Taller Gestin de Riesgos de TI usando mejores prcticas

Jos ngel Pea Ibarra, CGEIT, CRISC Salomn Rico Baos, CISA, CISM, CGEIT October 2011

LatinCACS 2011 Taller de Gestin de Riesgos AGENDA: Domingo 2 de Octubre:

09:00 AM: 09:15 AM: 09:45 AM 10:15AM: Bienvenida; presentacin de participantes; Mdulo 1. Conceptos de Gestin de riesgos Mdulo 2. Realidad de las prcticas de gestin de riesgos en Amrica Latina. Mdulo 3. Overview de principales metodologas:
Risk IT de ISACA Octave Magerit Serie ISO

11:00 AM 11:15 AM: 12:30 PM: 01:30 PM: 03:45 PM: 04:00 PM: 05:00 PM:

Receso Mdulo 4. Conceptos y Herramientas del Risk IT de ISACA. COMIDA Mdulo 5. Ejercicio prctico de aplicacin de Risk IT. Parte 1. Receso Mdulo 6. Ejercicio prctico de aplicacin de Risk IT Parte 2 Fin de Taller

Mdulo 1. Conceptos de Gestin de riesgos

Gestin de Riesgos
Los datos y los vnculos de comunicacin se han convertido en el principal activo de muchas empresas. Todos los datos se transmiten electrnicamente. La proteccin de los datos pre-ocupa a la Direccin. La Gerencia dedica ms tiempo a administrar los riesgos de prdida de datos. La Prevencin de Riesgos es una preocupacin central.

Riesgo tecnolgico
La importancia de la tecnologa de informacin y sus aplicaciones es cada da mayor en los diversos sectores productivos y de servicios. En consecuencia, el riesgo tecnolgico debe ser comprendido y debidamente administrado y se deben adoptar marcos de referencia y mejores prcticas para la seguridad de TI

Definicin de riesgo
El riesgo es la posibilidad de que una amenaza aunada a una vulnerabilidad, cause un impacto negativo a un activo u organizacin. El riesgo tecnolgico es entonces, la posibilidad de que una amenaza aunada a una vulnerabilidad tecnolgica u organizacional, cause un impacto en los activos, procesos o servicios relacionados con la tecnologa.
Entre los activos se tienen:

Personal, equipos, redes, software, informacin.

Entre los procesos y servicios:

Crditos, nmina, ventas, almacenes, etc.

Riesgo Tecnolgico
La continuidad de las operaciones y la seguridad de los procesos estn fuertemente relacionadas con el riesgo tecnolgico El riesgo tecnolgico implica la probabilidad de prdidas ante fallas de los sistemas de informacin. Tambin considera la probabilidad de fraudes internos y externos a travs de los sistemas de informacin. Involucra al riesgo legal y al riesgo de prdida de reputacin por fallas en la seguridad y por la no disponibilidad de los sistemas de informacin.

Riesgo de TI es un riesgo de negocios.

Fuente: Risk IT publicado por ISACA / ITGI

Aseguramiento y gestin del riesgo

Gestin del riesgo Hay que gestionar el riesgo tecnolgico, lo debe hacer el CRO, el CIO y los dueos de procesos de negocio. Estarn involucrados los responsables de reas de manejo de riesgos especficos, como el CISO y el responsable de la continuidad. La junta directiva ser responsable de que la gestin del riesgo tecnolgico este alineada con la gestin del riesgo empresarial.

 Elementos del anlisis de riesgos

explota

Amenazas

Vulnerabilidades

protege contra

incrementa

incrementa

afecta

Salvaguardas

Riesgos

Activos

satisfecho por

indica

incrementa

tiene

Requisitos de Seguridad

Valor de activos (impacto potencial)

 Aseguramiento de la gestin del riesgo

Pero tambin, se debe asegurar que se realice una adecuada gestin del riesgo. Auditora ser responsable, pero en todos los casos la alta direccin deber dar cuentas por ello.

Gestin de riesgos El nivel de riesgo al que est sometido una organizacin nunca podr erradicarse totalmente

Identif icar ac tivos, Identificar activos, amenazas yy amenazas vulnerabilidades vulnerabilidades VVolver olver aa EEvaluar valuar yy Auditar los Riesgos Auditar los Riesgos Evaluar los Evaluar los riesgos riesgos

Implementa r Implementar accione s de Ge stin acciones de Gestin de Riesgos de Rie sgos

Comunicar Comunicar los Riesgos Riesgos

SSeleccionar eleccionar SSalvaguardas alvaguardas

12

Desarrollar Desarrollar Poltica de d Poltica deSegurida Seguridad yy Pla n de Seguridad Plan de S egurida d

Aceptar Aceptar riesgos riesgos

Gestin de Riesgos
Las empresas pueden adoptar diversas respuestas para tratar los riesgos:
Aceptarlos Mitigarlos Transferirlos Eliminarlos

La forma de respuesta depender de factores como el apetito al riesgo y la tolerancia al riesgo de la empresa.

