Admin Is Trac Ion Riesgos IT

6a.
Academia de Actualización
Profesional 2009
Administración de Riesgos en IT
PwC
Agenda / Contenido
Introducción conceptual sobre Administración de Riesgos Corporativos
Riesgos en IT
Key Risk Indicators
Beneficios de la Administración de Riesgos

Agenda / Contenido
Riesgos en IT
Key Risk Indicators

Definición formal de Administración de Riesgos (COSO II)
“La Administración de Riesgos corporativos es un proceso efectuado por el

consejo de administración de una entidad, su dirección y restante personal,
aplicable a la definición de estrategias en toda la empresa y diseñado para
identificar eventos potenciales que puedan afectar a la organización,
gestionar sus riesgos dentro del riesgo aceptado y proporcionar una
seguridad razonable sobre la consecución de objetivos de la entidad.”
Los principales puntos a resaltar de dicha definición son que la Administración

de Riesgos es un proceso (no alcanza con una “foto” de la organización), que
debe ser llevado adelante por todo el personal, y que se basa en la detección
de eventos que puedan comprometer el cumplimiento de cualquier objetivo
de la entidad.
Administración de Riesgos en IT Junio 2009

PricewaterhouseCoopers Diapositiva 4
ALINEADO CON
Los objetivos pueden
ser visualizados en el
contexto de 4 categorías
QUÉ
8
componentes
inter-
relacionados
DÓNDE
Se consideran las
actividades en
todos los niveles
de la organización

Riesgo: evento que, de ocurrir, tiene un impacto negativo sobre un cierto

objetivo, pudiendo impedir la creación de valor para la organización o
erosionar el valor existente.
Probabilidad: indicador de la factibilidad de que el riesgo ocurra en la práctica.
Impacto: indicador de las pérdidas estimadas de cualquier índole
(económicas, de imagen, de oportunidad, etc.) que puede sufrir la
organización en caso de que el riesgo ocurra.
Control: toda acción tendiente a reducir la probabilidad y/o el impacto de uno
o varios riesgos.

Exposición: es una función que relaciona el impacto y la probabilidad, que se

utiliza a efectos de facilitar el análisis. Distinguimos entre la exposición
inherente, la cual se obtiene considerando el impacto y probabilidad
“naturales” de un riesgo, es decir, sin tener en cuenta el efecto de ningún
control; y la exposición residual, la cual se obtiene considerando el impacto y
probabilidad ajustados según los controles instalados.
Tolerancia al Riesgo: determina a partir de qué nivel la exposición residual se
considera inaceptable. En otras palabras, que tanto riesgo se está dispuesto a
asumir por la organización.

ENTRADA CONTROLES RESPUESTA
No
8. Evaluar riesgo ¿Aceptar
9. Respuesta al riesgo
residual riesgo?
Tolerancia
al Riesgo 7. Estimar nivel de SI
control Transferir Reducir Reducir Identificar
Evitar opciones
todo / parte Impacto Probabilidad
Directorio / Alta 6. Identificar &

Gerencia analizar controles Considerar relación costo / beneficio
Evaluar
Estrategias de respuesta recomendadas opciones
RIESGOS Seleccionar estrategia de respuesta

5. Ranking de riesgos
Reporte de
Riesgos
 De acuerdo a la exposición
Preparar
Preparar plan de respuesta
plan
Marco de
Gestión de
Riesgos 4. Calcular exposición Evitar
Transferir Reducir Reducir Implementar
todo / parte Impacto Probabilidad plan
Parte transferida
3. Analizar riesgos
Parte retenida
Monitoreo y
 Determinar Probabilidad
Revisión
 Determinar Impacto
Benchmark
SI ¿Aceptar No
riesgo?
2. Identificar riesgos
Experiencia  ¿Qué puede pasar?

