Gestión de Riesgos de TI Un enfoque desde el marco de trabajo COBIT 5 Eduardo Oscar Ritegno Banco de la Nación Argentina

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Gestión de Riesgos de TI Un enfoque desde el marco de trabajo COBIT 5 Eduardo Oscar Ritegno Banco de la Nación Argentina"

Javier Fuentes Henríquez
hace 8 años
Vistas:

1 Gestión de Riesgos de TI Un enfoque desde el marco de trabajo COBIT 5 Eduardo Oscar Ritegno Banco de la Nación Argentina Gestión de Riesgos de TI 1

2 Gestión de Riesgos de TI Conceptos Primarios Riesgo de TI El Riesgo esta presente en todas las actividades que se desarrollan en TI. Los Bancos dependen de su información y de los Sistemas que lo Soportan. Por lo tanto el riesgo de TI es riesgo de negocio. La administración del riesgo debe ser transversal a la Organización (Proceso End to End ) El Riesgo de TI básicamente puede ser categorizado como: Asociado a los beneficios y posibilidades que brinda TI Asociado a la entrega de programas y proyectos de TI Asociado a la operación diaria/entrega de servicios de TI Gestión de Riesgos de TI 2

La administración del riesgo debe ser transversal a la Organización (Proceso End to End ) El Riesgo de TI básicamente puede ser categorizado como:

3 Gestión de Riesgos de TI La creación de Valor Las empresas deben crear valor, como objetivo de Gobierno. Realizar los beneficios, Optimizando el uso de los recursos a la vez que se optimiza el Riesgo (Niveles de tolerancia aceptados por la política de Gobierno establecida por el directorio) La gestión de riesgos no puede verse como un proceso aislado Es parte integrante de la creación del valor Tiene influencia directa en los otros componentes de Gobierno Gestión de Riesgos de TI 3

aceptados por la política de Gobierno establecida por el directorio) La gestión de riesgos no puede verse como un proceso

4 Gestión de Riesgos de TI Gobierno de TI Para lograr un programa efectivo de Gestión de Riesgos de TI básicamente se debe buscar un balance enfocándose en: Las políticas y procesos con buenos estándares de cumplimiento de las legislaciones y regulaciones El soporte a los objetivos del negocio Desempeño Integración con el Gobierno Corporativo Complementar estos esfuerzos con El soporte de la Tecnología de la Información. La educación de los recursos. Cumplimiento Esto se logra con un enfoque consistente, integrado y alineado con el gobierno de la empresa. Garantizar que las decisiones de TI se han tomado en línea con los objetivos. Garantizando la supervisión de los procesos de manera efectiva y transparente y el cumplimiento. COBIT 5.0 Proceso EDM01 Área Gobierno Gestión de Riesgos de TI 4

la Tecnología de la Información. La educación de los recursos. Cumplimiento Esto se logra con un enfoque consistente, integrado y alineado con el gobierno de la empresa.

5 Gestión de Riesgos de TI Gobierno de TI Desarrollo de Software Derechos de Acceso Protección de Activos de Información Seguridad Física Las instituciones financieras requieren un acercamiento estructurado al tratamiento del Riesgo de TI para administrar los múltiples escenarios de riesgo y otros muchos desafíos. Un buen Gobierno de TI asegurará estar alineados con los objetivos del negocio, un buena Gestión Gerencial y un monitoreo efectivo de la gestión de riesgo para mantenerse encarriladas y evitar las sorpresas. Gestión de Riesgos de TI 5

escenarios de riesgo y otros muchos desafíos.

