Administracin de Riesgos de TI

Marco Conceptual de Administracin de Riesgos

Administracin de Riesgos
Definicin
Es un proceso interactivo e iterativo basado en el conocimiento, evaluacin y manejo de los riesgos y sus impactos, con el propsito de mejorar la toma de decisiones organizacionales. Aplicable a cualquier situacin donde un resultado no deseado o inesperado pueda ser significativo o donde se identifiquen oportunidades.
3

Administracin de Riesgos
Beneficios para la Organizacin

Facilita el logro de los objetivos de la organizacin. Hace a la organizacin ms segura y consciente de sus riesgos. Mejoramiento continuo del Sistema de Control Interno. Optimiza la asignacin de recursos. Aprovechamiento de oportunidades de negocio. Fortalece la cultura de autocontrol. Mayor estabilidad ante cambios del entorno.
4

Administracin de Riesgos

Soporta el logro de los objetivos de la auditora. Estandarizacin en el mtodo de trabajo. Integracin del concepto de control en las polticas organizacionales. Mayor efectividad en la planeacin general de Auditora. Evaluaciones enfocadas en riesgos. Mayor cobertura de la administracin de riesgos. Auditoras ms efectivas y con mayor valor agregado.

Proceso de administracin de Riesgos

1. Establecer Marco General

2. Identificar Riesgos

3. Anlisis de Riesgos

Monitorear y Revisar

4. Evaluar y Priorizar Riesgos

5. Tratamiento del Riesgo 6

Proceso de administracin de Riesgos

1. Establecer Marco General
1.1. Establecer el Contexto Estratgico

Definir la relacin entre la organizacin y el ambiente en el que opera. Entender la organizacin, sus capacidades y habilidades Conocer sus objetivos y estrategias. Entendiendo por objeto, el rea, proceso o actividad o cualquier otro elemento en que se pueda subdividir la organizacin y sobre el cual se pueda efectuar administracin de riesgos. Definir los criterios bajo los cuales se pueda establecer la criticidad de un objeto respecto de otro.

1.2. Establecer el Contexto Organizacional

1.3. Identificar Objetos Crticos

Este paso del proceso es importante para evaluar y priorizar los riesgos posteriormente en el paso No. 4

Proceso de administracin de Riesgos

1. Establecer Marco General

Cmo Hacerlo?

1.1. Establecer el Contexto Estratgico

Aspectos financieros, operacionales, competitivos, polticos, imagen, sociales, clientes, culturales y legales, Stakeholders -Organizacin, propietarios, personal, clientes, proveedores, comunidad local y sociedad-.

1.2. Establecer el Contexto Organizacional

Objetivos del negocio: Apoyados en COSO (de operaciones, de Informacin Financiera y de cumplimiento legal). Otros: la rentabilidad, el crecimiento institucional, posicionamiento competitivo, imagen, servicio al cliente, productividad, calidad, recursos humanos, impacto en la comunidad.

1.3. Identificar Objetos Crticos

Definiendo los criterios Prdida Financiera, Prdida de Imagen, Incumplimiento de la misin, etc., que nos permitan elaborar una clasificacin de las reas, proyectos, procesos, sistemas o actividades sobre los cuales se llevar a cabo la administracin de riesgos.

Proceso de administracin de Riesgos

2. Identificar Riesgos

2.1. Establecer un marco especfico de administracin de riesgos

Entender la actividad o parte de la organizacin para la cual se aplicar el proceso de administracin de riesgos.

2.2. Desarrollar criterios de evaluacin de riesgos 2.3. Identificar la estructura

Definir e identificar los criterios de anlisis y el nivel de aceptacin de los riesgos Separar la actividad o proyecto en un conjunto de elementos que facilite su comprensin y anlisis.
9

Proceso de administracin de Riesgos

2. Identificar Riesgos

2.4. Identificar riesgos

Responder qu puede ocurrir? Identificar los eventos que puedan afectar los elementos de la estructura identificada en el numeral 2.3.

2.5. Identificar causas

Cmo y por qu pueden ocurrir los eventos identificados como riesgos? Identificar lo que motiva, dispara o genera los eventos y los escenarios ms significativos.

10

Proceso de administracin de Riesgos

2. Identificar Riesgos

Cmo Hacerlo?

2.1. Establecer un marco de administracin de riesgos

Definiendo los objetivos, estrategias, alcance y parmetros de la evaluacin de riesgos a realizar.

2.2. Desarrollar criterios de evaluacin de riesgos

Definiendo los aspectos en los cuales va a centrar su atencin durante la evaluacin operativos, tcnicos, legales, sociales, financieros, humanos.

