Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Administracin de Riesgos de TI
MsC. Carlos Zamora Sotelo, CISA, CISM
Agenda
1. Objetivo de la Sesin.
2. La Administracin de Riesgos en la Estrategia de
Negocios.
3. El papel de la administracin de riesgos de Tecnologa de
Informacin como parte de la estrategia de la Gestin del
Riesgo en la Organizacin.
4. Elementos que deben conformar un modelo de
administracin de Riesgos de TI.
5. Modelo o marco de trabajo para realizar un modelo de
Administracin y control de Riesgos de TI.
Agenda
5. Premisas para la realizacin de un proceso de anlisis y
evaluacin de riesgos desde el punto de vista de un
modelo de control.
6. Marco metodolgico sugerido para desarrollar un modelo
de control interno en Tecnologa en materia de
Administracin de Riesgos.
7. Cmo justificar el desarrollo y aplicacin de un modelo de
control para la gestin de riesgos de Tecnologa.
8. Requerimientos y Factores crticos de xito para el logro
de objetivos del modelo de gestin de riesgos.
9.
Agenda
10. Conclusiones del Caso de Estudio
11. Respuestas a las Preguntas ms frecuentes
Objetivo de la Sesin
Establecer el modelo de Control de Tecnologa
de Informacin para la Identificacin, Anlisis,
Evaluacin, Disminucin de Riesgos de
Tecnologa de Informacin.
Contar con mtricas e indicadores de riesgos
tpicos de un rea de Tecnologa de
Informacin.
Conocer una estrategia real de aplicacin de un
modelo de control para la administracin de
Riesgos de Tecnologa de Informacin.
Mitigacin
Aceptacin
Implementar
Medidas
de Control
Evaluacin
y
Seguimiento
Procesos
Activos
de la
Organizacin
Proyectos
Sistemas Aplicativos
Sistemas Operativos
Informacin
Comunicaciones
Operaciones de Cmputo
Optimizar
ESTRATEGIA
Maximizar
Productividad
de las reas
Generar Costos
Competitivos
Maximizar
Creacin de Valor
Aumentar
Retorno
Inversin
Rentabilidad
Transparencia
PROCESOS
Riesgo
Operativo /
Funcional
Incrementar
Manejo de
Calidad
Optimizar
Procesos Crticos
y de Soporte
Alinear
Estrategias
por rea
Mayor Flexibilidad,
Robustez en la
Cadena de Valor
Desempeo
Seguimiento
Confiabilidad
MODELO
TECNOLGICO/INFORMACIN
Riesgo
Tecnolgico
Estandarizar
Plataformas
y Arquitecturas
Integrar
Metodologas
y Estndares
Asegurar
Niveles
de Servicio
Incrementar Seguridad
Adecuar
Tecnologas
Emergentes
Innovacin
Flexibilidad
Disponibilidad
Estado de
Resultados
EVCC
Notas
otros
Proceso B
Proceso C
Aplicacin B
Aplicacin C
Controles Generales
de TI
Desarrollo de Programas
Cambios de Programas
Operacin de
Computadoras
Acceso a Programas y
Datos
Ambiente de Control
Servicios de Infraestructura de TI
Base de Datos
Sistemas Operativos
Red
Control de
Aplicaciones
Totalidad
Exactitud
Validez
Autorizacin
Segregacin de
Funciones
Mitigacin
Aceptacin
Implementar
Medidas
de Control
Evaluacin
y
Seguimiento
Procesos
Riesgo Operativo
Riesgo Legal
Riesgo de Crdito
Clasificacin
de
Informacin
Riesgo de Liquidez
Riesgo de Mercado
Riesgo Tecnolgico
Mitigacin
Aceptacin
Implementar
Medidas
de Control
Evaluacin
y
Seguimiento
Clasificacin
de
Informacin
Proyectos
Comunicaciones
Riesgo de Tecnologa
de Informacin
Sistemas Aplicativos
Operaciones de Cmputo
Infraestructura HW, SW, DBMS, Red
Toma de
Decisiones
Implementar
Medidas
de Control
Anlisis de
Procesos
Anlisis
Costo/Beneficio
Definir Funciones
Establecer Base
de Datos Histrica
Clasificacin de
Activos
Determinar
Accin vs. Riesgo
Implementar
Polticas
Evaluacin del
Proceso
Identificar
Amenazas
Establecer
Estrategia de Control
Implementar
Procedimientos
Verificar Procs.
de Monitoreo y Control
Identificar
Vulnerabilidades
Identificar
Polticas y Proc.
