Gestión del Riesgo Operativo – Seguridad de la información

Jorge A. Aguilar

Contenido.

1. Objetivo

2. Gestión del Riesgo Operativo

3. Estándares y Prácticas para la Gestión de Riesgo Operativo y Seguridad de la Información

4. Estrategia para la Gestión de Riesgos y Seguridad de la Información

5. Consideraciones

2

Para abrir apetito ….¿Cuánto tiempo podría operar su Organización sin

información, infraestructura de TI, teléfonos, oficinas o personal?

¿Cuántos incidentes se presentan en su Empresa?

¿De qué tipo?

¿Cómo afectan a los procesos, actividades y resultados de la Organización?

¿La empresa está preparada para dar respuesta a estos incidentes?

¿Es necesario realizar una Gestión de:

• Riesgo Tecnológico

• Continuidad del Negocio

• Gestión de Riesgo Operativo?

3

4

Procesos, Tecnología, Riesgos …oConceptos cuyo origen es la manufactura en serie

oProducción basada en procesos

oConexión en diferentes etapas de la producción

oFundamentos del Análisis de Procesos:

• Línea de Ensamblaje• Sistematización• Desarrollo de Estándares• Estandarización.

5

Procesos, Tecnología, Riesgos y …

¡¡¡ Tecnología de Información !!!

•Respecto a la TI, muchas empresas están en el “antier”

•Falta de entendimiento y definición de procesos de TI en la Organización

•Inversión en TI sin alineación a objetivos y prioridades del Negocio

•Incidentes, pérdidas, escándalos y mayor regulación debido a la creciente dependencia de las Organizaciones en la TI

El Riesgo:o Es incertidumbre acerca de futuros resultados

o La vida diaria de un ser humano está llena de riesgos.

o Ni el hombre ni las organizaciones que él crea, pueden vivir sin “gestionar riesgos”.

o El no tomar conciencia de los riesgos asumidos, no significa que no estén presentes.

o Para toda acción la pregunta no es si tomar o no tomar riesgos, sino “cuáles riesgos asumir”y “cuáles mitigar”.

6

7

Amenazas.

oHumanas

• Sabotaje

• Actos Criminales

• Manifestaciones

oInfraestructura

• Fallas Eléctricas

• Fallas en Telecomunicaciones

• Fallas en Infraestructura de Servicios y Recursos de TI

oNaturales• Inundaciones• Terremotos• Pandemia

Algunos ejemplos …

8

9

1. Objetivo

“El no tomar conciencia de los riesgos asumidosno significa que no estén presentes … (cosas pasan)”

1. Objetivo.Examinar las mejores prácticas y desarrollo

más recientes en la Administración del Riesgo Operativo y Seguridad de la Información.

10

11

2. Gestión de Riesgo Operativo

“Por que el ser humano prefiere creer en aquello que prefiere sea verdad”- Más vale demostrarlo -

12

2.1. Antecedentes.o Comité de Basilea

o El Riesgo Operativo no había sido considerado como parte del marco integral de Administración de Riesgos.

o Salvo en circunstancias específicas, los riesgos operativos no habían sido motivo de preocupación de la alta dirección, clientes o accionistas.

o El Riesgo Operativo es difícil de medir y cuantificar.

o Regulaciones recientes enfatizan la medición y administración proactiva del Riesgo Operativo.

13

2.2. Propósito.

oLa organización debe: Conocer su “perfil de riesgo”. Identificar las causas de aquellas situaciones que representen una exposición extrema. Evaluar y determinar acciones de manera proactiva.

14

2.3. Definiciones.

o Riesgo Operativo.

Riesgo de pérdida resultante de una falta de adecuación o una falla de los procesos, el personal y los sistemas internos o bien de acontecimientos externos.

o Riesgo Tecnológico.

Pérdida potencial por daños, interrupción, alteración o fallas derivadas del uso o dependencia en el hardware, software, sistemas, aplicaciones, redes y cualquier otro canal de distribución de información en la prestación de servicios bancarios con los clientes de la Institución.