2.3. Identificar estructura

Descomponer el todo en sus partes, de tal manera que le facilite entender el objeto de anlisis y le brinde un marco lgico de accin. Por ejemplo: Basado en procesos (para TI, Cobit nos propone 34 procesos). Basado en Sistemas de Informacin (aplicaciones, programas, archivos, proceso, comunicaciones, entradas, salidas). Basado en Proyectos (ciclo de vida de desarrollo de SW, el proceso de administracin, etapas, entregables). Basado en recursos (para TI, Cobit nos propone: Datos, Aplicaciones, Tecnologa, Instalaciones y Recurso Humano).

11

Proceso de administracin de Riesgos

2. Identificar Riesgos

Cmo Hacerlo?

2.4. Identificar riesgos

Lo comn en las definiciones de riesgo son algunas palabras claves como: eventos, deseables, no deseables, positivos, negativos, probabilidad, impacto, objetivos, consecuencia, inciertos, inesperados, eventuales, etc. Riesgo: son incidentes o situaciones, que ocurren en un sitio concreto durante un intervalo de tiempo determinado, con consecuencias positivas o negativas que podran afectar el cumplimiento de los objetivos.

2.5. Identificar causas

Factores que podran materializar el riesgo, es importante establecer relaciones con otros riesgos una causa pude generar uno o ms riesgos y un riesgo puede ser generado por una o ms causas.

Por lo tanto exprese los riesgos en trminos de consecuencia y considere las causas que pueden generarlo. Ejemplo:
Prdida de confidencialidad debida a interceptacin de la lnea de comunicacin.

12

Proceso de administracin de Riesgos

3. Anlisis de Riesgos

3.1. Valorar el riesgo inherente

Asignar valor al evento de materializacin del riesgo propio del objeto de anlisis.

3.2. Determinar Controles Existentes

Identificar las actividades o mecanismos de control implementados para mitigar los riesgos inherentes. Resultante de aplicar la frmula: Nivel de Exposicin = Riesgo inherente - Controles

3.3. Identificar Nivel de Exposicin

13

Proceso de administracin de Riesgos

3. Anlisis de Riesgos
3.1. Valorar el riesgo inherente
Requiere que se defina una escala de valoracin: Cualitativa: Alto, Medio, Bajo Cuantitativa: Escala numrica (el clculo de P.A.E es un ejemplo) Semicuantitativa: asigna rangos numricos a las caractersticas Alto, Medio, Bajo
La valoracin se puede hacer mediante el uso de histricos para los mtodos cuantitativos, utilizando la frmula Riesgo= Impacto X Probabilidad y mediante las tcnicas de valoracin en grupos de trabajo (delphy) para mtodos cualitativos

Cmo Hacerlo?

3.2. Determinar Controles Existentes

Se requiere conocer que control es una propiedad emergente del Sistema de Control Interno, que son los mecanismos (dispositivos y procedimientos) implementados para prevenir, detectar o corregir la materializacin de los riesgos.

Tenga presente que la negacin del control no es el riesgo!

3.3. Identificar Nivel de Exposicin

Nivel de Exposicin = Riesgo inherente - Controles

14

Proceso de administracin de Riesgos

4. Evaluar y Priorizar Riesgos

4.1. Comparar contra Criterios y Definir prioridades de riesgo

Comparar el resultado del anlisis de riesgo realizado contra los criterios establecidos en el numeral 1. Marco general de referencia.

Las comparaciones de anlisis de riesgo realizadas sobre diferentes reas de la organizacin o sobre los diferentes procesos le permitirn priorizar los riesgos sobre los cuales ha de centrar la atencin para definir una opcin de tratamiento.

15

Proceso de administracin de Riesgos

4. Evaluar y Priorizar Riesgos

Cmo Hacerlo?

4.1. Comparar contra Criterios y Definir prioridades de riesgo

Elabore una lista ordenada de mayor a menor, por la valoracin del nivel de exposicin. Esto le permitir definir los riesgos de mayor grado de importancia sobre los cuales deber definir las opciones de tratamiento. Centre su atencin en lo crtico, de acuerdo a los niveles de aceptacin que tenga definidos
16

Proceso de administracin de Riesgos

5. Tratamiento del Riesgo

5.1. Identificar opciones de tratamiento

5.2. Evaluar opciones de tratamiento

Para la actividad o componente al cual aplic el proceso de administracin de riesgos, determine las posibles formas de reducir o mitigar el riesgo. Bajo las consideraciones del marco de referencia definido, establecer cules de las opciones de tratamiento identificadas se ajustan a la organizacin y reducen el riesgo a un nivel de exposicin aceptable. Elaborar los planes que le permitan poner en prctica las opciones de tratamiento del riesgo seleccionadas. Poner en marcha el plan definido.
17

5.3. Preparar planes de tratamiento

5.4. Implementar Plan de tratamiento

Proceso de administracin de Riesgos

5. Tratamiento del Riesgo

Cmo Hacerlo?