Inst. Mecanismos
de Monitoreo y Control
Revisin a los
Datos y Registros
Identificar
Ocurrencias
Identificar
Estndares
Definir respuestas a
Incidentes
Evaluacin de
Seguridad
Identificar
Impacto
Id. Tcnicas y
Metodologas
Comunicar y
Educar
Auditora Interna
Calificar
Cualitativamente
Establecer
Indicadores
Calificar
Cuantitativamente
Establecer Lmites
Medicin
y
Seguimiento
Auditora Externa
Segregacin de Funciones
MEDIDAS DE DETECCIN
Riesgos para:
C
I
A
Segregacin de Puestos
Control de Cambios
Administracin de identidades y accesos basados en roles
Deteccin
Identificacin de Incidentes y respuestas ante los mismos
Anlisis
y
Evaluacin
Anlisis de
Procesos
PROMOCIN
Y
Comercializacin
EMISIN
ATENCIN
DE
SINIESTROS
Recepcin de
Reporte de
Siniestro
Anlisis Tcnico
De Aceptacin de
Riesgos
Recibe
Autorizacin de
reas Tcnicas
Suscripcin
De
Riesgos
Evaluacin
De la
documentacin
Elaboracin de
Reporte Tcnico
Entrega de
Poliza
Evaluacin del
Siniestro
Cotizacin
Anlisis de
Reaseguro
Dictamen del
Siniestro
Autorizacin de
Emisin
Pago del
Siniestro
Contacto
con el cliente
Recepcin de
Solicitud
Solicitud de
Documentacin
Salidas:
Atencin del
Siniestro
Aceptacin de
Finiquito
SOPORTE
DE
SISTEMAS
ADMON
DE
RECURSOS
HUMANOS
ADMON
DE
RIESGOS
SOPORTE
CUENTAS
ESPECIALES
SERVICIOS
GENERALES
AUDITORA
INTERNA
ADMON
Y
FINANZAS
Objetivo:
Administrar los riesgos propios de la Compaa y de sus clientes, a
travs de la evaluacin Tcnica, emisin y atencin de siniestros,
asesorando, controlando y manteniendo de manera eficiente la posicin
financiera y contable de los recursos y activos de Compaa
Entradas:
Solicitud de producto y servicios de administracin de riesgos sobre
activos de terceros.
Documentacin requerida para registro de alta, baja o modificacin
de datos de clientes y sus activos.
Instrucciones de operacin (aceptacin, reaseguro y atencin de
siniestros) de los riesgos de suo de sus clientes
Solicitud de Transferencia de Riesgos a travs de traslado de
servicios.
Ingresos por concepto de Pago de Primas
Ingresos por concepto recuperaciones
Ingresos por venta de salvamentos
Ingresos por Reaseguro
Ingresos por Venta de Activo Fijo
Ingresos por Servicios en General
Ingresos por Administracin de las Inversiones
Anlisis
y
Evaluacin
Clasificacin de
Los activos
PROMOCIN
Y
Comercializacin
EVALUACIN
TCNICA
ATENCIN
DE
SINIESTROS
Contacto
con el cliente
Anlisis Tcnico
De Aceptacin de
Riesgos
Entrega de
Poliza
Dictamen del
Siniestro
C3 D4 I3
C1 D1 I2
C3 D4 I3
C3 D4 I3
Anlisis
y
Evaluacin
Identificar
Amenazas
PROMOCIN
Y
Comercializacin
EMISIN
Identificar
Ocurrencias
ATENCIN
DE
SINIESTROS
Recepcin de
Reporte de
Siniestro
Anlisis Tcnico
De Aceptacin de
Riesgos
Recibe
Autorizacin de
reas Tcnicas
Suscripcin
De
Riesgos
Evaluacin
De la
documentacin
Elaboracin de
Reporte Tcnico
Entrega de
Poliza
Evaluacin del
Siniestro
Cotizacin
Anlisis de
Reaseguro
Dictamen del
Siniestro
Autorizacin de
Emisin
Pago del
Siniestro
Contacto
con el cliente
Recepcin de
Solicitud
Solicitud de
Documentacin
Identificar
Impacto
SOPORTE
DE
SISTEMAS
ADMON
DE
RECURSOS
HUMANOS
ADMON
DE
RIESGOS
SOPORTE
CUENTAS
ESPECIALES
Calificar
Cualitativamente
SERVICIOS
GENERALES
AUDITORA
INTERNA
ADMON
Y
FINANZAS
Atencin del
Siniestro
Aceptacin de
Finiquito
BAJO
Moderado
Alto
Mitigacin
Aceptacin
Implementar
Medidas
de Control
Evaluacin
y
Seguimiento
Anlisis de
Procesos
Analisis
Costo/Beneficio
Def. Segregacin
De Funciones
Auto evaluacin
CSA
Clasificacin de
Los activos
Determinar
Accin Vs Riesgo
Implementar
Polticas
Verif. Mecanismos
De Monitoreo Cont.
