Integrando los Riesgos de TI a la

Gestin del Riesgo Corporativo

Lic. Franco N. Rigante, CISA,CRISC,PMP
Conferencista Biografa
Franco Nelson Rigante, CISA, CRISC licenciado en Sistemas de la Universidad
de Buenos Aires, certificado como PMP, con estudios de Posgrado en
Administracin y Planeamiento Estratgico.

Trabaj durante 10 aos en el Banco Central de la Repblica Argentina,
auditando sistemas informticos de entidades financieras. Actualmente es
Socio de IT Advisory de Grant Thornton Argentina, liderando proyectos
internacionales sobre aspectos de IT Governance, Risk & Compliance. Posee
experiencia laboral en Alemania, Espaa y Honduras, fue profesor en una
Maestra de Auditora y en carreras universitarias de grado, se ha
desempeado como Consultor para el BID y el Banco Mundial y ha dictado
conferencias para PMI (Argentina), ITSMF (Espaa) e ISACA (Uruguay).

Es autor de artculos sobre IT-GRC para medios grficos especializados y forma
parte del equipo de trabajo de ISACA Madrid para la traduccin oficial al
castellano de COBIT 5.
Introduccin
Consenso
Conceptual
Seleccin
Metodologa
Ejecucin
Proceso de
Anlisis de
Riesgos TI
Integracin
con Riesgo
Operacional
Agenda Road Map
Toda Organizacin tiene Riesgos
Riesgo proviene del italiano risico o rischio que, a su vez,
tiene origen en el rabe clsico rizq (lo que depara la
providencia). El trmino hace referencia a la proximidad
o contingencia de un posible dao.
(Diccionario de la Real Academia Espaola)




Riesgos de TI y el Riesgo Corporativo
Fuente: Risk IT Framework - ISACA (Information System Audit and Control)
Governance, Risk & Compliance
Enfoque holstico para maximizar la creacin de valor desde IT
para los stakeholders, alineando e integrando las actividades que
la organizacin realiza sobre:
Gobierno Corporativo
Gestin Integral del Riesgo Corporativo
Cumplimiento de leyes y regulaciones aplicables.

Empezando por el Final - Resultados
Riesgo por Proceso
Riesgo por Soluc. Inf.
Riesgo por Tipo Activo
Riesgo por Activo
Riesgo por Amenaza
Ej. Riesgos de TI de Plazo Fijo
Ej. Riesgos del Core Bancario (Solucin)
Ej. Riesgos del Hardware
Ej. Riesgos del AS/400
Ej. Riesgos de Acceso No Autorizado
Introduccin
Consenso
Conceptual
Seleccin
Metodologa
Ejecucin
Proceso de
Anlisis de
Riesgos TI
Integracin
con Riesgo
Operacional
Agenda Road Map
El activo por excelencia, que interesa tanto a clientes
externos, internos, terceros y entes de supervisin y
control es la Informacin.
Activo + Valioso
Soportado por
Activos de TI/SI
Proceso de Negocio = Informacin + TI/SI
Ejemplos de Procesos de una Entidad
Productos/Servicios de la Entidad
Caja de
Ahorro
Proceso 1
(Ej. Alta)
Proceso 2
(Ej.
Operacin)
Proceso 3
(Ej. Baja)
Contabilidad
Ejemplo de un proceso
Ejemplo de un proceso
Incidencia de TI para un Proceso
%
variable
Riesgo residual TI/SI a gestionar
Impacto
TI/SI
Criticidad
para el
Negocio
Probabilidad
de
Ocurrencia
(Mitigantes
del Impacto
y de la
Probabilidad)
Amenaza
Lo determina
el Propietario
del Negocio
Lo determina el Dueo
del Riesgo de TI
(experto TI/SI)
Historia +
Expectativa
Riesgo Residual: Componentes
Impacto tecnolgico vs criticidad
Determinacin del componente tecnolgico

Lo determina el
Propietario del
Negocio
Lo determina el
Dueo del
Riesgo de TI
(experto TI/SI)
Concepto de Criticidad para el Negocio
Introduccin
Consenso
Conceptual
Seleccin
Metodologa
Ejecucin
Proceso de
Anlisis de
Riesgos TI
Integracin
con Riesgo
Operacional
Agenda Road Map
mayor objetividad (mtricas, clculos, variables)
documentacin / trazabilidad
lenguaje comn = mejor comunicacin
respaldo en estndares internacionales
mtodo sistemtico para posteriores evaluaciones
enfoque consistente, eficiente e integrado
transparencia de riesgos de TI para la Direccin
independencia de criterios personalizados
alineamiento con regulaciones futuras

