It Risk Management

Sistemas de información y la gestión de riesgo

Administración Integral de Riesgo Corporativo

Fidel Hernández, CISA

México D.F.

Junio 16, 2009

10/04/2023

Agenda• Administración de riesgos y la tecnología de

información (TI) ¿Qué es diferente?• Proceso de Administración de riesgos de TI

– Relevancia de TI en los procesos de la entidad– Identificación de riesgos de TI– Ciclo de vida de los sistemas (SDLC)– Evaluación de riesgos dos enfoques– Opciones de manejo de riesgos

• La seguridad de información y la gestión de riesgos


10/04/2023

Administración de riesgos una definición

“… un proceso ejecutado desde el consejo de administración y la gerencia, hasta el personal operativo; aplicado como una estrategia de la empresa, diseñado para identificar eventos potenciales que pudieran dañar a la entidad; para otorgar aseguramiento razonable del logro de la misión y los objetivos de la entidad.”

Fuente: COSO Enterprise Risk Management – Integrated Framework 2004


10/04/2023

¿Qué es diferente con la tecnología de información?

• La tecnología permea efectivamente las operaciones de una organización.

• Habilita los procesos clave que permiten la entrega de sus productos y servicios.

• Soporta las operaciones, procesos de reporte financiero y provee información para la toma de decisiones.


!Suena importante!

10/04/2023

¿Qué es diferente con la tecnología de información?...

• El proceso de ERM deberá considerar la importancia de la tecnología en la estrategia total de la organización.

• La identificación de riesgos de TI en el contexto de toda la empresa, cambia la protección de activos de información por el aseguramiento de procesos clave en los que TI es fundamental.


No es un asunto exclusivo del área de TI

10/04/2023

Proceso de Administración de riesgos de TI

• Los riesgos de TI en los procesos clave• TI en la estrategia de la organización

Definir relevancia de TI en la

organización

• Riesgos de TI estratégicos• Riesgos de TI operativos

Identificar los riesgos

relacionados con TI

• Cualitativamente• CuantitativamenteValorar los riesgos

• Establecer parámetros de riesgo aceptable y no aceptable

• Definir tratamiento de los riesgos

Definir las medidas de mitigación


10/04/2023

Relevancia de TI en los procesos de la organización

• Entendiendo el papel de TI como habilitador de procesos clave se podrá entender la relevancia de los riesgos de TI para la organización.

• Los riesgos de TI se encuentran entrelazados a los procesos clave de operación, y deben ser analizados en forma holística.

• Un enfoque holístico en el manejo de los riesgos de IT, resultara en mejores estimaciones de valor e impacto de procesos y no solo de activos de información.


10/04/2023

Identificación de riesgos de TI

Riesgos estratégicos:

•Ausencia de gobierno corporativo de TI•Errores en la estrategia de inversión en IT•Obsolescencia (Hardware y Software)•Falla en implementación de proyectos de IT•Procesos de negocio ineficientes•Leyes y regulaciones•Cambios en prácticas de negocio/mercado


10/04/2023

Identificación de riesgos de TI

Riesgos operativo

s


10/04/2023

Como lleno su requerimiento el usuario

Como lo entendió el líder del proyecto

Como lo diseñó el analista de sistemas

Como lo escribió en código el programador

Como se documentó el proyecto

Como fue instalado por el área de operaciones

Como se facturó al cliente

Como se soportó el proyecto

Esto es lo que el proceso necesitaba

Como es descrito por el gerente de la unidad de negocio


Ciclo de desarrollo de sistemas

10/04/2023

Ciclo de desarrollo de sistemas

Requerimiento

•Plasma la necesidad de negocio.•Contiene la información para calcular el esfuerzo. •Comunica el beneficio funcional esperado.

Diseño / Adquisición•Establece una solución.•Incorpora elementos técnicos para cuantificar el esfuerzo.•Considera restricciones técnicas, así como políticas de seguridad.•Contiene los elementos para tomar decisiones.

Desarrollo / Compra

•Construye un programa.•Prueba que la solución funcione.•Incorpora cambios no considerados.

