Professional Documents
Culture Documents
Entidades Financieras
Presentación de la Práctica
Buenos Aires
Noviembre 2008
Marco General
Análisis de riesgo de TI
Informes
Beneficios Esperados
1
Las Entidades Financieras tienen el desafío de implantar Basilea II.
IMPLEMENTACION
BASILEA II 3º RONDA
CONSULTIVA
REGULACIONES
BANCARIAS
AUTOCTONAS
2º RONDA CONSULTIVA (PRACTICAS
SÓLIDAS PARA LA ADMINISTRACION Y
SUPERVISION DEL RIESGO OPERATIVO
2
El planteo de Basilea II tiene como objetivo encontrar una relación
de capital del banco asociado al riesgo.
3
El riesgo de TI como parte del Riesgo Operacional.
Crédito
Procesos
internos de la
Entidad
Riesgo Mercado
Personal de la
Entidad
Operativo
Sistemas de
información
Legal
4
El proceso de evaluación y gestión del riesgo de TI debe seguir un
conjunto de pasos sistemáticos.
Controlar y
Gestión de Elaborar el Implantar el
Análisis de Mantener el
Plan de Plan de
Riesgo de TI Riesgo de TI Plan de
Acción Acción
Acción
Análisis de Actividades
Activos Amenazas Controles
Riesgo
Riesgo de TI de Negocio Residual
5
Conocer el riesgo al que están sometidos los recursos de TI es
imprescindible para gestionarlos.
Negocios
Probabilidad Amenazas
enfrenta.
Activos Análisis de Riesgo
Riesgo
Hay muchos elementos que considerar y de TI
Riesgo
Impacto
si no se es muy riguroso, las Repercutido
Controles Valoración
Es por ello que debe existir una aproximación metódica que no deje lugar
a la improvisación, ni dependa de la arbitrariedad del consultor.
6
Índice
Marco General
Análisis de Riesgo de TI
Informes
Beneficios Esperados
7
Nuestro proceso de evaluación y gestión del riesgo de TI.
Control y
Análisis de Implantación
Plan de Acción Mantenimiento
Riesgo de TI del Plan
del Plan
8
El análisis de riesgo de TI es el análisis de los activos, sus
amenazas, sus riesgos asociados, y como estos se correlacionan
con los procesos del negocio.
Control y
Análisis de Implantación
Plan de Acción Mantenimiento
Riesgo de TI del Plan
del Plan
• Informe de Riesgo
de TI por Proceso
• Informe de Riesgos
de TI por Activo
Procesos del
negocio
Amenazas
Activos de TI
9
El Plan de Acción es documentar en forma clara y concreta que
conjunto de soluciones deben implementarse de manera de mitigar
los riesgos encontrados.
Control y
Análisis de Implantación
Plan de Acción Mantenimiento
Riesgo de TI del Plan
del Plan
Plan de Accion
Realizar la planificación
– Análisis de las acciones a corto – mediano y
largo plazo.
– Generar escenarios de trabajo.
Priorizar
– Identificar las acciones críticas.
– Hacer una unión entre las inversiones y los
objetivos del negocio.
Valorizar
– Pasar la inversión a aspectos cuantitativos.
– Realizar el plan de negocios que determine el
ROI de la inversión.
10
Implantar el plan de acción es realizar las inversiones, escribir los
procedimientos y generar la cultura de manera que la gestión del
riesgo sea un proceso de cambio.
Control y
Análisis de Implantación
Plan de Acción Mantenimiento
Riesgo de TI del Plan
del Plan
Implantación
11
El control es el proceso que permite la verificación permanente
que los riesgos se mantienen bajo control.
Control y
Análisis de Implantación
Plan de Acción Mantenimiento
Riesgo de TI del Plan
del Plan
Control - Mantenimiento
Planificación
El mantenimiento es buscar mejoras al Plan
desarrollado.
12
Índice
Marco General
Análisis de riesgo de TI
Informes
Beneficios Esperados
13
Existen dos partes que se interrelacionan, pero los usuarios son
totalmente diferentes.
Riesgo de TI
• Los datos e información.
• La infraestructura.
14
Para el análisis del riesgo operativo es fundamental entender como
el riesgo de TI impacta en la operación.
El Entorno
Los Sistemas de
Información
La Información
15
Esto genera que debe existir un puente que relacione el negocio
con los activos de TI que soportan la operación del negocio.
El Entorno Macroproceso
Los Sistemas de
Información
La Información
Subproceso
Relación entre el
Proceso y los Activos
de TI
16
El realizar un análisis del riesgo de TI es un proceso que debe ser
cuidadoso y exhaustivo.
