INTENDENCIA DE VALORES

Riesgo Tecnolgico, Impacto y Autoevaluacin

en el Negocio en el Negocio
Agenda
Introduccin Introduccin
Impacto (Gestin de Riesgo)
Del Riesgo TI al Riesgo Corporativo
Autoevaluacin
Introduccin
Conocemos los riesgos a los que estamos
expuestos?
Desafos de TI
E t l
TI siempre
Entregar valor
TI siempre
disponible
Alinear TI con la
institucin
Optimizar
costos
institucin
costos
Mejores niveles
de seguridad
Origen del Riesgo TI
Riesgo Operacional
El riesgo de prdidas resultantes de procesos inadecuados
o fallidos, personas y sistemas o de eventos externos que no , p y q
estn cubiertos por capital regulatorio BASILEA II
Es el efecto de la incertidumbre en la consecucin de los s e e ecto de a ce tdu b e e a co secuc de os
objetivos ISO 31000:2009
Riesgo TI
El riesgo de TI es el riesgo asociado con el uso, propiedad,
operacin, involucramiento, influencia y adopcin de la
t l d i f i tecnologa de informacin en una empresa
La prdida ocasionada por interrupcin, falla o dao que se
derivan de los sistemas de informacin y plataformas
tecnolgicas que una organizacin dispone para prestar sus
servicios ordinarios.
Riesgo TI
Riesgo en la entrega de servicios de TI
Son los riesgos asociados al desempeo y disponibilidad de los
servicios de TI.
Estos riesgos pueden provocar una destruccin o reduccin del
valor en una empresa.
Riesgo en la entrega de la solucin de TI
Son los riesgos asociados con la contribucin de TI a las
soluciones de negocio nuevas o mejoradas, usualmente en soluciones de negocio nuevas o mejoradas, usualmente en
forma de proyectos y/o programas
Riesgo en la realizacin de beneficios de TI
S l i i d l did d t id d d Son los riesgos asociados con la prdida de oportunidades de
utilizacin de tecnologa para mejorar la eficiencia o efectividad
de los procesos de negocio o utilizar la tecnologa como un
habilitador de nuevas iniciativas de negocio habilitador de nuevas iniciativas de negocio
Riesgo TI
Clasificacin Descripcin
Seguridad y
acceso
Riesgo que la
informacin
acceso
informacin
confidencial sea
utilizada por personas
no autorizadas
Integridad
Riesgo que la
informacin no sea
confiable, incompleta e
inexacta
Pertinente
El riesgo asociado a no g
tener la informacin
adecuada en el tiempo
preciso para los
procesos procesos
Riesgo TI
Disponibilidad Riesgo de perdida de
los servicios
Infraestructura Riesgo de no contar con
la infraestructura
adecuada que soporte adecuada que soporte
las necesidades
actuales y futuras.
Riesgo TI
Eventos relacionados a Riesgos de TI
Fraude Interno
Fraude
Administracin
Externo
Administracin
de procesos
Clientes,
productos y
servicios
Interrupciones
del negocio
Daos a
activos fsicos
Riesgos - TI
Accin Accin
Divulgacin Divulgacin
Interrupcin Interrupcin
Modificacin Modificacin
R b R b
Activo / Recurso Activo / Recurso
Gente y Organizacin Gente y Organizacin