 ¿Cómo puede pasar?
Talleres OBJETIVOS LEYENDA

1. Establecer contexto
 Contexto estratégico ENTRADA ANÁLISIS IMPLEMENTACIÓN REPORTE
 Contexto organizacional
 Contexto de Gestión de Riesgo
Administración de Riesgos en IT  Decidir sobre la estructura de RM Junio 2009
Agenda / Contenido
Riesgos en IT
Key Risk Indicators

Riesgos en IT
ENTRADA CONTROLES
Objetivos
No
8. Evaluar riesgo Aceptar
residual riesgo?
De acuerdo al plan estratégico de
Tolerancia
al Riesgo 7. Estimar nivel de SI IT, la gerencia selecciona los
control
objetivos más importantes del área.
6. Identificar &
Directorio / Alta
Gerencia analizar controles Ejemplo: Mantener presencia en
Internet en forma segura y con una
RIESGOS
Reporte de
Riesgos
5. Ranking de riesgos performance adecuada.
Marco de
Gestión de
Riesgos 4. Calcular exposición
3. Analizar riesgos Monitoreo y

Revisión
Benchmark

Talleres OBJETIVOS
 Contexto estratégico
 Decidir sobre la estructura de RM

Riesgos en IT
Categorías de riesgos
Categoría Ejemplos de riesgos
Plataforma tecnológica de hardware y software de Obsolescencia, falta de capacidad, problemas con el
base soporte, …
Sistemas de aplicación Problemas de mantenimiento, baja performance, …
Acceso a datos Accesos no autorizados al CPD, divulgación de
información confidencial…
Utilitarios y herramientas disponibles Baja productividad, …
Recursos Humanos Capacitación inadecuada, pérdida de personal clave,
…
Planificación estratégica Falta de alineación con el negocio, no contar con
planes a largo plazo, …
Adquisición e implementación No contar con procedimientos adecuados, falta de
monitoreo / mantenimiento, …
Desarrollo, operaciones y atención a clientes Manuales de operación desactualizados, no
involucramiento de los usuarios en el desarrollo, …
Monitoreo Insuficiencia de recursos, …
Reputación e imagen Poco entendimiento de los servicios de IT por parte de
los usuarios, …
Auditoría / revisiones externas No contar con controles adecuados, no cumplir con
las recomendaciones de auditoría, …
Normativa / legal Incumplimiento de contratos, incumplimiento de
normas de reguladores, …
Riesgos en IT
ENTRADA CONTROLES
Identificar Riesgos
No
residual riesgo? A la hora de identificar riesgos es crítico
Tolerancia
contar con un proceso sistemático para
SI
al Riesgo 7. Estimar nivel de
control
lograr una lista lo más completa
posible.
6. Identificar &
Directorio / Alta
Gerencia analizar controles Ejemplo:
RIESGOS
Plataforma tecnológica de hardware y
Reporte de
Riesgos
5. Ranking de riesgos software de base: Capacidad del
hardware insuficiente (R1).
Marco de Sistemas de aplicación: -
Gestión de
Riesgos 4. Calcular exposición
Acceso a datos: Acceso no autorizado
3. Analizar riesgos Monitoreo y a información sensible (R2).
Utilitarios y herramientas disponibles: -
Revisión
Benchmark
2. Identificar riesgos Recursos Humanos: No contar con

Experiencia 

¿Qué puede pasar?
¿Cómo puede pasar?
personal calificado en seguridad de la
información (R3).
Talleres
OBJETIVOS
Planificación estratégica, organización




Contexto estratégico
Contexto organizacional
y gestión: -



Riesgos en IT
ENTRADA CONTROLES
No
Identificar Riesgos (Cont.)
residual riesgo? Adquisición e implementación: -
Tolerancia
al Riesgo 7. Estimar nivel de SI
Desarrollo, operaciones y atención a
control
clientes: -
6. Identificar &
Directorio / Alta
Gerencia analizar controles Monitoreo: No disponer de los recursos
necesarios (R4).
RIESGOS
Reporte de
Riesgos
Reputación e imagen: No lograr un
grado de calidad aceptable (R5).
Marco de
Gestión de
4. Calcular exposición
Auditoría / Revisiones externas: -
Riesgos
Normativa / Legal: -
Revisión
Benchmark