5.1. Identificar opciones de tratamiento Existen las siguientes:

Evitar: Se reduce la probabilidad de prdida al mnimo; dejar de
ejercer la actividad o proceso. Reducir: Se consigue mediante la optimizacin de los procedimientos y la implementacin de controles tendientes a disminuir la probabilidad de ocurrencia o el impacto. Atomizar: Distribuir la localizacin del riesgo, segmentando el objeto sobre el cual se puede materializar el riesgo. Transferir: Pasar el riesgo de un lugar a otro, compartir con otro el riesgo, esta tcnica no reduce la probabilidad ni el impacto, involucra a otro en la responsabilidad. Asumir: Se acepta la prdida residual probable, con la aceptacin del riesgo las estrategias de prevencin se vuelven esenciales.

18

Proceso de administracin de Riesgos

5. Tratamiento del Riesgo

Cmo Hacerlo?

5.2. Evaluar opciones de tratamiento

Las opciones de tratamiento deben evaluarse con base en el alcance de la reduccin de riesgo (de su probabilidad o de su impacto), la evaluacin debe extenderse a los beneficios u oportunidades que la opcin de tratamiento pueda crear. Tenga presente considerar varias opciones y que stas pueden aplicarse individualmente o de manera combinada. Considere los siguientes factores al momento de evaluar las opciones de tratamiento Eficacia: Efectividad de la propuesta de propuesta de tratamiento para reducir el riesgos

Factibilidad: La probabilidad de aceptar la opcin propuesta

Eficiencia : Uso ptimo de los recursos ,Costo efectividad de la opcin

19

Proceso de administracin de Riesgos

5. Tratamiento del Riesgo

Cmo Hacerlo?

Nivel Total de Riesgos

requiere balancear el costo de implementacin contra los beneficios derivados.

Implementar medidas de reduccin Usar Juicio Para seleccionar Antieconmico la opcin ms apropiada se Costo

20

Proceso de administracin de Riesgos

5. Tratamiento del Riesgo

Cmo Hacerlo?

5.3. Preparar planes de tratamiento

Documentando cmo se implementarn las opciones elegidas: Identificando responsabilidades Programas, resultados esperados, presupuesto Medir el desempeo y la revisin del proceso en su conjunto. El plan debera incluir tambin un mecanismo para evaluar la implementacin de las opciones contra criterios de desempeo y responsabilidades individuales y otros objetivos, y para controlar hitos crticos de implementacin.

5.4. Implementar el plan

Idealmente, la responsabilidad para el tratamiento de riesgo debera ser ejercida por los mejor capacitados de controlar el riesgo. Las responsabilidades de implementacin se conciertan segn la disponibilidad de tiempo de las partes. La implementacin exitosa del plan de tratamiento de riesgo requiere de un sistema efectivo de gestin: Que especifique los mtodos elegidos Asignacin de responsabilidades, acciones individuales Controles contra criterios especficos.

21

Administrando Riesgos de TI

22

Administracin de Riesgos de TI
Por qu ?

Hoy en da la mayora de las empresas soportan sus procesos operativos con TI. Se ha generado un alto grado de dependencia de la tecnologa informtica. Las organizaciones tienen una elevada inversin en tecnologa, por su adquisicin, mantenimiento y seguridad. Se ha incrementado el nmero de ataques externos a las instalaciones de TI. Porque es un medio por el cual la administracin puede concretar los objetivos de control sobre la T.I.

23

Administracin de Riesgos de TI
Requerimientos de la informacin del negocio. Recursos de Tecnologa Informtica Procesos de Tecnologa Informtica
REQUERIMIENTOS DE INFORMACIN DEL NEGOCIO

PROCESOS DE TI

RECURSOS DE TI

24

Requerimientos de la Informacin del Negocio CobiT

Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable . Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma ms productiva y econmica). Confidencialidad: Proteccin de la informacin sensitiva contra divulgacin no autorizada. Integridad: Refiere a lo exacto y completo de la informacin as como a su validez de acuerdo con las expectativas de la empresa.

25

Requerimientos de la Informacin del Negocio CobiT

Disponibilidad: accesibilidad a la informacin cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos. Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales est comprometida la empresa. Confiabilidad: proveer la informacin apropiada para que la administracin tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo.