Procesos Procesos
Robo Robo
Destruccin Destruccin
Diseo Diseo
Inefectivo Inefectivo
Ejecucin Ejecucin
Actor Actor
Internos Internos
Externos Externos
Procesos Procesos
Infraestructura (instalaciones, Infraestructura (instalaciones,
infraestructura) infraestructura)
Componentes de la Componentes de la
Arquitectura de Negocio Arquitectura de Negocio
jj
ineficiente ineficiente
Regulacin Regulacin
Uso inapropiado Uso inapropiado
(Competidores, (Competidores,
Socios de Socios de
negocio, negocio,
Reguladores, Reguladores,
Mercado etc ) Mercado etc )
Tiempo Tiempo
E i E i
Duracin Duracin
Tipo de Amenaza Tipo de Amenaza
Mercado, etc.) Mercado, etc.)
Maliciosa Maliciosa ++
++ ++
++
Escenario Escenario
de Riesgo de Riesgo
Duracin Duracin
Tiempo de Tiempo de
Ocurrencia (crtico, Ocurrencia (crtico,
no critico) no critico)
Tiempo de deteccin Tiempo de deteccin
Accidental Accidental
Falla Falla
Natural Natural
Impacto
Los objetivos de la institucin dependen de los
procesos de negocios y estos de TI
Aplicativo
1
Aplicativo
2
Proceso
1
2
Proceso
2
Sistemas de
informacin
2
Soporte a toma de
decisiones y desarrollo
de actividades
Impacto
Procesos de Procesos de
negocio
Aplicaciones y servicios
Objetivos y
Estrategias
Infraestructura de TI (HW, SW, Datos,
Instalaciones, personal, metodologa, polticas y , p , g , p y
procedimientos)
Impacto
Como evitar que ocurran eventos no deseados?
En el caso de ocurrir como disminuir su impacto?
Impacto - Gestin
Gestionar los riesgos
Es un proceso interactivo basado en el
conocimiento, evaluacin y manejo de los riesgos
y sus impactos, con el propsito de mejorar la y p , p p j
toma de decisiones organizacionales.
Impacto - Gestin
Gestionar los riesgos de TI
Parte de la gestin global del riesgo corporativo
Enfocado a un eficiente equilibrio entre oportunidades y
did perdidas
Precisa de un anlisis de riesgos combinado con un
anlisis de impacto en el negocio (BIA)
Impacto - Gestin
Estndares
ISO 31010 ISO 31010
BS 31100
ISO/IEC 27005
ITGI Risk IT Framework
NIST SP800-30
AS/NZS 4360 AS/NZS 4360
MAGERIT
CRAMM
UNE 71504 UNE 71504
Impacto - Gestin
ISO 31000
Impacto - Gestin
Principios
Siempre esta conectada con los objetivos del negocio
Alinea la gestin de riesgos TI con la gestin de riesgos
de toda la organizacin
Balancea costos
Promueve comunicacin
Es un proceso continuo
Debe ser sistmica estr ct rada Debe ser sistmica y estructurada
Debe ser parte de la toma de decisiones
Dinmica, iterativa
Proteger todo lo que es valioso Proteger todo lo que es valioso
Adaptada a la organizacin
Impacto - Gestin
Repuesta al riesgo
Cambiar
C
o
n
t
r
oo
l
e
s
Seguros / Outsourcing
Impacto - Gestin
Priorizacin de Respuesta a
Respuestas
Priorizacin de Respuesta a
Riesgos
Caso de
N
i
v
Logros
Respuestas muy
eficientes y
eficaces a riesgos
altos
Respuestas
mas caras o
ms difciles a
riesgos altos
Caso de
Negocio
v
e
l