Ventajas de utilizar una Metodologa
Contexto normativo local - Riesgos
A 5203
A 4793
A 4609
Lineamientos
Gestin Riesgo
Corporativo
Riesgo
Operacional
Riesgos de TI
Evaluar Marco Regulatorio - Ejemplo
Entonces Qu Metodologa elegir?
Mapa de procesos de COBIT 5
Garantizar que el apetito y la tolerancia respectos a
los riesgos para el valor de la organizacin son
entendidos, articulados, comunicados, gestionados,
optimizados, minimizando el riesgo de falta de
Compliance
Continuamente identificar, evaluar, y reducir los
riesgos de dentro de los niveles fijados por la
Direccin, en forma integrado al ERM, balanceando
costos y beneficios para la organizacin.
Incluyen prcticas y actividades para tratar riesgos, y
los roles en las matrices RACI.
Todos los Procesos
Gestionar
Riesgos
Garantizar
Optimizacin de
los Riesgos
Riesgos de TI en COBIT 5
Riesgos de TI en COBIT 5 - Roles
MAGERIT Caractersticas principales
- Creado por Gobierno Espaa
- Establece Tipos de Activos
- Trae un catlogo de amenazas
- Incluye gua de salvaguardas
- Mtodo cualitativo/cuantitativo
- Dependencia: herencia de valor
- Informacin: Activo + valioso
- Dimensiones adicionales (+2)
MAGERIT Caractersticas principales
Riesgos de TI y el Riesgo Corporativo
Fuente: Risk IT Framework - ISACA (Information System Audit and Control)
Escenarios de Riesgos segn Risk IT
Entonces Qu Metodologa elegir?
Las mejores prcticas combinadas!
COBIT
RISK IT
MAGERIT
Regulaciones
Metodologa Anlisis de Riesgos de TI/SI
30
COBIT, para:
Comunicacin con Alta Gerencia y Alineamiento con Negocio
Gestin del Proceso de Anlisis de Riesgos de TI/SI
Considerar amenazas de un inadecuado Gobierno de TI/SI
RISK IT, para:
Escenarios de riesgo, por actor, accin, tiempo, etc.
MAGERIT, para:
Conceptos de Tipos de Activos, Informacin y Dependencias
Considerar catlogo de amenazas para cada tipo de activo.
Regulaciones aplicables, para Compliance
Introduccin
Consenso
Conceptual
Seleccin
Metodologa
Ejecucin
Proceso de
Anlisis de
Riesgos TI
Integracin
con Riesgo
Operacional
Agenda Road Map
Proceso de Anlisis Riesgos de TI/SI
Ejecutar
Proceso de
Anlisis
Clasificar
Activos de
Informacin
Analizar
Riesgos de TI
Integrar con
Riesgo
Operacional
Gestionar
Riesgos de TI
Ejecutar
Planes de
Accin
Seguimiento y
Mejora
Contnua
Clasificacin de Activos de Informacin
Qu
clasificar?
Metodologa
Aplicaciones
(y propagar)
Todos los
Activos
(ej. Router)
Informacin
(y propagar)
Ejemplo de un proceso
Clasificacin de Activos de Informacin
Optimizar cuestionario clasificacin
Incorporar atributos adicionales para mayor precisin:
confidencialidad:
identificar combinacin de campos
confidenciales
hbeas data (datos personales)
integridad: sanciones por fallas, frecuencia de uso,
montos promedios, plazo de exposicin
disponibilidad: tiles para el armado del BIA.
Identificar los Activos No Informticos crticos
Resultados de la clasificacin
Determinacin de Criticidad para el Negocio (1 a 5)
Opcional: definir punto de corte y corregir ajustes
Preparacin para realizar el Anlisis
de Riesgos de los Activos de TI/SI
Propagar resultado
de clasificacin a
activos inferiores
Agrupar activos
Agrupar Activos como Soluciones Inf.
Relacionar y Propagar Clasificacin
Propagar Criticidad a Activos inferiores
Catlogo de amenazas, por tipo de activo
Incorporar know-how de los expertos de TI/SI/Seg.Inf.
Catlogo de amenazas, por tipo de activo
Incorporar know-how de los expertos de TI/SI/Seg.Inf.
Catlogo de amenazas, por tipo de activo
Incorporar know-how de los expertos de TI/SI/Seg.Inf.
Catlogo de amenazas, por tipo de activo
Incorporar know-how de los expertos de TI/SI/Seg.Inf.
Catlogo de amenazas, por tipo de activo
Incorporar know-how de los expertos de TI/SI/Seg.Inf.
Impacto tecnolgico inherente y
mitigantes para cada amenaza

Anlisis de Riesgos de Activos de TI/SI
Determinar fortaleza mitigantes
para calcular riesgo residual

Mapa de Riesgos Residuales
Elaborar Informe Final

Descripcin entorno entidad (negocio y TI/SI)
Resumen ejecutivo
Etapas del proyecto participantes - alcance
Clasificacin de los activos de informacin
Catlogo de riesgos analizados
Comparativo con el ltimo anlisis de riesgos
Mapas y Grficos para mayor comprensin
Conclusiones generales del anlisis
Tratamiento de los riesgos inaceptables.

