RESUMEN MARCO DE RIESGOS DE TI
El marco de RI!" IT aborda muc#as cuestiones a las cuales las organizaciones se en$rentan #oy en d%a. &na 'isión precisa del presente y del $uturo próximo sobre los riesgos relacionados con TI en toda la organización y el (xito con el que la organización se ocupa de dic#os riesgos. )rientaci )rientación ón de principio principio a $in sobre la $orma $orma de gestionar gestionar los riesgos riesgos relacionad relacionados os con TI, más allá de medidas puramente puramente t(cnicas de control y de seguridad. *omprensión de cómo capitalizar una in'ersión realizada en un sistema sistema de control control interno de TI ya existente existente para gestionar gestionar los riesgos relacionados con TI. En cuanto cuanto a la e'alua e'aluació ción n y gestió gestión n de los riesgos riesgos de TI, la inte integr grac ació ión n con con el ries riesgo go glob global al y el cump cumpli limi mien ento to de las las estructuras dentro de la organización. &n marco+lengua comn para ayudar a gestionar la relación entre los eecuti'os encargados de adoptar decisiones -o unta de los altos directi'os, el director de in$ormación -*I) y la organización de gestión del riesgo, o entre los auditores y la dirección. /romoción de la responsabilidad del riesgo y su aceptación en toda la organización. &n per$il de riesgo riesgo completo completo para meor entender entender el riesgo riesgo y apro'ec#ar meor los recursos de la organización.
MARCO DE RIESGOS DE TI - FINALIDAD Y DESTINATARIO Riesgos de TI.
•
Los riesgos de TI son un componente del universo de riesgos a los que está sometida una organización. Jerarquía de Riesgos
•
•
•
•
•
comercial, es decir, el riesgo de los negocios RISK IT es el r iesgo comercial,
•
asociados con el uso, la propiedad, la operación, la participación, la infuencia y la adopción de las TI dentro de una organización.
Los riesgos pueden clasifcarse de varias ormas: El valor de los riesgos de TI permitidos – Asociado con las
•
oportunida oportunidades des no aprovech aprovechadas adas para meorar meorar la e!cienc e!ciencia ia o e"ecti e"ectivid vidad ad de los proce procesos sos de negoci negocio, o, o la capaci capacidad dad de soportar nuevas iniciativas, a trav#s del uso de la tecnolog$a. •
RINCIIOS DE LOS RIESGOS DE TI 0a conexión con el negocio se $undamenta en los principios en los que se basa el marco.
Programas de TI y riesgos en las entregas de proyectos – Asociada a la contri%ución de IT so%re nuevas soluciones de negocio, generalmente en "orma de proyectos y programas.
•
Operaciones de TI y riesgos en las entregas de servicios
– Asoci Asociada adas s con todos todos los aspec aspectos tos relac relacion ionado ados s con los los servicios y sistemas de TI, los cuales puede producir p#rdidas o reducción del valor a la organización. Los riesgos relacionados de TI e&isten, independientemente independientemente de si son descu%iertos o reconocidos por una organización. 'n este ste conte onte&t &to o es import portan ante te ident denti! i!c car y gesti estion onar ar potenc potencial ialmen mente te los asunto asuntos s importa importante ntes s de riesgo riesgo de TI, a di"erencia di"erencia del resto de riesgos, ya que #ste puede no ser renta%le
ro!"si#o de$ Mar%o de Tra&a'o de Riesgos de TI . El marco marco de Riesgo Riesgos s de TI explic explica a los riesgos riesgos y permit permite e a los usuarios: Integrar la gestión de los riesgos en el ERM de la organización, esto permitirá permitirá que se tomen tomen decisiones decisiones conscientes conscientes sobre el retorno de los riesgos. Tomar Tomar decisiones decisiones con conocimiento conocimiento acerca de la magnitud magnitud del ries riesgo go,, el apet apetit ito o de ries riesgo go y la tole tolera ranc ncia ia al ries riesgo go de la organización. Entender cómo responder a los riesgos. En resum resumen, en, este este marco marco permit permite e a la organi organizac zación ión adopta adoptarr las decisiones de riesgo apropiadas. •
•
Alinea con los o!etivos de la organi"aci#n: •
•
•
E$ !(&$i%o ) $as !ar#es i*#eresadas. El pblico al que está dirigido el marco de RI!" IT es muy amplio.
