Uso de indicadores clave para medición del aseguramiento en procesos de tecnología

Transcripción

1 Uso de indicadores clave para medición del aseguramiento en procesos de tecnología Milagros Cedeño, CRISC Vicepresidente de Procesos, Bladex Luis Arturo Durán, CISA, CRISC Security Services Consultant, IBM Objetivos de Aprendizaje Entender los fundamentos relacionados con la medición, además de la definición y mantenimiento de indicadores en procesos de tecnología Comprender el valor que agregan los indicadores clave en las organizaciones y su contribución en la definición, entendimiento y difusión de conceptos relacionados con la funciones de aseguramiento y administración de riesgo Identificar y diferenciar tres tipos de indicadores (KPI/KRI/KCI), además de su correcta aplicación y la forma en la que se complementan Conocer los factores de éxito para el establecimiento de indicadores en las organizaciones Conocer aspectos a considerar para el diseño de un tablero de control Nota Adicional: Esta presentación esta diseñada por los autores de tal forma que sirva como introducción para el taller WS-4 Desarrollando KRI s para Fortalecer la Administración de Riesgos en los Procesos de TI que será llevado a cabo en el Latin CACS/ISRM

2 CONTENIDO Situación Actual de las Organizaciones Modelo de Capacidad GRC y Desempeño Basado en Principios Importancia de los Objetivos y Modelo de Medición Características y Tipos los Indicadores Beneficios y Factores de Éxito para su Implementación Dashboard (Tablero de Control) Conclusiones 2 Situación Actual de las Organizaciones Cumplimiento con Leyes y Regulaciones Escándalos Financieros Comportamiento Empresarial Erróneo Globalización Complejidad de Legislación más allá de las fronteras Entorno Político y Económico Inestabilidad de Gobiernos y Crisis Económicas Gestión de Riesgo Entidades de Control Incremento en Regulación, Hallazgos y Acciones Factores que componen el ambiente de negocios Mercado Presiones y competencia Vs Eficiencia Operacional Uso eficiente de Recursos Tecnología Surge SW que integra Riesgo, Control, Gobierno, Políticas, Cumplimiento Ética Demostrar que Empleados y Accionistas se adhieren y cumplen con las reglas Stakeholders Mayores exigencias de Inversionistas, Público y Gobierno Sustentabilidad Fuente: 2013 ISACA Latin America CACS 3

3 Modelo de Capacidad GRC Domain-Specific Governance (IT, Project, etc.) Gestión de COSO ERM ISO / BSI UK Orange Book IRM / ALARM Domain-Specific (BASEL) COBIT, ITIL, NIST , FAIR, ISO Gestión del Riesgo Gobierno Desempeño basado en principios Gestión del Desempeño Balanced Scorecard Strategic Planning Business Intelligence Decision Science Quality Management COBIT, ITIL Gestión del Cumplimiento Gestión Control Interno Gestión de la Cultura & Etica Fuentes: - OCEG GRC Capability Model v2.1 - GRC en español (grcenespanol.com) 4 Modelo de Capacidad GRC (Elementos) Fuentes: - OCEG GRC Capability Model v2.1 - GRC en español (grcenespanol.com) 5

4 Modelo de Capacidad GRC (Elementos) INTERACTUAR I1 Gestión de Información I2 Comunicación I3 Tecnología MEDIR M1 Monitoreo de Contexto M2 Monitoreo de Desempeño M3 Mejoramiento Sistémico M4 Aseguramiento M R RESPONDER R1 Controles y Acciones de Respuesta R2 Investigación Interna R3 Investigación de terceros R4 Respuesta a las crisis R5 Remediación R6 Retribución CONTEXTO C1 Contexto Externo C2 Contexto Interno C3 Cultura C4 Objetivos O I D DETECTAR E P D1 Controles y Acciones Detectivos D2 Notificación D3 Indagación ORGANIZAR O1 Compromisos O2 Roles O3 Responsabilidad EVALUAR A1 Identificación A2 Análisis A3 Planeación PROACTUAR P1 Controles y Acciones Proactivas P2 Códigos de Conducta P3 Políticas P4 Educación P5 Incentivos P6 Relaciones con Terceros P7 Financiamiento de Riesgos Fuentes: - OCEG GRC Capability Model v2.1 - GRC en español (grcenespanol.com) 6 Desempeño Basado en Principios Modelo de Negocio Según la OCEG en su Modelo de Capacidad GRC, el desempeño basado en principios es un modelo de negocios que exige que las organizaciones logren sus objetivos de manera confiable, abordando la incertidumbre (riesgo y beneficio), garanticen la eficiencia operacional (control) y actúen con integridad (respetando las obligaciones y compromisos). Qué queremos lograr? Lo estamos logrando? Operamos dentro del nivel de apetito definido? Fuentes: - OCEG GRC Capability Model v2.1 - GRC en español (grcenespanol.com) 7