26

Recursos CobiT de Tecnologa Informtica

Datos: Los objetos de informacin. Informacin interna y externa, estructurada o no, grficas, sonidos, etc. Aplicaciones: Entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados. Tecnologa: Incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin.
27

Objetivos del Negocio

1. Definir un plan estratgico de TI 2. Definir la arquitectura de informacin 3. Determinar la direccin tecnolgica 4. Definir la organizacin y relaciones de TI 5. Manejo de la inversin en TI 6. Comunicacin de la directrices Gerenciales 7. Administracin del Recurso Humano 8. Asegurar el cumplir requerimientos externos 9. Evaluacin de Riesgos 10. Administracin de Proyectos 11. Administracin de Calidad

1. Seguimiento de los procesos 2. Evaluar lo adecuado del control Interno 3. Obtener aseguramiento independiente 4. Proveer una auditora independiente

CobiT

Seguimiento

Req. Informacin
Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad

Planeacin y Organizacin

1.Definicin del nivel de servicio 2.Administracin del servicio de terceros 3.Admon de la capacidad y el desempeo 4.Asegurar el servicio continuo 5.Garantizar la seguridad del sistema 6.Identificacin y asignacin de costos 7.Capacitacin de usuarios 8.Soporte a los clientes de TI 9.Administracin de la configuracin 10.Administracin de problemas e incidentes 11.Administracin de datos 12.Administracin de Instalaciones 13.Administracin de Operaciones

Recursos de TI
Datos, Aplicaciones Tecnologa, Instalaciones, Recurso Humano

Adquisicin e Implementacin
1. Identificacin de soluciones 2. Adquisicin y mantenimiento de SW aplicativo 3. Adquisicin y mantenimiento de arquitectura TI 4. Desarrollo y mantenimiento de Procedimientos de TI 5. Instalacin y Acreditacin de sistemas 6. Administracin de Cambios

Prestacin de Servicio y Soporte

28

Administrando Riesgos de TI
1. Establecer Marco General
1.1 Contexto Estratgico 1.2 Contexto Organizacional 1.3 Objetos Crticos

Leyes y Regulaciones

Ambiente Social Ambiente Tecnolgico Competencia

Entorno Econmico
Clientes

Objetivos del Negocio

Rendimiento Financiero, Crecimiento Institucional, Crecimiento competitivo, Calidad, Servicio al Cliente, Eficiencia operacional, Productividad, Etc. Estructura Organizacional Procesos Actividades Lneas de negocio Productos 29

Impacto Econmico - Reputacin organizacional Imagen de productos o servicios

Administrando Riesgos de TI
2. Identificar Riesgos
2.4 Identificar Riesgos 2.5 Identificar Causas

Algunos Riesgos

Ineficiencia en el uso de los recursos Prdida de confidencialidad Prdida de Integridad de informacin Interrupcin en la continuidad del servicio Acceso no autorizado Prdida econmica

Heterogeneidad en la ejecucin de procesos Ausencia de metodologas de procesos Inadecuada clasificacin de la informacin Error u omisin en el procesamiento Cambios no autorizados Hurto de activos (recursos informticos) Incertidumbre para atender incidentes Ausencia de planes de continuidad de Negocio Suplantacin de usuarios

Algunas Causas

30

Administrando Riesgos de TI
(un ejemplo con 2 procesos y 2 recursos)

Riesgos de TI

Desarrollo y Adquisicin de Software Sub o sobre dimensionamiento Diseo Inadecuado Aceptacin de sw no acorde con las necesidades Falta de oportunidad en entrada en produccin

Operacin de Instalaciones

Tcnicos y Tecnolgicos Seleccin inadecuada de estrategias Obsolescencia Tecnolgica Prdida de informacin

Relacionados con la Informacin

Negacin del servicio Cambios no autorizados Ineficiente uso de los recursos Acceso no autorizado

Prdida de Informacin Prdida de Confidencialidad Prdida de integridad o Confiabilidad Incumplimiento de normas

31

Administrando Riesgos de TI
4. Evaluar y Priorizar Riesgos
4.1 Comparar contra criterios 4.2 Definir prioridades

Heterogeneidad en la ejecucin de procesos Inadecuada clasificacin de la informacin Desarrollo informal (sin metodologa) de sw Ausencia de planes de continuidad de Negocio Incertidumbre para atender incidentes Cambios no autorizados Error u omisin en el procesamiento Hurto de activos (recursos informticos) Suplantacin de usuarios

785 750 675 585 400 310 250 230 175

32