Identificar
Amenazas
Establecer
Estrategia de Ctrl
Implementar
Procedimientos
Revisin a los
Datos y Registros
Identificar
Vulnerabilidades
Identificar
Polticas y Proced.
Inst. Mecanismos
De Monitoreo Cont.
Evaluacin de
Seguridad
Identificar
Ocurrencias
Identificar
Estndares
Def. Respuestas a
Incidentes
Auditora Interna
Identificar
Impacto
Id. Tcnicas y
Metodologas
Comunicar y
Educar
Auditora Externa
Calificar
Cualitativamente
Calificar
Cuantitativamente
Equipo de Trabajo
Anlisis de
Procesos
Clasificacin de
Los activos
Identificar
Amenazas
Administrador de Riesgos
Identificar
Vulnerabilidades
Responsable de la Seguridad
Identificar
Ocurrencias
Auditor
Identificar
Impacto
Calificar
Cualitativamente
Calificar
Cuantitativamente
Usuarios
Anlisis
y
Evaluacin
Anlisis de
Procesos
Administrador de Riesgos
& Director de Negocio
Clasificacin de
Los activos
Identificar
Amenazas
Equipo de Trabajo y
Otros Expertos Calificados
Identificar
Vulnerabilidades
Identificar
Ocurrencias
Identificar
Impacto
Calificar
Cualitativamente
Calificar
Cuantitativamente
Obtener la Informacin
Identificar Amenazas
Equipo de Trabajo
especializado
Evaluar activos
y Amenazas
Equipo de Trabajo
Desarrollar escenarios
Equipo de Trabajo
Calificar cada
escenario
Equipo de Trabajo
Identificar Medidas de
Mitigacin de Riesgos
Equipo de Trabajo
Y Unidad de Negocio
Propietario o Custodio
Clasificacin del Activo
Determinar las amenazas
Determinar las Vulnerabilidades
Determinar el Impacto
Determinar la Probabiliad de Ocurrencia
Realizar la Clasificacin o Calificacin del Riesgo
ANALISIS DE
LOS PROCESOS
CRTICOS DEL
NEGOCIO
EVALUACIN
DE RIESGOS
DE NEGOCIO
EVALUACIN
DE RIESGOS
DE T.I.
DEFINICIN
DE
POLTICAS
PROCED,
ESTANDARES
DEFINICIN
DE METRICAS
DE MEDICIN
TABLERO DE
CONTROL
ESTABLECER
TECNICAS DE
MONITOREO
CONTNUO
Beneficios
Costos
Costo para la Empresa
Curva de Costos
Totales
Valor de Riesgo
Reducido
CI
Ao 2
Ao 3
Ao 4
Ao 5
Valor en Riesgo
2.
3.
4.
5.
6.
Determinar la tasa de
vulnerabilidad por activo.
7.
8.
ocurrencia
anual
(TOA)
de
cada
considerando
necesidades
amenazas,
Identificar
Ocurrencias
Identificar
Impacto
Calificar
Cualitativamente
Calificar
Cuantitativamente
Administracin de Proyectos
Auditora
Polticas y Procedimientos de
Operacin de T.I.
ITIL
Polticas y Procedimientos de
Administracin
Polticas y Procedimientos de
Desarrollo, Mantenimiento y
Soporte
Polticas y Procedimientos de
Seguridad
CoBIT
CMM
ISO 17799
Estndares de Tecnologa
Polticas y Procedimientos de
Operacin y Administracin de T.I.
Mitigacin
Aceptacin
Analisis
Costo/Beneficio
Determinar
Accin Vs Riesgo
Establecer
Estrategia de Ctrl
Identificar
Polticas y Proced.
