Upload
nosfidel
View
1.679
Download
1
Embed Size (px)
DESCRIPTION
Citation preview
Sistemas de información y la gestión de riesgo
Administración Integral de Riesgo Corporativo
Fidel Hernández, CISA
México D.F.
Junio 16, 2009
10/04/2023
Agenda• Administración de riesgos y la tecnología de
información (TI) ¿Qué es diferente?• Proceso de Administración de riesgos de TI
– Relevancia de TI en los procesos de la entidad– Identificación de riesgos de TI– Ciclo de vida de los sistemas (SDLC)– Evaluación de riesgos dos enfoques– Opciones de manejo de riesgos
• La seguridad de información y la gestión de riesgos
Page 2 Administración Integral de Riesgo Corporativo
10/04/2023
Administración de riesgos una definición
“… un proceso ejecutado desde el consejo de administración y la gerencia, hasta el personal operativo; aplicado como una estrategia de la empresa, diseñado para identificar eventos potenciales que pudieran dañar a la entidad; para otorgar aseguramiento razonable del logro de la misión y los objetivos de la entidad.”
Fuente: COSO Enterprise Risk Management – Integrated Framework 2004
Page 3 Administración Integral de Riesgo Corporativo
10/04/2023
¿Qué es diferente con la tecnología de información?
• La tecnología permea efectivamente las operaciones de una organización.
• Habilita los procesos clave que permiten la entrega de sus productos y servicios.
• Soporta las operaciones, procesos de reporte financiero y provee información para la toma de decisiones.
Page 4 Administración Integral de Riesgo Corporativo
!Suena importante!
10/04/2023
¿Qué es diferente con la tecnología de información?...
• El proceso de ERM deberá considerar la importancia de la tecnología en la estrategia total de la organización.
• La identificación de riesgos de TI en el contexto de toda la empresa, cambia la protección de activos de información por el aseguramiento de procesos clave en los que TI es fundamental.
Page 5 Administración Integral de Riesgo Corporativo
No es un asunto exclusivo del área de TI
10/04/2023
Proceso de Administración de riesgos de TI
Page 6
• Los riesgos de TI en los procesos clave• TI en la estrategia de la organización
Definir relevancia de TI en la
organización
• Riesgos de TI estratégicos• Riesgos de TI operativos
Identificar los riesgos
relacionados con TI
• Cualitativamente• CuantitativamenteValorar los riesgos
• Establecer parámetros de riesgo aceptable y no aceptable
• Definir tratamiento de los riesgos
Definir las medidas de mitigación
Administración Integral de Riesgo Corporativo
10/04/2023
Relevancia de TI en los procesos de la organización
Page 7
• Entendiendo el papel de TI como habilitador de procesos clave se podrá entender la relevancia de los riesgos de TI para la organización.
• Los riesgos de TI se encuentran entrelazados a los procesos clave de operación, y deben ser analizados en forma holística.
• Un enfoque holístico en el manejo de los riesgos de IT, resultara en mejores estimaciones de valor e impacto de procesos y no solo de activos de información.
Administración Integral de Riesgo Corporativo
10/04/2023
Identificación de riesgos de TI
Riesgos estratégicos:
•Ausencia de gobierno corporativo de TI•Errores en la estrategia de inversión en IT•Obsolescencia (Hardware y Software)•Falla en implementación de proyectos de IT•Procesos de negocio ineficientes•Leyes y regulaciones•Cambios en prácticas de negocio/mercado
Page 8 Administración Integral de Riesgo Corporativo
10/04/2023
Identificación de riesgos de TI
Riesgos operativo
s
Page 9 Administración Integral de Riesgo Corporativo
10/04/2023
Identificación de riesgos de TI
Riesgos operativo
s
Page 10 Administración Integral de Riesgo Corporativo
10/04/2023Page 11
Como lleno su requerimiento el usuario
Como lo entendió el líder del proyecto
Como lo diseñó el analista de sistemas
Como lo escribió en código el programador
Como se documentó el proyecto
Como fue instalado por el área de operaciones
Como se facturó al cliente
Como se soportó el proyecto
Esto es lo que el proceso necesitaba
Como es descrito por el gerente de la unidad de negocio
Administración Integral de Riesgo Corporativo
Ciclo de desarrollo de sistemas
10/04/2023
Ciclo de desarrollo de sistemas
Requerimiento
•Plasma la necesidad de negocio.•Contiene la información para calcular el esfuerzo. •Comunica el beneficio funcional esperado.
Diseño / Adquisición•Establece una solución.•Incorpora elementos técnicos para cuantificar el esfuerzo.•Considera restricciones técnicas, así como políticas de seguridad.•Contiene los elementos para tomar decisiones.