6 Gestión de Riesgos de TI Infraestructura y Servicios Gestión de Riesgos de TI 6

7 Gestión de Riesgos de TI Las tres líneas de defensa Operaciones / Gerencia General Junta / Directorio / Comité de Riesgos 1er línea de defensa 2da línea de defensa 3er línea de defensa Operaciones Oficial de Riesgos (CRO) Auditoria Auditoria Externa Reguladores Grupo empresarial de Riesgos Cumpli_ miento En la practica una sola línea de defensa no es suficiente para la Gestión y Función de Riesgos. Los cuerpos de Gobierno no participan en las tres líneas de defensa. Gestión de Riesgos de TI 7

Externa Reguladores Grupo empresarial de Riesgos Cumpli_ miento En la practica una sola línea de defensa no es suficiente

8 Gestión de Riesgos de TI Las tres líneas de defensa LA PRIMERA LÍNEA DE DEFENSA: GESTIÓN OPERATIVA. Los gerentes operativos de TI poseen y gestionan los riesgos. Son responsables de implementar acciones correctivas para abordar el proceso y las deficiencias de control. Se encargan del mantenimiento efectivo de controles internos, ejecutar procedimientos de riesgo y el control sobre una base del día a día. Identifica, evalúa, controla y mitiga los riesgos, orienta el desarrollo e implementación de políticas y procedimientos internos y asegura que las actividades sean compatibles con las metas y objetivos. LA SEGUNDA LINEA DE DEFENSA: LA FUNCIÓN DE RIESGO Y FUNCIONES DE CUMPLIMIENTO. La función de gestión de riesgos (y/o comité) facilita y supervisa la aplicación de la gestión eficaz de los riesgos, prácticas de gestión operativa y dar asistencia de riesgos a los dueños en la definición del objetivo de la exposición al riesgo y la notificación adecuada de riesgos relacionados con la información en toda la organización. LA TERCER LINEA DE DEFENSA: LA AUDITORIA La función de Auditoría provee una evaluación independiente de la gestión y función de riesgos. Informan a los órganos de Gobierno o Dirección respecto de la eficacia de estas actividades. Gestión de Riesgos de TI 8

Se encargan del mantenimiento efectivo de controles internos, ejecutar procedimientos de riesgo y el control sobre una base del día a día.

9 Gestión de Riesgos de TI Procesos COBIT 5.0 Gestión de Riesgos de TI 9

10 Gestión de Riesgos de TI Las dos perspectivas del riesgo Gerenciamiento de Riesgo CATALIZADORES CORPORATIVOS Funcion de Riesgo Toma en cuenta los procesos principales de Gobierno y Gestión de Riesgo y los escenarios de riesgo. Ej: EDM03 / APO12 Describe como el riesgo puede ser mitigado haciendo uso de los Catalizadores Corporativos en COBIT 5 Describe como construir y sostener la función de Riesgo en la empresa haciendo uso de los procesos de Soporte en COBIT 5 Ej: EDM01 / APO01 Describe como se usan los Catalizadores Corporativos para este propósito. (Enablers) Los catalizadores corporativos son recursos corporativos que tienen que ser gestionados y gobernados. Se debe considerar un conjunto interconectado de catalizadores con el fin de alcanzar las metas corporativas. Gestión de Riesgos de TI 10

Ej: EDM03 / APO12 Describe como el riesgo puede ser mitigado haciendo uso de los Catalizadores Corporativos en COBIT 5 Describe como construir y sostener la función de Riesgo en la empresa haciendo

11 Gestión de Riesgos de TI Procesos COBIT 5.0 Procesos COBIT5 para Riesgo Proporcionan una guía básica sobre cómo definir, operar y supervisar un sistema de gestión de Riesgo. Supone que la gestión de riesgos un fenómeno generalizado en toda la empresa, con aspectos de relacionados en todas las actividades y procesos realizados. Entregan metas y métricas de TI con sus actividades, relaciones y matrices RACI de responsabilidad para cada proceso. Entrega prácticas de gestión o de gobierno detalladas para cada uno de los 37 procesos definidos en el modelo Son un apoyo al Gobierno de la TI y la Gestión de los Riesgos. Cobit 5.0 Considera al Gobierno y la Gestión de los Riesgos como parte integrante del marco de Gestión de la Tecnología de la Información. Gestión de Riesgos de TI 11

Entregan metas y métricas de TI con sus actividades, relaciones y matrices RACI de responsabilidad para cada proceso.

