Integrando los Riesgos de TI a la Gestión del Riesgo Corporativo @FrancoIT_GRC, CISA,CRISC,PMP
Agenda – Road Map
Introducción
Consenso Conceptual
Selección Metodología
Ejecución Proceso de Análisis de Riesgos TI
Integración con Riesgo Operacional
Toda Organización tiene Riesgos “Riesgo proviene del italiano risico o rischio que, a su vez, tiene origen en el árabe clásico rizq (“lo que depara la providencia”). El término hace referencia a la proximidad o contingencia de un posible daño.” (Diccionario de la Real Academia Española)
Riesgos de TI y el Riesgo Corporativo
Fuente: “Risk IT – Framework - ISACA (Information System Audit and Control)
Governance, Risk & Compliance Enfoque holístico para maximizar la creación de valor desde IT para los stakeholders, alineando e integrando las actividades que la organización realiza sobre: Gobierno Corporativo Gestión Integral del Riesgo Corporativo Cumplimiento de leyes y regulaciones aplicables.
Empezando por el Final - Resultados Riesgo por Proceso
Riesgo por Soluc. Inf.
Riesgo por Tipo Activo
Riesgo por Activo
Riesgo por Amenaza
Ej. Riesgos de TI de Plazo Fijo
Ej. Riesgos del Core Bancario (Solución)
Ej. Riesgos del Hardware
Ej. Riesgos del AS/400
Ej. Riesgos de Acceso No Autorizado
Agenda – Road Map
Introducción
Consenso Conceptual
Selección Metodología
Ejecución Proceso de Análisis de Riesgos TI
Integración con Riesgo Operacional
El activo por excelencia, que interesa tanto a clientes externos, internos, terceros y entes de supervisión y control es la Información. Proceso de Negocio = Información + TI/SI
Activo + Valioso Soportado por
Activos de TI/SI
Ejemplos de Procesos de una Entidad Productos/Servicios de la Entidad
Proceso 1 (Ej. Alta)
Caja de Ahorro
Contabilidad
Proceso 2 (Ej. Operación)
Proceso 3 (Ej. Baja)
Ejemplo de un proceso
Ejemplo de un proceso
Incidencia de TI para un Proceso
% variable
Riesgo Residual: Componentes
Riesgo residual TI/SI a gestionar Lo determina el Propietario del Negocio
Criticidad para el Negocio
Historia + Expectativa
Probabilidad de Ocurrencia
Impacto TI/SI
Lo determina el Dueño del Riesgo de TI (experto TI/SI)
(Mitigantes del Impacto y de la Probabilidad) Amenaza
Concepto de Criticidad para el Negocio
Impacto tecnológico vs criticidad
Determinación del componente tecnológico
Lo determina el Propietario del Negocio
Lo determina el Dueño del Riesgo de TI (experto TI/SI)
Agenda – Road Map
Introducción
Consenso Conceptual
Selección Metodología
Ejecución Proceso de Análisis de Riesgos TI
Integración con Riesgo Operacional
Ventajas de utilizar una Metodología • • • • • • • • •
mayor objetividad (métricas, cálculos, variables) documentación / trazabilidad lenguaje común = mejor comunicación respaldo en estándares internacionales método sistemático para posteriores evaluaciones enfoque consistente, eficiente e integrado transparencia de riesgos de TI para la Dirección independencia de criterios personalizados alineamiento con regulaciones futuras
Contexto normativo local - Riesgos
Evaluar Marco Regulatorio - Ejemplo
A 5203
• Lineamientos Gestión Riesgo Corporativo
A 4793
• Riesgo Operacional
A 4609
• Riesgos de TI
Entonces… ¿Qué Metodología elegir?
¡Las mejores prácticas combinadas!
MAGERIT COBIT Regulaciones RISK IT
Riesgos de TI en COBIT 5 Garantizar que el apetito y la tolerancia respectos a los riesgos para el valor de la organización son entendidos, articulados, comunicados, gestionados, optimizados, minimizando el riesgo de falta de Compliance Continuamente identificar, evaluar, y reducir los riesgos de dentro de los niveles fijados por la Dirección, en forma integrado al ERM, balanceando costos y beneficios para la organización.
Incluyen prácticas y actividades para tratar riesgos, y los roles en las matrices RACI.
Riesgos de TI en COBIT 5 - Roles
MAGERIT – Características principales - Creado por Gobierno España - Establece Tipos de Activos - Trae un catálogo de amenazas - Incluye guía de “salvaguardas” - Método cualitativo/cuantitativo - Dependencia: herencia de valor - Información: Activo + valioso - Dimensiones adicionales (+2)
Metodología Análisis de Riesgos de TI/SI COBIT, para: Comunicación con Alta Gerencia y Alineamiento con Negocio Gestión del Proceso de Análisis de Riesgos de TI/SI Considerar amenazas de un inadecuado Gobierno de TI/SI RISK IT, para: Escenarios de riesgo, por actor, acción, tiempo, etc. MAGERIT, para: Conceptos de Tipos de Activos, Información y Dependencias Considerar catálogo de amenazas para cada tipo de activo. Regulaciones aplicables, para Compliance 25
Agenda – Road Map
Introducción
Consenso Conceptual
Selección Metodología
Ejecución Proceso de Análisis de Riesgos TI
Integración con Riesgo Operacional
Proceso de Análisis Riesgos de TI/SI Ejecutar Proceso de Análisis Seguimiento y Mejora Contínua
Clasificar Activos de Información
Ejecutar Planes de Acción
Analizar Riesgos de TI
Gestionar Riesgos de TI
Integrar con Riesgo Operacional
Clasificación de Activos de Información Metodología
¿Qué clasificar?
