ISACA Monterrey - Confianza Digital Diciembre 2018
1. DIRIGIENDO EL ENFOQUE AL
REFORZAMIENTO DE LA
CONFIANZA DIGITAL
CARLOS CHALICO –
1/24/2019
1
2. ® 2018 ISACA. All Rights Reserved.
CONFIANZA
@carloschalico
3. 1/24/2019 ® 2018 ISACA. All Rights Reserved.3
http://www.nytimes.com/2012/02/19/magazine/shopping-habits.html?_r=0
@carloschalico
4. 1/24/2019 ® 2018 ISACA. All Rights Reserved.4
http://www.ioew.de/uploads/tx_ukioewdb/future-IOEW_CSR-Study_Summary.pdf
Sponsored by: German Federal Ministry of Environment, Nature Conservation and Nuclear Safety
Traducción: Carlos Chalico
@carloschalico
5. 1/24/2019 ® 2018 ISACA. All Rights Reserved.5
“Eres lo que eres cuando nadie ve”Robert Lewis
@carloschalico
6. 1/24/2019 ® 2018 ISACA. All Rights Reserved.6
“Una de las cosas que aprendes en el
kínder es que si quieres jugar con los
juguetes de alguien más, debes pedirlos.
Lo que es preocupante y, yo creo, triste,
sobre el apetito por el uso del big data es
que muchas veces se da dicendo: ¡Hey!
¡No tenemos que preguntar!”
Lee Tien, Electronic Frontier Foundation
@carloschalico
7. 1/24/2019 ® 2018 ISACA. All Rights Reserved.7
Big Data
Instant Data
@carloschalico
8. 1/24/2019 ® 2018 ISACA. All Rights Reserved.8
Shareholders
Stakeholders
@carloschalico
9. 1/24/2019 ® 2018 ISACA. All Rights Reserved.9
@carloschalico
GDPRGDPR
10. 1/24/2019 ® 2018 ISACA. All Rights Reserved.10
Interés Legítimo
Lenguaje claro y sencillo
@carloschalico
11. 1/24/2019 ® 2018 ISACA. All Rights Reserved.11
¿Cómo?
@carloschalico
12. CAMBIO A UN RITMO QUE NOS DEJA SIN ALIENTO…
® 2018 ISACA. All Rights Reserved.
La disrupción digital es imperativa
Es difícil pensar en tener una verdadera ventaja competitive sin ella. Nuevos
modelos radicales de negocio, acelerado desarrollo de productos e innovación en el
servicio son nuestra realidad
Este ritmo acelerado trae nuevos riesgos
Nuevos retos llegan constantemente añadiendo complejidades que la mayoría de
las organizaciones nunca han experimentado. Reconocer los riesgos y balancear el
portafolio para tomar riesgos que puedan transformarse en oportunidades,
mantener competitividad, y al mismo tiempo manejar riesgos externos y de
impacto significativo para habilitar la confianza digital es un constante reto para las
organizaciones
Los negocios de hoy se mueven a un ritmo que nos deja sin aliento. De acuerdo con un
studio reciente,* en 1964 la vida promedio de una compañía del S&P era 33 años, el
pronóstico para 2027 ha bajado a 12 años.
*2018 Edelman Trust Barometer (Edelman.com/trust-barometer)
@carloschalico
Fuente:
13. ® 2018 ISACA. All Rights Reserved.
Administración de riesgos y estrategia de negocios
La definición de la estrategia debería comenzar por poner al frente las capacidades de
manejo de riesgo para identificar oportunidades y anticipar retos. Al transformarse el
modelo operativo de negocio, la adminstración de riesgos debería hacerlo también. Al
tiempo de que nuevos productos y servicios se introducen, diseño de controles y mejoras
deberían implantarse en tiempo real.
Los días de monitorear amenazas y reaccionar después de que
impactan, se han ido
Un enfoque dinámico, predictivo, y soportado por datos es fundamental para sobrevivir en
esta época de transformación. La administración de riesgos de mañana debe habilitar una
toma de decisions confiada que habilite el crecimiento, incremente el valor del negocio y
mantenga la confianza.
Confianza es la nueva moneda, genera valor y lealtad Las
organizaciones reconocen que la confianza es crítica para generar lealtad de los
consumidores y diferenciación en el mercado.