5 Importancia de los Objetivos Estrategia de Negocio Qué es lo que la organización trata de lograr? Metas y Objetivos Cuáles son los objetivos a corto y largo plazo para cumplir con la estrategia? Tecnologías de la Información Objetivos Clave de Negocio Cuáles son los principales pasos a seguir para alcanzar las metas y objetivos? Indicadores Cómo medimos el cumplimiento de una meta u objetivo? Métricas Qué datos soportan nuestros indicadores? 8 Visión General de la Cascada de Metas de COBIT 5 Motivos de las Partes Interesadas (Entorno, Evolución de la Tecnología, etc.) Necesidades de las Partes Interesadas Realización de Beneficios Optimización de Riesgos Metas Corporativas Influencia Optimización de Recursos En cascada a En cascada a 7 habilitadores: 1.- Principios, Políticas y Marcos 2.- Procesos 3.- Estructuras Organizacionales 4.- Cultura, Ética y Comportamiento 5.- Información 6.- Servicios, Infraestructura y Aplicaciones 7.- Personas, Habilidades y Competencias Metas Relacionadas con las TI En cascada a Metas de los Catalizadores Fuente: ISACA COBIT 5 Framework 9

6 Motivos de las partes interesadas (Ejemplo) Legal y Normativo - Estándar de Seguridad de Datos de la Industria de Tarjetas de Pagos (PCI DSS) - Regulaciones de RBI para controles de seguridad cibernética Abril de Derecho privado de la India WIP - Marco de seguridad de la información de IDRBT - Consumerización de TI - Redes Sociales - Medios de difusión social - Dispositivos móviles / tabletas Sociocultural Panorama de Amenazas - Hacktivismo - Crimen cibernético - Ataques cibernéticos - Amenazas persistentes avanzadas - Espionaje cibernético - Fuga de Información - Software malicioso en dispositivos móviles - UID - NAT-GRID - Proyectos de E- governance - Política de Cyberseguridad de la India Gobierno Tecnología - Virtualización - Computación en la nube - Big Data - IPV6 Fuentes: - ISACA COBIT Focus Volume 1, 2014: HDFC Bank - 10 Modelo de Medición Para lograr un enfoque integrado se requiere un modelo de medición sólido Objetivos Apetito al Riesgo KPIs Actividades Riesgos Clave Controles Clave Eventos de Riesgo Evaluaciones Planes de Acción KRIs Evaluación Pruebas Planes de Acción Certificación KCIs Fuente: Managing with KPIs and KRIs. StratexSystems Webinar Series 11

7 Conceptos Generales Es una medida vinculada a un objetivo para medir el desempeño contra el logro del objetivo definido. Los indicadores permiten monitorear variaciones con respecto al logro del objetivo. Tipos (en nuestro alcance): o KPI (Key Performance Indicator) o KRI (Key Risk Indicator) o KCI (Key Control Indicator) Responden a la pregunta Estamos logrando el nivel de desempeño deseado? Ejemplo: Cantidad de incidentes resueltos por la mesa de ayuda en el último mes En qué se diferencian los indicadores y las métricas? Clave: Objetivo, Desempeño deseado 12 Características de los Indicadores Deben tener: Metas, Semáforos y Tableros de control 13