•
•
El ries riesgo go de TI es trat tratad ado o como como un ries riesgo go de nego negoci cio, o, en contra contrapos posici ición ón a un tipo tipo de riesg riesgo, o, y el en$oqu en$oque e es integr integral al y trans'ersal1 0a atenci atención ón se centr centra a en los result resultado ados s del negoci negocio. o. 2poya poya la consec consecuci ución ón de los obeti'o obeti'os s del negocio negocio y los riesgos riesgos de TI se expresan en el impacto que pueden tener en el logro de los obeti'os de la organización o la estrategia. Todo análisis de los riesgos de TI contiene una dependencia del análisis de cómo el negocio depende de la $unción de todas las capas subyacentes de la in$raestructura de TI. 0a gestión de riesgos de TI es un instrumento de negocio, no un in#ibidor in#ibidor.. El riesgo riesgo de negocio negocio relaciona relacionado do con TI es 'isto desde ambos ángulos: protección contra destrucción de 'alor y generación de 'alor.
Alinea la gesti#n de riesgos relacionados con TI con el ER$:
+e*e,i%ios ) resu$#ados.
•
0os obeti'os de negocio y la cantidad de riesgo que la organización está dispuesta a asumir están claramente de$inidos.
•
El proceso de toma de decisiones de la organización examina toda la gama de posibles consecuencias potenciales y oportunidades de los riesgos de TI.
•
El apetito de riesgo de la entidad re$lea su $iloso$%a de gestión del riesgo e in$luencia en la cultura y en el tipo de $uncionamiento -como se indica indica en el *)!) *)!) Enterp Enterpris rise e Ris3 Ris3 Manage Manageme ment4 nt4Int Integr egrate ated d 5rame6or3.
•
•
0os temas relati'os a los riesgos están integrados en cada departamento de la organización, es decir, la 'isión del riesgo se comunica y expande a tra'(s de toda la estructura de la organización. *erti$icado de los controles suministrados.
E%uilira los costos y enefcios de la gesti#n del riesgo: •
El riesgo es priorizado y dirigido en consonancia con el apetito del riesgo y la tolerancia.
•
0os controles se lle'arán a cabo con respecto a un determinado riesgos y en base a un análisis sobre el coste4bene$icio del mismo. En pocas palabras, los controles no se implementan por el #ec#o de tener controles. 0os controles existentes son apro'ec#ados para #acer $rente a mltiples riesgos o para #acer $rente a los riesgos de manera más e$iciente.
•
Promueve la comunicaci#n aierta y !usta de los riesgos de TI: •
•
•
0a in$ormación abierta, exacta, oportuna y transparente sobre riesgos de TI sir'e como la base para todas las decisiones relacionadas con el riesgo. 0as tareas, principios y m(todos de la gestión de riesgos se #an integrado en toda la organización. 0as conclusiones t(cnicas son traducidas en t(rminos de negocio rele'ante y comprensible.
Estaleciendo las responsailidades personales: •
/ersonas cla'e, p. e. personas in$luyentes, los due7os de negocios y el conseo de administración, se dedican a la gestión de riesgos de TI.
•
8ay una asignación clara aceptación de la propiedad del riesgo, incluyendo la rendición de cuentas, #aciendo la medición del rendimiento e integrando la gestión del riesgo en el sistema de recompensas. 0as acciones a seguir son di'ulgadas desde el principio por medio de pol%ticas, procedimientos y el correcto ni'el de eecución. 0a cultura del riesgo se promue'e de manera acti'a, comenzando por las capas más altas. Esto ayuda a asegurar que aquellos implicados en la gestión de riesgos operacional $uncionan sobre suposiciones de riesgo constantes.
•
Promueve la me!ora continua y es una parte de las actividades diarias: •
9ebido a la naturaleza dinámica del riesgo, gestión de riesgos es un iterati'o y perpetuo proceso en curso. *ada cambio conlle'a riesgos y+o oportunidades, y la organización se prepara para ello, dando cuenta pre'iamente a los cambios en la propia organización -$usiones y adquisiciones, en la regulación, en tecnolog%as de in$ormación, en el negocio, etc.
•
!e presta atención a la e'aluación del riesgo mediante m(todos, $unciones y responsabilidades, #erramientas, t(cnicas y criterios en toda la organización. 0as prácticas de gestión de riesgos están adecuadamente integradas en orden de prioridad y los procesos de toma de decisiones organizacionales.
