A Risk IT framework Implementation: Case Study

Transcripción

1 A Risk IT framework Implementation: Case Study Francisco Si Seixas Nt Neto, ITIL Service Manager, CGEIT, CISA, PMP com

2 Objetivos Presentar una experiencia de implantación de Gestión de riesgos basada en el Risk IT en Banca

3 Objetivo del proyecto Construir un Framework, basado en Risk IT de la ITGI, que fornezca una base para Gestión de Riesgo con visión de Negocio Evolucionar desde un proceso de Gestión de Controles hacía un proceso de Gestión de Riesgo Elaborar un Modelo Operativo, a partir de la visión del Framework, que permita la implantación de algunos procesos en el corto plazo Realizar o roll-out del Modelo Operativo

4 Premisas Alineamiento con la Metodología de Gestión de Controles Internos e Compliance Ampliación del modelo existente visando foco en Negocio Utilización del ciclo PDCA para a Gestión de Actuación del Área de Gobierno como inductora del nivel de madurez de las otras áreas

5 Abordaje de Riesgo Risk IT

6 Abordaje de Riesgo Risk IT Innovación Proyectos Tecnología como capacitadora de nuevas iniciativas de negocio De operaciones más eficientes Cualidad de los proyectos Relevancia de los proyectos Servicios Interrupción de los servicios Seguridad Compliance

7 Abordaje de Riesgo Risk IT

8 Macro Proceso Priorizar Alcance de los Riesgos Levantar Informaciones de Recibir Análisis Cualitativa de Definir Planes de Respuesta a l os P Definir Baseline de Definir Alertas D Monitorear Baseline de Riesgos Enviar Seguimiento de C A Revisar Análisis Cualitativa de Elaborar Informe de Seguimiento de Baseline de Riesgos

9 Priorizar Alcance de los Riesgos Proceso Priorizar Alcance

10 Proceso Priorizar Alcance Priorizar Alcance de los Riesgos Criteriosde Selección: Entendimiento de la Diretoria Ejecutiva Posibilidad de Seguimiento Definido a través de la selección de un conjunto de servicios de Negocio. Se propone la utilización de la lista de servicios definidos para Seguimiento de disponibilidad

11 Procesos para Obtener Informaciones Priorizar Alcance dos Levantar Informaciones de Recibir Análisis Cualitativa de Definir Planes de Respuesta a los P Servicio definido Definir Baseline de Definir Alertas D Monitorear Baseline de Riesgos Enviar Seguimiento de C Revisar Análisis Cualitativa de A Elaborar Informe de Seguimiento de Baseline de Riesgos

12 Procesos para Obtener Informaciones Levantar Informaciones de Recibir Análisis Cualitativa de Servicio definido

13 Procesos para Obtener Informaciones Levantar Informaciones de Recibir Análisis Cualitativa de Servicio definido Proceso de Gestión de Riesgos Proceso de Madurez Proceso de Gestión de Riesgos Análisis de los procesos que suporta el servicio Riesgo de los procesos Riesgo oriundo de los procesos e del histórico de incidentes Levantamiento de los Proyectos relacionados al servicio Levantamiento das innovaciones relacionadas al servicio Riesgo de Proyectos Riesgo de Innovación Riesgo de negocio derivado de la no realización o atraso del Proyecto Riesgo positivo o negativo oriundo de innovaciones Baselin ne de Riesgo

14 Procesos para Obtener Informaciones Levantar Informaciones de Recibir Análisis Cualitativa de Proceso de Madurez Risco dos procesos Risco oriundo dos procesos de TI e del histórico de incidentes Servicio definido Business Requerimientos Información procesos Controlados por Objetivos de controle Key Performance Indicators Key Goals Indicators Modelo de Madurez Activity goals Audit guidelines Prácticas de controle

15 Procesos para Obtener Informaciones Levantar Informaciones de Recibir Análisis Cualitativa de Proceso de Madurez Risco dos procesos Risco oriundo dos procesos de TI e del histórico de incidentes Servicio definido Hay procesos (Cobit) que son comunes a todos los servicios. Los Riesgos generados por esos procesos son iguales para todos os servicios. Análisis de los procesos que suportan el servicio Hay procesos (Cobit) que son específicos para cada servicio: por lo tanto son los que importan para evaluar comparativamente o Riesgo. Cada proceso Cobit pode ser evaluado segundo su Madurez e su performance. A estos factores deben ser acrecidos el Análisis de frecuencia de los incidentes no servicio para se aproximar del análisis de los resultados reales.

