Gestión del Riesgo Operativo Seguridad de la información

Jorge A. Aguilar Gestión del Riesgo Operativo – Seguridad de la información Contenido. 1. Objetivo 2. Gestión del Riesgo Operativo 3. Estándares y P
Author:  Consuelo Ríos Caballero
15 downloads 45 Views 3MB Size
Report
DOWNLOAD PDF

Recommend Stories

Normas Riesgo Operativo - Colombia
SISTEMA DE ADMINISTRACION DE RIESGO OPERATIVO
MANUAL DEL SISTEMA DE ADMINISTRACION DEL RIESGO OPERATIVO - SARO
La Sociedad del Riesgo
SEGURIDAD DEL PACIENTE Y GESTION DEL RIESGO CLINICO
LA REINGENIERIA DEL MODELO OPERATIVO DE FONATUR
Riesgo operativo en el sector salud en Colombia: 2013
Manual operativo del Entrevistador
LA TRANSFERENCIA DE CONOCIMIENTO OPERATIVO
Plan Operativo Anual de Seguridad Alimentaria y Nutricional

Story Transcript

Jorge A. Aguilar

Gestión del Riesgo Operativo – Seguridad de la información

Contenido. 1. Objetivo 2. Gestión del Riesgo Operativo 3. Estándares y Prácticas para la Gestión de Riesgo Operativo y Seguridad de la Información 4. Estrategia para la Gestión de Riesgos y Seguridad de la Información 5. Consideraciones

2

Para abrir apetito …. ¿Cuánto tiempo podría operar su Organización sin información, infraestructura de TI, teléfonos, oficinas o personal? ¿Cuántos incidentes Empresa?

se

presentan

en

su

¿De qué tipo? ¿Cómo afectan a los procesos, actividades y resultados de la Organización? ¿La empresa está preparada para dar respuesta a estos incidentes? ¿Es necesario realizar una Gestión de: •

Riesgo Tecnológico



Continuidad del Negocio



Gestión de Riesgo Operativo? 3

Procesos, Tecnología, Riesgos … oConceptos cuyo origen es la manufactura en serie oProducción basada en procesos oConexión en diferentes etapas de la producción oFundamentos del Análisis de Procesos: •

Línea de Ensamblaje



Sistematización



Desarrollo de Estándares



Estandarización.

4

Procesos, Tecnología, Riesgos y … ¡¡¡ Tecnología de Información !!! •Respecto a la TI, muchas empresas están en el “antier” •Falta de entendimiento y definición de procesos de TI en la Organización •Inversión en TI sin alineación a objetivos y prioridades del Negocio •Incidentes, pérdidas, escándalos y mayor regulación debido a la creciente dependencia de las Organizaciones en la TI

5

El Riesgo: o

Es incertidumbre acerca de futuros resultados

o

La vida diaria de un ser humano está llena de riesgos.

o

Ni el hombre ni las organizaciones que él crea, pueden vivir sin “gestionar riesgos”.

o

El no tomar conciencia de los riesgos asumidos, no significa que no estén presentes.

o

Para toda acción la pregunta no es si tomar o no tomar riesgos, sino “cuáles riesgos asumir” y “cuáles mitigar”.

6

Amenazas. oHumanas •

Sabotaje



Actos Criminales



Manifestaciones

oInfraestructura •

Fallas Eléctricas



Fallas en Telecomunicaciones



Fallas en Infraestructura de Servicios y Recursos de TI

oNaturales •

Inundaciones



Terremotos



Pandemia

7

Algunos ejemplos …

8

1. Objetivo “El no tomar conciencia de los riesgos asumidos no significa que no estén presentes … (cosas pasan)”

9

1. Objetivo. Examinar las mejores prácticas y desarrollo más recientes en la Administración del Riesgo Operativo y Seguridad de la Información.

