Metodología para el Análisis de Riesgo de TI en

Entidades Financieras
Presentación de la Práctica

Buenos Aires

Noviembre 2008

La información contenida en el documento es confidencial y propietaria.

No puede ser distribuida sin la correspondiente aprobación - © Copyright Moore Stephens
Índice

 Marco General

 Pasos del proceso de Gestión del Riesgo de TI

 Análisis de riesgo de TI

 Informes

 Beneficios Esperados

1
Las Entidades Financieras tienen el desafío de implantar Basilea II.

IMPLEMENTACION

1999 2000 2001 2003 2004 2006 2010

BASILEA II 3º RONDA
CONSULTIVA

PRINCIPIOS PARA LA ACUERDO

ADMINISTRACIÓN DEL DEFINITIVO
RIESGO DE CRÉDITO

REGULACIONES
BANCARIAS
AUTOCTONAS
2º RONDA CONSULTIVA (PRACTICAS
SÓLIDAS PARA LA ADMINISTRACION Y
SUPERVISION DEL RIESGO OPERATIVO

2
El planteo de Basilea II tiene como objetivo encontrar una relación
de capital del banco asociado al riesgo.

3
El riesgo de TI como parte del Riesgo Operacional.

Crédito
Procesos
internos de la
Entidad
Riesgo Mercado
Personal de la
Entidad
Operativo
Sistemas de
información

Legal

4
El proceso de evaluación y gestión del riesgo de TI debe seguir un
conjunto de pasos sistemáticos.

Controlar y
Gestión de Elaborar el Implantar el
Análisis de Mantener el
Plan de Plan de
Riesgo de TI Riesgo de TI Plan de
Acción Acción
Acción

Análisis de Actividades
Activos Amenazas Controles
Riesgo
Riesgo de TI de Negocio Residual

5
Conocer el riesgo al que están sometidos los recursos de TI es
imprescindible para gestionarlos.

Negocios
Probabilidad Amenazas

 El gran reto de éste proyecto es la

Riesgo
complejidad del problema que se Residual
Frecuencia

enfrenta.
Activos Análisis de Riesgo

Riesgo
 Hay muchos elementos que considerar y de TI
Riesgo
Impacto
si no se es muy riguroso, las Repercutido

conclusiones serán de poco fiar.

Riesgo
Degradación
Acumulado

Controles Valoración

Es por ello que debe existir una aproximación metódica que no deje lugar
a la improvisación, ni dependa de la arbitrariedad del consultor.

6
Índice

 Marco General

 Pasos del proceso de Gestión del Riesgo de TI

 Análisis de Riesgo de TI

 Informes

 Beneficios Esperados

7
Nuestro proceso de evaluación y gestión del riesgo de TI.

GESTIÓN DEL RIESGO DE TI

Control y
Análisis de Implantación
Plan de Acción Mantenimiento
Riesgo de TI del Plan
del Plan

8
El análisis de riesgo de TI es el análisis de los activos, sus
amenazas, sus riesgos asociados, y como estos se correlacionan
con los procesos del negocio.
Control y
Análisis de Implantación
Plan de Acción Mantenimiento
Riesgo de TI del Plan
del Plan

• Informe de Riesgo
de TI por Proceso

• Informe de Riesgos
de TI por Activo

Procesos del
negocio

Amenazas

Activos de TI

9
El Plan de Acción es documentar en forma clara y concreta que
conjunto de soluciones deben implementarse de manera de mitigar
los riesgos encontrados.
Control y
Análisis de Implantación
Plan de Acción Mantenimiento
Riesgo de TI del Plan
del Plan

Plan de Accion

 Realizar la planificación
– Análisis de las acciones a corto – mediano y
largo plazo.
– Generar escenarios de trabajo.

 Priorizar
– Identificar las acciones críticas.
– Hacer una unión entre las inversiones y los
objetivos del negocio.

 Valorizar
– Pasar la inversión a aspectos cuantitativos.
– Realizar el plan de negocios que determine el
ROI de la inversión.

10
Implantar el plan de acción es realizar las inversiones, escribir los
procedimientos y generar la cultura de manera que la gestión del
riesgo sea un proceso de cambio.
Control y
Análisis de Implantación
Plan de Acción Mantenimiento
Riesgo de TI del Plan
del Plan

Implantación

 Organizar el equipo de proyecto

– Juntar a las partes de manera de consolidar un
equipo de trabajo

 Seleccionar las diferentes soluciones

– Identificar las soluciones del mercado y decidir
cual implantar.
– Verificar y controlar si se cumple con las
especificaciones tecnicas.

 Realizar el Project Management

– Controlar los costos, tiempo y alcance del
proveedor.
– Verificar la calidad de la implantacion

11
El control es el proceso que permite la verificación permanente
que los riesgos se mantienen bajo control.
Control y
Análisis de Implantación
Plan de Acción Mantenimiento
Riesgo de TI del Plan
del Plan

Control - Mantenimiento

Planificación
 El mantenimiento es buscar mejoras al Plan
desarrollado.