16 Procesos para Obtener Informaciones Levantar Informaciones de Recibir Análisis Cualitativa de Proceso de Madurez Risco dos procesos Risco oriundo dos procesos de TI e del histórico de incidentes Indicadores de Performance Obtenido de la lista de indicadores que serán verificados Servicio definido Proceso Tipo de indicador Descripción del Atributo DS8 Manage Service Desk KPI % de incidentes e requisiciones de servicio and Incidents reportados a través de herramientas automatizadas. DS8 Manage Service Desk KPI Backlog de chamadas no resueltas. and Incidents DS8 Manage Service Desk KGI % de resolución de 1 nivel con relación al and Incidents número total de pedidos. DS8 Manage Service Desk and Incidents DS8 Manage Service Desk and Incidents DS8 Manage Service Desk and dincidents DS4 Ensure Continuous Service KGI KGI IT KGI IT KPI % de incidentes reabiertos. Nivel de satisfacción de los usuarios con el suporte de primero Nivel (service desk ou base de conocimiento). % de los incidentes resueltos no período de tempo aceptable / acordado. d Horas de entrenamiento anuales en Continuidad por empleado relevante. Madurez Calculado por la metodologíadegestión de de Madurez de Procesos

17 Procesos para Obtener Informaciones Levantar Informaciones de Recibir Análisis Cualitativa de Proceso de Madurez Risco dos procesos Risco oriundo dos procesos de TI e del histórico de incidentes Servicio definido Madurez Calculado por la metodologíadegestión de de Madurez de Procesos

18 Procesos para Obtener Informaciones Levantar Informaciones de Recibir Análisis Cualitativa de Proceso de Madurez Risco dos procesos Risco oriundo dos procesos de TI e del histórico de incidentes Servicio definido Performance de los procesos que suportan el servicio Histórico de incidentes Evalúa la performance de los factores críticos de éxito del proceso Retrata la frecuencia real de los incidentes e perdidas Cuanto mayor la incidencia Cuanto mejor la performance Menor la probabilidad de perdidas Mayor el riesgo Probabilidad de Madurez de los procesos que suportan el servicio Mensura a sustentabilidad bld dde los resultados obtenidos Cuanto mayor la Madurez Menor el riesgo

19 Procesos para Obtener Informaciones Levantar Informaciones de Recibir Análisis Cualitativa de Proceso de Madurez Risco dos procesos Risco oriundo dos procesos de TI e del histórico de incidentes Servicio definido Riesgo Inherente Obtenido por los ingresos generados por el servicio Impa acto Bajo Media ano Alto Baja Mediana Alta Probabilidad

20 Procesos para Obtener Informaciones Riesgo Inherente Alto Impacto Mediano Acciones de Mitigación Riesgo Residual jo Baj Baja Mediana Alta Probabilidad Controles

21 Procesos para Obtener Informaciones Levantar Informaciones de Recibir Análisis Cualitativa de Servicio definido Riesgos Riesgos Proyectos Innovaciones

22 Procesos para Obtener Informaciones Priorizar Alcance dos Riesgos Levantar Informaciones de Recibir Análisis Cualitativa de Definir Planes de Respuesta a los P Servicio definido Definir Baseline de Definir Alertas D Monitorear Baseline de Riesgos Enviar Seguimiento de C A Revisar Análisis Cualitativa de Elaborar Informe de Seguimiento de Baseline de Riesgos

23 Governança Procesos para Definir Baseline Riesgos Definir Planes de Resposta aos Servicio definido Definir Baseline de Definir Alertas

24 Procesos para Definir Baseline Riesgos Definir Planes de Resposta aos Definir Baseline de Servicio definido Definir Alertas

25 Procesos para Definir Baseline Riesgos Definir Planes de Respuesta a los Proyect to In nnovación Riesgo 1 Riesgo 2 Riesgo n Riesgo 1 Riesgo 2 Riesgo n Riesgo 1 Definir Baseline de Servicio definido Definir Alertas Alertas KRI Acción Já existentes DGRC Proyectos Já existentes de Mejorías Áreas Nuevos Proyectos serv vicio Riesgo 2 Riesgo n Oportunidades Nuevos Controles e Revisión de los Actuales

26 Procesos para Definir Baseline Riesgos Priorizar Alcance dos Riesgos Levantar Informaciones de Recibir Análisis Cualitativa de Definir Planes de Respuesta a los P Definir Baseline de Definir Alertas D Monitorear Baseline de Riesgos Enviar Seguimiento de C A Revisar Análisis Cualitativa de Elaborar Informe de Seguimiento de Baseline de Riesgos

