Metodología para el Análisis de Riesgo de TI en Entidades Financieras

Transcripción

1 Metodología para el Análisis de Riesgo de TI en Entidades Financieras Presentación de la Práctica Buenos Aires Noviembre 2008 La información contenida en el documento es confidencial y propietaria. No puede ser distribuida sin la correspondiente aprobación - Copyright Moore Stephens

2 1 Índice Marco General Pasos del proceso de Gestión del Riesgo de TI Análisis de riesgo de TI Informes Beneficios Esperados

3 2 Las Entidades Financieras tienen el desafío de implantar Basilea II. IMPLEMENTACION BASILEA II 3º RONDA CONSULTIVA PRINCIPIOS PARA LA ADMINISTRACIÓN DEL RIESGO DE CRÉDITO ACUERDO DEFINITIVO 2º RONDA CONSULTIVA (PRACTICAS SÓLIDAS PARA LA ADMINISTRACION Y SUPERVISION DEL RIESGO OPERATIVO REGULACIONES BANCARIAS AUTOCTONAS

4 El planteo de Basilea II tiene como objetivo encontrar una relación de capital del banco asociado al riesgo. 3

5 4 El riesgo de TI como parte del Riesgo Operacional. Riesgo Crédito Mercado Operativo Procesos internos de la Entidad Personal de la Entidad Sistemas de información Legal

6 El proceso de evaluación y gestión del riesgo de TI debe seguir un conjunto de pasos sistemáticos. 5 Gestión de Riesgo de TI Análisis de Riesgo de TI Elaborar el Plan de Acción Implantar el Plan de Acción Controlar y Mantener el Plan de Acción Análisis de Riesgo de TI Actividades de Negocio Activos Amenazas Controles Riesgo Residual

7 Conocer el riesgo al que están sometidos los recursos de TI es imprescindible para gestionarlos. 6 El gran reto de éste proyecto es la complejidad del problema que se enfrenta. Hay muchos elementos que considerar y si no se es muy riguroso, las conclusiones serán de poco fiar. Activos Riesgo Residual Riesgo Repercutido Probabilidad Riesgo Acumulado Negocios Análisis de Riesgo de TI Amenazas Frecuencia Degradación Riesgo Impacto Controles Valoración Es por ello que debe existir una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del consultor.

8 7 Índice Marco General Pasos del proceso de Gestión del Riesgo de TI Análisis de Riesgo de TI Informes Beneficios Esperados

9 8 Nuestro proceso de evaluación y gestión del riesgo de TI. GESTIÓN DEL RIESGO DE TI Análisis de Riesgo de TI Plan de Acción Implantación del Plan Control y Mantenimiento del Plan

10 9 El análisis de riesgo de TI es el análisis de los activos, sus amenazas, sus riesgos asociados, y como estos se correlacionan con los procesos del negocio. Análisis de Riesgo de TI Plan de Acción Implantación del Plan Control y Mantenimiento del Plan Informe de Riesgo de TI por Proceso Informe de Riesgos de TI por Activo Procesos del negocio Activos de TI Amenazas

11 10 El Plan de Acción es documentar en forma clara y concreta que conjunto de soluciones deben implementarse de manera de mitigar los riesgos encontrados. Análisis de Riesgo de TI Plan de Acción Implantación del Plan Control y Mantenimiento del Plan Plan de Accion Realizar la planificación Análisis de las acciones a corto mediano y largo plazo. Generar escenarios de trabajo. Priorizar Identificar las acciones críticas. Hacer una unión entre las inversiones y los objetivos del negocio. Valorizar Pasar la inversión a aspectos cuantitativos. Realizar el plan de negocios que determine el ROI de la inversión.

12 11 Implantar el plan de acción es realizar las inversiones, escribir los procedimientos y generar la cultura de manera que la gestión del riesgo sea un proceso de cambio. Análisis de Riesgo de TI Plan de Acción Implantación del Plan Control y Mantenimiento del Plan Implantación Organizar el equipo de proyecto Juntar a las partes de manera de consolidar un equipo de trabajo Seleccionar las diferentes soluciones Identificar las soluciones del mercado y decidir cual implantar. Verificar y controlar si se cumple con las especificaciones tecnicas. Realizar el Project Management Controlar los costos, tiempo y alcance del proveedor. Verificar la calidad de la implantacion

13 El control es el proceso que permite la verificación permanente que los riesgos se mantienen bajo control. 12 Análisis de Riesgo de TI Plan de Acción Implantación del Plan Control y Mantenimiento del Plan Control - Mantenimiento Planificación El mantenimiento es buscar mejoras al Plan desarrollado. Implantación Aprob. Dirección El control es identificar si las medidas correctivas se han cumplido. Medición de Resultados Control Si surgen nuevas amenazas como se incorpora al Plan. Y en cada etapa del proceso de gestión de riesgos se informa a la alta gerencia de los riesgos.

