Lic. Franco N. Rigante, CISA,CRISC,PMP Conferencista Biografa Franco Nelson Rigante, CISA, CRISC licenciado en Sistemas de la Universidad de Buenos Aires, certificado como PMP, con estudios de Posgrado en Administracin y Planeamiento Estratgico.
Trabaj durante 10 aos en el Banco Central de la Repblica Argentina, auditando sistemas informticos de entidades financieras. Actualmente es Socio de IT Advisory de Grant Thornton Argentina, liderando proyectos internacionales sobre aspectos de IT Governance, Risk & Compliance. Posee experiencia laboral en Alemania, Espaa y Honduras, fue profesor en una Maestra de Auditora y en carreras universitarias de grado, se ha desempeado como Consultor para el BID y el Banco Mundial y ha dictado conferencias para PMI (Argentina), ITSMF (Espaa) e ISACA (Uruguay).
Es autor de artculos sobre IT-GRC para medios grficos especializados y forma parte del equipo de trabajo de ISACA Madrid para la traduccin oficial al castellano de COBIT 5. Introduccin Consenso Conceptual Seleccin Metodologa Ejecucin Proceso de Anlisis de Riesgos TI Integracin con Riesgo Operacional Agenda Road Map Toda Organizacin tiene Riesgos Riesgo proviene del italiano risico o rischio que, a su vez, tiene origen en el rabe clsico rizq (lo que depara la providencia). El trmino hace referencia a la proximidad o contingencia de un posible dao. (Diccionario de la Real Academia Espaola)
Riesgos de TI y el Riesgo Corporativo Fuente: Risk IT Framework - ISACA (Information System Audit and Control) Governance, Risk & Compliance Enfoque holstico para maximizar la creacin de valor desde IT para los stakeholders, alineando e integrando las actividades que la organizacin realiza sobre: Gobierno Corporativo Gestin Integral del Riesgo Corporativo Cumplimiento de leyes y regulaciones aplicables.
Empezando por el Final - Resultados Riesgo por Proceso Riesgo por Soluc. Inf. Riesgo por Tipo Activo Riesgo por Activo Riesgo por Amenaza Ej. Riesgos de TI de Plazo Fijo Ej. Riesgos del Core Bancario (Solucin) Ej. Riesgos del Hardware Ej. Riesgos del AS/400 Ej. Riesgos de Acceso No Autorizado Introduccin Consenso Conceptual Seleccin Metodologa Ejecucin Proceso de Anlisis de Riesgos TI Integracin con Riesgo Operacional Agenda Road Map El activo por excelencia, que interesa tanto a clientes externos, internos, terceros y entes de supervisin y control es la Informacin. Activo + Valioso Soportado por Activos de TI/SI Proceso de Negocio = Informacin + TI/SI Ejemplos de Procesos de una Entidad Productos/Servicios de la Entidad Caja de Ahorro Proceso 1 (Ej. Alta) Proceso 2 (Ej. Operacin) Proceso 3 (Ej. Baja) Contabilidad Ejemplo de un proceso Ejemplo de un proceso Incidencia de TI para un Proceso % variable Riesgo residual TI/SI a gestionar Impacto TI/SI Criticidad para el Negocio Probabilidad de Ocurrencia (Mitigantes del Impacto y de la Probabilidad) Amenaza Lo determina el Propietario del Negocio Lo determina el Dueo del Riesgo de TI (experto TI/SI) Historia + Expectativa Riesgo Residual: Componentes Impacto tecnolgico vs criticidad Determinacin del componente tecnolgico
Lo determina el Propietario del Negocio Lo determina el Dueo del Riesgo de TI (experto TI/SI) Concepto de Criticidad para el Negocio Introduccin Consenso Conceptual Seleccin Metodologa Ejecucin Proceso de Anlisis de Riesgos TI Integracin con Riesgo Operacional Agenda Road Map mayor objetividad (mtricas, clculos, variables) documentacin / trazabilidad lenguaje comn = mejor comunicacin respaldo en estndares internacionales mtodo sistemtico para posteriores evaluaciones enfoque consistente, eficiente e integrado transparencia de riesgos de TI para la Direccin independencia de criterios personalizados alineamiento con regulaciones futuras
