en el Negocio en el Negocio Agenda Introduccin Introduccin Impacto (Gestin de Riesgo) Del Riesgo TI al Riesgo Corporativo Autoevaluacin Introduccin Conocemos los riesgos a los que estamos expuestos? Desafos de TI E t l TI siempre Entregar valor TI siempre disponible Alinear TI con la institucin Optimizar costos institucin costos Mejores niveles de seguridad Origen del Riesgo TI Riesgo Operacional El riesgo de prdidas resultantes de procesos inadecuados o fallidos, personas y sistemas o de eventos externos que no , p y q estn cubiertos por capital regulatorio BASILEA II Es el efecto de la incertidumbre en la consecucin de los s e e ecto de a ce tdu b e e a co secuc de os objetivos ISO 31000:2009 Riesgo TI El riesgo de TI es el riesgo asociado con el uso, propiedad, operacin, involucramiento, influencia y adopcin de la t l d i f i tecnologa de informacin en una empresa La prdida ocasionada por interrupcin, falla o dao que se derivan de los sistemas de informacin y plataformas tecnolgicas que una organizacin dispone para prestar sus servicios ordinarios. Riesgo TI Riesgo en la entrega de servicios de TI Son los riesgos asociados al desempeo y disponibilidad de los servicios de TI. Estos riesgos pueden provocar una destruccin o reduccin del valor en una empresa. Riesgo en la entrega de la solucin de TI Son los riesgos asociados con la contribucin de TI a las soluciones de negocio nuevas o mejoradas, usualmente en soluciones de negocio nuevas o mejoradas, usualmente en forma de proyectos y/o programas Riesgo en la realizacin de beneficios de TI S l i i d l did d t id d d Son los riesgos asociados con la prdida de oportunidades de utilizacin de tecnologa para mejorar la eficiencia o efectividad de los procesos de negocio o utilizar la tecnologa como un habilitador de nuevas iniciativas de negocio habilitador de nuevas iniciativas de negocio Riesgo TI Clasificacin Descripcin Seguridad y acceso Riesgo que la informacin acceso informacin confidencial sea utilizada por personas no autorizadas Integridad Riesgo que la informacin no sea confiable, incompleta e inexacta Pertinente El riesgo asociado a no g tener la informacin adecuada en el tiempo preciso para los procesos procesos Riesgo TI Disponibilidad Riesgo de perdida de los servicios Infraestructura Riesgo de no contar con la infraestructura adecuada que soporte adecuada que soporte las necesidades actuales y futuras. Riesgo TI Eventos relacionados a Riesgos de TI Fraude Interno Fraude Administracin Externo Administracin de procesos Clientes, productos y servicios Interrupciones del negocio Daos a activos fsicos Riesgos - TI Accin Accin Divulgacin Divulgacin Interrupcin Interrupcin Modificacin Modificacin R b R b Activo / Recurso Activo / Recurso Gente y Organizacin Gente y Organizacin Procesos Procesos Robo Robo Destruccin Destruccin Diseo Diseo Inefectivo Inefectivo Ejecucin Ejecucin Actor Actor Internos Internos Externos Externos Procesos Procesos Infraestructura (instalaciones, Infraestructura (instalaciones, infraestructura) infraestructura) Componentes de la Componentes de la Arquitectura de Negocio Arquitectura de Negocio jj ineficiente ineficiente Regulacin Regulacin Uso inapropiado Uso inapropiado (Competidores, (Competidores, Socios de Socios de negocio, negocio, Reguladores, Reguladores, Mercado etc ) Mercado etc ) Tiempo Tiempo E i E i Duracin Duracin Tipo de Amenaza Tipo de Amenaza Mercado, etc.) Mercado, etc.) Maliciosa Maliciosa ++ ++ ++ ++ Escenario Escenario de Riesgo de Riesgo Duracin Duracin Tiempo de Tiempo de Ocurrencia (crtico, Ocurrencia (crtico, no critico) no critico) Tiempo de deteccin Tiempo de deteccin Accidental Accidental Falla Falla Natural Natural Impacto Los objetivos de la institucin dependen de los procesos de negocios y estos de TI Aplicativo 1 Aplicativo 2 Proceso 1 2 Proceso 2 Sistemas de informacin 2 Soporte a toma de decisiones y desarrollo de actividades Impacto Procesos de Procesos de negocio Aplicaciones y servicios Objetivos y Estrategias Infraestructura de TI (HW, SW, Datos, Instalaciones, personal, metodologa, polticas y , p , g , p y procedimientos) Impacto Como evitar que ocurran eventos no deseados? En el caso de ocurrir como disminuir su impacto? Impacto - Gestin Gestionar los riesgos Es un proceso interactivo basado en el conocimiento, evaluacin y manejo de los riesgos y sus impactos, con el propsito de mejorar la y p , p p j toma de decisiones organizacionales. Impacto - Gestin Gestionar los riesgos de TI Parte de la gestin global del riesgo corporativo Enfocado a un eficiente equilibrio entre oportunidades y did perdidas Precisa de un anlisis de riesgos combinado con un anlisis de impacto en el negocio (BIA) Impacto - Gestin Estndares ISO 31010 ISO 31010 BS 31100 ISO/IEC 27005 ITGI Risk IT Framework NIST SP800-30 AS/NZS 4360 AS/NZS 4360 MAGERIT CRAMM UNE 71504 UNE 71504 Impacto - Gestin ISO 31000 Impacto - Gestin Principios Siempre esta conectada con los objetivos del negocio Alinea la gestin de riesgos TI con la gestin de riesgos de toda la organizacin Balancea costos Promueve comunicacin Es un proceso continuo Debe ser sistmica estr ct rada Debe ser sistmica y estructurada Debe ser parte de la toma de decisiones Dinmica, iterativa Proteger todo lo que es valioso Proteger todo lo que es valioso Adaptada a la organizacin Impacto - Gestin Repuesta al riesgo Cambiar C o n t r oo l e s Seguros / Outsourcing Impacto - Gestin Priorizacin de Respuesta a Respuestas Priorizacin de Respuesta a Riesgos Caso de N i v Logros Respuestas muy eficientes y eficaces a riesgos altos Respuestas mas caras o ms difciles a riesgos altos Caso de Negocio v e l