Análisis del
Negocio Activos de TI Amenazas Impacto Riesgo
Metodología S.M.A.R.T
17
Entender los negocios es analizar a la Entidad desde el punto de
vista de unidades de negocios y procesos.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio
Negocios
18
Cada uno de los negocios se abre en procesos.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio
Negocios Procesos
Tarjetas
Cajas de Ahorro
Cuentas Corrientes
Otros
Préstamos
19
Identificación y clasificación de los activos de TI.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio
Tipos de Activos de TI
Datos /
Aplicaciones Equipos Infraestructura Comunicaciones Personal de TI Servicios
Información
20
Los activos se deben ponderar de acuerdo a su importancia
relativa en todas las dimensiones.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio
Activos x
Disponibilidad Integridad Confidencialidad Autenticidad Trazabilidad
Dimensión
Activo A 7 9 0 2
Activo B 6 7 6
Activo C 6 2 4
Activo D 4 6 4
Activo E 6 5
Activo Z 4 5 1
21
Se deben establecer las relaciones de dependencias entre los
activos de TI. Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio
Activo A Activo D
22
Las amenazas deben identificarse.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio
Tornados
Cyber Attack
Personal disconforme
Incendios
Virus
23
Y también clasificarse.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio
Desastres Naturales
Incidentes de origen no
natural
Configuraciones erróneas
Eventos / Hechos no
Pérdida de equipamiento.
intencionados
Errores en la administración
Acciones / Hechos
Robo
Intencionados Accesos no autorizados
Destrucción de equipos
24
Luego las amenazas deben ser asociadas a los activos de TI.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio
Activos x
Amenaza 1 Amenaza 2 Amenaza 3 Amenaza 5 Amenaza 23
Amenazas
Activo A X X X
Activo B X X
Activo C X X X
Activo D X X
Activo E X X X X
Activo Z X X
25
A cada una de las amenazas de un activo, también la podemos
relacionar con la dimensión que afecta.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio
Activos Procesos
Operativos
Aplicaciones.
Datos / Información
Equipos Activos
Infraestructura
Comunicaciones
Personal de TI Diferentes
enfoques
Servicios
Procesos
Financieros
Dimensiones
Equipo
Disponibilidad
Confidencialidad Disponibilidad
Integridad
Autenticidad
Trazabilidad
26
El impacto es el daño sobre el activo derivado de la
materialización de una amenaza.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio
Dimensiones
Activos
Disponibilidad Confidencialidad Integridad
Aplicaciones.
Datos / Información
Equipos
Infraestructura
Comunicaciones
Personal de TI
Servicios
27
El riesgo potencial es el impacto ponderado con la
probabilidad de ocurrencia de la amenaza.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio
28
Del análisis de riesgo potencial se pasa a la etapa de la evaluación
de los controles.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio
Riesgo Potencial
CONTROLES
Detectivos
Controles diseñados para impedir en forma anticipada un error, una
Preventivos omisión o un acceso no autorizado.
Preventivos
Auditoria
Detectivos / Controles diseñados para detectar y reportar cuando ocurran errores,
Auditoría omisiones o el ingreso no autorizado.
Riesgo Residual
29
Conociendo los riesgos y sus dimensiones se puede elaborar la
matriz de riesgos por Activo de TI.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio
NIVEL DE AMENAZA
IMPACTO ACTIVOS
30
Para establecer la relación de los procesos y los activos se elabo-
ran diagramas de proceso y de flujo de datos.
Análisis
Activos de
del Relación
TI entre los Procesos y los Activos de TI
Amenazas Impacto Riesgo
Negocio
31
Y a partir de estos diagramas se identifican los activos que son
necesarios para el funcionamiento del proceso.
Análisis
Activos de
del Relación
TI entre los Procesos y los Activos de TI
Amenazas Impacto Riesgo
Negocio
32
De esta manera se establece un nuevo nivel de dependencias
donde se asocian los activos de TI a los procesos de negocios.
Análisis
Activos de
del Relación
TI entre los Procesos y los Activos de TI
Amenazas Impacto Riesgo
Negocio
Activo A Activo D
33
Índice
Marco General
Análisis de riesgo de TI
Informes
Beneficios Esperados
34
Como resultado final se brindará
Emergencia
35
El riesgo repercutido permitiría a la Entidad correlacionar el
proceso de negocio con el riesgo que tienen sus activos de TI.
Procesos Riesgo de TI
Significatividad Puntaje (de 1 a 10) Porcentual
36
El riesgo acumulado permite gestionar cada uno de los activos y
ver que acciones correctivas se toman para mitigar los riesgos.
37
De esta manera entender por proceso, que acciones correctivas se
deben tomar para gestionar el riesgo de cada activo de TI.
38
Pudiéndose llevar un control de lo que es el riesgo repercutido en
los procesos y el riesgo acumulado en los activos.
39
Indice
Marco General
Análisis de riesgo de TI
Informes
Beneficios Esperados
40
Los beneficios de este enfoque permitiría resolver varios desafíos
que agregarían valor al análisis.
41
Muchas Gracias!
Moore Stephens
Suarez & Menendez
Maipú 942, piso 12 - C1006ACN
Ciudad Autónoma de Buenos Aires - Argentina
www.suarez-menendez.com
Tel: (+54 11) 4103.9500
Fax: (+54 11) 4103.0959