Ventajas de utilizar una Metodologa Contexto normativo local - Riesgos A 5203 A 4793 A 4609 Lineamientos Gestin Riesgo Corporativo Riesgo Operacional Riesgos de TI Evaluar Marco Regulatorio - Ejemplo Entonces Qu Metodologa elegir? Mapa de procesos de COBIT 5 Garantizar que el apetito y la tolerancia respectos a los riesgos para el valor de la organizacin son entendidos, articulados, comunicados, gestionados, optimizados, minimizando el riesgo de falta de Compliance Continuamente identificar, evaluar, y reducir los riesgos de dentro de los niveles fijados por la Direccin, en forma integrado al ERM, balanceando costos y beneficios para la organizacin. Incluyen prcticas y actividades para tratar riesgos, y los roles en las matrices RACI. Todos los Procesos Gestionar Riesgos Garantizar Optimizacin de los Riesgos Riesgos de TI en COBIT 5 Riesgos de TI en COBIT 5 - Roles MAGERIT Caractersticas principales - Creado por Gobierno Espaa - Establece Tipos de Activos - Trae un catlogo de amenazas - Incluye gua de salvaguardas - Mtodo cualitativo/cuantitativo - Dependencia: herencia de valor - Informacin: Activo + valioso - Dimensiones adicionales (+2) MAGERIT Caractersticas principales Riesgos de TI y el Riesgo Corporativo Fuente: Risk IT Framework - ISACA (Information System Audit and Control) Escenarios de Riesgos segn Risk IT Entonces Qu Metodologa elegir? Las mejores prcticas combinadas! COBIT RISK IT MAGERIT Regulaciones Metodologa Anlisis de Riesgos de TI/SI 30 COBIT, para: Comunicacin con Alta Gerencia y Alineamiento con Negocio Gestin del Proceso de Anlisis de Riesgos de TI/SI Considerar amenazas de un inadecuado Gobierno de TI/SI RISK IT, para: Escenarios de riesgo, por actor, accin, tiempo, etc. MAGERIT, para: Conceptos de Tipos de Activos, Informacin y Dependencias Considerar catlogo de amenazas para cada tipo de activo. Regulaciones aplicables, para Compliance Introduccin Consenso Conceptual Seleccin Metodologa Ejecucin Proceso de Anlisis de Riesgos TI Integracin con Riesgo Operacional Agenda Road Map Proceso de Anlisis Riesgos de TI/SI Ejecutar Proceso de Anlisis Clasificar Activos de Informacin Analizar Riesgos de TI Integrar con Riesgo Operacional Gestionar Riesgos de TI Ejecutar Planes de Accin Seguimiento y Mejora Contnua Clasificacin de Activos de Informacin Qu clasificar? Metodologa Aplicaciones (y propagar) Todos los Activos (ej. Router) Informacin (y propagar) Ejemplo de un proceso Clasificacin de Activos de Informacin Optimizar cuestionario clasificacin Incorporar atributos adicionales para mayor precisin: confidencialidad: identificar combinacin de campos confidenciales hbeas data (datos personales) integridad: sanciones por fallas, frecuencia de uso, montos promedios, plazo de exposicin disponibilidad: tiles para el armado del BIA. Identificar los Activos No Informticos crticos Resultados de la clasificacin Determinacin de Criticidad para el Negocio (1 a 5) Opcional: definir punto de corte y corregir ajustes Preparacin para realizar el Anlisis de Riesgos de los Activos de TI/SI Propagar resultado de clasificacin a activos inferiores Agrupar activos Agrupar Activos como Soluciones Inf. Relacionar y Propagar Clasificacin Propagar Criticidad a Activos inferiores Catlogo de amenazas, por tipo de activo Incorporar know-how de los expertos de TI/SI/Seg.Inf. Catlogo de amenazas, por tipo de activo Incorporar know-how de los expertos de TI/SI/Seg.Inf. Catlogo de amenazas, por tipo de activo Incorporar know-how de los expertos de TI/SI/Seg.Inf. Catlogo de amenazas, por tipo de activo Incorporar know-how de los expertos de TI/SI/Seg.Inf. Catlogo de amenazas, por tipo de activo Incorporar know-how de los expertos de TI/SI/Seg.Inf. Impacto tecnolgico inherente y mitigantes para cada amenaza
Anlisis de Riesgos de Activos de TI/SI Determinar fortaleza mitigantes para calcular riesgo residual
Mapa de Riesgos Residuales Elaborar Informe Final
Descripcin entorno entidad (negocio y TI/SI) Resumen ejecutivo Etapas del proyecto participantes - alcance Clasificacin de los activos de informacin Catlogo de riesgos analizados Comparativo con el ltimo anlisis de riesgos Mapas y Grficos para mayor comprensin Conclusiones generales del anlisis Tratamiento de los riesgos inaceptables.