•
FUNDAMENTOS DE GO+IERNO DEL RIESGOS A!e#i#o de$ riesgo. Es
la cantidad de riesgo que una entidad está dispuesta a aceptar cuando se trata de alcanzar sus obeti'os. !urgen dos grandes $actores i mportantes: 0a *apacidad )beti'a de la organización para absorber p(rdida, p.e., p(rdida $inanciera, da7o de reputación. 0a cultura o la predisposición a asumir riesgos4prudentes o agresi'os. *uál es la cantidad de p(rdida que la organización quiere aceptar lle'ar a cabo; El apetito de riesgo se puede de$inir en la práctica en t(rminos de combinaciones de la $recuencia y la magnitud de un riesgo. El apetito de riesgo puede y 'a a ser di$erente entre las organizaciones ya que no existe una norma absoluta o una norma de lo que constituye un riesgo aceptable e inaceptable. El apetito por el riesgo se puede de$inir mediante los mapas de riesgo. 9i$erentes grupos de riesgo importancia se puede de$inir, indicado por las bandas de colores. •
•
MARCO DE LOS RIESGOS DE TI &mitos del marco de RISK IT: To$era*%ia de$ riesgo. 0a
'ariación aceptable en relación a la consecución de un obeti'o -y con $recuencia se mide meor en las mismas unidades que las que se utiliza para medir los obeti'os relacionados. Es la des'iación tolerable desde el ni'el establecido por la de$inición del apetito de riesgo, por eemplo, las normas o proyectos que deben realizarse dentro de los presupuestos y el tiempo, pero sobre costes del <= por ciento del presupuesto o el >= por ciento del tiempo son tolerados.
Co!o*e*#es de $a %ou*i%a%i"* de riesgo
controladores de 'alor real de la organización, los escenarios de riesgo rele'antes se desarrollarán.
U* e*,oque de a&a'o arri&a, en el que se utiliza una lista de escenarios gen(rico para de$inir un conunto de escenarios más concretos y personalizados, aplicados a la situación de la organización indi'idual.
Desarro$$o de Es%e*arios de riesgo de TI.
E$ee*#os o Co!o*e*#es de $a Cu$#ura de Riesgos
Co!o*e*#es de Es%e*arios de Riesgos de TI.
FUNDAMENTOS DE LA E/ALUACION DE RIESGOS Des%ri!%i"* de$ i!a%#o de $a orga*i0a%i"* 0a gestión e$ecti'a del riesgo requiere de la comprensión mutua entre TI y el negocio sobre el que el riesgo debe ser gestionado y por qu(. Todas las partes interesadas deben tener la capacidad de comprender y expresar cómo los e'entos ad'ersos pueden a$ectar a los obeti'os de negocio. Esto signi$ica que •
U*a !erso*a de TI de&e %o!re*der %oo ? 0os $allos relacionados o acontecimientos relacionados con TI pueden a$ectar a los obeti'os de la organización y causar p(rdida directa o indirecta a la organización.
•
U*a !erso*a de *ego%ios de&e* e*#e*der %"o ? 0os 5allos o e'entos relacionados con TI pueden a$ectar a los ser'icios y procesos cla'e.
Es%e*arios de riesgos de TI
&no de los desa$%os para la gestión de riesgos de TI debe identi$icar los riesgos importantes y rele'antes entre todo lo que posiblemente puede relacionarse con TI, considerando la presencia y dependencia de TI en el negocio. &na de las t(cnicas para 'encer este desa$%o es el desarrollo y el empleo de argumentos de riesgo, Es un en$oque básico para lograr el realismo, 'isión, compromiso organizacional, meorar el análisis y la estructura de la complea cuestión de los riesgos de TI. &na 'ez que se desarrollan estos escenarios, que se utilizan durante el análisis de riesgo, donde la $recuencia de la situación realmente está sucediendo y los impactos comerciales son estimaciones. 0os escenarios de riesgo se pueden deri'ar a tra'(s de dos mecanismos di$erentes
U* e*,oque de arri&a a&a'o, en el que se parte de los obeti'os generales y se realiza un análisis de los escenarios de riesgos de TI más rele'antes y probables que impacten len os obeti'os de negocio. !i los criterios de impacto están bien alineados con los
FUNDAMENTOS DE LA RESUESTA DE RIESGO ri*%i!a$es i*di%adores de riesgo 0os indicadores de riesgos m(tricos son capaces de demostrar que la empresa está sueta a, o tiene una alta probabilidad de, estar sometida a un riesgo que excede del apetito de riesgo de$inido.