Implementación

•Considera la disposición de recursos para poner en marcha la solución (Proyecto)•Administra los cambios en los procesos y otros sistemas de forma ordenada.•Entrega al usuario final.


10/04/2023

Identificando controles existentes

Manuales •Sin importar la naturaleza del control siempre depende del ejercicio consiente de una persona.•Reconciliaciones, autorizaciones, cálculos en excel, conteos, verificaciones visuales.

Automáticos•Se encuentran definidos y programados en la ejecución del Hardware o Software, se ejecutan siempre de la forma que fueron definidos.•Configuración de límites y tolerancias, flujos de autorización automáticos, transacciones basadas en datos fijos.


10/04/2023

Identificando controles existentes

Detectivos •Buscan detectar e informar la ocurrencia de un evento previamente definido.•Reconciliaciones, bitácoras, auditoría, alertas, análisis financieros.

Preventivos•Buscan evitar la ocurrencia de un evento determinado.•Credenciales de acceso: Puertas, ID, claves de usuarios, passwords, controles de segregación de funciones, filtros de internet, claves telefónicas.


10/04/2023

Evaluación de riesgos dos enfoques… cuantitativo

• Requiere un análisis basado en valores numéricos de la probabilidad de amenaza, vulnerabilidad y valor del impacto.

• A pesar de que se cuentan con herramientas para determinar casi todos los valores depende de información que en ocasiones es difícil de conseguir o calcular.

• Facilita el análisis costo beneficio.


10/04/2023

Evaluación de riesgos dos enfoques… cualitativo

• Una definición subjetiva del impacto– Alto, puede resultar en la muy costosa pérdida

de activos estratégicos; puede dañar o impedir la misión de la organización, su reputación o sus intereses; involucrando pérdida de vidas o lesiones serias.

– Medio, puede resultar en la costosa pérdida de activos; puede afectar la misión de la organización, su reputación o sus intereses y poner en riesgo vidas.

– Bajo, puede resultar en la perdida de algunos activos, afectar la misión, reputación o intereses de la organización. Administración Integral de Riesgo Corporativo

10/04/2023

Matriz de decisiones de riesgo

Alto

ALTA

IMPACTO

PROBABILIDAD

RIESGO ALTO

RIESGO MEDIO

RIESGO MEDIO

RIESGO BAJO

TRANSFERIR

ACEPTAR CONTROLAR

CONTROLAR Y MITIGAR


10/04/2023

Opciones de manejo de riesgos

• Aceptar el riesgo; monitoreando • Evitar el riesgo• Mitigar el riesgo; implementando controles

que disminuyan la probabilidad de ocurrencia o que reduzcan el impacto en la organización

• Transferir el riesgo; mediante decisiones de negocio como:– Ousorcing, joint ventures, diversificación– Seguros


10/04/2023

La seguridad de la información y la administración de riesgos

• El proceso de administración de riesgos requiere de datos confiables que soporten el valor de los procesos y ayuden a medir el impacto de las decisiones estratégicas en los objetivos y misión de la entidad.

• Los procedimientos, políticas y controles de seguridad de información buscan evitar:– Pérdida de integridad– Pérdida de disponibilidad– Pérdida de confidencialidad


¡GRACIAS!...

¿Preguntas?

Fidel Hernández, CISAIT Audit Manager Latin AmericaCorporate Auditng The 3M CompanyPhone: 52 55 52 70 22 17mailto: [email protected]

Junio 16, 2009

México D.F.

10/04/2023

Bibliografía y referencias

• “Risk Management Guide for Information Technology Systems;” Recomandations on the National Institute of Standards and Technology, U.S. Department of Commerce. Gary Stonenburner, Alice Goguen, Alexis Feringa. Washingtong D.C. NIST Special Publication 800-30

• “COSO Enerprise Risk Management-Integrated Framework;” Committe of Sponsoring Organizations of the Tradeway Commision. Copyright © 2004.

• “IT Risk Management Guide;” Gerard Blokdijk, Claire Engle & Jackie Brewster. Copyright © 2008

Sitios Web relacionados

www.coso.orgwww.theiia.orgwww.isaca.org


It Risk Management

Business

Transcript of It Risk Management