Tipología de eventos de pérdida según Basilea II

Fraude Interno

Fraude Externo

Relaciones laborales y seguridad en el puesto de trabajo

Prácticas con clientes, productos y negocios

Daños en Activos y Materiales

Fallas en Sistemas

Ejecución, entrega y Administración de Procesos

1

2

3

4

5

6

7

16

3. Estándares y Prácticas para la Gestión de Riesgo Operativo y Seguridad de la Información“El error está en aquel dato obviamente correcto que no necesita verificación”

17

3.1 ERM (Enterprise Risk Mgmt)o COSO ERM (Committee of Sponsoring

Organization of the Treadway Commission

o COSO publicó el “Enterprise Risk Management Integratred Framework”

o Modelo tridimensional que establece cuatro categorías de objetivos, ocho componentes de la gestión de riesgos, y unidades de la entidad

o Proporciona una basta y útil información para desarrollar y operar el proceso de Gestión de Riesgos

o Segmenta la Gestión de Riesgos en alcances específicos, simplificando el análisis e implementación de soluciones.

Monitoring

Information & Communication

Control Activities

Risk Response

Risk Assessment

Event Identification

Objective Setting

Internal Environment

STRATEGIC

OPERATIONS

REPORTING

COMPLIANCEE

NTITY LE

VE

L

DIV

ISIO

N

BU

SIN

ES

S U

NIT

SU

BS

IDIA

RY

18

3.2 AAIRMo Compendio de tres organizaciones: AIRMIC

(Association of Insurance and Risk Managers), la ALARM (National Forum for Risk Management in the Public Sector), y el IRM (Institute of Risk Management)

o Inicia desde los objetivos estratégicos de la organización y es soportado por auditorías formales.

o Incluye un apéndice con una relación de técnicas de identificación de riesgos, así como métodos para el análisis de riesgos.

o Descripción detallada de las etapas y actividades requeridas para la administración de riesgos.

19

3.3. AS/NZ 4360o Estándar Australiano / Neo Zelandés

o Inició en 1995, segunda edición en 1999 y una versión publicada en Agosto del 2004.

o Agrega referencias a actividades para el establecimiento del contexto del proceso, comunicación y consulta de resultados, carece de referencias específicas a roles y responsabilidades disponibles en el AAIRM.

Establish the Context

Identify Risks

Evaluate Risks

Analyse Risks

Treat Risks

20

3.4. ISO/IEC 31000o Proporciona principios y lineamientos generales

para la Gestión de Riesgos

o Puede utilizarse para todo tipo de Organización y en cualquier ámbito (estrategias, servicios, productos, procesos, proyectos)

o Para todo tipo de riesgo

Process(Clause 5)

Establishingthe context (5.3)

Risk treatment(5.5)

Riskidentification

(5.4.2)

Risk analysis(5.4.3)

Riskevaluation

(5.4.4)

Risk assessment(5.4)

Monitoring

&

review

(5.6)

Comunication&consultation

5.2

21

3.5. GRCo Governance, Risk & Compliance

o Fomentado por diversos Corporativos

o Alcance Organizacional

22

3.7. ISO/IEC 27000o Activos de Información = VALOR para la

Organización

o Proporciona un Marco de Gestión para la Seguridad de la Información

• Metódico• Documental• Objetivos y resultados claros• Gestión de Riesgos

o Preservar la Confidencialidad, Integridad y Disponibilidad de la Información :

• 11 dominios• 39 objetivos de control • 133 controles

23

ISO/IEC 27000: Información Protegida

Adquisición, Desarrollo y Mantto de Sistemas

Adquisición, Desarrollo y Mantto de Sistemas

Gestión de Comunicac. y Operaciones

Gestión de Comunicac. y Operaciones

Continuidad del NegocioContinuidad del NegocioGestión deRecursos Humanos

Gestión deRecursos Humanos

CumplimientoCumplimiento

Gestión de ActivosGestión de Activos

Organizaciónde la SeguridadOrganización

de la Seguridad

Control de AccesosControl de Accesos

Política de SeguridadPolítica de Seguridad

Operación

Gestión

Gestión de Incidentes de SeguridadGestión de Incidentes de Seguridad

Gestión de Seguridad Física y Ambiental

Gestión de Seguridad Física y Ambiental

Gestión de RiesgosGestión de Riesgos

24

ISO/IEC 27000: Información Protegida

25

4. Estrategia para la Gestión de Riesgos y Seguridad de la Información

“El riesgo está delante de la Organización, no atrás”

26

4.1. Modelo de Gestióno La Gestión de Riesgos no es reciente.

o Eventos y pérdidas recientes en el mercado en general y en las instituciones financieras, le han brindado gran popularidad.

o Pérdidas y Regulaciones, han implicado la creación de una mayor conciencia sobre la importancia de la Gestión de Riesgos

o La mayoría de las empresas en Latinoamérica, se encuentran en “etapas preliminares del diseño”, de lo que puede denominarse un “Modelo de Gestión de Riesgos”.