Desarrollo / Compra
•Construye un programa.•Prueba que la solución funcione.•Incorpora cambios no considerados.
Implementación
•Considera la disposición de recursos para poner en marcha la solución (Proyecto)•Administra los cambios en los procesos y otros sistemas de forma ordenada.•Entrega al usuario final.
Page 12 Administración Integral de Riesgo Corporativo
10/04/2023
Identificando controles existentes
Manuales •Sin importar la naturaleza del control siempre depende del ejercicio consiente de una persona.•Reconciliaciones, autorizaciones, cálculos en excel, conteos, verificaciones visuales.
Automáticos•Se encuentran definidos y programados en la ejecución del Hardware o Software, se ejecutan siempre de la forma que fueron definidos.•Configuración de límites y tolerancias, flujos de autorización automáticos, transacciones basadas en datos fijos.
Page 13 Administración Integral de Riesgo Corporativo
10/04/2023
Identificando controles existentes
Detectivos •Buscan detectar e informar la ocurrencia de un evento previamente definido.•Reconciliaciones, bitácoras, auditoría, alertas, análisis financieros.
Preventivos•Buscan evitar la ocurrencia de un evento determinado.•Credenciales de acceso: Puertas, ID, claves de usuarios, passwords, controles de segregación de funciones, filtros de internet, claves telefónicas.
Page 14 Administración Integral de Riesgo Corporativo
10/04/2023
Evaluación de riesgos dos enfoques… cuantitativo
• Requiere un análisis basado en valores numéricos de la probabilidad de amenaza, vulnerabilidad y valor del impacto.
• A pesar de que se cuentan con herramientas para determinar casi todos los valores depende de información que en ocasiones es difícil de conseguir o calcular.
• Facilita el análisis costo beneficio.
Page 15 Administración Integral de Riesgo Corporativo
10/04/2023
Evaluación de riesgos dos enfoques… cualitativo
• Una definición subjetiva del impacto– Alto, puede resultar en la muy costosa pérdida
de activos estratégicos; puede dañar o impedir la misión de la organización, su reputación o sus intereses; involucrando pérdida de vidas o lesiones serias.
– Medio, puede resultar en la costosa pérdida de activos; puede afectar la misión de la organización, su reputación o sus intereses y poner en riesgo vidas.
– Bajo, puede resultar en la perdida de algunos activos, afectar la misión, reputación o intereses de la organización.Page 16 Administración Integral de Riesgo Corporativo
10/04/2023
Matriz de decisiones de riesgo
Page 17
Alto
ALTA
IMPACTO
PROBABILIDAD
RIESGO ALTO
RIESGO MEDIO
RIESGO MEDIO
RIESGO BAJO
TRANSFERIR
ACEPTAR CONTROLAR
CONTROLAR Y MITIGAR
Administración Integral de Riesgo Corporativo
10/04/2023
Opciones de manejo de riesgos
• Aceptar el riesgo; monitoreando • Evitar el riesgo• Mitigar el riesgo; implementando controles
que disminuyan la probabilidad de ocurrencia o que reduzcan el impacto en la organización
• Transferir el riesgo; mediante decisiones de negocio como:– Ousorcing, joint ventures, diversificación– Seguros
Page 18 Administración Integral de Riesgo Corporativo
10/04/2023
La seguridad de la información y la administración de riesgos
• El proceso de administración de riesgos requiere de datos confiables que soporten el valor de los procesos y ayuden a medir el impacto de las decisiones estratégicas en los objetivos y misión de la entidad.
• Los procedimientos, políticas y controles de seguridad de información buscan evitar:– Pérdida de integridad– Pérdida de disponibilidad– Pérdida de confidencialidad
Page 19 Administración Integral de Riesgo Corporativo
¡GRACIAS!...
¿Preguntas?
Fidel Hernández, CISAIT Audit Manager Latin AmericaCorporate Auditng The 3M CompanyPhone: 52 55 52 70 22 17mailto: [email protected]
Junio 16, 2009
México D.F.
10/04/2023
Bibliografía y referencias
• “Risk Management Guide for Information Technology Systems;” Recomandations on the National Institute of Standards and Technology, U.S. Department of Commerce. Gary Stonenburner, Alice Goguen, Alexis Feringa. Washingtong D.C. NIST Special Publication 800-30
• “COSO Enerprise Risk Management-Integrated Framework;” Committe of Sponsoring Organizations of the Tradeway Commision. Copyright © 2004.
• “IT Risk Management Guide;” Gerard Blokdijk, Claire Engle & Jackie Brewster. Copyright © 2008
Page 21
Sitios Web relacionados
www.coso.orgwww.theiia.orgwww.isaca.org
Administración Integral de Riesgo Corporativo