El documento presenta una introducción al riesgo tecnológico y su impacto en el negocio. Explica que el riesgo de TI debe ser gestionado como parte integral del riesgo corporativo para garantizar la continuidad del negocio. También describe el proceso de autoevaluación para medir la efectividad de los controles internos de TI y asegurar el cumplimiento de los objetivos empresariales.
4. Desafíos de TI
E t l
TI siempre
Entregar valor
TI siempre
disponible
Alinear TI con la
institución
Optimizar
costosinstitución costos
Mejores niveles
de seguridad
5. Origen del Riesgo TI
Riesgo Operacional
“ El riesgo de pérdidas resultantes de procesos inadecuados
o fallidos, personas y sistemas o de eventos externos que no, p y q
están cubiertos por capital regulatorio…” BASILEA II
Es “el efecto de la incertidumbre en la consecución de loss e e ecto de a ce t du b e e a co secuc ó de os
objetivos” ISO 31000:2009
6. Riesgo TI
El riesgo de TI es el riesgo asociado con el uso, propiedad,
operación, involucramiento, influencia y adopción de la
t l í d i f iótecnología de información en una empresa
La pérdida ocasionada por interrupción, falla o daño que se
derivan de los sistemas de información y plataformas
tecnológicas que una organización dispone para prestar sus
servicios ordinarios.
7. Riesgo TI
• Riesgo en la entrega de servicios de TI
– Son los riesgos asociados al desempeño y disponibilidad de los
servicios de TI.
– Estos riesgos pueden provocar una destrucción o reducción del
valor en una empresa.
• Riesgo en la entrega de la solución de TI
– Son los riesgos asociados con la contribución de TI a las
soluciones de negocio nuevas o mejoradas, usualmente ensoluciones de negocio nuevas o mejoradas, usualmente en
forma de proyectos y/o programas
• Riesgo en la realización de beneficios de TI
S l i i d l é did d t id d d– Son los riesgos asociados con la pérdida de oportunidades de
utilización de tecnología para mejorar la eficiencia o efectividad
de los procesos de negocio o utilizar la tecnología como un
habilitador de nuevas iniciativas de negociohabilitador de nuevas iniciativas de negocio
8. Riesgo TI
Clasificación Descripción
Seguridad y
acceso
Riesgo que la
informaciónacceso información
confidencial sea
utilizada por personas
no autorizadas
Integridad Riesgo que la
información no sea
confiable, incompleta e
inexacta
Pertinente El riesgo asociado a nog
tener la información
adecuada en el tiempo
preciso para los
procesosprocesos
9. Riesgo TI
Disponibilidad Riesgo de perdida de
los servicios
Infraestructura Riesgo de no contar con
la infraestructura
adecuada que soporteadecuada que soporte
las necesidades
actuales y futuras.
10. Riesgo TI
Eventos relacionados a Riesgos de TI
Fraude Interno
Fraude
Administración
Externo
Administración
de procesos
Clientes,
productos y
servicios
Interrupciones
del negocio
Daños a
activos físicos
11. Riesgos - TI
AcciónAcción
•• DivulgaciónDivulgación
•• InterrupciónInterrupción
•• ModificaciónModificación
R bR b
Activo / RecursoActivo / Recurso
•• Gente y OrganizaciónGente y Organización
•• ProcesosProcesos
•• RoboRobo
•• DestrucciónDestrucción
•• DiseñoDiseño
InefectivoInefectivo
•• EjecuciónEjecución
ActorActor
•• InternosInternos
•• ExternosExternos ProcesosProcesos
•• Infraestructura (instalaciones,Infraestructura (instalaciones,
infraestructura)infraestructura)
•• Componentes de laComponentes de la
Arquitectura de NegocioArquitectura de Negocio
jj
ineficienteineficiente
•• RegulaciónRegulación
•• Uso inapropiadoUso inapropiado
(Competidores,(Competidores,
Socios deSocios de
negocio,negocio,
Reguladores,Reguladores,
Mercado etc )Mercado etc )
TiempoTiempo
E iE i DuraciónDuración
Tipo de AmenazaTipo de Amenaza
Mercado, etc.)Mercado, etc.)
•• MaliciosaMaliciosa ++
++ ++
++
EscenarioEscenario
de Riesgode Riesgo
•• DuraciónDuración
•• Tiempo deTiempo de
Ocurrencia (crítico,Ocurrencia (crítico,
no critico)no critico)
•• Tiempo de detecciónTiempo de detección
•• AccidentalAccidental
•• FallaFalla
•• NaturalNatural
12. Impacto
Los objetivos de la institución dependen de los
procesos de negocios y estos de TI
Aplicativo
1
Aplicativo
2
Proceso
1
2
Proceso
2
Sistemas de
información
2
Soporte a toma de
decisiones y desarrollo
de actividades
13. Impacto
Procesos deProcesos de
negocio
Aplicaciones y servicios
Objetivos y
Estrategias
Infraestructura de TI (HW, SW, Datos,
Instalaciones, personal, metodología, políticas y, p , g , p y
procedimientos)
14. Impacto
Como evitar que ocurran eventos no deseados?
En el caso de ocurrir como disminuir su impacto?
15. Impacto - Gestión
Gestionar los riesgos
Es un proceso interactivo basado en el
conocimiento, evaluación y manejo de los riesgos
y sus impactos, con el propósito de mejorar lay p , p p j
toma de decisiones organizacionales.