Aprob.  El control es identificar si las medidas correctivas

Dirección
Implantación se han cumplido.

 Si surgen nuevas amenazas como se incorpora al

Plan.
Medición de Control
Resultados
 Y en cada etapa del proceso de gestión de riesgos
se informa a la alta gerencia de los riesgos.

12
Índice

 Marco General

 Pasos del proceso de Gestión del Riesgo de TI

 Análisis de riesgo de TI

 Informes

 Beneficios Esperados

13
Existen dos partes que se interrelacionan, pero los usuarios son
totalmente diferentes.

Riesgo de la operación del negocio

• El proceso de negocio.

• Los productos que administra.

• Los procesos internos de la Entidad.

Riesgo de TI
• Los datos e información.

• El equipamiento informático (hardware, software de base y

aplicativos, comunicaciones, etc.)

• La infraestructura.

14
Para el análisis del riesgo operativo es fundamental entender como
el riesgo de TI impacta en la operación.

El Entorno

Los Sistemas de
Información

La Información

Los Procesos del

Negocio

15
Esto genera que debe existir un puente que relacione el negocio
con los activos de TI que soportan la operación del negocio.

El Entorno Macroproceso

Los Sistemas de
Información

La Información
Subproceso
Relación entre el
Proceso y los Activos
de TI

Los Procesos del

Negocio
Activos relacionados

16
 El realizar un análisis del riesgo de TI es un proceso que debe ser
cuidadoso y exhaustivo.

Análisis del
Negocio Activos de TI Amenazas Impacto Riesgo

• Entender el Negocio. • Identificación • Identificación • Daño sobre el activo • El impacto ponderado

• Conocer sus • Clasificación. (vulnerabilidad) derivado de la con la tasa de
productos. • Valorización. • Relación entre materialización de una ocurrencia (o
• Identificar los amenazas y activos. amenaza. expectativa de
• Relación de
procesos de TI. materialización) de la
dependencias.
amenaza.

Relación entre los

Procesos y los
Activos de TI

Metodología S.M.A.R.T

17
Entender los negocios es analizar a la Entidad desde el punto de
vista de unidades de negocios y procesos.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio

Negocios

 Unidad de  Unidad de  Unidad de

Negocio Negocios Negocio

 Proceso A  Proceso A  Proceso A

 Proceso B  Proceso B  Proceso B

 Proceso C  Proceso C  Proceso C

18
Cada uno de los negocios se abre en procesos.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio

Negocios Procesos

Tarjetas
Cajas de Ahorro

Cuentas Corrientes

Otros Banco Depósitos

Plazo Fijo

Otros

Préstamos

19
Identificación y clasificación de los activos de TI.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio

Hardware Base de datos Infraestructura CPD

Tipos de Activos de TI

Datos /
Aplicaciones Equipos Infraestructura Comunicaciones Personal de TI Servicios
Información

20
Los activos se deben ponderar de acuerdo a su importancia
relativa en todas las dimensiones.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio

Activos x
Disponibilidad Integridad Confidencialidad Autenticidad Trazabilidad
Dimensión

Activo A 7 9 0 2

Activo B 6 7 6

Activo C 6 2 4

Activo D 4 6 4

Activo E 6 5

Activo Z 4 5 1

21
Se deben establecer las relaciones de dependencias entre los
activos de TI. Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio

Activo A Activo D

Activo B Activo C Activo C Activo E

Activo I Activo F Activo G Activo J

22
Las amenazas deben identificarse.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio

Inundaciones Robos / Terrorismo

Tornados

Cyber Attack

Personal disconforme
Incendios

Virus

23
Y también clasificarse.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio

Desastres Naturales

Incidentes de origen no
natural

 Configuraciones erróneas
Eventos / Hechos no
 Pérdida de equipamiento.
intencionados
 Errores en la administración

Acciones / Hechos
 Robo
Intencionados  Accesos no autorizados
 Destrucción de equipos

24
Luego las amenazas deben ser asociadas a los activos de TI.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio

Activos x
Amenaza 1 Amenaza 2 Amenaza 3 Amenaza 5 Amenaza 23
Amenazas

Activo A X X X

Activo B X X

Activo C X X X

Activo D X X

Activo E X X X X

Activo Z X X

25
A cada una de las amenazas de un activo, también la podemos
relacionar con la dimensión que afecta.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio

Activos Procesos
Operativos

 Aplicaciones.
 Datos / Información
 Equipos Activos
 Infraestructura
 Comunicaciones
 Personal de TI Diferentes
enfoques
 Servicios
Procesos
Financieros
Dimensiones

Equipo
 Disponibilidad
 Confidencialidad Disponibilidad
 Integridad
 Autenticidad
 Trazabilidad

26
El impacto es el daño sobre el activo derivado de la
materialización de una amenaza.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio

 El incendio del “Equipo X” afecta a su disponibilidad.