14 13 Índice Marco General Pasos del proceso de Gestión del Riesgo de TI Análisis de riesgo de TI Informes Beneficios Esperados

15 14 Existen dos partes que se interrelacionan, pero los usuarios son totalmente diferentes. Riesgo de la operación del negocio El proceso de negocio. Los productos que administra. Los procesos internos de la Entidad. Riesgo de TI Los datos e información. El equipamiento informático (hardware, software de base y aplicativos, comunicaciones, etc.) La infraestructura.

16 15 Para el análisis del riesgo operativo es fundamental entender como el riesgo de TI impacta en la operación. El Entorno Los Sistemas de Información La Información Los Procesos del Negocio

17 16 Esto genera que debe existir un puente que relacione el negocio con los activos de TI que soportan la operación del negocio. El Entorno Macroproceso Los Sistemas de Información La Información Relación entre el Proceso y los Activos de TI Los Procesos del Negocio Subproceso Activos relacionados

18 17 El realizar un análisis del riesgo de TI es un proceso que debe ser cuidadoso y exhaustivo. Análisis del Negocio Activos de TI Amenazas Impacto Riesgo Entender el Negocio. Conocer sus productos. Identificar los procesos de TI. Identificación Clasificación. Valorización. Relación de dependencias. Identificación (vulnerabilidad) Relación entre amenazas y activos. Daño sobre el activo derivado de la materialización de una amenaza. El impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza. Relación entre los Procesos y los Activos de TI Metodología S.M.A.R.T

19 Entender los negocios es analizar a la Entidad desde el punto de vista de unidades de negocios y procesos. 18 Análisis del Negocio Activos de TI Amenazas Impacto Riesgo Negocios Unidad de Negocio Unidad de Negocios Unidad de Negocio Proceso A Proceso A Proceso A Proceso B Proceso B Proceso B Proceso C Proceso C Proceso C

20 19 Cada uno de los negocios se abre en procesos. Análisis del Negocio Activos de TI Amenazas Impacto Riesgo Negocios Procesos Tarjetas Cajas de Ahorro Cuentas Corrientes Otros Banco Depósitos Plazo Fijo Otros Préstamos

21 20 Identificación y clasificación de los activos de TI. Análisis del Negocio Activos de TI Amenazas Impacto Riesgo Hardware Base de datos Infraestructura CPD Tipos de Activos de TI Aplicaciones Datos / Información Equipos Infraestructura Comunicaciones Personal de TI Servicios

22 Los activos se deben ponderar de acuerdo a su importancia relativa en todas las dimensiones. 21 Análisis del Negocio Activos de TI Amenazas Impacto Riesgo Activos x Dimensión Disponibilidad Integridad Confidencialidad Autenticidad Trazabilidad Activo A Activo B Activo C Activo D Activo E 6 5 Activo Z 4 5 1

23 22 Se deben establecer las relaciones de dependencias entre los activos de TI. Análisis del Negocio Activos de TI Amenazas Impacto Riesgo Activo A Activo D Activo B Activo C Activo C Activo E Activo I Activo F Activo G Activo J

24 23 Las amenazas deben identificarse. Análisis del Negocio Activos de TI Amenazas Impacto Riesgo Inundaciones Robos / Terrorismo Tornados Cyber Attack Incendios Personal disconforme Virus

25 24 Y también clasificarse. Análisis del Negocio Activos de TI Amenazas Impacto Riesgo Desastres Naturales Incidentes de origen no natural Eventos / Hechos no intencionados Configuraciones erróneas Pérdida de equipamiento. Errores en la administración Acciones / Hechos Intencionados Robo Accesos no autorizados Destrucción de equipos

26 25 Luego las amenazas deben ser asociadas a los activos de TI. Análisis del Negocio Activos de TI Amenazas Impacto Riesgo Activos x Amenazas Amenaza 1 Amenaza 2 Amenaza 3 Amenaza 5 Amenaza 23 Activo A X X X Activo B X X Activo C X X X Activo D X X Activo E X X X X Activo Z X X

27 A cada una de las amenazas de un activo, también la podemos relacionar con la dimensión que afecta. 26 Análisis del Negocio Activos de TI Amenazas Impacto Riesgo Activos Procesos Operativos Aplicaciones. Datos / Información Equipos Infraestructura Comunicaciones Personal de TI Servicios Activos Procesos Financieros Dimensiones Diferentes enfoques Disponibilidad Confidencialidad Integridad Autenticidad Trazabilidad Equipo Disponibilidad