27 Proceso de Monitoreo Monitorear Baseline de Riesgos Enviar Seguimiento de

28 Proceso de Monitoreo Monitorear Baseline de Riesgos Enviar Seguimiento de

29 Proceso de Monitoreo Monitorear Baseline de Riesgos Enviar Seguimiento de Áreas Ejecución y Reporte GTI Seguimiento

30 Proceso para Acciones Correctivas Priorizar Alcance dos Riesgos Levantar Informaciones de Recibir Análisis Cualitativa de Definir Planes de Respuesta a los P Definir Baseline de Definir Alertas D Monitorear Baseline de Riesgos Enviar Seguimiento de C Revisar Análisis Cualitativa de A Elaborar Informe de Seguimiento i de Baseline de Riesgos

31 Proceso para Acciones Correctivas Revisar Análisis Cualitativa de

32 Proceso para Acciones Correctivas Revisar Análisis Cualitativa de

33 Proceso para Acciones Correctivas Proceso de Madurez Revisar Análisis Cualitativa de Risco dos procesos Risco oriundo dos procesos de TI e del histórico de incidentes Riesgo Inherente Impacto Alto Mediano Acciones de Mitigación Riesgo Residual Bajo Baja Mediana Alta Probabilidad Controles

34 Proceso para Acciones Correctivas Priorizar Alcance dos Riesgos Levantar Informaciones de Recibir Análisis Cualitativa de Definir Planes de Respuesta a los P Definir Baseline de Definir Alertas D Monitorear Baseline de Riesgos Enviar Seguimiento de C Revisar Análisis Cualitativa de Riesgos A Elaborar Informe de Seguimiento de Baseline de Riesgos

35 Proceso de Reporte Elaborar Informe de Seguimiento de Baseline de Riesgos

36 Proceso de Reporte Elaborar Informe de Seguimiento de Baseline de Riesgos

37 Proceso de Reporte Elaborar Informe de Seguimiento de Baseline de Riesgos

38 Resultados Esperados Para el Banco Elaborar los Planes de Mejorías considerando d los escenarios de Riesgos Subsidiar decisiones de inversiones en TI con base en Análisis de los relacionados al negocio Apoyo a la toma de decisiones de negocio por medio de un proceso de comunicación eficaz de los Mensurar o enderezamiento de los (KRI s) Identificación e predicción de los en relación a servicios, Proyectos e Innovación

39 Prueba de Concepto Para el Banco Aplicado para un servicio i Parcialmente al proceso PDCA 2 meses Criterios de análisis previamente definidos Priorizar Alcance dos Riesgos Levantar Informaciones de Recibir Análisis Cualitativa de Definir Planes de Respuesta a los P Definir Baseline de Definir Alertas D Monitorear Baseline de Riesgos Enviar Seguimiento de C Revisar Análisis Cualitativa de Riesgos A Elaborar Informe de Seguimiento de Baseline de Riesgos

40 Prueba de Concepto Criterios evaluados Facilidad de obtención de informaciones para determinación do riesgo Facilidad de obtención d los indicadores propuestos para evaluación de los riesgo Evaluación de los templates utilizados Evaluación de la consistencia i del resultado final Evaluación de la relevancia do resultado final Evaluación de la posibilidad de envolvimiento de las áreas No Atiende Atiende Parcial Atiende Total Observaciones Se ha obtenido un bueno nivel de envolvimiento nos levantamientos de los riesgos inherentes a las Innovaciones, Proyectos e Servicios. De 47 indicadores propuestos como Atributos riesgo (Indicador), solamente 3 estaban disponibles para utilización no cálculo de evaluación de los riesgos. Todos los templates previstos para el uso da PoC han sido utilizados e estaban parcialmente adecuados al uso, precisando ser parcialmente revistos. El resultado final no presentó consistencia para ser presentado o discutido con las otras áreas ocon la Diretoria Ejecutiva. Los resultados obtenidos todavía no son relevantes o suficiente para ser levado en cuenta como base para toma de decisiones o priorización de acciones en TI. Percibe-se buena dedicación e envolvimiento de los departamentos en la PoC (reuniones, cuestionarios, dudas, apoyo de los puntos focales, etc.).

41 Gobierno y Gestión del Valor Francisco Seixas Neto, ITIL Service Manager, CGEIT, CISA, PMP francisco.seixas@egvconsultoria.com.br com/egvconsultoria 41