Documente Academic
Documente Profesional
Documente Cultură
Academia de Actualización
Profesional 2009
Administración de Riesgos en IT
PwC
Agenda / Contenido
Riesgos en IT
Riesgos en IT
ALINEADO CON
Los objetivos pueden
ser visualizados en el
contexto de 4 categorías
QUÉ
8
componentes
inter-
relacionados
DÓNDE
Se consideran las
actividades en
todos los niveles
de la organización
No
8. Evaluar riesgo ¿Aceptar
9. Respuesta al riesgo
residual riesgo?
Tolerancia
al Riesgo 7. Estimar nivel de SI
control Transferir Reducir Reducir Identificar
Evitar opciones
todo / parte Impacto Probabilidad
Evaluar
Estrategias de respuesta recomendadas opciones
Marco de
Gestión de
Riesgos 4. Calcular exposición Evitar
Transferir Reducir Reducir Implementar
todo / parte Impacto Probabilidad plan
Parte transferida
3. Analizar riesgos
Parte retenida
Monitoreo y
Determinar Probabilidad
Revisión
Determinar Impacto
Benchmark
SI ¿Aceptar No
riesgo?
2. Identificar riesgos
Riesgos en IT
Marco de
Gestión de
Riesgos 4. Calcular exposición
2. Identificar riesgos
Talleres OBJETIVOS
1. Establecer contexto
Contexto estratégico
Contexto organizacional
Contexto de Gestión de Riesgo
Decidir sobre la estructura de RM
Categorías de riesgos
Categoría Ejemplos de riesgos
Plataforma tecnológica de hardware y software de Obsolescencia, falta de capacidad, problemas con el
base soporte, …
Sistemas de aplicación Problemas de mantenimiento, baja performance, …
Acceso a datos Accesos no autorizados al CPD, divulgación de
información confidencial…
Utilitarios y herramientas disponibles Baja productividad, …
Recursos Humanos Capacitación inadecuada, pérdida de personal clave,
…
Planificación estratégica Falta de alineación con el negocio, no contar con
planes a largo plazo, …
Adquisición e implementación No contar con procedimientos adecuados, falta de
monitoreo / mantenimiento, …
Desarrollo, operaciones y atención a clientes Manuales de operación desactualizados, no
involucramiento de los usuarios en el desarrollo, …
Monitoreo Insuficiencia de recursos, …
Reputación e imagen Poco entendimiento de los servicios de IT por parte de
los usuarios, …
Auditoría / revisiones externas No contar con controles adecuados, no cumplir con
las recomendaciones de auditoría, …
Normativa / legal Incumplimiento de contratos, incumplimiento de
normas de reguladores, …
Administración de Riesgos en IT Junio 2009
PricewaterhouseCoopers Diapositiva 11
Riesgos en IT
ENTRADA CONTROLES
Identificar Riesgos
No
8. Evaluar riesgo Aceptar
residual riesgo? A la hora de identificar riesgos es crítico
Tolerancia
contar con un proceso sistemático para
SI
al Riesgo 7. Estimar nivel de
control
lograr una lista lo más completa
posible.
6. Identificar &
Directorio / Alta
Gerencia analizar controles Ejemplo:
RIESGOS
Plataforma tecnológica de hardware y
Reporte de
Riesgos
5. Ranking de riesgos software de base: Capacidad del
De acuerdo a la exposición
hardware insuficiente (R1).
Marco de Sistemas de aplicación: -
Gestión de
Riesgos 4. Calcular exposición
Acceso a datos: Acceso no autorizado
3. Analizar riesgos Monitoreo y a información sensible (R2).
Determinar Probabilidad
Utilitarios y herramientas disponibles: -
Revisión
Determinar Impacto
Benchmark
¿Qué puede pasar?
¿Cómo puede pasar?
personal calificado en seguridad de la
información (R3).
Talleres
1. Establecer contexto
OBJETIVOS
Planificación estratégica, organización
Contexto estratégico
Contexto organizacional
y gestión: -
Contexto de Gestión de Riesgo
Decidir sobre la estructura de RM
No
Identificar Riesgos (Cont.)
8. Evaluar riesgo Aceptar
residual riesgo? Adquisición e implementación: -
Tolerancia
al Riesgo 7. Estimar nivel de SI
Desarrollo, operaciones y atención a
control
clientes: -
6. Identificar &
Directorio / Alta
Gerencia analizar controles Monitoreo: No disponer de los recursos
necesarios (R4).
RIESGOS
Reporte de
Riesgos
5. Ranking de riesgos
Reputación e imagen: No lograr un
De acuerdo a la exposición
grado de calidad aceptable (R5).