28 27 El impacto es el daño sobre el activo derivado de la materialización de una amenaza. Análisis del Negocio Activos de TI Amenazas Impacto Riesgo Equipo X Disponibilidad El incendio del Equipo X afecta a su disponibilidad. Dado que de producirse la amenaza el activo se degradaría en un 70%. La disponibilidad del Equipo X estaría al 30%. Activos Dimensiones Disponibilidad Confidencialidad Integridad Aplicaciones. Datos / Información Equipos Infraestructura Comunicaciones Personal de TI Servicios

29 28 El riesgo potencial es el impacto ponderado con la probabilidad de ocurrencia de la amenaza. Análisis del Negocio Activos de TI Amenazas Impacto Riesgo

30 C O N T R O L E S Del análisis de riesgo potencial se pasa a la etapa de la evaluación de los controles. 29 Análisis del Negocio Activos de TI Amenazas Impacto Riesgo Riesgo Potencial Preventivos Detectivos Preventivos Controles diseñados para impedir en forma anticipada un error, una omisión o un acceso no autorizado. Auditoria Detectivos / Auditoría Controles diseñados para detectar y reportar cuando ocurran errores, omisiones o el ingreso no autorizado. Riesgo Residual

31 Conociendo los riesgos y sus dimensiones se puede elaborar la matriz de riesgos por Activo de TI. FRECUENCIA 30 Análisis del Negocio Activos de TI Amenazas Impacto Riesgo NIVEL DE AMENAZA MEDIO ALTO ALTO BAJO MEDIO ALTO BAJO BAJO MEDIO IMPACTO ACTIVOS

32 Para establecer la relación de los procesos y los activos se elaboran diagramas de proceso y de flujo de datos. 31 Análisis del Negocio Activos de Relación Amenazas Impacto Riesgo TI entre los Procesos y los Activos de TI

33 Y a partir de estos diagramas se identifican los activos que son necesarios para el funcionamiento del proceso. 32 Análisis del Negocio Activos de Relación Amenazas Impacto Riesgo TI entre los Procesos y los Activos de TI

34 33 De esta manera se establece un nuevo nivel de dependencias donde se asocian los activos de TI a los procesos de negocios. Análisis del Negocio Activos de Relación Amenazas Impacto Riesgo TI entre los Procesos y los Activos de TI Proceso A Proceso B Proceso C Activo A Activo D Activo B Activo C Activo C Activo E Activo I Activo F Activo G Activo J

35 34 Índice Marco General Pasos del proceso de Gestión del Riesgo de TI Análisis de riesgo de TI Informes Beneficios Esperados

36 35 Como resultado final se brindará Emergencia El Riesgo Único por Proceso (riesgo repercutido) Que identificará el riesgo de TI asociado a un proceso operativo. Que será el riesgo de TI para el cálculo del Riesgo Operacional. Mantenimiento El Riesgo por Activo (riesgo acumulado) Que identificará el nivel de riesgo de cada Activos de TI. Que se utilizará para la Gestión de Riesgo de los Activos de TI.

37 El riesgo repercutido permitiría a la Entidad correlacionar el proceso de negocio con el riesgo que tienen sus activos de TI. 36 Procesos Riesgo de TI Significatividad Puntaje (de 1 a 10) Porcentual Cajas de Ahorro ALTO % Cuentas Corrientes MEDIO % Plazo Fijo MEDIO % Otros BAJO %

38 El riesgo acumulado permite gestionar cada uno de los activos y ver que acciones correctivas se toman para mitigar los riesgos. 37

39 De esta manera entender por proceso, que acciones correctivas se deben tomar para gestionar el riesgo de cada activo de TI. 38

40 Pudiéndose llevar un control de lo que es el riesgo repercutido en los procesos y el riesgo acumulado en los activos. 39 Riesgo Repercutido de TI Riesgo Acumulado de TI

41 40 Indice Marco General Pasos del proceso de Gestión del Riesgo de TI Análisis de riesgo de TI Informes Beneficios Esperados

42 Los beneficios de este enfoque permitiría resolver varios desafíos que agregarían valor al análisis. 41 Uso Área Beneficio Análisis de Riesgo Riesgo Único por Proceso Ver como la TI afecta la operación del negocio. Riesgo operacional. Encontrar la variable TI en la valoración del riesgo operacional. Riesgo por Activo Ver como el riesgo afecta a cada activo de TI. El área de sistemas de la empresa. Gestionar el riesgo. Plan de continuidad del negocio. Gestión de la Seguridad.

43 Muchas Gracias! Ing. Marcelo Espeche Cr. Horacio L. Martinez Moore Stephens Suarez & Menendez Maipú 942, piso 12 - C1006ACN Ciudad Autónoma de Buenos Aires - Argentina Tel: (+54 11) Fax: (+54 11)