Información (y propagar)
Aplicaciones Todos los Activos (ej. Router)
(y propagar)
Ejemplo de un proceso
Clasificación de Activos de Información
Optimizar cuestionario clasificación Incorporar atributos adicionales para mayor precisión: • confidencialidad: –identificar combinación de campos confidenciales – hábeas data (datos personales) • integridad: sanciones por fallas, frecuencia de uso, montos promedios, plazo de exposición • disponibilidad: útiles para el armado del BIA. • Identificar los Activos No Informáticos críticos
Resultados de la clasificación • Determinación de Criticidad para el Negocio (1 a 5) • Opcional: definir punto de corte y corregir ajustes
Preparación para realizar el Análisis de Riesgos de los Activos de TI/SI Agrupar activos
Propagar resultado de clasificación a activos inferiores
Relacionar y Propagar Clasificación
Propagar Criticidad a Activos inferiores
Catálogo de amenazas, por tipo de activo Incorporar know-how de los expertos de TI/SI/Seg.Inf.
Catálogo de amenazas, por tipo de activo Incorporar know-how de los expertos de TI/SI/Seg.Inf.
Impacto tecnológico inherente y mitigantes para cada amenaza
Análisis de Riesgos de Activos de TI/SI
Determinar fortaleza mitigantes para calcular riesgo residual
Mapa de Riesgos Residuales
Elaborar Informe Final • • • • • • • • •
Descripción entorno entidad (negocio y TI/SI) Resumen ejecutivo Etapas del proyecto – participantes - alcance Clasificación de los activos de información Catálogo de riesgos analizados Comparativo con el último análisis de riesgos Mapas y Gráficos para mayor comprensión Conclusiones generales del análisis Tratamiento de los riesgos inaceptables.
Exposición Resultados: Consolidaciones ¿todas las soluciones informáticas son iguales?
Riesgo por Proceso
¿es igual de importante un proveedor al hardware?
Riesgo por Soluc. Inf.
Por peso solución informática
Por peso tipo de activo
¿es igual de importante una aplicación que otra?
Riesgo por Tipo Activo
Por criticidad del activo del tipo
¿es igual de importante una amenaza que otra?
Riesgo por Activo
Por impacto de cada amenaza
¿es igual de importante un activo que otro?
Riesgo por Amenaza
Por criticidad del activo
Gestión de Riesgos de Activos de TI/SI
Sustento objetivo de variables + Subjetiva
Indicadores
Ajuste de variables
Foto
Eventos de Pérdida
Foto
Original
¿Qué pasó? ¿Con qué frecuencia? ¿Cuánto impactó? ¿Cómo funcionaron los controles existentes?
Nueva + Objetiva
Agenda – Road Map
Introducción
Consenso Conceptual
Selección Metodología
Ejecución Proceso de Análisis de Riesgos TI
Integración con Riesgo Operacional
Proceso – Integrando los Riesgos
Proceso – Integrando los Riesgos
% variable
Esquema conceptual basado en GRC Interacciones recomendadas entre los distintos sectores
Roles claves para la Gestión Integral de Riesgos • Clasifica el valor de la información (C-I-D) • Responsable de declarar los eventos de pérdida de su proceso y de solicitar a TI/PAI las acciones necesarias para evitar su reiteración.
• No audita la metodología de Riesgos de TI • No realiza seguimiento de observaciones de auditoría. • Contrasta el nivel Riesgo de TI con: El umbral de tolerancia fijado por la Dirección Si esta sub-valorado versus los eventos de pérdida reales
Roles claves para la Gestión Integral de Riesgos • Interactúa con los “dueños de los riesgos de TI” para mantener actualizado el catálogo de riesgos a analizar • Ejecuta el Proceso de Análisis de Riesgos de TI • Interactúa con el área de Riesgo Operacional para integrar los resultados del Análisis de Riesgos de TI
• Audita la metodología de Riesgos de TI y todo el proceso de Clasificación de Activos de Información, Análisis de Riesgos de TI, Gestión de Riesgos de TI e Integración con Riesgos Operacionales. • Hace seguimientos de observaciones de TI
Análisis de Riesgos de TI - Interacciones
Dificultades habituales - Top Ten • • • • • • • • • •
integración inexistente/parcial entre riesgos inadecuada comprensión de la alta gerencia solapamiento: duplicación o falta de cobertura falta de compromiso de los “dueños de riesgos de TI” inconsistencia en mitigantes respecto a auditorías propietarios de procesos no concientizados en riesgos. divergencias metodológicas entre áreas falta de indicadores para sustento de variables claves Área de Riesgo Operacional toma el rol de Auditoría falta de actualización ante eventos claves
Recomendaciones Finales – Top Ten • • • • • • • • • •
diseño de estructura formal adecuada integración metodológica clara (RO + TI) procesos y procedimientos acordes con la entidad respaldo en estándares internacionales reconocidos mapa de procesos vinculados a activos informáticos consistencia: Riesgos de TI con BIA, DRP y audit. evitar silos y fomentar visión holística (GRC) utilizar el enfoque basado en riesgos a favor definir indicadores y métricas claves de Gestión capacitación y concientización a todos los actores
Preguntas de Cierre
¡Muchas Gracias! @FrancoIT_GRC, CISA,CRISC,PMP Blog: http://francoitgrc.wordpress.com @FrancoIT_GRC