Exposicin Resultados: Consolidaciones Riesgo por Proceso Riesgo por Soluc. Inf. Riesgo por Tipo Activo Riesgo por Activo Riesgo por Amenaza Por peso solucin informtica Por peso tipo de activo Por criticidad del activo del tipo Por impacto de cada amenaza Por criticidad del activo todas las soluciones informticas son iguales? es igual de importante un proveedor al hardware? es igual de importante una aplicacin que otra? es igual de importante una amenaza que otra? es igual de importante un activo que otro? Consolidacin Por Amenaza: Consolidacin Por Activo: Consolidacin Por Solucin Informtica: Consolidacin Por Solucin Informtica: Consolidacin Por Proceso: Gestin de Riesgos de Activos de TI/SI Sustento objetivo de variables Foto Original Eventos de Prdida Foto Nueva Qu pas? Con qu frecuencia? Cunto impact? Cmo funcionaron los controles existentes? Ajuste de variables + Subjetiva Indicadores + Objetiva Introduccin Consenso Conceptual Seleccin Metodologa Ejecucin Proceso de Anlisis de Riesgos TI Integracin con Riesgo Operacional Agenda Road Map Proceso Integrando los Riesgos % variable Proceso Integrando los Riesgos Esquema conceptual basado en GRC Interacciones recomendadas entre los distintos sectores
Roles claves para la Gestin Integral de Riesgos Clasifica el valor de la informacin (C-I-D) Responsable de declarar los eventos de prdida de su proceso y de solicitar a TI/PAI las acciones necesarias para evitar su reiteracin. No audita la metodologa de Riesgos de TI No realiza seguimiento de observaciones de auditora. Contrasta el nivel Riesgo de TI con: El umbral de tolerancia fijado por la Direccin Si esta sub-valorado versus los eventos de prdida reales Roles claves para la Gestin Integral de Riesgos Audita la metodologa de Riesgos de TI y todo el proceso de Clasificacin de Activos de Informacin, Anlisis de Riesgos de TI, Gestin de Riesgos de TI e Integracin con Riesgos Operacionales. Hace seguimientos de observaciones de TI Interacta con los dueos de los riesgos de TI para mantener actualizado el catlogo de riesgos a analizar Ejecuta el Proceso de Anlisis de Riesgos de TI Interacta con el rea de Riesgo Operacional para integrar los resultados del Anlisis de Riesgos de TI Anlisis de Riesgos de TI - Interacciones Dificultades habituales - Top Ten integracin inexistente/parcial entre riesgos inadecuada comprensin de la alta gerencia solapamiento: duplicacin o falta de cobertura falta de compromiso de los dueos de riesgos de TI inconsistencia en mitigantes respecto a auditoras propietarios de procesos no concientizados en riesgos. divergencias metodolgicas entre reas falta de indicadores para sustento de variables claves rea de Riesgo Operacional toma el rol de Auditora falta de actualizacin ante eventos claves Recomendaciones Finales Top Ten diseo de estructura formal adecuada integracin metodolgica clara (RO + TI) procesos y procedimientos acordes con la entidad respaldo en estndares internacionales reconocidos mapa de procesos vinculados a activos informticos consistencia: Riesgos de TI con BIA, DRP y audit. evitar silos y fomentar visin holstica (GRC) utilizar el enfoque basado en riesgos a favor definir indicadores y mtricas claves de Gestin capacitacin y concientizacin a todos los actores Preguntas de Cierre Muchas Gracias! Lic. Franco N. Rigante, CISA,CRISC,PMP Franco.Rigante@ar.gt.com Blog: http://francoitgrc.wordpress.com @FrancoIT_GRC
Colaborar Contribuir Conectar El Knowledge Center es una coleccin de recursos y comunidades en lnea que conecta los miembros de ISACA globalmente, sobre industrias y por enfoque profesional todo en un solo lugar. Usted puede agregar o responder a una discusin, publicar un documento o link, conectar con otros miembros de ISACA, o crear un wiki por participando en una comunidad hoy! http://www.isaca.org/Knowledge-Center