63% de los consumidores estuvieron de acuerdo en que “Una Buena reputación
puede influir en que quiera probar un producto, pero no lo compraré si no confío en
la compañía, sin importer cuál sea su reputación”
…DEMANDA UNA FORMA DIFERENTE DE PENSAR
*2018 Edelman Trust Barometer (Edelman.com/trust-barometer)
@carloschalico
Fuente:
14. ® 2018 ISACA. All Rights Reserved.
Utiliza un enfoque
fresco y encuentra
nuevas aristas
@carloschalico
15. ® 2018 ISACA. All Rights Reserved.
ANALIZANDO LA ESTRATEGIA DE RIESGO EN LA
ERA DE LA TRANSFORMACIÓN
@carloschalico
Afinando la lente de riesgos: eventos de
transformación, riesgos externos y
eventos de impacto
Las organizaciones requiren moverse de un
enfoque de aversion al riesgo hacia uno de
optimización para obtener nejores resultados
Para ser exitosas, las organizaciones necesitan
cambiar su enfoque de solo mitigar riesgos para
identificar y aprovechar eventos de
transformación
Para lograr este balance se require incrustar
manejo de riesgos y controles en la estrategia de
toma de decisions con las líneas de negocio para
poder analizar enfoques multifacéticos del
portafolio de riesgos
Las organizaciones requieren también desarrollar
capacidades digitales que generen inteligencia y
entreguen conocmiento de punta a punta
Fuente:
16. ® 2018 ISACA. All Rights Reserved.
LA ADMINSTRACIÓN DE RIESGOS NO DEBE ENFOCARSE MÁS
ÚNICAMENTE EN EVITARLOS
@carloschalico
La administración de riesgos debe integrarse con la organización
Las organizaciones deben balancear sus oportunidades de crecimiento con la atención a sus mayores retos.
Las funciones de administración de riesgos deben tener sus propios procesos de disrupción para fomenter el
re-enfoque en la habilitación de decisions de negocio más inteligentes. Identificar eventos de transformación
y comunicarlos a los equipos operativos y de operaciones ayudará a crear una estrategia sólida. Necesitan
buscar un balance que permita mantener el ritmo operative del negocio, o acelerarlo, sin perder de vista las
situaciones de riesgo.
Adoptar tecnologías emergentes es clave para el éxito
Crear una nueva cultura que base la toma de decisions en el análisis de datos requiere de la introducción de
nuevas capacidaeds que vienen de la integración de nuevas herramientas con los procesos de negocio
existentes. El foco de los modelos de gobierno debe estar fuertemente dirigido en tener datos de major
calida para soportar de forma efectiva el modelo de negocios y habilitar eficiencias al mismo tiempo que se
responde al cumplimento y a propósitos legítimos. Un programa de administración de riesgos efectivo
proveerá a la organización de una mayor inteligencia al incrustarse en el negocio. La adminstración de
riesgos será un element clave de la generación de valor y el mantenimiento de la confianza.
La administración de riesgos debe diseminarse e incrustarse en el
pensamiento corporativo para poder pensar más allá de la mitigación
En un mundo digital, la administración de riesgos require transformarse de tal forma que habilite la
estrategia de negocio y de riesgo hacia un enfoque centrado en los stakeholders y en el mantenimiento de
relaciones clave. Debe incrustarse en la cultura corporative para que forme parte del negocio
Fuente:
17. ® 2018 ISACA. All Rights Reserved.
Fuente:
Usar datos para habilitar la toma de decisiones
Nuevos bancos de datos internos y externos estarán disponibles para ayudar a soportar mejor
las decisions de negocio. La recolección de datos sera proactive, continua y respetuosa,
permitiendo un contínuo mantenimeinto del conocimiento generado que habilitará el
desarrollo de capacidaeds de predicción. Estos uevos bancos de datos generarán nuevas
necesidaeds de talento, lo que promoverá la innovación. Las organizaciones tendrán más
flexibilidad que nunca para compremnder a sus clientes a partir de sus datos pero, esto deberá
hacerse de manera respetuosa y consensuada.
Compartir datos entre plataformas de innovación
El alineamiento de la adminstración de riesgos con las estrategias de negocio es el primer
paso en esta integración. Una vez que los procesos correctos y las fuentes de información se
incrustan en la operación, la administración de riesgos y el monitoreo se vuelven mpás
eficientes, proactivas y enfocadas.
