Disertación brindada en el VII Foro Anual Gestión Integral de Riesgos Corporativos, sobre el impacto de la tecnología en los procesos de negocio, como parte fundamental a tener en cuenta en la evaluación del riesgo operacional. Temario:
1. Definición y alcance del riesgo operacional
2. Importancia de un marco metodológico adecuado
3. Interrelación entre áreas, diseñando la operación
4. Asociación de los procesos con la tecnología
4. Modelo MAGERIT para la gestión de riesgos
5. Conclusiones
2. Integración de riesgos de TI y riesgos operacionales – Fabián Descalzo
Agenda
• Definición y alcance del riesgo operacional
• Importancia de un marco metodológico adecuado
• Interrelación entre áreas, diseñando la operación
• Asociación de los procesos con la tecnología
• Modelo MAGERIT para la gestión de riesgos
• Conclusión
3. Integración de riesgos de TI y riesgos operacionales – Fabián Descalzo
Definición y alcance del riesgo operacional
Fallas en la tecnología
Pérdidas Financieras
Incumplimiento legal,
regulatorio y
contractual
Errores Humanos
Fallas en los procesos
4. Integración de riesgos de TI y riesgos operacionales – Fabián Descalzo
Definición y alcance del riesgo operacional
Personas
Tecnología
Procesos
Operación de los procesos y
aplicación de conocimiento
Servicios e infraestructura
adecuada para el Negocio
Adecuados para el
cumplimiento de los
objetivos
Existe una relación lógica entre la definición del alcance del Riesgo Operacional y los
factores de producción determinados para el gobierno de la información
5. Integración de riesgos de TI y riesgos operacionales – Fabián Descalzo
Importancia de un marco metodológico adecuado
El empleo de estándares de Gobierno de TI y Gobierno
Corporativo para normalizar nuestros procesos ayuda a ordenar
todas las actividades asociadas a la Continuidad Operativa, así
como a la Integridad y Disponibilidad de la información
6. Integración de riesgos de TI y riesgos operacionales – Fabián Descalzo
Importancia de un marco metodológico adecuado
Desempeño
Metas del Negocio
Conformidad
SOX, LOPD, etc
Tablero de
Control
COSO
ISO 38500 - COBIT
ISO 22301 ISO 27000 ISO 20000
Continuidad
de Negocio
Guías de
Seguridad
ITIL
7. Integración de riesgos de TI y riesgos operacionales – Fabián Descalzo
Importancia de un marco metodológico adecuado
8. Integración de riesgos de TI y riesgos operacionales – Fabián Descalzo
Interrelación entre áreas, diseñando la operación
ENTORNO = RIESGOS
CUMPLIMIENTO
Leyes, Regulaciones, Políticas Internas
Asociar las áreas
Legales, Auditoría y
Seguridad de la
Información con las
áreas Funcionales y
Tecnológicas
GOBIERNO
Establecer procesos
funcionales y de
servicio tecnológico
protegidos, alineados y
pensados para El
Negocio (OyM, Procesos
Corporativos)
Reconocer los diferentes
riesgos y metodología
para la gestión operativa
(Áreas de riesgo y
Contraloria)
9. Integración de riesgos de TI y riesgos operacionales – Fabián Descalzo
Asociación de los procesos con la tecnología
10. Integración de riesgos de TI y riesgos operacionales – Fabián Descalzo
Interrelación entre áreas, diseñando la operación
Equipos de Trabajo
Seguridad de la
Información
Tecnología
Jefes de Aplicación o Líderes
Funcionales de Sistemas
Líderes de
Proyecto
Adm SO Adm BBDD Operación
Compliance
Conocedores del funcionamiento aplicativo
para responder a los requerimientos del
Negocio
Servicio consultivo y de
soporte técnico
Acompañamiento y
operación de
relevamiento y
remediación
Capacitación y
definiciones de
cumplimiento
11. Integración de riesgos de TI y riesgos operacionales – Fabián Descalzo
Asociación de los procesos con la tecnología
12. Integración de riesgos de TI y riesgos operacionales – Fabián Descalzo
Asociación de los procesos con la tecnología
Crisis externas. Riesgos de
ataques cibernéticos
masivos, fuera de control
de la compañía
Manejo de TI interno.
Riesgos de gestión de la
tecnología y sus servicios.
Asociaciones con
contrapartes. Riesgos de
una interconexión directa
entre ambas partes y que
compartan información.
Subcontratación de
servicios. Riesgos en la
contratación, como
Recursos Humanos, Legal o
de TI
Cadenas de
suministro. Interrupciones
a servicios críticos
mediante ataques
cibernéticos.
Tecnologías
disruptivas. Las nuevas
tecnologías traen consigo
nuevos riesgos aún no
conocidos
Infraestructura
ascendente.
infraestructuras
informáticas que ante
cambios, crearían riesgos
ala infraestructura
informática de cualquier
organización.
