1. Sistemas de información y la gestión de riesgo Administración Integral de Riesgo Corporativo Fidel Hernández, CISA México D.F. Junio 16, 2009
2. Agenda Administración de riesgos y la tecnología de información (TI) ¿Qué es diferente? Proceso de Administración de riesgos de TI Relevancia de TI en los procesos de la entidad Identificación de riesgos de TI Ciclo de vida de los sistemas (SDLC) Evaluación de riesgos dos enfoques Opciones de manejo de riesgos La seguridad de información y la gestión de riesgos 10/06/2009 Page 2 Administración Integral de Riesgo Corporativo
3. Administración de riesgos una definición “… un proceso ejecutado desde el consejo de administración y la gerencia, hasta el personal operativo; aplicado como una estrategia de la empresa, diseñado para identificar eventos potenciales que pudieran dañar a la entidad; para otorgar aseguramiento razonable del logro de la misión y los objetivos de la entidad.” Fuente: COSO Enterprise Risk Management – Integrated Framework 2004 10/06/2009 Page 3 Administración Integral de Riesgo Corporativo
4. ¿Qué es diferente con la tecnología de información? La tecnología permea efectivamente las operaciones de una organización. Habilita los procesos clave que permiten la entrega de sus productos y servicios. Soporta las operaciones, procesos de reporte financiero y provee información para la toma de decisiones. 10/06/2009 Page 4 !Suena importante! Administración Integral de Riesgo Corporativo
5. ¿Qué es diferente con la tecnología de información?... El proceso de ERM deberá considerar la importancia de la tecnología en la estrategia total de la organización. La identificación de riesgos de TI en el contexto de toda la empresa, cambia laprotección de activos de información por el aseguramiento de procesos clave en los que TI es fundamental. 10/06/2009 Page 5 No es un asunto exclusivo del área de TI Administración Integral de Riesgo Corporativo
6. Proceso de Administración de riesgos de TI 10/06/2009 Page 6 Administración Integral de Riesgo Corporativo
7. Relevancia de TI en los procesos de la organización 10/06/2009 Page 7 Entendiendo el papel de TI como habilitador de procesos clave se podrá entender la relevancia de los riesgos de TI para la organización. Los riesgos de TI se encuentran entrelazados a los procesos clave de operación, y deben ser analizados en forma holística. Un enfoque holístico en el manejo de los riesgos de IT, resultara en mejores estimaciones de valor e impacto de procesos y no solo de activos de información. Administración Integral de Riesgo Corporativo
11. 10/06/2009 Page 11 Ciclo de desarrollo de sistemas Como lleno su requerimiento el usuario Como lo entendió el líder del proyecto Como lo diseñó el analista de sistemas Como lo escribió en código el programador Como es descrito por el gerente de la unidad de negocio Como se soportó el proyecto Como se documentó el proyecto Como fue instalado por el área de operaciones Como se facturó al cliente Esto es lo que el proceso necesitaba Administración Integral de Riesgo Corporativo
12. Ciclo de desarrollo de sistemas 10/06/2009 Page 12 Administración Integral de Riesgo Corporativo
15. Evaluación de riesgos dos enfoques… cuantitativo Requiere un análisis basado en valores numéricos de la probabilidad de amenaza, vulnerabilidad y valor del impacto. A pesar de que se cuentan con herramientas para determinar casi todos los valores depende de información que en ocasiones es difícil de conseguir o calcular. Facilita el análisis costo beneficio. 10/06/2009 Page 15 Administración Integral de Riesgo Corporativo
16. Evaluación de riesgos dos enfoques… cualitativo Una definición subjetiva del impacto Alto, puede resultar en la muy costosa pérdida de activos estratégicos; puede dañar o impedir la misión de la organización, su reputación o sus intereses; involucrando pérdida de vidas o lesiones serias. Medio, puede resultar en la costosa pérdida de activos; puede afectar la misión de la organización, su reputación o sus intereses y poner en riesgo vidas. Bajo, puede resultar en la perdida de algunos activos, afectar la misión, reputación o intereses de la organización. 10/06/2009 Page 16 Administración Integral de Riesgo Corporativo
17. Matriz de decisiones de riesgo 10/06/2009 Page 17 Alto RIESGO ALTO RIESGO MEDIO I M P A C T O CONTROLAR Y MITIGAR TRANSFERIR RIESGO MEDIO RIESGO BAJO ACEPTAR CONTROLAR ALTA PROBABILIDAD Administración Integral de Riesgo Corporativo
18. Opciones de manejo de riesgos Aceptar el riesgo; monitoreando Evitar el riesgo Mitigar el riesgo; implementando controles que disminuyan la probabilidad de ocurrencia o que reduzcan el impacto en la organización Transferir el riesgo; mediante decisiones de negocio como: Ousorcing, jointventures, diversificación Seguros 10/06/2009 Page 18 Administración Integral de Riesgo Corporativo
19. La seguridad de la información y la administración de riesgos El proceso de administración de riesgos requiere de datos confiables que soporten el valor de los procesos y ayuden a medir el impacto de las decisiones estratégicas en los objetivos y misión de la entidad. Los procedimientos, políticas y controles de seguridad de información buscan evitar: Pérdida de integridad Pérdida de disponibilidad Pérdida de confidencialidad 10/06/2009 Page 19 Administración Integral de Riesgo Corporativo
20. ¡GRACIAS!... ¿Preguntas? Fidel Hernández, CISA IT Audit Manager LatinAmerica CorporateAuditng The 3M Company Phone: 52 55 52 70 22 17 mailto: fchernandezgutierrez@mmm.com México D.F. Junio 16, 2009