Los Cri#erios !ara Se$e%%io*ar RIS1 i*%$u)e*
I!a%#o los
indicadores de riesgo con alto impacto comercial son más propensos a ser RI!". Es,uer0o para aplicar, medir y reportar: 0os indicadores di$erentes que son equi'alentes en la sensibilidad, el criterio debe ser la $acilidad. Fia&i$idad el indicador debe poseer una alta correlación con el riesgo y ser un buen 'aticinador o medida de resultado. Se*si&i$idad el indicador debe ser representati'o para el riesgo y capaz de indicar con precisión las di$erencias en el riesgo. /ara ilustrar la di$erencia entre la $iabilidad y la sensibilidad en la lista anterior, si tomamos como eemplo un detector de #umo, $iabilidad signi$ica que el detector de #umo #ará sonar una alarma cada 'ez que #aya #umo. !ensibilidad signi$ica que el detector de #umo suena cuando se alcanza un determinado umbral de densidad de #umo.
La se$e%%i"* de u* %o*'u*#o ade%uado de RIS1 !ro!or%io*ar2 $os siguie*#es &e*e,i%ios a $a e!resa /roporcionar
una alerta temprana -con mira al $uturo: !e7al de que un alto riesgo está surgiendo para permitir a la administración adoptar medidas proacti'as -antes de que el riesgo se con'ierte en una p(rdida.
/roporcionar
una opinión retrospecti'a sobre los acontecimientos de riesgo que #an ocurrido, permitiendo respuestas de riesgo y la gestión de su meora. 5acilitar la documentación y el análisis de las tendencias. /roporcionar indicadores a la empresa del apetito de riesgo y la tolerancia a tra'(s de la con$iguración m(trica -es decir, los umbrales de "RI. 2umentar la probabilidad de lograr los obeti'os estrat(gicos de la empresa. 2yudar continuamente a la optimización de la gestión del riesgo y del entorno.
A$gu*os desa,íos %ou*es que surge* e* $a de,i*i%i"* de RIS1 so* RI!". 0os riesgos espec%$icos no
están 'inculados. RI!" son a menudo incompletos o inexactos en la especi$icación, es decir, demasiados gen(ricos. Existe una $alta de alineación entre el riesgo, la descripción "RI y la m(trica "RI. 8ay demasiados RI!" y son di$%ciles de medir. Es di$%cil agregar, comparar e interpretar RI!" de manera sistemática a ni'el empresarial.
en 'arias áreas: las opciones tecnológicas deben ser e'aluadas, las reparaciones en caso de incidentes operacionales deben ser aplicadas, los problemas de so$t6are deben ser abordados y las solicitudes deben ser respondidas. *ada uno de estos e'entos lle'a apareado riesgo y oportunidad.
Ro$es e* re$a%i"* riesgo-o!or#u*idad /a$or
eri#ido.- 0as nue'as iniciati'as empresariales casi siempre dependen de alguna participación de TI 8abilitando proyectos de TI de (xito que apoyan las nue'as iniciati'as y, as%, la creación de 'alor. 0a aplicación de nue'as tecnolog%as o el uso de nue'a tecnolog%a de $orma inno'adora que permitan nue'as iniciati'as empresariales y la creación de 'alor.
•
•
/a$or i*6i&idor.•
•
El re'erso de lo anterior aplica cómo TI4 permitió que los proyectos de negocios o in'ersiones, a menudo, no produzcan los resultados esperados, por lo que el 'alor no se entrega. 0a organización puede $allar para identi$icar o capturar oportunidades de nue'as iniciati'as empresariales deri'adas de la nue'a tecnolog%a.
De,i*i%i"* ) riori0a%i"* de $a Res!ues#a de$ Riesgo El obeti'o de de$inir una respuesta al riesgo es lle'ar el riesgo al mismo ni'el que el apetito de riesgo de$inido para la empresa despu(s del análisis de riesgo. En otras palabras, una respuesta tiene que ser de$inida tal que el $uturo riesgo residual -respuesta de riesgo de$inida y puesta en práctica es, tanto como sea posible -por lo general dependerá de los recursos económicos disponible, dentro de los l%mites de tolerancia de riesgo.
Riesgo ) O!or#u*idad
E3i#ar riesgos @o
#ay ninguna otra respuesta rentable que puede tener (xito en la reducción de la $recuencia y de la magnitud por debao de los umbrales de$inidos para el apetito del riesgo. El riesgo no puede ser compartido o trans$erido. El riesgo se uzga i naceptable por la administración.
Redu%%i"* de Riesgos 4 Mi#iga%i"*
USANDO CO+IT5 /AL IT Y RIESGOS DE TI osi%io*aie*#o de Co&i#5 /a$ IT ) Ris7 IT
5ortalecimiento
global de la gestión de las prácticas de riesgos de TI, es decir, aplicación de la su$iciente madurez de la gestión de riesgos y los /rocesos que deben de$inirse como el riesgo marco de TI. Introducción de una serie de medidas de control intentando reducir las $recuencias de un suceso de consecuencias ad'ersas y + o el impacto empresarial de un e'ento, en caso de que suceda. Esto se discute en el resto de esta sección.