13

Gestin de riesgos

En resumen

Los pasos bsicos para desarrollar un programa de gestin de riesgos son:

Establecer el contexto y el propsito. Identificar los activos. Clasificar los activos. Identificar las amenazas y las vulnerabilidades. Determinar los riesgos (Universo de Riesgos). Evaluar los impactos. Priorizar los riesgos Tratar los riesgos. Monitorear y revisar. Comunicar y consultar.

La aplicacin de una metodologa ser necesaria para implementar la Gestin de Riesgos.

14

Mdulo 2. Realidad de las prcticas de gestin de riesgos en Amrica Latina.

Realidad de las prcticas de gestin de riesgos en Amrica Latina

Los riesgos tecnolgicos estn subestimados en los procesos de negocio Rubros tales como riesgos de mercado, operacionales o de crdito son los que estn en la agenda de la alta direccin Los riesgos de TI por lo general son relegados a los especialistas tcnicos Administrar los riesgos tecnolgicos no puede ser un tema exclusivo de la direccin de TI A continuacin, presentamos un panorama general de estudios sobre la realidad en la gestin de riesgos de TI alrededor del mundo

Realidad Global

Fuente: Global Status Report on the Governance of Enterprise IT (GEIT)2011 -IT Governance Institute

Realidad en Latino Amrica

Fuente: ISACA IT Risk/Reward Barometer Latin America Edition 2011

Realidad en Latino Amrica (cont.)

Fuente: ISACA IT Risk/Reward Barometer Latin America Edition 2011

Realidad en Latino Amrica (cont.)

Fuente: ISACA IT Risk/Reward Barometer Latin America Edition 2011

Realidad en Mxico

Fuente: Que la fuerza te acompae: Estudio Nacional de Riesgos de TI en Mxico 2010 , Deloitte.

Realidad en Mxico (continuacin)

Fuente: Que la fuerza te acompae: Estudio Nacional de Riesgos de TI en Mxico 2010 , Deloitte.

Realidad en Mxico (continuacin)

Fuente: Que la fuerza te acompae: Estudio Nacional de Riesgos de TI en Mxico 2010 , Deloitte.

Conclusiones / Interrogantes
En tu organizacin se consideran los riesgos tecnolgicos como un elemento ms de los procesos de negocio? En tu organizacin qu marco de referencia utilizan para la gestin de riesgos? En tu organizacin con qu frecuencia se realiza una evaluacin de riesgos de TI? En tu organizacin los riesgos de TI estn en la agenda de la alta direccin? En tu organizacin quin es el responsable de la gestin de riesgos de TI?

Mdulo 3. Overview de principales metodologas:

Contenido

1. 2. 3. 4.

OCTAVE MAGERIT ISO 27005 Risk IT de ISACA

Los productos aqu mencionados pertenecen a sus respectivos propietarios. La presentacin no tiene fines de lucro, es solo de carcter acadmico, y representa solamente la opinin del expositor

Metodologas, normas, estndares..

OCTAVE
Carnegie Mellon SEI

MAGERIT 2
MINISTERIO DE ADMINISTRACIN PBLICA

ISO 27005
27005

Risk IT de ISACA

OCTAVE OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation)

Metodologa de Anlisis de Riesgos (seguridad de TI) Enfocado a que la organizacin sea capaz de:
Dirigir y gestionar sus evaluaciones de riesgos Tomar decisiones basndose en sus riesgos Proteger los activos claves de informacin Comunicar de forma efectiva la informacin clave de seguridad

Coadyuvante en el Aseguramiento de la continuidad del negocio Definicin del riesgo y amenazas basadas en los activos crticos Estrategias de proteccin y mitigacin de riesgos basada en prcticas Recopilacin de datos en funcin de los objetivos Base para la mejora de la seguridad

OCTAVE
OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation)
Beneficios
Identifica los riesgos de la seguridad que pueden impedir la consecucin del objetivo de la organizacin Ensea a evaluar los riegos de la seguridad de la informacin Crea una estrategia de proteccin con el objetivo de reducir los riesgos de seguridad de la informacin prioritaria Ayuda a la organizacin cumplir regulaciones de la seguridad de la informacin.