 Dado que de producirse la amenaza el activo se
Equipo X degradaría en un 70%.
 La disponibilidad del “Equipo X” estaría al 30%.
Disponibilidad

Dimensiones
Activos
Disponibilidad Confidencialidad Integridad

 Aplicaciones.

 Datos / Información

 Equipos

 Infraestructura

 Comunicaciones

 Personal de TI

 Servicios

27
El riesgo potencial es el impacto ponderado con la
probabilidad de ocurrencia de la amenaza.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio

28
Del análisis de riesgo potencial se pasa a la etapa de la evaluación
de los controles.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio

Riesgo Potencial
CONTROLES

Detectivos
Controles diseñados para impedir en forma anticipada un error, una
Preventivos omisión o un acceso no autorizado.
Preventivos

Auditoria
Detectivos / Controles diseñados para detectar y reportar cuando ocurran errores,
Auditoría omisiones o el ingreso no autorizado.

Riesgo Residual

29
Conociendo los riesgos y sus dimensiones se puede elaborar la
matriz de riesgos por Activo de TI.
Análisis
Activos de
del Amenazas Impacto Riesgo
TI
Negocio

NIVEL DE AMENAZA

MEDIO ALTO ALTO

FRECUENCIA

BAJO MEDIO ALTO

BAJO BAJO MEDIO

IMPACTO ACTIVOS

30
Para establecer la relación de los procesos y los activos se elabo-
ran diagramas de proceso y de flujo de datos.
Análisis
Activos de
del Relación
TI entre los Procesos y los Activos de TI
Amenazas Impacto Riesgo
Negocio

31
Y a partir de estos diagramas se identifican los activos que son
necesarios para el funcionamiento del proceso.
Análisis
Activos de
del Relación
TI entre los Procesos y los Activos de TI
Amenazas Impacto Riesgo
Negocio

32
De esta manera se establece un nuevo nivel de dependencias
donde se asocian los activos de TI a los procesos de negocios.
Análisis
Activos de
del Relación
TI entre los Procesos y los Activos de TI
Amenazas Impacto Riesgo
Negocio

Proceso A Proceso B Proceso C

Activo A Activo D

Activo B Activo C Activo C Activo E

Activo I Activo F Activo G Activo J

33
Índice

 Marco General

 Pasos del proceso de Gestión del Riesgo de TI

 Análisis de riesgo de TI

 Informes

 Beneficios Esperados

34
Como resultado final se brindará

Emergencia

El Riesgo Único por Proceso (riesgo repercutido)

• Que identificará el riesgo de TI asociado a un proceso operativo.
• Que será el riesgo de TI para el cálculo del Riesgo Operacional.
Mantenimiento

El Riesgo por Activo (riesgo acumulado)

• Que identificará el nivel de riesgo de cada Activos de TI.

• Que se utilizará para la Gestión de Riesgo de los Activos de TI.

35
El riesgo repercutido permitiría a la Entidad correlacionar el
proceso de negocio con el riesgo que tienen sus activos de TI.

Procesos Riesgo de TI
Significatividad Puntaje (de 1 a 10) Porcentual

Cajas de Ahorro ALTO 8.2 82%

Cuentas Corrientes MEDIO 6.4 64%

Plazo Fijo MEDIO 5.8 58%

Otros BAJO 2.9 29%

36
El riesgo acumulado permite gestionar cada uno de los activos y
ver que acciones correctivas se toman para mitigar los riesgos.

37
De esta manera entender por proceso, que acciones correctivas se
deben tomar para gestionar el riesgo de cada activo de TI.

38
Pudiéndose llevar un control de lo que es el riesgo repercutido en
los procesos y el riesgo acumulado en los activos.

Riesgo Repercutido de TI Riesgo Acumulado de TI

39
Indice

 Marco General

 Pasos del proceso de Gestión del Riesgo de TI

 Análisis de riesgo de TI

 Informes

 Beneficios Esperados

40
Los beneficios de este enfoque permitiría resolver varios desafíos
que agregarían valor al análisis.

Uso Área Beneficio

 Ver como la  Riesgo  Encontrar la

Riesgo Único por
TI afecta la operacional. variable TI
Proceso
operación del en la
negocio. valoración
del riesgo
Análisis de operacional.
Riesgo

 Ver como el  El área de  Gestionar el

Riesgo por Activo riesgo afecta sistemas de riesgo.
a cada activo la empresa.  Plan de
de TI. continuidad
del negocio.
 Gestión de la
Seguridad.

41
 Muchas Gracias!

Ing. Marcelo Espeche Cr. Horacio L. Martinez

mespeche@suarez-menendez.com hmartinez@suarez-menendez.com

Moore Stephens
Suarez & Menendez
Maipú 942, piso 12 - C1006ACN
Ciudad Autónoma de Buenos Aires - Argentina
www.suarez-menendez.com
Tel: (+54 11) 4103.9500
Fax: (+54 11) 4103.0959