INTENDENCIA DE VALORES. Riesgo Tecnológico, Impacto y Autoevaluación

Transcripción

1 INTENDENCIA DE VALORES Riesgo Tecnológico, Impacto y Autoevaluación en el Negocio

2 Agenda Introducción Impacto (Gestión de Riesgo) Del Riesgo TI al Riesgo Corporativo Autoevaluación

3 Introducción Conocemos los riesgos a los que estamos expuestos?

4 Desafíos de TI Entregar valor TI siempre disponible Alinear TI con la institución Optimizar costos Mejores niveles de seguridad

5 Origen del Riesgo TI Riesgo Operacional El riesgo de pérdidas resultantes de procesos inadecuados ofallidos, personas y sistemas o de eventos externos que no están cubiertos por capital regulatorio BASILEA II Es el efecto de la incertidumbre en la consecución de los s e e ecto de a ce t du b e e a co secuc ó de os objetivos ISO 31000:2009

6 Riesgo TI El riesgo de TI es el riesgo asociado con el uso, propiedad, operación, involucramiento, influencia y adopción de la tecnología de información ió en una empresa La pérdida ocasionada por interrupción, falla o daño que se derivan de los sistemas de información y plataformas tecnológicas que una organización dispone para prestar sus servicios ordinarios.

7 Riesgo TI Riesgo en la entrega de servicios de TI Son los riesgos asociados al desempeño y disponibilidad de los servicios de TI. Estos riesgos pueden provocar una destrucción o reducción del valor en una empresa. Riesgo en la entrega de la solución de TI Son los riesgos asociados con la contribución de TI a las soluciones de negocio nuevas o mejoradas, usualmente en forma de proyectos y/o programas Riesgo en la realización de beneficios de TI Son los riesgos asociados con la pérdida de oportunidades d de utilización de tecnología para mejorar la eficiencia o efectividad de los procesos de negocio o utilizar la tecnología como un habilitador de nuevas iniciativas de negocio

8 Riesgo TI Clasificación Seguridad y acceso Integridad Descripción Riesgo que la información confidencial sea utilizada por personas no autorizadas Riesgo que la información no sea confiable, incompleta e inexacta Pertinente El riesgo asociado a no tener la información adecuada en el tiempo preciso para los procesos

9 Riesgo TI Disponibilidad Riesgo de perdida de los servicios Infraestructura Riesgo de no contar con la infraestructura adecuada que soporte las necesidades actuales y futuras.

10 Riesgo TI Eventos relacionados a Riesgos de TI Fraude Interno Administración de procesos Fraude Externo Interrupciones del negocio Clientes, productos y servicios Daños a activos físicos

11 Riesgos - TI Actor Internos Externos (Competidores, Socios de negocio, Reguladores, Mercado, etc.) Tipo de Amenaza Maliciosa + Accidental Falla Natural Acción Divulgación Interrupción Modificación Robo Destrucción Diseño Inefectivo Ejecución ineficiente Regulación Uso inapropiado Activo / Recurso Gente y Organización Procesos Infraestructura (instalaciones, infraestructura) Componentes de la Arquitectura de Negocio Tiempo Duración Escenario de Riesgo Tiempo de Ocurrencia (crítico, no critico) Tiempo de detección

12 Impacto Los objetivos de la institución dependen de los procesos de negocios y estos de TI Aplicativo 1 Aplicativo 2 Proceso 1 Sistemas de información Proceso 2 Soporte a toma de decisiones y desarrollo de actividades

13 Impacto Procesos de negocio Aplicaciones y servicios Objetivos y Estrategias Infraestructura de TI (HW, SW, Datos, Instalaciones,,p personal, metodología,,políticas y procedimientos)

14 Impacto Como evitar que ocurran eventos no deseados? En el caso de ocurrir como disminuir su impacto?

15 Impacto - Gestión Gestionar los riesgos Es un proceso interactivo basado en el conocimiento, evaluación y manejo de los riesgos y sus impactos, con el propósito p de mejorar la toma de decisiones organizacionales.