d
e

R
i
e
s
Logros
Rpidos
R t
altos
Diferir
g
o

A
c
t
u
a
l
Oportunidad
Respuestas
costosas a riesgos
bajos
Respuestas
eficientes y
eficaces a riesgos
b j
Eficacia / Eficiencia
bajos
Impacto - Gestin
Nivel de Riesgo
m
p
a
c
t
o
r
i
d
a
d

d
e
l

i
S
e
v
e
Probabilidad que ocurra
Impacto - Gestin
Efecto esperado de las opciones de tratamiento
r
i
e
s
g
o
e
r
i
d
a
d

d
e
l

S
e
v
e
Probabilidad que ocurra
Impacto - Gestin
Detectar y
resolver
accesos no
autorizados a
la informacin
Contro
%
Alta
Probabilidad
Supervisin
peridica
Contro
l
Proceso:
Garantizar
Seguridad Usuarios Usuarios
Definicin
inapropiada de
permisos de
acceso
Definicin
inapropiada de
permisos de
acceso
Causa
Alta
Media
Baja
Seguridad
Objetivo: Permitir
el acceso a
informacin
crtica y sensible
Objetivo: Permitir
el acceso a
informacin
crtica y sensible
Usuarios
autorizados
realizan
actividades
no
permitidas
Usuarios
autorizados
realizan
actividades
no
permitidas
Evento /
Escenario:
Qu puede
suceder
para
ocasionar
Accesos excesivos
y uso de
capacidades de
supervisin.
Intencin de Fraude
Accesos excesivos
y uso de
capacidades de
supervisin.
Intencin de Fraude
y
slo a usuarios
autorizados.
y
slo a usuarios
autorizados.
la Falla
Modificacin de
Informacin
Modificacin de
Informacin
Efecto
Informacin.
Transacciones
no autorizadas
Informacin.
Transacciones
no autorizadas
$
Alto
Medio
Bajo
Impacto Ejemplo
Del Riesgo TI al corporativo
Requerimientos
de Negocio
efectividad
eficiencia
fid i lid d
Informacin
Recursos
Procesos
Informacin
confidencialidad
integridad
disponibilidad
cumplimiento
fi bilid d
Aplicacin
Infraestructura
Personas
PLANEACION Y
ORGANIZACION
confiabilidad
ORGANIZACION
ADQUISICION E
MONITOREO Y
EVALUACIN
IMPLEMENTACION
ENTREGA Y
EVALUACIN
ENTREGA Y
SOPORTE
Del Riesgo TI al corporativo
Debemos incluir la gestin del riesgo TI a la gestin
del riesgo Corporativo?
C l l i id d d t d l i d l G ti Cual es la prioridad dentro del negocio de la Gestin
del Riesgo TI?
Como afecta la no gestin del Riesgo TI a la estrategia Como afecta la no gestin del Riesgo TI a la estrategia
y objetivos de TI?
Del Riesgo TI al corporativo
Al igual que otros riesgos que se gestionan, los
riesgos de TI deben ser considerados
Darle prioridad alta
Conciencia y responsabilidad de la Directores
Inversin para gestionarles = continuidad, eficiencia y p g , y
oportunidades
Riesgo TI
No operacin,
No continuidad
g
No
gestin gestin
Del Riesgo TI al corporativo
De lo anterior:
El objetivo es si no solo es la gestin del riesgo TI,
Sino garantizar la continuidad del negocio, tomando
acciones para el tratamiento de los riesgos y de esta p g y
forma estar preparados antes los nuevos retos.
Autoevaluacin
Es un proceso a travs del cual la efectividad de los
controles internos es evaluada. Cuyo objetivo es
proveer un aseguramiento razonable de que los
objetivos del negocio se cumplirn.
Autoevaluacin
Como se hace:
Basado en objetivos
Basado en riesgos
Basado en controles
Basado en procesos p
Autoevaluacin
Basada en Riesgos
Autoevaluacin
Matriz de Autoevaluacin de Riesgos
Tipo Descripcion P I
Nivel de
Riesgo Control
Valor del
Control
Resid
uo
Integridad
Administracin de
problemas 3 1 3 Registro de incidencias 3 1 Integridad problemas 3 1 3 Registro de incidencias 3 1
Infraestructu
ra
Respaldo y
restauracion 5 3 15 Plan de contingencia 5 3
Disponibilid
d
Continuidad del
i (TI) 4 3 12
Sitio alterno,
procedimiento de
ld 5 2 4 ad negocio (TI) 4 3 12 respaldos 5 2.4
Plan de respaldo
Conclusiones
El riesgo de TI impacta en el negocio de manera que se pueden
detener las operaciones del mismo
La gestin de riesgos de TI no es responsabilidad de la gerencia
de TI, (Gobierno de TI)
No solo vasta conocer los riesgos a los que nos enfrentamos
(amenazas, vulnerabilidades), hay que gestionarlos y conocer su
impacto impacto
La gestin de riesgos de TI = monitoreo, revisiones,
actualizaciones, es decir es una practica de todos los dias actualizaciones, es decir es una practica de todos los dias
Gracias por su atencin.. p
Lic. Jos Victor Valle
Analista Inspector TI Analista Inspector TI