12 Gestión de Riesgos de TI Procesos COBIT 5.0 La Gestión del Riesgo (2 Procesos de Soporte). Procesos atinentes a las dos perspectivas Evaluar Orientar y Supervisar (EDM) (Gobierno) EDM03 Asegurar la optimización del Riesgo Alinear Planear y Organizar (APO) (Gestión) APO12 Gestionar los riesgos La Función de Riesgo (13 Procesos de Soporte) (Se citan dos) Evaluar Orientar y Supervisar (EDM) (Gobierno) EDM01 Asegurar el establecimiento y mantenimiento de un marco de Gobierno Alinear Planear y Organizar (APO) (Gestión) APO01 Gestionar la Estrategia Gestión de Riesgos de TI 12

Planear y Organizar (APO) (Gestión) APO12 Gestionar los riesgos La Función de Riesgo (13 Procesos de Soporte) (Se citan dos) Evaluar Orientar y

13 Gestión de Riesgos de TI Escenarios de Riesgo COBIT5 establece que los Escenarios de Riesgo son una pieza de información clave para la Gestión de Riesgos (definida en el proceso APO12) COBIT 5 define 20 categorías de Escenarios de Riesgo. COBIT 5 mide los Escenarios de Riesgo en función de su impacto primario o secundario a las tres categorías de riesgo explicadas al inicio. Son una descripción de los eventos que afectan con un impacto no determinado en el logro de los objetivos empresariales. Los objetivos de negocio se deben validar contra los posibles escenarios como parte de la actividades de análisis de Riesgo de TI (gestión Top/Down) La lista de escenarios de riesgo se debe utilizar para definir una cantidad de escenarios relevantes adaptados a la empresa (gestión Bottom/Up) Gestión de Riesgos de TI 13

Son una descripción de los eventos que afectan con un impacto no determinado en el logro de los objetivos empresariales.

14 Gestión de Riesgos de TI Categorización de Escenarios Establecimiento y mantenimiento del Portfolio de Proyectos La Gestión del ciclo de vida de los Proyectos El Proceso decisorio de las inversiones de TI Experiencia y habilidades de los recursos de TI Operaciones del personal (Abusos e Intentos Maliciosos) Información (Filtraciones, Perdidas, Accesos Indebidos) Arquitectura de TI (Visión y Diseño) Infraestructura (Hardware, Software, Selección, Implementación y Baja de Sistemas) Software (Ciclo de Vida) Ineficaz pertenencia del negocio de TI (Compras Departamentales, Requerimientos inadecuados) Selección de Proveedores de TI Cumplimiento Regulatorio Geopolítica (Interferencia Gubernamental, Acciones dirigidas) Robo de Infraestructura Malware Ataques Lógicos (Espionaje Industrial, Virus) Acción Industrial (Huelgas, Paros directos o indirectos) Entorno (Equipamiento no amigable con el entorno) Actos de la naturaleza Innovación (Tendencias) Gestión de Riesgos de TI 14

Diseño) Infraestructura (Hardware, Software, Selección, Implementación y Baja de Sistemas) Software (Ciclo de Vida) Ineficaz pertenencia del negocio de TI (Compras Departamentales, Requerimientos

15 Gestión de Riesgos de TI - Factores de Riesgo Internos Capacidad de Gerenciamiento de Riesgos de TI Indicador de cuan bien la Organización ejecuta los procesos clave de riesgo utilizando los catalizadores corporativos asociados. Tiene impacto en las decisiones de riesgo empresariales. Tiene impacto en la presencia o ausencia de controles y su efectividad. Capacidad de la TI Indicador de la capacidades relacionadas a la Tecnología de la información. Un mayor nivel de madurez impacta en mayor capacidad de los procesos de TI. Reduce la frecuencia de los eventos Reduce el impacto empresarial cuando los eventos ocurren. Gestión de Riesgos de TI 15

Tiene impacto en la presencia o ausencia de controles y su efectividad.

16 Gestión de Riesgos de TI Modelo de Evaluación Modelo de evaluación de Procesos COBIT 5 basado en la ISO Gestión de Riesgos de TI 16

17 Preguntas MUCHAS GRACIAS! EDUARDO OSCAR RITEGNO Gerente Departamental de Análisis y Desarrollo de Sistemas eritegno@bna.com.ar Gestión de Riesgos de TI 17

Documentos relacionados

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los