Integración de las gestiones cualitativas y cuantitativas.

Desarrollo de Indicadores y auto – evaluaciones.

Cálculo de capital con modelos avanzados.

Identificación de riesgos, mapa de riesgos y seguimiento.

Desarrollo del modelo de cuantificación.

Concientización sobre la importancia del riesgo Operativo.

Definición de la estructura organizacional y políticas.

Registro y seguimiento de eventos de pérdida y riesgos.

1. CULTURA 2. GESTIÓN CUALITATIVA

3. GESTIÓN CUANTITATIVA

27

4. Medición del Riesgo y Registro de Eventos

2. dentificación de

Riesgos y Controles1. P

olíticas y

Procedimientos

3. E

valu

ació

n de

R

iesg

os5. Seguim

iento a Riesgos

y Eventos de Pérdida

Información para la Toma de Decisiones

4. Medición del Riesgo y Registro de Eventos

2. Identificación de

Riesgos y Controles1. P

olíticas y

Procedimientos

3. E

valu

ació

n de

R

iesg

os5. Seguim

iento a Riesgos

y Eventos de Pérdida

Información para la Toma de Decisiones

4.1. Modelo de Gestión de Riesgo Operativo

28

4.2. Sensibilizacióno Comprender a la Organización y su entorno

o Determinar el “Perfil de Riesgo”

o Identificar el “Apetito de Riesgo”.

29

4.3. Definición de Estrategiao Comprender la “Cultura de la Organización”

como parte sustantiva del desarrollo de la Estrategia

o Establecer Planes a Mediano y Largo Plazo.

o Definir con la Organización objetivos a Mediano y Largo Plazo (“estado deseado”)

o Establecer la capacidad y disponibilidad requerida, del personal relacionado con la Estrategia.

EstrategiaRiesgos

Barreras (Organización)

Objetivo de Control

Información Protegida

30

4.4. Desarrollo de Estrategiao Definir el Marco de Gestión

o Determinar si la Estrategia requerirácomponentes operativos

o Establecer el flujo de información de la Estrategia

o Identificar necesidad de contratación de servicios

o Establecer y dar seguimiento puntual al personal y actividades de la Estrategia.

31

4.5. Establecimiento de Indicadoreso Establecer el “valor” para la Organización que

debiera obtenerse con una actividad y, definir el objetivo de control a utilizar, para determinar la consecución del “valor”

o Hacer uso de estándares y prácticas como referencia al desarrollo de la Estrategia

o Evaluar la “madurez del proceso”

32

4.6. Implementación y Operacióno Establecer con la Organización, el nivel de

cumplimiento de la Estrategia

o Determinar acciones a seguir en casos de incumplimiento

o Dar seguimiento al más alto nivel de la Organización

o Verificar que la comunicación sea apropiada

o Desarrollar programas de concientización y formación

o Realizar Auditorías y dar seguimiento puntual a sus resultados.

33

5. Consideraciones

34

CUMPLIMIENTO DESEMPEÑO

ORGANIZACIÓN

5.1 Equilibrio Control Vs Operación

5.2 Factores de Éxito.

• Generar conciencia en la Organización• Establecer la Gestión como proceso

inherente a actividades y a la información• Definir una Metodología clara y

estructurada• Establecer roles y responsabilidades• Implementar la Gestión de Incidentes• Revisar y auditar con un enfoque de

mejora continua.

5.3 Beneficios.• Reduce pérdidas y reservas de capital• Reduce riesgos a niveles aceptables• Contribuye a mejorar procesos y servicios• Reduce Costos

o Mejora la percepción y confianza de la Organización

35

Lic. Jorge A. Aguilar Frías.CISM, CISA, ITSM.j.aguilar@inlac.org044.55.35.57.32.93