosControl de Accesos
Política de SeguridadPolítica de Seguridad
Operación
Gestión
Gestión de Incidentes de SeguridadGestión de Incidentes de Seguridad
Gestión de Seguridad Física y Ambiental
Gestión de Seguridad Física y Ambiental
Gestión de RiesgosGestión de Riesgos
24
ISO/IEC 27000: Información Protegida
25
4. Estrategia para la Gestión de Riesgos y Seguridad de la Información
“El riesgo está delante de la Organización, no atrás”
26
4.1. Modelo de Gestióno La Gestión de Riesgos no es reciente.
o Eventos y pérdidas recientes en el mercado en general y en las instituciones financieras, le han brindado gran popularidad.
o Pérdidas y Regulaciones, han implicado la creación de una mayor conciencia sobre la importancia de la Gestión de Riesgos
o La mayoría de las empresas en Latinoamérica, se encuentran en “etapas preliminares del diseño”, de lo que puede denominarse un “Modelo de Gestión de Riesgos”.
Integración de las gestiones cualitativas y cuantitativas.
Desarrollo de Indicadores y auto – evaluaciones.
Cálculo de capital con modelos avanzados.
Identificación de riesgos, mapa de riesgos y seguimiento.
Desarrollo del modelo de cuantificación.
Concientización sobre la importancia del riesgo Operativo.
Definición de la estructura organizacional y políticas.
Registro y seguimiento de eventos de pérdida y riesgos.
1. CULTURA 2. GESTIÓN CUALITATIVA
3. GESTIÓN CUANTITATIVA
27
4. Medición del Riesgo y Registro de Eventos
2. dentificación de
Riesgos y Controles1. P
olíticas y
Procedimientos
3. E
valu
ació
n de
R
iesg
os5. Seguim
iento a Riesgos
y Eventos de Pérdida
Información para la Toma de Decisiones
4. Medición del Riesgo y Registro de Eventos
2. Identificación de
Riesgos y Controles1. P
olíticas y
Procedimientos
3. E
valu
ació
n de
R
iesg
os5. Seguim
iento a Riesgos
y Eventos de Pérdida
Información para la Toma de Decisiones
4.1. Modelo de Gestión de Riesgo Operativo
28
4.2. Sensibilizacióno Comprender a la Organización y su entorno
o Determinar el “Perfil de Riesgo”
o Identificar el “Apetito de Riesgo”.
29
4.3. Definición de Estrategiao Comprender la “Cultura de la Organización”
como parte sustantiva del desarrollo de la Estrategia
o Establecer Planes a Mediano y Largo Plazo.
o Definir con la Organización objetivos a Mediano y Largo Plazo (“estado deseado”)
o Establecer la capacidad y disponibilidad requerida, del personal relacionado con la Estrategia.
EstrategiaRiesgos
Barreras (Organización)
Objetivo de Control
Información Protegida
30
4.4. Desarrollo de Estrategiao Definir el Marco de Gestión
o Determinar si la Estrategia requerirácomponentes operativos
o Establecer el flujo de información de la Estrategia
o Identificar necesidad de contratación de servicios
o Establecer y dar seguimiento puntual al personal y actividades de la Estrategia.
31
4.5. Establecimiento de Indicadoreso Establecer el “valor” para la Organización que
debiera obtenerse con una actividad y, definir el objetivo de control a utilizar, para determinar la consecución del “valor”
o Hacer uso de estándares y prácticas como referencia al desarrollo de la Estrategia
o Evaluar la “madurez del proceso”
32
4.6. Implementación y Operacióno Establecer con la Organización, el nivel de
cumplimiento de la Estrategia
o Determinar acciones a seguir en casos de incumplimiento
o Dar seguimiento al más alto nivel de la Organización
o Verificar que la comunicación sea apropiada
o Desarrollar programas de concientización y formación
o Realizar Auditorías y dar seguimiento puntual a sus resultados.
5.2 Factores de Éxito.
• Generar conciencia en la Organización• Establecer la Gestión como proceso
inherente a actividades y a la información• Definir una Metodología clara y
estructurada• Establecer roles y responsabilidades• Implementar la Gestión de Incidentes• Revisar y auditar con un enfoque de
mejora continua.
5.3 Beneficios.• Reduce pérdidas y reservas de capital• Reduce riesgos a niveles aceptables• Contribuye a mejorar procesos y servicios• Reduce Costos
o Mejora la percepción y confianza de la Organización
35
Lic. Jorge A. Aguilar Frías.CISM, CISA, ITSM.j.aguilar@inlac.org044.55.35.57.32.93
Recommended