Integrar capacidades de inteligencia y administración de riesgos
Procesos de administración de riesgos y controles integrados serán requeridos para poder
seguir el rirmo del rápido desarrollo de productos y servicios. Estos controles inteligentes
serán la base de la ventaja competitive a través del incremento en la velocida de respuesta al
mercado y la demanda de procesos eficientes.
Datos
Plataforma
Inteligencia
LAS NUEVAS TECNOLOGÍAS PUEDEN AYUDAR A ENCONTRAR
MEJORES RESULTADOS
@carloschalico
18. ® 2018 ISACA. All Rights Reserved.
LOS PROGRAMAS DE HOY NO ESTÁN PREPARADOS
@carloschalico
Fuente:
► Gobierno
► Procesos de TI
► Privacidad
► Cumplimiento
► Calificación de
riesgos preliminar
5. Consolidar resultado
preliminar del análisis
calificando
globalmente por
oficina o susucursal
3. Crear herramienta de
análisis o evaluación;
identificar grupos de
usuarios para enviarles
las preguntas
4. Enviar preguntas o
cuestionarios a todas
las ubicaciones
globales de interés
8. Analizar cobertura de
control y actualizar
calificaciones de riesgo
preliminares
7. Conducir talleres y
obtener
retroalimentación de
los participantes
9. Desarrollar y validar
observaciones
10. Producir reports,
resultados y mapas de
calor
1. Definir criterio del
análisis o evaluación de
riesgo
6. Desarrollar criterios de
evaluaci[on
preliminaries por país o
región
2. Definir el alcance de los
procesos de TI a incluir
en las preguntas del
análisis o evaluación
¿Cómo pueden mejorarse los
programas de administración
de riesgos de hoy?
Muchos de los programas de
administración de riesgos existentes son
reactivos y diseñados para atender
exclusivamente eventos de impacto.
El enfoque típico incluye la ejecución de
una evaluaciómn o análisis realizado a un
punto específico en el tiempocon un
criterio estático utilizado para identificar
hallazfgos.
Los resultados de la evaluación o análisis
solo informan sobre acciones de
mitigación puntuales que raramente son
revisadas de nuevo.
Este proceso estándar se apoya
fuertemente en herramientas de ayer y
puede ser doloroso en su ejecución. La administración del mañana utilizará herramientas digitales para entregar resultados. Estas herramientas permitirán
desarrollar capacidades de entrega dinámicas
19. ® 2018 ISACA. All Rights Reserved.
LOS DE MAÑANA ESTÁN LISTOS PARA AFRONTAR LA ERA DE LA
TRANSFORMACIÓN A TRAVÉS DE LA INTEGRACIÓN DE CAPACIDAEDS
@carloschalico
Fuente:
Los programas de administración digitales refuerzan
confianza y aceleran el desempeño del negocio
Las organizaciones deberían preferir la identificación de hallazgos en
tiempo real sobre los enfoques reactivos tradicionales. Para usar este
enfoque analítico las organizaciones requerirán nuevas habilidades y
tecnologías como inteligencia artificial.
Alinear el proceso con el product o el cliente
El foco del marco referencial de control evolucionará del enfoque
tradicional hacia uno mpas centrado al desarrollo del producto con una
connexion con la experiencia del cliente. La administración de controles
se distribuirá a través de las líneas de producto o servicio ya que mucho
de la transformación digital se maneja por capacidades.
La automatización de controles reduce su costo y favorece
la creación de un modelo de administración y monitoreo
eficiente
La organización
digital confiable
Gobierno
adaptable
► Estrategia y principios
guiados por propósito
► Ajuste del modelo de
líneas de Defensa (LdD)
► Responsabilida y
convergencia
► Talento y cultura
Decisiones ágiles
► Operaciones de
riesgo dinámicas
► Visibilida de riesgo
en tiempo real
► Agilidad de controles
► Integración de dtos
bajo demanda
► Ecosistema digital
► Plataforma de inteligencia de
riesgos
► Estratefia de admón. de datos
► Tecnologías emergentes
► Arquitectura de nube
Administración de
producto y servicio
Resiliencia
► Resiliencia
operacional
► Ciberseguridad y
privacida
► Control de terceros
► Manejo de crisis
Inteligencia y
arquitectura de datos
► Diseño de producto en
tiempo real
► Gobierno digital del
procucto
► Perfilamiento y experiencia
dinámica del cliente
► Controles primera LdD
20. ® 2018 ISACA. All Rights Reserved.