Talleres OBJETIVOS

Riesgos en IT
ENTRADA CONTROLES
No
Evaluar Riesgos
residual riesgo? Un aspecto relevante para estandarizar
Tolerancia
7. Estimar nivel de SI las prácticas de Administración de
al Riesgo
control Riesgos es utilizar criterios lo más
6. Identificar &
unificados posibles para estimar
Directorio / Alta
Gerencia analizar controles probabilidades e impactos.
RIESGOS De esta forma se busca minimizar
Reporte de
Riesgos
(aunque es imposible de eliminar
totalmente) la visión subjetiva del
Marco de
Gestión de
analista al momento de aplicar la
Riesgos
técnica.
Revisión
Benchmark

Talleres OBJETIVOS





Riesgos en IT
Evaluar Riesgos (Cont.)

Ejemplo de criterios de probabilidad
Muy Probable - Ha ocurrido en el último año

Probablemente ocurra
en el año - Es típico de las operaciones de este negocio
Muy Alta (más de 35% de - Potencialmente puede ocurrir varias veces en los próximos
probabilidad de 5 años
ocurrencia)
Probable •- Ha ocurrido en los 2 últimos años
en los próximos 2 •- Es típico de las operaciones de este negocio
Alta años •- Potencialmente puede ocurrir varias veces en los
(más de 25% y menos próximos 10 años
de 35% de probabilidad
de ocurrencia)
Posible •- Puede ser difícil de controlar debido a alguna influencia
en los próximos 10 externa
Media años) •- Existen antecedentes de haber ocurrido en la empresa
(más del 2% y menos •- Potencialmente puede ocurrir varias veces en los
del 25% de probabilidad
de ocurrencia) próximos 15 años
Poco probable •- Nunca ocurrió en la región
(menos del 2% de
Baja probabilidad de •- Sería sorpresivo si ocurriera
ocurrencia)

Riesgos en IT

Ejemplo de criterios de impacto
Representa una •- Servicios críticos no disponibles

situación donde se
esperan pérdidas •- Prácticamente todos los clientes afectados
Muy Alto económicas o de •- Expectativas de juicios
imagen muy •- Pérdida de total de confianza
significativas
Representa una •- Degradación significativa en servicios críticos
situación donde se
Alto esperan pérdidas •- Número significativo de clientes afectados
económicas o de •- Expectativas concretas de multas / compensaciones
imagen moderadas
Representa una •- Pérdida de algunos servicios no críticos
situación donde se
produce algún impacto •- Algunos clientes afectados
Medio
menor a los clientes •- Posibles multas / compensaciones menores
Representa una •- Degradación tolerable de servicios

situación que afecta a
Bajo algunos servicios •- Algunos clientes internos afectados
internos

Riesgos en IT

Riesgo Probabilidad Impacto
(inherente) (inherente)
Capacidad del hardware
insuficiente (R1) Media Alto
Acceso no autorizado a
información sensible (R2) Muy Alta Muy Alto
No contar con personal

calificado (R3) Media Medio
No disponer de los
recursos necesarios (R4) Alta Alto
No lograr un grado de
calidad aceptable (R5) Alta Medio

Riesgos en IT
Tolerancia al Riesgo
Muy Alta R2
Alta R5 R4
Probabilidad
Media R3 R1
Baja
Bajo Medio Alto Muy Alto
Impacto

Riesgos en IT
ENTRADA CONTROLES
No
Evaluar Controles
residual riesgo? En este punto se identifican y se
Tolerancia
7. Estimar nivel de SI evalúan los controles instalados que
al Riesgo
control disminuyen la probabilidad y/o impacto
6. Identificar &
de los riesgos analizados.
Directorio / Alta
Gerencia analizar controles
Es posible entonces estimar la
RIESGOS exposición residual para clasificar
Reporte de
Riesgos
nuevamente los riesgos (residuales) y
determinar cuáles son tolerables -hay
Marco de
Gestión de
que monitorear- y cuáles no -hay que
Riesgos
elaborar una respuesta-
Revisión
Benchmark