8 Tipos de Indicadores KPI: Son mediciones financieras o no financieras, utilizadas para cuantificar el grado de cumplimiento de los objetivos. Reflejan el rendimiento de una organización, área, proceso, etc. Generalmente se derivan del Plan Estratégico. Se utilizan en inteligencia de negocios para definir líneas de acción futura. KRI: Son métricas capaces de mostrar que la empresa está sujeta o tiene una alta probabilidad de estar sujeta a un riesgo que exceda el apetito al riesgo definido Ayudan a definir y monitorear el perfil de riesgo de la organización, respondiendo a la pregunta cómo está cambiando nuestro perfil de riesgo? KCI: Ayudan a definir el ambiente de control y miden el rendimiento del desempeño de los controles, respondiendo a la pregunta son nuestros controles internos efectivos? 14 Relación entre KPIs, KRIs y KCIs OBJETIVOS Cuál es nuestra estrategia? Qué queremos lograr? KEY PERFORMANCE INDICATORS KPIs RIESGOS Cuáles son los riesgos asociados al objetivo? Qué nivel de riesgo aceptamos? KEY RISK INDICATORS KRIs CONTROLES Qué controles tenemos para mitigar los riesgos? Son efectivos? KEY CONTROL INDICATORS KCIs Fuente: Managing with KPIs and KRIs. StratexSystems Webinar Series. 1 November

9 Gestión de Incidentes Fuente: ISACA COBIT 5 Framework 16 Ejemplo Gestión de Incidentes OBJETIVO Dar respuesta a incidentes con prioridad Alta en menos de 48 horas de su registro Indicador de Retraso Cantidad de incidentes con prioridad alta abiertos después de 48 horas = 0 Indicador de Avance Porcentaje de incidentes con prioridad Alta cerrados en 12 horas RIESGO Fallar en el cumplimiento de acuerdos de nivel de servicio para incidentes con prioridad Alta Cantidad de incidentes con prioridad alta abiertos después de 48 horas > 1 Porcentaje de incidentes con prioridad Alta cerrados en 12 horas sea igual o mayor al 25% CONTROL - Clasificación y Asignación automática de incidentes. - Seguimiento a incidentes con más de 12 horas Total de incidentes con prioridad alta registrados y Total de incidentes cerrados en periodos de 12 horas Porcentaje de incidentes con prioridad Alta cerrados en 12 horas sea mayor que el porcentaje de incidentes abiertos 17

10 Ejercicio - Gestión de Incidentes Indicador Descripción Tipo Cantidad de incidentes Tiempo promedio de resolución Incidentes por prioridad Alta / Media / Baja que no han sido asignados Incidentes con prioridad Alta sin atender/cerrar Incidentes con prioridad media sin atender/cerrar Porcentaje de incidentes excedentes Alta Porcentaje de incidentes excedentes Media Tiempo de asignación Incidentes atendidos por día/semana/mes Cantidad de incidentes con interrupción y tiempo estimado Número total de incidentes registrados por prioridad, impacto, urgencia Tiempo promedio invertido en la resolución de incidentes por prioridad, impacto, urgencia, equipo de resolución (Nivel 1, 2) Número de incidentes, cuyo tiempo de atención debe ser menor a 48 horas (Alta), 7 Días (Media), o sin tiempo de atención que no han sido asignados. Número de incidentes con prioridad alta que no han sido resueltos en menos de 12, 24 o 36 horas (diferentes tipos de alarma) Número de incidentes con prioridad media que no han sido resueltos en menos de 48 o 72 horas (diferentes tipos de alarma) Cantidad del número total de incidentes con prioridad Alta que excedieron el tiempo de atención acordado Porcentaje del número total de incidentes con prioridad Media que excedieron el tiempo de atención acordado Tiempo medio trascurrido desde el registro de un incidente hasta la asignación e inicio de atención Número de incidentes atendidos por técnico en un período definido Número de incidentes que causan interrupción en los procesos críticos de negocio, porcentaje y tiempo total de afectación 18 Beneficios Impulsan la eficiencia, eficacia y productividad Fortalecen la gestión de desempeño, riesgo y cumplimiento. Facilitan la presentación de un panorama claro en términos del cumplimiento de los objetivos y metas propuestos. Sirven de guía en el análisis del comportamiento de los procesos y pueden ser expresados de forma sencilla, como puede ser una gráfica. Permiten detectar variaciones, identificar causas y tendencias, además de tomar decisiones de forma oportuna. 19

