View
86
Download
0
Category
Preview:
Citation preview
Integrando los Riesgos de TI a la Gestin del Riesgo Corporativo
Lic. Franco N. Rigante, CISA,CRISC,PMP
Conferencista Biografa Franco Nelson Rigante, CISA, CRISC licenciado en Sistemas de la Universidad de Buenos Aires, certificado como PMP, con estudios de Posgrado en Administracin y Planeamiento Estratgico. Trabaj durante 10 aos en el Banco Central de la Repblica Argentina, auditando sistemas informticos de entidades financieras. Actualmente es Socio de IT Advisory de Grant Thornton Argentina, liderando proyectos internacionales sobre aspectos de IT Governance, Risk & Compliance. Posee experiencia laboral en Alemania, Espaa y Honduras, fue profesor en una Maestra de Auditora y en carreras universitarias de grado, se ha desempeado como Consultor para el BID y el Banco Mundial y ha dictado conferencias para PMI (Argentina), ITSMF (Espaa) e ISACA (Uruguay). Es autor de artculos sobre IT-GRC para medios grficos especializados y forma parte del equipo de trabajo de ISACA Madrid para la traduccin oficial al castellano de COBIT 5.
Introduccin Consenso
Conceptual Seleccin
Metodologa
Ejecucin Proceso de Anlisis de Riesgos TI
Integracin con Riesgo
Operacional
Agenda Road Map
Toda Organizacin tiene Riesgos
Riesgo proviene del italiano risico o rischio que, a su vez, tiene origen en el rabe clsico rizq (lo que depara la providencia). El trmino hace referencia a la proximidad o contingencia de un posible dao. (Diccionario de la Real Academia Espaola)
Riesgos de TI y el Riesgo Corporativo
Fuente: Risk IT Framework - ISACA (Information System Audit and Control)
Governance, Risk & Compliance
Enfoque holstico para maximizar la creacin de valor desde IT para los stakeholders, alineando e integrando las actividades que la organizacin realiza sobre:
Gobierno Corporativo
Gestin Integral del Riesgo Corporativo
Cumplimiento de leyes y regulaciones aplicables.
Empezando por el Final - Resultados
Riesgo por Proceso
Riesgo por Soluc. Inf.
Riesgo por Tipo Activo
Riesgo por Activo
Riesgo por Amenaza
Ej. Riesgos de TI de Plazo Fijo
Ej. Riesgos del Core Bancario (Solucin)
Ej. Riesgos del Hardware
Ej. Riesgos del AS/400
Ej. Riesgos de Acceso No Autorizado
Introduccin Consenso
Conceptual Seleccin
Metodologa
Ejecucin Proceso de Anlisis de Riesgos TI
Integracin con Riesgo
Operacional
Agenda Road Map
El activo por excelencia, que interesa tanto a clientes externos, internos, terceros y entes de supervisin y
control es la Informacin.
Activo + Valioso Soportado por
Activos de TI/SI
Proceso de Negocio = Informacin + TI/SI
Ejemplos de Procesos de una Entidad
Productos/Servicios de la Entidad
Caja de Ahorro
Proceso 1
(Ej. Alta)
Proceso 2
(Ej. Operacin)
Proceso 3
(Ej. Baja)
Contabilidad
Ejemplo de un proceso
Ejemplo de un proceso
Incidencia de TI para un Proceso
%
variable
Riesgo residual TI/SI a gestionar
Impacto TI/SI
Criticidad para el
Negocio
Probabilidad de
Ocurrencia
(Mitigantes del Impacto
y de la Probabilidad)
Amenaza
Lo determina
el Propietario
del Negocio
Lo determina el Dueo
del Riesgo de TI
(experto TI/SI)
Historia +
Expectativa
Riesgo Residual: Componentes
Impacto tecnolgico vs criticidad
Determinacin del componente tecnolgico
Lo determina el
Propietario del
Negocio
Lo determina el
Dueo del
Riesgo de TI
(experto TI/SI)
Concepto de Criticidad para el Negocio
Introduccin Consenso
Conceptual Seleccin
Metodologa
Ejecucin Proceso de Anlisis de Riesgos TI
Integracin con Riesgo
Operacional
Agenda Road Map
mayor objetividad (mtricas, clculos, variables)
documentacin / trazabilidad
lenguaje comn = mejor comunicacin
respaldo en estndares internacionales
mtodo sistemtico para posteriores evaluaciones
enfoque consistente, eficiente e integrado
transparencia de riesgos de TI para la Direccin
independencia de criterios personalizados
alineamiento con regulaciones futuras
Ventajas de utilizar una Metodologa
Contexto normativo local - Riesgos
A 5203
A 4793
A 4609
Lineamientos Gestin Riesgo Corporativo
Riesgo Operacional
Riesgos de TI
Evaluar Marco Regulatorio - Ejemplo
Entonces Qu Metodologa elegir?