Talleres OBJETIVOS





Riesgos en IT
Evaluar Riesgos residuales

Riesgo Controles Probabilidad Impacto
(residual) (residual)
Capacidad del hardware
insuficiente (R1) Media Alto
Acceso no autorizado a Estructura de Control

información sensible Interno, DMZ Baja Muy Alto
(R2’)
No contar con personal
calificado (R3) Media Medio
No disponer de los
recursos necesarios Alta Alto
(R4)
No lograr un grado de
calidad aceptable (R5) Alta Medio

Riesgos en IT
Tolerancia al Riesgo
Muy Alta R2
Alta R5 R4
Probabilidad
Media R3 R1
Baja R2’
Bajo Medio Alto Muy Alto
Impacto

Riesgos en IT
Respuesta a los riesgos

RESPUESTA En líneas generales los riesgos que
queden marcados como “Aceptables”
9. Respuesta al riesgo
no requerirán acciones adicionales
mientras que los que queden como
Evitar
Transferir Reducir Reducir Identificar
opciones
“Atención” requerirán de un monitoreo
todo / parte Impacto Probabilidad
adecuado para garantizar que se
Considerar relación costo / beneficio mantengan en dicho nivel (o se
Evaluar
Estrategias de respuesta recomendadas opciones reduzcan).
Seleccionar estrategia de respuesta
Por otra parte, cualquier riesgo cuya

Preparar plan de respuesta
Preparar
plan exposición residual resulte
“Inaceptable” requerirá de la
Transferir Reducir Reducir Implementar
Evitar
todo / parte Impacto Probabilidad plan preparación de un Plan de Acción para
su corrección/mejora/mitigación.
Parte transferida
Parte retenida
SI No
Ejemplo: Contratar servicio de
Aceptar
riesgo? monitoreo a un tercero.

Riesgos en IT
Respuesta a los Riesgos (Cont.)
Alto
Implementar
controles
exposición
Usar
Nivel de
criterio
No
económico
Bajo
Costo de implementar ($)

controles
Agenda / Contenido
Riesgos en IT
Key Risk Indicators

Key Risk Indicators
Definición de KRI
Se trata de mediciones cuantitativas o cualitativas que proporcionan un mayor

conocimiento de los riesgos potenciales permitiendo identificar un aumento de
la exposición más allá de los valores aceptables.
Para que resulten útiles deben estar disponibles de manera oportuna.
Ejemplo 1
Objetivo de IT – Crear y mantener un nivel de seguridad elevado contra
intrusiones externas en los sistemas.
Medición – Número de intrusiones realizadas con éxito.
Medida objetivo y tolerancia – objetivo: 0 por mes, tolerancia: 0 por mes.
Evento posible – Acceso de individuos no autorizados a los sistemas de la
empresa a través de conexiones de Internet.

Key Risk Indicators
Definición de KRI (Cont.)
Ejemplo 2
Objetivo de IT – Mantener estable el personal altamente calificado.
Medición – Porcentaje de rotación del personal altamente calificado.
Medida objetivo y tolerancia – objetivo: rotación del personal altamente
calificado < 10%, tolerancia: 2%
Evento posible – Los mejores empleados renuncian.