16. Impacto - Gestión
Gestionar los riesgos de TI
• Parte de la gestión global del riesgo corporativo
• Enfocado a un eficiente equilibrio entre oportunidades y
didperdidas
• Precisa de un análisis de riesgos combinado con un
análisis de impacto en el negocio (BIA)
17. Impacto - Gestión
Estándares
ISO 31010• ISO 31010
• BS 31100
• ISO/IEC 27005
• ITGI – Risk IT Framework
• NIST – SP800-30
• AS/NZS 4360AS/NZS 4360
• MAGERIT
• CRAMM
UNE 71504• UNE 71504
19. Impacto - Gestión
Principios
Siempre esta conectada con los objetivos del negocio
Alinea la gestión de riesgos TI con la gestión de riesgos
de toda la organización
Balancea costos
Promueve comunicación
Es un proceso continuo
Debe ser sistémica estr ct rada Debe ser sistémica y estructurada
Debe ser parte de la toma de decisiones
Dinámica, iterativa
Proteger todo lo que es valioso Proteger todo lo que es valioso
Adaptada a la organización
21. Impacto - Gestión
Priorización de Respuesta a RespuestasPriorización de Respuesta a
Riesgos
Caso de
Niv
Logros
Respuestas muy
eficientes y
eficaces a riesgos
altos
Respuestas
mas caras o
más difíciles a
riesgos altos
Caso de
Negocio
veldeRies
Logros
Rápidos
R t
altos
Diferir
goActual
Oportunidad
Respuestas
costosas a riesgos
bajosRespuestas
eficientes y
eficaces a riesgos
b j
Eficacia / Eficiencia
bajos
23. Impacto - Gestión
Efecto esperado de las opciones de tratamiento
riesgoeridaddelSeve
Probabilidad que ocurra
24. Impacto - GestiónDetectar y
resolver
accesos no
autorizados a
la información Contro
%
Alta
ProbabilidadSupervisión
periódica
Contro
l
Proceso:
Garantizar
Seguridad UsuariosUsuarios
Definición
inapropiada de
permisos de
acceso
Definición
inapropiada de
permisos de
acceso
Causa
Alta
Media
Baja
Seguridad
• Objetivo: Permitir
el acceso a
información
crítica y sensible
• Objetivo: Permitir
el acceso a
información
crítica y sensible
•Usuarios
autorizados
realizan
actividades
no
permitidas
•Usuarios
autorizados
realizan
actividades
no
permitidas
Evento /
Escenario:
Qué puede
suceder
para
ocasionar
Accesos excesivos
y uso de
capacidades de
supervisión.
Intención de Fraude
Accesos excesivos
y uso de
capacidades de
supervisión.
Intención de Fraude
y
sólo a usuarios
autorizados.
y
sólo a usuarios
autorizados.
la Falla
Modificación de
Información
Modificación de
Información
Efecto
Información.
Transacciones
no autorizadas
Información.
Transacciones
no autorizadas
$
Alto
Medio
Bajo
ImpactoEjemplo
25. Del Riesgo TI al corporativo
Requerimientos
de Negocio
efectividad
eficiencia
fid i lid d
Información
RecursosProcesos
Informaciónconfidencialidad
integridad
disponibilidad
cumplimiento
fi bilid d
Aplicación
Infraestructura
Personas
PLANEACION Y
ORGANIZACION
confiabilidad
ORGANIZACION
ADQUISICION E
MONITOREO Y
EVALUACIÓN
IMPLEMENTACION
ENTREGA Y
EVALUACIÓN
ENTREGA Y
SOPORTE
26. Del Riesgo TI al corporativo
Debemos incluir la gestión del riesgo TI a la gestión
del riesgo Corporativo?
C l l i id d d t d l i d l G tióCual es la prioridad dentro del negocio de la Gestión
del Riesgo TI?
Como afecta la no gestión del Riesgo TI a la estrategiaComo afecta la no gestión del Riesgo TI a la estrategia
y objetivos de TI?
27. Del Riesgo TI al corporativo
• Al igual que otros riesgos que se gestionan, los
riesgos de TI deben ser considerados
• Darle prioridad alta
• Conciencia y responsabilidad de la Directores
• Inversión para gestionarles = continuidad, eficiencia yp g , y
oportunidades
Riesgo TI
No operación,
No continuidadg
No
gestióngestión
28. Del Riesgo TI al corporativo
De lo anterior:
El objetivo es si no solo es la gestión del riesgo TI,
Sino garantizar la continuidad del negocio, tomando
acciones para el tratamiento de los riesgos y de estap g y
forma estar preparados antes los nuevos retos.
29. Autoevaluación
Es un proceso a través del cual la efectividad de los
controles internos es evaluada. Cuyo objetivo es
proveer un aseguramiento razonable de que los
objetivos del negocio se cumplirán.
32. Autoevaluación
Matriz de Autoevaluación de Riesgos
Tipo Descripcion P I
Nivel de
Riesgo Control
Valor del
Control
Resid
uo
Integridad
Administración de
problemas 3 1 3 Registro de incidencias 3 1Integridad problemas 3 1 3 Registro de incidencias 3 1
Infraestructu
ra
Respaldo y
restauracion 5 3 15 Plan de contingencia 5 3
Disponibilid
d
Continuidad del
i (TI) 4 3 12
Sitio alterno,
procedimiento de
ld 5 2 4ad negocio (TI) 4 3 12 respaldos 5 2.4
Plan de respaldo
33. Conclusiones
El riesgo de TI impacta en el negocio de manera que se pueden
detener las operaciones del mismo
La gestión de riesgos de TI no es responsabilidad de la gerencia
de TI, (Gobierno de TI)
No solo vasta conocer los riesgos a los que nos enfrentamos
(amenazas, vulnerabilidades), hay que gestionarlos y conocer su
impactoimpacto
La gestión de riesgos de TI = monitoreo, revisiones,
actualizaciones, es decir es una practica de todos los diasactualizaciones, es decir es una practica de todos los dias
34. Gracias por su atención..p
Lic. José Victor Valle
Analista Inspector TIAnalista Inspector TI