Marco de
Gestión de
4. Calcular exposición
Auditoría / Revisiones externas: -
Riesgos
Normativa / Legal: -
3. Analizar riesgos Monitoreo y
Determinar Probabilidad
Revisión
Determinar Impacto
Benchmark
2. Identificar riesgos
Talleres OBJETIVOS
1. Establecer contexto
Contexto estratégico
Contexto organizacional
Contexto de Gestión de Riesgo
Decidir sobre la estructura de RM
No
Evaluar Riesgos
8. Evaluar riesgo Aceptar
residual riesgo? Un aspecto relevante para estandarizar
Tolerancia
7. Estimar nivel de SI las prácticas de Administración de
al Riesgo
control Riesgos es utilizar criterios lo más
6. Identificar &
unificados posibles para estimar
Directorio / Alta
Gerencia analizar controles probabilidades e impactos.
RIESGOS De esta forma se busca minimizar
5. Ranking de riesgos
Reporte de
Riesgos
De acuerdo a la exposición
(aunque es imposible de eliminar
totalmente) la visión subjetiva del
Marco de
Gestión de
analista al momento de aplicar la
4. Calcular exposición
Riesgos
técnica.
3. Analizar riesgos Monitoreo y
Determinar Probabilidad
Revisión
Determinar Impacto
Benchmark
2. Identificar riesgos
Talleres OBJETIVOS
1. Establecer contexto
Contexto estratégico
Contexto organizacional
Contexto de Gestión de Riesgo
Decidir sobre la estructura de RM
Acceso no autorizado a
información sensible (R2) Muy Alta Muy Alto
No disponer de los
recursos necesarios (R4) Alta Alto
No lograr un grado de
calidad aceptable (R5) Alta Medio
Tolerancia al Riesgo
Muy Alta R2
Alta R5 R4
Probabilidad
Media R3 R1
Baja
Impacto
No
Evaluar Controles
8. Evaluar riesgo Aceptar
residual riesgo? En este punto se identifican y se
Tolerancia
7. Estimar nivel de SI evalúan los controles instalados que
al Riesgo
control disminuyen la probabilidad y/o impacto
6. Identificar &
de los riesgos analizados.
Directorio / Alta
Gerencia analizar controles
Es posible entonces estimar la
RIESGOS exposición residual para clasificar
5. Ranking de riesgos
Reporte de
Riesgos
De acuerdo a la exposición
nuevamente los riesgos (residuales) y
determinar cuáles son tolerables -hay
Marco de
Gestión de
que monitorear- y cuáles no -hay que
4. Calcular exposición
Riesgos
elaborar una respuesta-
3. Analizar riesgos Monitoreo y
Determinar Probabilidad
Revisión
Determinar Impacto
Benchmark
2. Identificar riesgos
Talleres OBJETIVOS
1. Establecer contexto
Contexto estratégico
Contexto organizacional
Contexto de Gestión de Riesgo
Decidir sobre la estructura de RM
No disponer de los
recursos necesarios Alta Alto
(R4)
No lograr un grado de
calidad aceptable (R5) Alta Medio
Tolerancia al Riesgo
Muy Alta R2
Alta R5 R4
Probabilidad
Media R3 R1
Baja R2’
Impacto
Parte retenida
SI No
Ejemplo: Contratar servicio de
Aceptar
riesgo? monitoreo a un tercero.
Alto
Implementar
controles
exposición
Usar
Nivel de
criterio
No
económico
Bajo
Riesgos en IT
Definición de KRI
Ejemplo 2
Objetivo de IT – Mantener estable el personal altamente calificado.
Medición – Porcentaje de rotación del personal altamente calificado.
Medida objetivo y tolerancia – objetivo: rotación del personal altamente
calificado < 10%, tolerancia: 2%
Evento posible – Los mejores empleados renuncian.
Riesgos en IT
Beneficios esperados
©2009 PricewaterhouseCoopers Ltda., PricewaterhouseCoopers, PricewaterhouseCoopers International Business Services Ltda., Shaw
Faget & Asociados, Shaw Faget & Asociados International Business Services Ltda. y PW Software Ltda. Todos los derechos reservados.
PricewaterhouseCoopers se refiere a las firmas uruguayas de PricewaterhouseCoopers Ltda., PricewaterhouseCoopers,
PricewaterhouseCoopers International Business Services Ltda., Shaw Faget & Asociados, Shaw Faget & Asociados International Business
Services Ltda. y PW Software Ltda. o, según requiera el contexto, a la red de firmas miembro de PricewaterhouseCoopers International
Limited, cada una de las cuales es una entidad legal separada e independiente.
PwC