Mapa de procesos de COBIT 5
Garantizar que el apetito y la tolerancia respectos a los riesgos para el valor de la organizacin son entendidos, articulados, comunicados, gestionados, optimizados, minimizando el riesgo de falta de Compliance
Continuamente identificar, evaluar, y reducir los riesgos de dentro de los niveles fijados por la Direccin, en forma integrado al ERM, balanceando costos y beneficios para la organizacin.
Incluyen prcticas y actividades para tratar riesgos, y los roles en las matrices RACI. Todos los Procesos
Gestionar
Riesgos
Garantizar
Optimizacin de
los Riesgos
Riesgos de TI en COBIT 5
Riesgos de TI en COBIT 5 - Roles
MAGERIT Caractersticas principales
- Creado por Gobierno Espaa
- Establece Tipos de Activos
- Trae un catlogo de amenazas
- Incluye gua de salvaguardas
- Mtodo cualitativo/cuantitativo
- Dependencia: herencia de valor
- Informacin: Activo + valioso
- Dimensiones adicionales (+2)
MAGERIT Caractersticas principales
Riesgos de TI y el Riesgo Corporativo
Fuente: Risk IT Framework - ISACA (Information System Audit and Control)
Escenarios de Riesgos segn Risk IT
Entonces Qu Metodologa elegir?
Las mejores prcticas combinadas!
COBIT
RISK IT
MAGERIT
Regulaciones
Metodologa Anlisis de Riesgos de TI/SI
30
COBIT, para:
Comunicacin con Alta Gerencia y Alineamiento con Negocio
Gestin del Proceso de Anlisis de Riesgos de TI/SI
Considerar amenazas de un inadecuado Gobierno de TI/SI
RISK IT, para:
Escenarios de riesgo, por actor, accin, tiempo, etc.
MAGERIT, para:
Conceptos de Tipos de Activos, Informacin y Dependencias
Considerar catlogo de amenazas para cada tipo de activo.
Regulaciones aplicables, para Compliance
Introduccin Consenso
Conceptual Seleccin
Metodologa
Ejecucin Proceso de Anlisis de Riesgos TI
Integracin con Riesgo
Operacional
Agenda Road Map
Proceso de Anlisis Riesgos de TI/SI
Ejecutar Proceso de
Anlisis
Clasificar Activos de
Informacin
Analizar Riesgos de TI
Integrar con Riesgo
Operacional
Gestionar Riesgos de TI
Ejecutar Planes de
Accin
Seguimiento y Mejora
Contnua
Clasificacin de Activos de Informacin
Qu clasificar?
Metodologa
Aplicaciones
(y propagar) Todos los Activos
(ej. Router)
Informacin
(y propagar)
Ejemplo de un proceso
Clasificacin de Activos de Informacin
Optimizar cuestionario clasificacin Incorporar atributos adicionales para mayor precisin:
confidencialidad:
identificar combinacin de campos confidenciales
hbeas data (datos personales)
integridad: sanciones por fallas, frecuencia de uso, montos promedios, plazo de exposicin
disponibilidad: tiles para el armado del BIA.
Identificar los Activos No Informticos crticos
Resultados de la clasificacin
Determinacin de Criticidad para el Negocio (1 a 5)
Opcional: definir punto de corte y corregir ajustes
Preparacin para realizar el Anlisis de Riesgos de los Activos de TI/SI
Propagar resultado
de clasificacin a
activos inferiores
Agrupar activos
Agrupar Activos como Soluciones Inf.
Relacionar y Propagar Clasificacin
Propagar Criticidad a Activos inferiores
Catlogo de amenazas, por tipo de activo Incorporar know-how de los expertos de TI/SI/Seg.Inf.
Catlogo de amenazas, por tipo de activo Incorporar know-how de los expertos de TI/SI/Seg.Inf.
Catlogo de amenazas, por tipo de activo Incorporar know-how de los expertos de TI/SI/Seg.Inf.
Catlogo de amenazas, por tipo de activo Incorporar know-how de los expertos de TI/SI/Seg.Inf.
Catlogo de amenazas, por tipo de activo Incorporar know-how de los expertos de TI/SI/Seg.Inf.