Agenda / Contenido
Riesgos en IT
Key Risk Indicators

Beneficios esperados
• Alinear el riesgo aceptado y la estrategia

• Mejorar las decisiones de respuesta a los riesgos
• Reducir las sorpresas y pérdidas operativas
• Identificar y gestionar la diversidad de riesgos para toda el área
• Aprovechar las oportunidades
• Mejorar la utilización de capital

Nuestra Visión
Ser la Firma líder
en servicios profesionales,
referente del mercado.
©2009 PricewaterhouseCoopers Ltda., PricewaterhouseCoopers, PricewaterhouseCoopers International Business Services Ltda., Shaw
Faget & Asociados, Shaw Faget & Asociados International Business Services Ltda. y PW Software Ltda. Todos los derechos reservados.
PricewaterhouseCoopers se refiere a las firmas uruguayas de PricewaterhouseCoopers Ltda., PricewaterhouseCoopers,
PricewaterhouseCoopers International Business Services Ltda., Shaw Faget & Asociados, Shaw Faget & Asociados International Business
Services Ltda. y PW Software Ltda. o, según requiera el contexto, a la red de firmas miembro de PricewaterhouseCoopers International
Limited, cada una de las cuales es una entidad legal separada e independiente.
PwC

Admin Is Trac Ion Riesgos IT

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Admin Is Trac Ion Riesgos IT

Încărcat de

Drepturi de autor:

Formate disponibile

6a.

Introducción conceptual sobre Administración de Riesgos Corporativos

Key Risk Indicators

Beneficios de la Administración de Riesgos

Introducción conceptual sobre Administración de Riesgos Corporativos

Key Risk Indicators

Beneficios de la Administración de Riesgos

Definición formal de Administración de Riesgos (COSO II)

“La Administración de Riesgos corporativos es un proceso efectuado por el

Los principales puntos a resaltar de dicha definición son que la Administración

Administración de Riesgos en IT Junio 2009

Definición formal de Administración de Riesgos (COSO II)

Administración de Riesgos en IT Junio 2009

Definición formal de Administración de Riesgos (COSO II)

Riesgo: evento que, de ocurrir, tiene un impacto negativo sobre un cierto

Administración de Riesgos en IT Junio 2009

Definición formal de Administración de Riesgos (COSO II)

Exposición: es una función que relaciona el impacto y la probabilidad, que se

Administración de Riesgos en IT Junio 2009

ENTRADA CONTROLES RESPUESTA

Directorio / Alta 6. Identificar &

RIESGOS Seleccionar estrategia de respuesta

Experiencia  ¿Qué puede pasar?

Talleres OBJETIVOS LEYENDA

Introducción conceptual sobre Administración de Riesgos Corporativos

Key Risk Indicators

Beneficios de la Administración de Riesgos

3. Analizar riesgos Monitoreo y

Experiencia  ¿Qué puede pasar?

Administración de Riesgos en IT Junio 2009

2. Identificar riesgos Recursos Humanos: No contar con

Administración de Riesgos en IT Junio 2009

Experiencia  ¿Qué puede pasar?

Administración de Riesgos en IT Junio 2009

Experiencia  ¿Qué puede pasar?

Administración de Riesgos en IT Junio 2009

Evaluar Riesgos (Cont.)

Muy Probable - Ha ocurrido en el último año

Administración de Riesgos en IT Junio 2009

Evaluar Riesgos (Cont.)

Representa una •- Servicios críticos no disponibles

Representa una •- Degradación tolerable de servicios

Administración de Riesgos en IT Junio 2009

Evaluar Riesgos (Cont.)

No contar con personal

Administración de Riesgos en IT Junio 2009

Evaluar Riesgos (Cont.)

Bajo Medio Alto Muy Alto

Administración de Riesgos en IT Junio 2009

Experiencia  ¿Qué puede pasar?

Administración de Riesgos en IT Junio 2009

Evaluar Riesgos residuales

Acceso no autorizado a Estructura de Control

Administración de Riesgos en IT Junio 2009

Evaluar Riesgos (Cont.)

Bajo Medio Alto Muy Alto

Administración de Riesgos en IT Junio 2009

Respuesta a los riesgos

Por otra parte, cualquier riesgo cuya

Administración de Riesgos en IT Junio 2009

Respuesta a los Riesgos (Cont.)

Costo de implementar ($)

Introducción conceptual sobre Administración de Riesgos Corporativos