¿QUÉ TAN LISTAS ESTÁN LAS ORGANIZACIONES?
@carloschalico
Fuente:
• 64% de las organizaciones están dispuestas a incrementar sus presupuestos en
ciberseguridad en los siguientes 12 meses
• 86% de las organizaciones reconocen que necesitan más del 25% de incremento en
fondos para hacer sus funciones de ciberseguridad efectivas
• Solo 19% de las organizaciones reconoce que su función de ciberseguridad influye
realmente en el diseño de la estrategia de negocios
• La principal preocupación entre las organizaciones participantes sigue siendo el
factor humano
• Solo 29% dice tener un programa de ciber inteligencia formal y vigente
• 41% dice tener un programa de adminstración de vulnerabilidades formal y vigente
• 37% tiene un un programa de detección de brechas formal y vigente
• 47% tiene un programa de respuesta a incidentes formal y vigente
• 39% tiene un programa de proteción de datos formal y vigente
• 44% tiene un programa de administración de identidaeds y acceso formal y vigente
• 15% de los comités recibe reportes de ciberseguridad útiles
• 39% de los comités comprenden el riesgo de ciberseguridad
• 8% de las organizaciones tienen una función de ciberseguridad que cubre sus
necesidades.
21. ® 2018 ISACA. All Rights Reserved.
¿SE ESTÁN HACIENDO LAS PREGUNTAS CORRECTAS?
@carloschalico
Fuente:
¿Cómo se está incrustando la
generación de confianza en la toma
de decisiones estratégicas?
¿Como se están cuantificando riesgos
en el entorno económico actial?
¿Cómo se está soportando la
creación de valor y de una ventaja
competitiva?
¿Se están monitoreando riesgos en
tiempo real y con un enfoque
predictivo?
22. ® 2018 ISACA. All Rights Reserved.
¿QUÉ ESTÁN HACIENDO ALGUNAS ORGANIZACIONES?
@carloschalico
Fuente:
Los líderes de las organizaciones
están pidiendo mejores programas
de ciber-inteligencia alineados al
mandato específico de sus
operaciones
Las compañías están utilizando AI,
RPA, drones y analíticos para
soportar la inteligencia de riesgos y
monitorear controles para tomar
mejores decisiones.
Algunas organizaciones están
diseñando modelos para proteger
sus operaciones a través de una
mejor inteligencia de riesgos y
monitoreo contínuo
Las instituciones financieras están
probando programas piloto de
administración de productos y
servicios con controles digitalizados.
Las organizaciones están aplicando
nuevos modelos y enfoques para
administrar ciberseguridad utilizando
ecosistemas y consorcios
Ejecutivos de auditoria interna y
riesgos están re-evaluando su
estructura de gobierno y utilizando
tecnología para hacer más efectivas
sus tres líneas de defensa
23. ® 2018 ISACA. All Rights Reserved.
EL SOPORTE DE COBIT 2019
@carloschalico
24. ® 2018 ISACA. All Rights Reserved.
EL SOPORTE DE COBIT 2019
@carloschalico
25. ® 2018 ISACA. All Rights Reserved.
EL SOPORTE DE COBIT 2019
@carloschalico
26. ® 2018 ISACA. All Rights Reserved.
CONCLUSIONES
@carloschalico
• Los grandes eventos de transformación digital no podrán alcanzar el éxito sin
considerar la construcción de la confianza digital
• La adopción de mecanismos que articulen la creación de confianza por diseño es
necesaria
• Balancear, diseminar, digitalizar, incrustar, todas ellas son acciones necesarias en la
definición de una empresa digitalmente confiable
• La integración de la ética en la definción de modelos de negocio se hace
indispensable
• Foco en stakeholders y no solo en shareholders
• ¿Dónde está la organización hoy? ¿A dónde debe ir? ¿Cuándo empezar?
27. 1/24/2019 ® 2018 ISACA. All Rights Reserved.27
“Eres lo que eres cuando nadie ve”Robert Lewis
@carloschalico
Carlos Chalico, CISA, CISSP, CISM, CGEIT, CRISC, ISO27000LA, PbDA
carlos.perez.chalico@ca.ey.com
+1(416)943-5338