16 Impacto - Gestión Gestionar los riesgos de TI Parte de la gestión global del riesgo corporativo Enfocado a un eficiente equilibrio entre oportunidades y perdidas Precisa de un análisis de riesgos combinado con un análisis de impacto en el negocio (BIA)

17 Impacto - Gestión Estándares ISO BS31100 ISO/IEC ITGI Risk IT Framework NIST SP AS/NZS 4360 MAGERIT CRAMM UNE 71504

18 Impacto - Gestión ISO 31000

19 Impacto - Gestión Principios Siempre esta conectada con los objetivos del negocio Alinea la gestión de riesgos TI con la gestión de riesgos de toda la organización Balancea costos Promueve comunicación Es un proceso continuo Debe ser sistémica y estructurada rada Debe ser parte de la toma de decisiones Dinámica, iterativa Proteger todo lo que es valioso Adaptada a la organización

20 Impacto - Gestión Repuesta al riesgo Cambiar Controles Seguros / Outsourcing

21 Impacto - Gestión Respuestas muy eficientes y eficaces a riesgos altos Respuestas eficientes y eficaces a riesgos bajos Niv vel de Ries go Actual Priorización de Respuesta a Riesgos Logros Caso de Rápidos Negocio Oportunidad Diferir Eficacia / Eficiencia Respuestas mas caras o más difíciles a riesgos altos Respuestas costosas a riesgos bajos

22 Impacto - Gestión Nivel de Riesgo Severidad del impacto Probabilidad que ocurra

23 Impacto - Gestión Efecto esperado de las opciones de tratamiento eridad del riesgo Seve Probabilidad que ocurra

24 Detectar y Impacto - Gestión resolver accesos no autorizados a la información Contro l % Supervisión periódica Probabilidad Proceso: Garantizar Seguridad Objetivo: Permitir el acceso a información crítica y sensible sólo a usuarios autorizados. Evento / Escenario: Qué puede suceder para ocasionar la Falla Usuarios autorizados realizan actividades no permitidas Causa Definición inapropiada de permisos de acceso Accesos excesivos y uso de capacidades de supervisión. Intención de Fraude Alta Media Baja Efecto Modificación de Información. Transacciones no autorizadas Ejemplo Impacto $ Alto Medio Bajo

25 Del Riesgo TI al corporativo efectividad eficiencia confidencialidad i d integridad disponibilidad cumplimiento confiabilidad d Información Requerimientos de Negocio Procesos Recursos Información Aplicación Infraestructura Personas PLANEACION Y ORGANIZACION MONITOREO Y EVALUACIÓN ADQUISICION E IMPLEMENTACION ENTREGA Y SOPORTE

26 Del Riesgo TI al corporativo Debemos incluir la gestión del riesgo TI a la gestión del riesgo Corporativo? Cual es la prioridad id d dentro del negocio de la Gestión del Riesgo TI? Como afecta la no gestión del Riesgo TI a la estrategia Como afecta la no gestión del Riesgo TI a la estrategia y objetivos de TI?

27 Del Riesgo TI al corporativo Al igual que otros riesgos que se gestionan, los riesgos de TI deben ser considerados Darle prioridad alta Conciencia y responsabilidad de la Directores Inversión para gestionarles = continuidad, eficiencia y oportunidades Riesgo TI No gestión No operación, No continuidad

28 Del Riesgo TI al corporativo De lo anterior: El objetivo es si no solo es la gestión del riesgo TI, Sino garantizar la continuidad del negocio, tomando acciones para el tratamiento de los riesgos y de esta forma estar preparados antes los nuevos retos.

29 Autoevaluación Es un proceso a través del cual la efectividad de los controles internos es evaluada. Cuyo objetivo es proveer un aseguramiento razonable de que los objetivos del negocio se cumplirán.

30 Autoevaluación Como se hace: Basado en objetivos Basado en riesgos Basado en controles Basado en procesos

31 Autoevaluación Basada en Riesgos

32 Autoevaluación Matriz de Autoevaluación de Riesgos Tipo Descripcion P I Nivel de Riesgo Control Valor del Control Resid uo Integridad Administración de problemas Registro de incidencias 3 1 InfraestructuRespaldo y ra restauracion Plan de contingencia 5 3 Disponibilid ad Continuidad del negocio (TI) Sitio alterno, procedimiento de respaldos Plan de respaldo

33 Conclusiones El riesgo de TI impacta en el negocio de manera que se pueden detener las operaciones del mismo La gestión de riesgos de TI no es responsabilidad de la gerencia de TI, (Gobierno de TI) No solo vasta conocer los riesgos a los que nos enfrentamos (amenazas, vulnerabilidades), hay que gestionarlos y conocer su impacto La gestión de riesgos de TI = monitoreo, revisiones, actualizaciones, es decir es una practica de todos los dias

34 Gracias por su atención.. Lic. José Victor Valle Analista Inspector TI