Identificar
Estndares
Id. Tcnicas y
Metodologas
Desarrollo de Sistemas
Compatibiliad e Interoperabilidad
Capacitacin al Personal de Sistemas
Capacitacin al los Usuarios
Perfiles de Software Institucional
Intercambio Electrnico de Datos
Evaluacin de Proyectos
Atencin de Usuarios
Desempeo del Personal
Uso y aprovechamiento del Software y Hardware Institucional
Evaluacin peridica de la funcin Informtica (Autoevaluacin de Control Interno)
Polticas y Procedimientos de
Operacin y Administracin de T.I.
Mitigacin
Aceptacin
Analisis
Costo/Beneficio
Determinar
Accin Vs Riesgo
Establecer
Estrategia de Ctrl
Identificar
Polticas y Proced.
Identificar
Estndares
Id. Tcnicas y
Metodologas
Polticas y Procedimientos de
Operacin y Administracin de T.I.
Mitigacin
Aceptacin
Analisis
Costo/Beneficio
Determinar
Accin Vs Riesgo
Establecer
Estrategia de Ctrl
Identificar
Polticas y Proced.
Identificar
Estndares
Id. Tcnicas y
Metodologas
Justificacin de Proyectos
Administracin de Proyectos
Niveles de Servicio e Indicadores de Desempeo
Organizacin y Administracin de Personal de
Sistemas
Planeacin Estratgica de Sistemas
Direccin Tecnolgica
Administracin y control de cambios
Administracin de operaciones
Administracin de Instalaciones
Administracin de Problemas e incidentes
Administracin de Datos e Informacin
Evaluacin y seguimiento de procesos del rea
de informtica
Autoevaluacin de Control Interno
Polticas y Procedimientos de
Seguridad de T.I.
Mitigacin
Aceptacin
Analisis
Costo/Beneficio
Determinar
Accin Vs Riesgo
Establecer
Estrategia de Ctrl
Identificar
Polticas y Proced.
Identificar
Estndares
Id. Tcnicas y
Metodologas
Polticas y Procedimientos de
Seguridad de T.I.
Mitigacin
Aceptacin
Analisis
Costo/Beneficio
Determinar
Accin Vs Riesgo
Establecer
Estrategia de Ctrl
Identificar
Polticas y Proced.
Identificar
Estndares
Id. Tcnicas y
Metodologas
Estndares de
Seguridad de T.I.
Mitigacin
Aceptacin
Antivirus
Analisis
Costo/Beneficio
Determinar
Accin Vs Riesgo
Establecer
Estrategia de Ctrl
Identificar
Polticas y Proced.
Identificar
Estndares
Id. Tcnicas y
Metodologas
Roles y Responsabilidades
Implementar
Medidas
de Control
Def. Segregacin
De Funciones
Implementar
Polticas
Implementar
Procedimientos
Inst. Mecanismos
De Monitoreo Cont.
Def. Respuestas a
Incidentes
Comunicar y
Educar
Director de Tecnologa
Gerencia
Desarrollo y
Mantenimiento
Gerencia
Soporte Tcnico
Redes y
Telecom.
Administrador
De Librerias
Atencin a
Usuarios
Operador del
Centro de Datos
Analistas
Bases de Datos
Grupo de Control
De Versiones
Programadores
Preguntas ms Frecuentes
1. Qu es la Gestin de Riesgos de T.I?
2. Para que Sirve la Gestin de Riesgos de
T.I.?
3. Cules son los Beneficios de implantar
este Proceso?
4. Qu se requiere?
Beneficios
Otorga certidumbre a los proyectos de inversin
Reduccin de Riesgo Operativo = aumento en
la confianza de nuestros clientes
Contribuye a maximizar los beneficios de la
inversin en Tecnologa.
Deteccin oportuna de amenazas
Contribuye a establecer un ORDEN en la
empresa
Deteccin de Oportunidades de Mejora en los
procesos y sistemas de la organizacin
Cumplir con regulaciones internas y externas
Incide en la reduccin del TCO
Requerimientos
Requerimos SU APOYO Y DISPOSICIN
Incondicionales (De la Direccin)
Involucramiento de la Alta Gerencia
Conformacin/Creacin de un Equipo de Trabajo
Multidisciplinario
Capacitacin y desarrollo de un programa de
conscientizacin y difusin
Presupuesto para el desarrollo del Proyecto
Este es un proyecto de largo Plazo por lo tanto
su desarrollo e implantacin es mayor a 18
meses
Preguntas?
Gracias!
MsC. Carlos Zamora Sotelo, CISA, CISM
czamora@conseti.com
czamora@isaca.org.mx