11 Beneficios Motivan a los miembros del equipo para alcanzar metas y generar un proceso de mantenimiento continuo. Estimulan el trabajo en equipo, además de contribuir al desarrollo tanto individual como del equipo. Proporcionan una base estable para elaborar informes. Definen un estándar para la obtención de datos, de tal forma que la información sea relevante, confiable y comparable. 20 Factores de Éxito Tener objetivos claros, bien articulados, comunicados y comprendidos por todos en la organización. Contar con una metodología clara y estándar para evaluación de riesgo y controles. Partir de un entendimiento común de los objetivos y metas de TI, además de conocer la estrategia que se empleará para alcanzarlos. Identificar los procesos críticos de TI que soportan los objetivos tanto de TI como del Negocio, mapeando los factores de riesgo aplicables y controles existentes. 21

12 Factores de Éxito Establecer roles y responsabilidades para la definición e implementación de indicadores, además de determinar y asignar recursos para su mantenimiento. Determinar las fuentes de información y frecuencia de medición, además de definir roles y actividades para la obtención, tabulación, análisis y presentación. Planificar en grande, empezar en pequeño Medir, Ajustar y aprobar el conjunto de indicadores, además de tener clara la audiencia a quienes van dirigidos. 22 Dashboard (Tablero de Control) Visualización gráfica de la información necesaria para lograr los objetivos clave de una organización consolidada en una sola página Un tablero de control debe: Contener información relevante Su diseño depende de la información a mostrar Proporcionar contexto Ser sencillo y entendible para todos los involucrados Mostrar de inmediato si se esta ganando o perdiendo 23

13 Dashboard (Tablero de Control) Existen herramientas para la creación de tableros de control, pero Excel es una buena opción considerando datos de diferentes fuentes y características. 24 Aspectos a Considerar Lo primero es que debemos preguntarnos: Qué información queremos mostrar? Definir el contexto del contenido y la forma en que se presenta la información) Cuáles son las fuentes y cómo son los datos? Entender qué preguntas o inquietudes tiene la audiencia a la que va dirigido Determinar la frecuencia de generación y revisión del tablero requerida Definir quiénes recibirán la información y los roles que desempeñarán Quién debe tomar acción? Validar el diseño con involucrados y usuarios finales, hacer ajustes hasta obtener un tablero eficiente 25

14 Conclusiones El cumplimiento de las metas y objetivos de la organización es trabajo de todos. Por lo tanto la definición de un grupo de Indicadores efectivos y su debido monitoreo también lo es, incluyéndonos en el área de TI. Implementar indicadores no es suficiente. El reto verdadero es integrar el uso de los mismos en el proceso de toma de decisiones para implementar un gobierno de tecnología robusto que asegure que la gestión de tecnología está alineada con su apetito al riesgo, con la estrategia y con el desempeño esperado 26 Conclusiones La gestión de riesgo es una actividad continua, desde la actualización en los escenarios de riesgo, hasta la evaluación y monitoreo del riesgo residual. La gestión de desempeño es la misma situación, debido a los cambios en metas y objetivos, los cuales deben de reflejarse en los indicadores y métricas. El mantenimiento de los indicadores es clave, de tal forma que a través del tiempo sea posible detectar cuando se tenga redundancia, insuficiencia o necesidad de ajustes. Es necesario identificar cuales proveen información útil y cuales pueden ser modificados o reemplazados. 27

15 Preguntas? GRACIAS Milagros Cedeño Vicepresidente de Procesos Bladex Luis Durán Consultant - Security Services IBM aduran@mx1.ibm.com