Riesgo Co!ar#ido 4 Tra*s,ere*%ia *ompartir signi$ica reducir la $recuencia de riesgo o impacto mediante la trans$erencia o distribución de una parte del riesgo. 0as t(cnicas más comunes son los seguros y la subcontratación.
A%e!#a%i"* de$ riesgo 2ceptación signi$ica que no se tomen medidas relati'as con un riesgo particular, y la p(rdida es aceptada cuando y si se produce. Esto es di$erente de ignorar el riesgo, aceptar el riesgo supone que el riesgo es conocido, es decir, una decisión in$ormada se #a aceptado por la dirección.
RIESGOS Y OORTUNIDADES DE GESTION USANDO CO+IT5 /AL IT Y RIESGOS DE TI En un d%a t%pico en una organización t%pica, las acti'idades de TI, los procesos de TI están organizados y desplegados. !e producen e'entos
GESTION DEL RIESGO EN LA R8CTICA 9 /ISION GENERAL DE LA GUIA ROFESIONAL 0a gu%a pro$esional o$rece eemplos de las t(cnicas posibles y una orientación más detallada sobre cómo abordar, desde una base práctica los conceptos tratados en los cap%tulos anteriores y en el modelo de proceso detallado.
A$gu*os de $os %o*%e!#os ) #:%*i%as #ra#ados e* 2s de#a$$e e* $a guía i*%$u)e*
Escenarios de la construcción de escenarios, basados en un conunto gen(rico de los riesgos de TI. *onstrucción de un mapa de riesgos con las t(cnicas de describir la incidencia y la $recuencia de los escenarios. *onstruyendo criterios de Impacto con importancia en el negocio. 9e$inición de RI!". &tilizando *)AIT y B20 IT para mitigar el riesgo, l a relación entre el riesgo y *)AIT y B20 IT obeti'os de control y prácticas cla'es de gestión.
La Guía ro,esio*a$ ) a!as de $os doi*ios ) $os !ro%esos de$ riesgo ) $os ode$os de !ro%eso a $os que se !uede* a!$i%ar
RC< Establecer y mantener una 'isión comn. RC> integrarse con ERM. RCD 8acer decisiones conscientes de riesgo de negocio. RE< Recopilar datos. RE> 2nálisis de riesgo. RED Mantener el per$il del riesgo. RR< 2rticular riesgo. RR> gestionar el riesgo. RRD Reaccionar a e'entos.
ANORAMA DEL ROCESO DEL MODELO DEL MARCO DE RIESGO DE TI. !e muestra un panorama general del riesgo de TI como proceso modelo. /ara cada uno de l os tres ámbitos, se destacó el obeti'o de dominio y de sus tres procesos. /ara cada uno de los nue'e procesos, $iguran el obeti'o del proceso y las acti'idades principales:
ANORAMA DEL MODELO DE ROCESO DEL MARCO DE RIESGO DE TI
MARCO DE RIESGO DE TI Este cap%tulo presenta el marco en s% y contiene lo siguiente:
Doi*io; *i3e$ de i*,ora%i"*
Bisión general del dominio. &na grá$ica 'isión general del dominio dentro del marco de los re$leos del obeti'o-s y m(trica-s del dominio Modelo de Madurez1 alto ni'el y opiniones detalladas.
ro%eso; *i3e$ de i*,ora%i"*
Bisión general del proceso1 &n grá$ico general del proceso en el marco, destacando el obeti'o del proceso y las principales acti'idades 9etalle del proceso1 las prácticas de gestión de cla'es, con entradas y salidas. 0as directrices de gestión1 los grá$icos R2*I, las metas y los indicadores.
E$ ar%o de riesgos de TI %o*sis#e de Doi*io; Go&ier*o de$ riesgo
Doi*o; E3a$ua%i"* de riesgo
RC< Establecer y mantener una 'isión comn de riesgo. RC> Int(grese con la Cestión de riesgos de la empresa -ERM. RCD 8acer decisiones conscientes del riesgo de negocio. RE< Recoger datos. RE> 2nalizar los riesgos. RED Mantener el /er$il de riesgo.
Doi*io; Res!ues#a de riesgo
RR< 2rticular el riesgo. RR> Cestión de riesgos. RRD Reaccionar a los e'entos.
Doi*io de$ Go&ier*o de$ Riesgo
