IX CONGRESO ISACA COSTA RICA Gestión de riesgos de Continuidad de Negocio en función del negocio

Transcripción

1 IX CONGRESO ISACA COSTA RICA 2016 Gobierno, gestión y aseguramiento de las tecnologías de información. Gestión de riesgos de Continuidad de Negocio en función del negocio Framework para Gestión de Riesgos del DRI Internacional

2 Agenda Acerca del DRI Internacional Conceptos clave Tipos de Riesgos Framework para Gestión de Riesgos del DRI Internacional

3 Acerca del DRI Internacional Proveemos educación, acreditación y liderazgo en continuidad de negocio y campos relacionados. Ofrecemos cursos intensivos desde niveles introductorios hasta avanzados, así como certificaciones especializadas.

4 DRI Internacional DRI es una organización sin fines de lucro comprometida con: Promover las bases de un conocimiento común fundamental para la industria de la gestión de la Continuidad del Negocio Certificación de profesionales cualificados en la disciplina de la Continuidad del Negocio Promover la credibilidad y profesionalismo de las personas certificadas DRI celebró su 25 aniversario en 2013 DRI es la entidad líder tanto en formación como en certificación del sector

5 Formación Global Cursos de Continuidad de Negocio BCLS-2000 BCP-501 BCP-601 RMLS-2000 Gestión de Continuidad de Negocio Gestión de Continuidad de Negocio - Repaso Masters: Repaso de Caso de Estudio Gestión del Riesgo para la Continuidad del Negocio Cursos de especialización BCP-BIA BCP-ITDR BCP-MET BCP-AUD/ BCLE-AUD GCP-501/ GCLE-2000 Análisis de Impacto al Negocio Tecnologías de Información Recuperación ante Desastres Métricas de Continuidad de Negocio Programa de Auditoría de Continuidad de Negocio Continuidad de Operaciones HCP-501/ HCLE-2000 BCLE-1500 Continuidad de Negocio Sector Salud Educación Superior en Continuidad de Negocio

6 Conceptos Clave Gestión de Continuidad de Negocio Business Continuity Management (BCM), es un proceso de gestión que identifica riesgos, amenazas y vulnerabilidades que pueden impactar a operaciones continuas. BCM provee un marco de trabajo para construir resiliencia organizacional y la capacidad para una respuesta eficaz (Mejores Prácticas del DRI Internacional)

7 Conceptos Clave cont. Evaluación de Riesgos de Continuidad de Negocio Proceso para identificar los riesgos de una organización, evaluar las funciones esenciales necesarias para continuar las operaciones del negocio, definir los controles necesarios para reducir la exposición de la organización y evaluar el costo de dichos controles. Con frecuencia implica una evaluación de la probabilidad de ocurrencia de un evento en particular (Glosario de Resiliencia del DRI Internacional)

8 Riesgos de CN que no son de TI Enfermedades Huelgas Problemas del tránsito Fallas estructurales Desastres naturales Entre otros

9 Enfermedades

10 Huelgas

11 Problemas del tránsito

12 Fallas estructurales

13 Desastres Naturales

14 Riesgos de CN de TI? comunes Fallas eléctricas Mal uso de redes sociales Uso de redes por parte de terceros Uso de dispositivos personales BYOD Son realmente riesgos de TI?

15 Riesgos CIBER Incluye todos los escenarios de riesgo que pueden resultar en la pérdida de Confidencialidad, Integridad y / o Disponibilidad de la información y el sistema de información. Denegación de Servicio (DoS) Virus, troyanos, gusanos Spoofing, phishing, escalada de privilegios, y una variedad de otras actividades de hacking

16 Qué tienen en común estos riesgos? Todos afectan a TI Afectan las instalaciones Afectan a las personas Afectan al NEGOCIO

17 Framework para Gestión de Riesgos La gestión de riesgos organizacional, de TI y de Continuidad no deben ser aisladas Se requiere una gestión de riesgos conjunta, holística Si bien se ejecutan en diferentes áreas según la especialidad, deben enfocarse siempre en la protección de las operaciones del NEGOCIO

18 Harvard Business Review Report Concluyó que sólo el 20% de las organizaciones utilizan la gestión de riesgos como mecanismo de referencia principal para la toma de decisiones Concluyó que las áreas de preocupación en las organizaciones varían en función del motivo de riesgo y la ubicación geográfica

19 Harvard Business Review Report 1. Si no se están tomando decisiones con base en el riesgo, en base a qué se están tomando? 2. Cómo se está gestionando la implementación de los controles de seguridad? 3. Cómo se protegen las funciones esenciales del negocio? 4. Qué confianza tienen las organizaciones en estar cumpliendo con su debida diligencia y su debido cuidado?

20 Framework para Gestión de Riesgos Gobierno y Cumplimiento Tratamiento y Gestión del Riesgo Modelos de Riesgo y Procesos Monitoreo y Reportes Métodos Cualitativos y Cuantitativos Identificación del Riesgo

21 Gobierno y Cumplimiento Garantiza el apoyo de la organización y supervisa el programa de gestión del riesgo El Cumplimiento del Riesgo: Establece los roles y responsabilidades de los líderes Establece los requisitos para el análisis y comunicación del riesgo Establece un marco de trabajo y enfoque para la gestión del riesgo Proporciona la supervisión de las actividades en la gestión del riesgo Garantiza el cumplimiento de la organización en materia de legislación y regulación aplicables Sin una estructura efectiva de Gobierno el programa para la gestión del riesgo fracasará!