13. Integración de riesgos de TI y riesgos operacionales – Fabián Descalzo
Asociación de los procesos con la tecnología
Conectividad y
servicios de
nube
Conectividad y
servicios de
nube
Espacio Físico
Proveedor Espacio Físico
Cliente
Componentes
Físicos
Componentes
Físicos
Usuario
Final
EnlacesEnlaces
GobiernoGobierno
EducaciónEducación
CumplimientoCumplimiento
Gestión
de Riesgo
Gestión
de Riesgo
EducaciónEducación
Gestión
de Riesgo
Gestión
de Riesgo
Componentes
Virtuales
Componentes
Virtuales
14. Integración de riesgos de TI y riesgos operacionales – Fabián Descalzo
Asociación de los procesos con la tecnología
Modelo de
Negocio
Modelo de
Negocio
Usuariosdel
Servicio
Usuariosdel
Servicio
PatronesdeusoPatronesdeuso
VisiónyalcanceVisiónyalcance
Diseño de servicios de TIDiseño de servicios de TI
Diseño y ArquitecturaDiseño y Arquitectura
Capacidady
disponibilidad
Capacidady
disponibilidad
ContinuidadContinuidad
SeguridadSeguridad
Análisisydiseño
aplicativo
Análisisydiseño
aplicativo
NiveldeServicioNiveldeServicio
Construcción del
Servicio de TI
Construcción del
Servicio de TI
Montaje de
infraestructura
Montaje de
infraestructura
HDWySFWde
base
HDWySFWde
base
ComunicacionesComunicaciones
Construcción
de software
Construcción
de software
DesarrolloDesarrollo
PruebasPruebas
Pensar en riesgos y continuidad desde el diseño de los servicios de TI
15. Integración de riesgos de TI y riesgos operacionales – Fabián Descalzo
Asociación de los procesos con la tecnología
Cada vez que decida iniciar un proyecto, identifique una fase
de capacitación para el entendimiento de la operación,
conforme al equipo de trabajo, infórmeles sobre sus alcances y
roles dentro del proyecto, necesidades de cumplimiento legal
y de Negocio, y fundamentalmente las necesidades de servicio
por parte de las áreas tecnológicas (TI, redes, comunicaciones)
y de seguridad (seguridad de la información, o bien seguridad
física y seguridad informática)
16. Integración de riesgos de TI y riesgos operacionales – Fabián Descalzo
Asociación de los procesos con la tecnología
17. Integración de riesgos de TI y riesgos operacionales – Fabián Descalzo
Modelo MAGERIT para la gestión de riesgos
Modelo
MAGERIT
Etapa 1
“Planificación
de análisis y
gestión de
riesgos”
Etapa 2
“Análisis de
riesgos”
Etapa 3
“Gestión de
riesgos”
Etapa 4
“Selección de
salvaguarda”
Establece consideraciones necesarias
para comenzar el análisis y gestión de
riesgos, investigación de
oportunidades, define objetivos y
áreas de dominio.
Selecciona los diferentes
mecanismos a implementar,
elabora una orientación del
plan de implantación de los
diferentes mecanismos, recoge
documentos de trabajo del
proceso de análisis y gestiona
los riesgos.
Identifica las diferentes funciones que
reducen el riesgo, selecciona medidas
aceptables para las funciones
existentes y las restricciones.
Facilita la identificación y
valora entidades que
intervienen en el riesgo,
obtiene evaluación de dichas
áreas de dominio y estima los
diferentes riesgos.
18. Integración de riesgos de TI y riesgos operacionales – Fabián Descalzo
Adicionalmente…
Etapa 5:
• Comunicación de los riesgos
• Seguimiento y revisión
periódica de los riesgos
Comunicaciones
• Comunicación interna y externa sobre la
metodología implementada, sus resultados y los
mecanismos de mitigación definidos
Controles y Awareness
• Asociación con la definición de los objetivos de
control y los diferentes controles que deben ser
implementados para satisfacer los requerimientos
identificados a través de la evaluación de riesgos
• Hasta 1 charla por área de interés (Dirección -
Técnica - Gerencias - Usuarios)
19. Integración de riesgos de TI y riesgos operacionales – Fabián Descalzo
Conclusión
Las necesidades del Negocio son cada vez más exigentes, y de igual
forma las tecnologías son cada vez más complejas.
El brindar soluciones que aporten mayor velocidad de respuesta a la
Organización tiene sus “costos” asociados... y sus riesgos.
El Negocio necesita de la Tecnología, pero la Tecnología sin Gestión es
un riesgo directo a la Operación del Negocio… y a sus Objetivos.
Fabián Descalzo