OCTAVE
OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation)
Fase 1
Activos Vista de la Organizacin Amenazas

Fase 3
Prcticas actuales Vulnerabilidades de la organizacin Cumplimiento

Desarrollo del Plan y de la Estrategia

Planificacin

Riesgos Estrategia de proteccin Planes de atenuacin

Fase 2 Vista Tecnolgica

Vulnerabilidades Tecnolgicas

MAGERIT: Metodologa de anlisis y gestin de riesgos de TI

MAGERIT 2
MINISTERIO DE ADMINISTRACIN PBLICA

MAGERIT

MAGERIT inici con enfoque a las entidades pblicas en Espaa, pero se recomienda para todo tipo de organizaciones Tiene varios documentos:
Mtodo Ctalogo Tcnicas

Se cuenta con una herramienta computarizada:

PILAR

Publicado por ISACA

Risk IT Incluye: The Risk IT Framework

Summary + Core Framework Helps convey the risk landscape and processes and prioritise activities Available as a free download Provides practical guidance on improving risk management activities Available as a free download

The Risk IT Practitioner Guide

Both publications are available for purchase in print version

2009 ISACA/ITGI. All rights reserved.

Extiende COBIT y Val IT

Risk IT complementa y extiende COBIT y Val IT Obteniendo una ms completa gua de Gobierno de TI.

2009 ISACA/ITGI. All rights reserved.

Risk IT de ISACA
En el siguiente captulo se describirn los conceptos principales del Risk IT de ISACA

38

Mdulo 4. Conceptos y Herramientas del Risk IT de ISACA.

El Framework de Risk IT Tiene 3 dominios:

Fuente: Risk IT publicado por ISACA / ITGI

Fuente: Risk IT publicado por ISACA / ITGI

Fuente: Risk IT publicado por ISACA / ITGI

Example Risk Map With Risk Appetite

Magnitude

Opportunity

Acceptable

Unacceptable

Frequency

Fuente: Risk IT publicado por ISACA / ITGI

Aggregation of Risk Maps: Disjointed Risks

Magnitude

Frequency

Magnitude

Frequency

Entity 1
Aggregated

Entity 2

Magnitude Frequency

Entity 3

Fuente: Risk IT publicado por ISACA / ITGI

Aggregation of Risk Maps: Shared Risks

Magnitude Magnitude Frequency Frequency Aggregated Magnitude Frequency

Fuente: Risk IT publicado por ISACA / ITGI

Fuente: Risk IT publicado por ISACA / ITGI

Anlisis de Riesgo

Fuente: Risk IT publicado por ISACA / ITGI

Respuesta al Riesgo

El proceso de transformacin del riesgo

Fuente: Risk IT publicado por ISACA / ITGI

Expresin del riesgo en trminos de negocio

Fuente: Risk IT publicado por ISACA / ITGI

Desarrollo de escenarios de riesgo

Fuente: Risk IT publicado por ISACA / ITGI

Factores de Riesgo

Fuente: Risk IT publicado por ISACA / ITGI

Opciones de respuesta al riesgo

Fuente: Risk IT publicado por ISACA / ITGI

Opciones de priorizacin en respuesta al riesgo

Fuente: Risk IT publicado por ISACA / ITGI

Flujo del anlisis de riesgos de TI

Fuente: Risk IT publicado por ISACA / ITGI

Mdulo 5. Ejercicio prctico de aplicacin de Risk IT parte 1

Ejercicio de aplicacin
Se realizar un ejercicio prctico de aplicacin del Risk IT, utilizando los conceptos del Risk IT Practioner Guide y algunas herramientas del Risk IT Practioner Guide Tool KIT Se harn grupos de trabajo y se trabajar haciendo enfsis en el dominio de evaluacin de riesgos. Los facilitadores del taller guiarn a los participantes durante todo el ejercicio.

Mdulo 6. Ejercicio prctico de aplicacin de Risk IT parte 2

Presentacin del Ejercicio de aplicacin

Los participantes presentarn los resultados del ejercicio, obteniendo la retroalimentacin de los facilitadores y del resto del grupo. Se concluir en definir cuales seran los pasos para la hoja de ruta de implementacin del Risk IT. El ejercicio servir para aplicar los conceptos de Risk IT de una manera activa por parte de los participantes y ayudar a resolver dudas sobre la aplicacin de Risk IT y el uso de las guas asociadas.