22 Gobierno y cumplimiento Factores críticos de éxito Liderazgo Concienciación (Awareness) Medidas Recursos Acción

23 Gobierno y cumplimiento Factores críticos de éxito Liderazgo - Confusión Concienciación (Awareness) - Ansiedad Medidas Falta de certeza Recursos Frustración Acción Exposición prolongada

24 Modelos de Riesgo y Procesos Los procesos del riesgo se organizan en tres modelos principales: Gestión del riesgo en proyectos Gestión del riesgo financiero Gestión del riesgo operacional

25 Gestión del riesgo operacional Busca reducir la exposición al riesgo de eventos indeseados como los procedentes de la naturaleza, de la organización, humanos, intencionales y no intencionales Seguridad cibernética y física Infraestructura crítica / recursos clave (de protección) Preparación para desastres naturales Prevención del delito Garantía de la cadena de suministro Respuesta a materiales peligrosos, seguridad laboral Reducción de las interdependencias Garantía de calidad y otras categorías El enfoque de Gestión del Riesgo Operacional es la protección de las personas, de la información, el equipamiento, las instalaciones, las operaciones y actividades en las que se sustenta el negocio

26 Elegir un modelo de Gestión de Riegos COSO, Itil, ISO? Cuál? La gestión del riesgo debe ayudar en la toma de decisiones para que aporte un valor real añadido a la organización Su modelo de gestión de riesgos debería ser equilibrado y robusto para asegurar que su negocio está preparado Asegurar que todos los esfuerzos de gestión de riesgos incluyan garantías para las funciones esenciales, la salud de las personas y la seguridad

27 Métodos Cualitativos y Cuantitativos 1. Apoyo a la toma de decisiones 2. Proporcionar un medio consistente y confiable de comunicación de la información en los riesgos 3. Asegurar que la exposición al riesgo y los costos del control se gestionan adecuadamente

28 Identificación del Riesgo Gestionar el Riesgo Integra el proceso de evaluación de las amenazas, las vulnerabilidades y el impacto de la pérdida de activos Valora el riesgo de compromiso/pérdida contra el costo de las estrategias de mitigación Evitar el Riesgo Se asume un adversario agresivo o un evento no deseado en todos los escenarios. Toma en cuenta TODAS las posibles vulnerabilidades Respuestas basadas en el peor escenario

29 Gestión del Riesgo

30 Monitoreo y Reportes Proporcionar a los líderes una concienciación inicial de situación en relación con la exposición al riesgo Proporcionar actualizaciones periódicas sobre el estado de los esfuerzos de mitigación de riesgos al Comité de Riesgos, Comité de Dirección y otras partes interesadas Para el informe rápido y preciso de la evolución de las amenazas Para proporcionar un espacio para la comunicación constante del riesgo

31 Visión Holística de Monitoreo y Comité de Dirección para Continuidad del Negocio Reportes Gestión del Riesgo Nivel Senior Ejecutivo Foco: Riesgo Organizacional Acciones: Decisión en Riesgos y Prioridades Consejo del programa de Continuidad del Negocio Cambios en Riesgos actuales y futuros Progreso de la Implementación Cambios en Activos, Vulnerabilidades y Amenazas Nivel Negocio/ Procesos Foco: Gestión del Riesgo Infraestructuras Críticas Acciones: Selecciona Perfil, Consigna Presupuesto Equipo para la Continuidad del Negocio (Riesgos) Nivel Implantar/ Operaciones Foco: Securizar Infraestructuras Críticas Acciones: Implantar Perfil Prioridades y apetito en el Riesgo y Presupuesto Perfil de Framework Implementación

32 Tratamiento y Gestión Agregación del riesgo Paso 1: Organizar la información del riesgo de acuerdo a los temas comunes (familias) Paso 5: Incorporar impactos en cascada en el árbol de fallos Paso 2: Organizar los riesgos en un árbol de fallos y categorizar las relaciones con Y/O Paso 4: Determinar la probabilidad colectiva de ocurrencia (PO) por familia Paso 3: Continuar la organización de relaciones Y/O para cada riesgo hijo

33 Tratamiento y Gestión Annualized Loss Expectancy Paso 1: Determinar impacto monetario por pérdida/daño de un activo Paso 6: Determinar ROI de CM y comparar con otras CMs Paso 2: Determinar Factor de Exposición Paso 5: Determinar Annualized Loss Expectancy Paso 3: Determinar Single Loss Expectancy Paso 4: Determinar Annualized Rate of Occurrence

34 Framework para Gestión de Riesgos Gobierno y Cumplimiento Tratamiento y Gestión del Riesgo Modelos de Riesgo y Procesos Monitoreo y Reportes Métodos Cualitativos y Cuantitativos Identificación del Riesgo

35 DRI Internacional Visita para más información en: Nuestra Visión y Misión Nuestro programa educativo El Proceso de Certificación Mantenimiento de la Certificación Karol Cordero Directora de Mercadeo para América Latina kcodero@drii.org 35 SG I-3