d e
R i e s Logros Rpidos R t altos Diferir g o
A c t u a l Oportunidad Respuestas costosas a riesgos bajos Respuestas eficientes y eficaces a riesgos b j Eficacia / Eficiencia bajos Impacto - Gestin Nivel de Riesgo m p a c t o r i d a d
d e l
i S e v e Probabilidad que ocurra Impacto - Gestin Efecto esperado de las opciones de tratamiento r i e s g o e r i d a d
d e l
S e v e Probabilidad que ocurra Impacto - Gestin Detectar y resolver accesos no autorizados a la informacin Contro % Alta Probabilidad Supervisin peridica Contro l Proceso: Garantizar Seguridad Usuarios Usuarios Definicin inapropiada de permisos de acceso Definicin inapropiada de permisos de acceso Causa Alta Media Baja Seguridad Objetivo: Permitir el acceso a informacin crtica y sensible Objetivo: Permitir el acceso a informacin crtica y sensible Usuarios autorizados realizan actividades no permitidas Usuarios autorizados realizan actividades no permitidas Evento / Escenario: Qu puede suceder para ocasionar Accesos excesivos y uso de capacidades de supervisin. Intencin de Fraude Accesos excesivos y uso de capacidades de supervisin. Intencin de Fraude y slo a usuarios autorizados. y slo a usuarios autorizados. la Falla Modificacin de Informacin Modificacin de Informacin Efecto Informacin. Transacciones no autorizadas Informacin. Transacciones no autorizadas $ Alto Medio Bajo Impacto Ejemplo Del Riesgo TI al corporativo Requerimientos de Negocio efectividad eficiencia fid i lid d Informacin Recursos Procesos Informacin confidencialidad integridad disponibilidad cumplimiento fi bilid d Aplicacin Infraestructura Personas PLANEACION Y ORGANIZACION confiabilidad ORGANIZACION ADQUISICION E MONITOREO Y EVALUACIN IMPLEMENTACION ENTREGA Y EVALUACIN ENTREGA Y SOPORTE Del Riesgo TI al corporativo Debemos incluir la gestin del riesgo TI a la gestin del riesgo Corporativo? C l l i id d d t d l i d l G ti Cual es la prioridad dentro del negocio de la Gestin del Riesgo TI? Como afecta la no gestin del Riesgo TI a la estrategia Como afecta la no gestin del Riesgo TI a la estrategia y objetivos de TI? Del Riesgo TI al corporativo Al igual que otros riesgos que se gestionan, los riesgos de TI deben ser considerados Darle prioridad alta Conciencia y responsabilidad de la Directores Inversin para gestionarles = continuidad, eficiencia y p g , y oportunidades Riesgo TI No operacin, No continuidad g No gestin gestin Del Riesgo TI al corporativo De lo anterior: El objetivo es si no solo es la gestin del riesgo TI, Sino garantizar la continuidad del negocio, tomando acciones para el tratamiento de los riesgos y de esta p g y forma estar preparados antes los nuevos retos. Autoevaluacin Es un proceso a travs del cual la efectividad de los controles internos es evaluada. Cuyo objetivo es proveer un aseguramiento razonable de que los objetivos del negocio se cumplirn. Autoevaluacin Como se hace: Basado en objetivos Basado en riesgos Basado en controles Basado en procesos p Autoevaluacin Basada en Riesgos Autoevaluacin Matriz de Autoevaluacin de Riesgos Tipo Descripcion P I Nivel de Riesgo Control Valor del Control Resid uo Integridad Administracin de problemas 3 1 3 Registro de incidencias 3 1 Integridad problemas 3 1 3 Registro de incidencias 3 1 Infraestructu ra Respaldo y restauracion 5 3 15 Plan de contingencia 5 3 Disponibilid d Continuidad del i (TI) 4 3 12 Sitio alterno, procedimiento de ld 5 2 4 ad negocio (TI) 4 3 12 respaldos 5 2.4 Plan de respaldo Conclusiones El riesgo de TI impacta en el negocio de manera que se pueden detener las operaciones del mismo La gestin de riesgos de TI no es responsabilidad de la gerencia de TI, (Gobierno de TI) No solo vasta conocer los riesgos a los que nos enfrentamos (amenazas, vulnerabilidades), hay que gestionarlos y conocer su impacto impacto La gestin de riesgos de TI = monitoreo, revisiones, actualizaciones, es decir es una practica de todos los dias actualizaciones, es decir es una practica de todos los dias Gracias por su atencin.. p Lic. Jos Victor Valle Analista Inspector TI Analista Inspector TI
Examen - (AAB01) Cuestionario 2 - Desarrolle El Cuestionario en Línea e Interprete Los Métodos de Almacenamiento, Equipos de Almacenaje Montacargas, Revisión y Validación de Productos