Impacto tecnolgico inherente y mitigantes para cada amenaza
Anlisis de Riesgos de Activos de TI/SI
Determinar fortaleza mitigantes para calcular riesgo residual
Mapa de Riesgos Residuales
Elaborar Informe Final
Descripcin entorno entidad (negocio y TI/SI) Resumen ejecutivo Etapas del proyecto participantes - alcance Clasificacin de los activos de informacin Catlogo de riesgos analizados Comparativo con el ltimo anlisis de riesgos Mapas y Grficos para mayor comprensin Conclusiones generales del anlisis Tratamiento de los riesgos inaceptables.
Exposicin Resultados: Consolidaciones
Riesgo por Proceso
Riesgo por Soluc. Inf.
Riesgo por Tipo Activo
Riesgo por Activo
Riesgo por Amenaza
Por peso solucin informtica
Por peso tipo de activo
Por criticidad del activo del tipo
Por impacto de cada amenaza
Por criticidad del activo
todas las soluciones
informticas son iguales?
es igual de importante un
proveedor al hardware?
es igual de importante
una aplicacin que otra?
es igual de importante
una amenaza que otra?
es igual de importante un
activo que otro?
Consolidacin Por Amenaza:
Consolidacin Por Activo:
Consolidacin Por Solucin Informtica:
Consolidacin Por Solucin Informtica:
Consolidacin Por Proceso:
Gestin de Riesgos de Activos de TI/SI
Sustento objetivo de variables
Foto
Original
Eventos de Prdida
Foto
Nueva
Qu pas?
Con qu frecuencia?
Cunto impact?
Cmo funcionaron los
controles existentes?
Ajuste de variables + Subjetiva Indicadores
+ Objetiva
Introduccin Consenso
Conceptual Seleccin
Metodologa
Ejecucin Proceso de Anlisis de Riesgos TI
Integracin con Riesgo
Operacional
Agenda Road Map
Proceso Integrando los Riesgos
%
variable
Proceso Integrando los Riesgos
Esquema conceptual basado en GRC Interacciones recomendadas entre los distintos sectores
Roles claves para la Gestin Integral de Riesgos
Clasifica el valor de la informacin (C-I-D) Responsable de declarar los eventos de prdida de su proceso y de solicitar a TI/PAI las acciones necesarias para evitar su reiteracin.
No audita la metodologa de Riesgos de TI No realiza seguimiento de observaciones de auditora. Contrasta el nivel Riesgo de TI con: El umbral de tolerancia fijado por la Direccin Si esta sub-valorado versus los eventos de prdida reales
Roles claves para la Gestin Integral de Riesgos
Audita la metodologa de Riesgos de TI y todo el proceso de Clasificacin de Activos de Informacin, Anlisis de Riesgos de TI, Gestin de Riesgos de TI e Integracin con Riesgos Operacionales. Hace seguimientos de observaciones de TI
Interacta con los dueos de los riesgos de TI para mantener actualizado el catlogo de riesgos a analizar Ejecuta el Proceso de Anlisis de Riesgos de TI Interacta con el rea de Riesgo Operacional para integrar los resultados del Anlisis de Riesgos de TI
Anlisis de Riesgos de TI - Interacciones
Dificultades habituales - Top Ten
integracin inexistente/parcial entre riesgos
inadecuada comprensin de la alta gerencia
solapamiento: duplicacin o falta de cobertura
falta de compromiso de los dueos de riesgos de TI
inconsistencia en mitigantes respecto a auditoras
propietarios de procesos no concientizados en riesgos.
divergencias metodolgicas entre reas
falta de indicadores para sustento de variables claves
rea de Riesgo Operacional toma el rol de Auditora
falta de actualizacin ante eventos claves
Recomendaciones Finales Top Ten
diseo de estructura formal adecuada
integracin metodolgica clara (RO + TI)
procesos y procedimientos acordes con la entidad
respaldo en estndares internacionales reconocidos
mapa de procesos vinculados a activos informticos
consistencia: Riesgos de TI con BIA, DRP y audit.
evitar silos y fomentar visin holstica (GRC)
utilizar el enfoque basado en riesgos a favor
definir indicadores y mtricas claves de Gestin
capacitacin y concientizacin a todos los actores
Preguntas de Cierre
Muchas Gracias!
Lic. Franco N. Rigante, CISA,CRISC,PMP
Franco.Rigante@ar.gt.com
Blog: http://francoitgrc.wordpress.com
@FrancoIT_GRC
Colaborar Contribuir Conectar
El Knowledge Center es una coleccin de recursos y comunidades en lnea que conecta los miembros de ISACA globalmente, sobre industrias y por enfoque profesional todo en un solo lugar. Usted puede agregar o responder a una discusin, publicar un documento o link, conectar con otros miembros de ISACA, o crear un wiki por participando en una comunidad hoy!
http://www.isaca.org/Knowledge-Center
Recommended