Exposicin Resultados: Consolidaciones
Riesgo por Proceso
Riesgo por Soluc. Inf.
Riesgo por Tipo Activo
Riesgo por Activo
Riesgo por Amenaza
Por peso solucin informtica
Por peso tipo de activo
Por criticidad del activo del tipo
Por impacto de cada amenaza
Por criticidad del activo
todas las soluciones
informticas son iguales?
es igual de importante un
proveedor al hardware?
es igual de importante
una aplicacin que otra?
es igual de importante
una amenaza que otra?
es igual de importante un
activo que otro?
Consolidacin Por Amenaza:
Consolidacin Por Activo:
Consolidacin Por Solucin Informtica:
Consolidacin Por Solucin Informtica:
Consolidacin Por Proceso:
Gestin de Riesgos de Activos de TI/SI
Sustento objetivo de variables
Foto
Original
Eventos de
Prdida
Foto
Nueva
Qu pas?
Con qu frecuencia?
Cunto impact?
Cmo funcionaron los
controles existentes?
Ajuste de variables
+ Subjetiva
Indicadores
+ Objetiva
Introduccin
Consenso
Conceptual
Seleccin
Metodologa
Ejecucin
Proceso de
Anlisis de
Riesgos TI
Integracin
con Riesgo
Operacional
Agenda Road Map
Proceso Integrando los Riesgos
%
variable
Proceso Integrando los Riesgos
Esquema conceptual basado en GRC
Interacciones recomendadas entre los distintos sectores

Roles claves para la Gestin Integral
de Riesgos
Clasifica el valor de la informacin (C-I-D)
Responsable de declarar los eventos de prdida de su
proceso y de solicitar a TI/PAI las acciones necesarias para
evitar su reiteracin.
No audita la metodologa de Riesgos de TI
No realiza seguimiento de observaciones de auditora.
Contrasta el nivel Riesgo de TI con:
El umbral de tolerancia fijado por la Direccin
Si esta sub-valorado versus los eventos de prdida reales
Roles claves para la Gestin Integral
de Riesgos
Audita la metodologa de Riesgos de TI y todo el proceso de
Clasificacin de Activos de Informacin, Anlisis de Riesgos de
TI, Gestin de Riesgos de TI e Integracin con Riesgos
Operacionales.
Hace seguimientos de observaciones de TI
Interacta con los dueos de los riesgos de TI para
mantener actualizado el catlogo de riesgos a analizar
Ejecuta el Proceso de Anlisis de Riesgos de TI
Interacta con el rea de Riesgo Operacional para integrar
los resultados del Anlisis de Riesgos de TI
Anlisis de Riesgos de TI - Interacciones
Dificultades habituales - Top Ten
integracin inexistente/parcial entre riesgos
inadecuada comprensin de la alta gerencia
solapamiento: duplicacin o falta de cobertura
falta de compromiso de los dueos de riesgos de TI
inconsistencia en mitigantes respecto a auditoras
propietarios de procesos no concientizados en riesgos.
divergencias metodolgicas entre reas
falta de indicadores para sustento de variables claves
rea de Riesgo Operacional toma el rol de Auditora
falta de actualizacin ante eventos claves
Recomendaciones Finales Top Ten
diseo de estructura formal adecuada
integracin metodolgica clara (RO + TI)
procesos y procedimientos acordes con la entidad
respaldo en estndares internacionales reconocidos
mapa de procesos vinculados a activos informticos
consistencia: Riesgos de TI con BIA, DRP y audit.
evitar silos y fomentar visin holstica (GRC)
utilizar el enfoque basado en riesgos a favor
definir indicadores y mtricas claves de Gestin
capacitacin y concientizacin a todos los actores
Preguntas de Cierre
Muchas Gracias!
Lic. Franco N. Rigante, CISA,CRISC,PMP
Franco.Rigante@ar.gt.com
Blog: http://francoitgrc.wordpress.com
@FrancoIT_GRC


Colaborar Contribuir Conectar
El Knowledge Center es una coleccin de
recursos y comunidades en lnea que conecta los
miembros de ISACA globalmente, sobre
industrias y por enfoque profesional todo en
un solo lugar. Usted puede agregar o responder
a una discusin, publicar un documento o link,
conectar con otros miembros de ISACA, o crear
un wiki por participando en una comunidad hoy!
http://www.isaca.org/Knowledge-Center