10

2. Gestión de Riesgo Operativo “Por que el ser humano prefiere creer en aquello que prefiere sea verdad” - Más vale demostrarlo -

11

2.1. Antecedentes. o

Comité de Basilea

o

El Riesgo Operativo no había sido considerado como parte del marco integral de Administración de Riesgos.

o

Salvo en circunstancias específicas, los riesgos operativos no habían sido motivo de preocupación de la alta dirección, clientes o accionistas.

o

El Riesgo Operativo es difícil de medir y cuantificar.

o

Regulaciones recientes enfatizan la medición y administración proactiva del Riesgo Operativo. 12

2.2. Propósito. o La organización debe:  Conocer su “perfil de riesgo”.  Identificar las causas de aquellas situaciones que representen una exposición extrema.  Evaluar y determinar acciones de manera proactiva.

13

2.3. Definiciones. o Riesgo Operativo. Riesgo de pérdida resultante de una falta de adecuación o una falla de los procesos, el personal y los sistemas internos o bien de acontecimientos externos.

o Riesgo Tecnológico. Pérdida potencial por daños, interrupción, alteración o fallas derivadas del uso o dependencia en el hardware, software, sistemas, aplicaciones, redes y cualquier otro canal de distribución de información en la prestación de servicios bancarios con los clientes de la Institución.

14

Tipología de eventos de pérdida según Basilea II 1

Fraude Interno

2

Fraude Externo Relaciones laborales y seguridad en el puesto de trabajo

3 4

Prácticas con clientes, productos y negocios

5

Daños en Activos y Materiales

Fallas en Sistemas

6 7

Ejecución, entrega y Administración de Procesos

3. Estándares y Prácticas para la Gestión de Riesgo Operativo y Seguridad de la Información “El error está en aquel dato obviamente correcto que no necesita verificación”

16

3.1 ERM (Enterprise Risk Mgmt)

G CE NS IC TIN IAN TIO EG PL OR RA AT P M E R ST OP RE CO

o

COSO publicó el “Enterprise Risk Management Integratred Framework”

Internal Environment

o

Modelo tridimensional que establece cuatro categorías de objetivos, ocho componentes de la gestión de riesgos, y unidades de la entidad

Event Identification

Risk Response

DIVISION

Proporciona una basta y útil información para desarrollar y operar el proceso de Gestión de Riesgos

Risk Assessment

ENTITY LEVEL

o

Objective Setting

SUBSIDIARY

COSO ERM (Committee of Sponsoring Organization of the Treadway Commission

BUSINESS UNIT

o

Control Activities Information & Communication

o

Segmenta la Gestión de Riesgos en alcances específicos, simplificando el análisis e implementación de soluciones.

Monitoring

17

3.2 AAIRM o

Compendio de tres organizaciones: AIRMIC (Association of Insurance and Risk Managers), la ALARM (National Forum for Risk Management in the Public Sector), y el IRM (Institute of Risk Management)

o

Inicia desde los objetivos estratégicos de la organización y es soportado por auditorías formales.

o

Incluye un apéndice con una relación de técnicas de identificación de riesgos, así como métodos para el análisis de riesgos.

o

Descripción detallada de las etapas y actividades requeridas para la administración de riesgos.

18

3.3. AS/NZ 4360 o

Estándar Australiano / Neo Zelandés

o

Inició en 1995, segunda edición en 1999 y una versión publicada en Agosto del 2004.

o

Agrega referencias a actividades para el establecimiento del contexto del proceso, comunicación y consulta de resultados, carece de referencias específicas a roles y responsabilidades disponibles en el AAIRM. Establish the Context

Identify Risks

Analyse Risks

Evaluate Risks

Treat Risks

3.4. ISO/IEC 31000 o

Proporciona principios y lineamientos generales para la Gestión de Riesgos

o

Puede utilizarse para todo tipo de Organización y en cualquier ámbito (estrategias, servicios, productos, procesos, proyectos)

o

Para todo tipo de riesgo

19

C o m u n i c a t i o n & c o n s u l t a t i o n 5.2

Establishing the context (5.3)

Risk assessment (5.4) Risk identification (5.4.2)

Risk analysis (5.4.3) Risk evaluation (5.4.4)

M o n i t o r i n g & r e v i e w (5.6)

Risk treatment (5.5)

Process (Clause 5)

20

3.5. GRC o

Governance, Risk & Compliance

o

Fomentado por diversos Corporativos

o

Alcance Organizacional

21

3.7. ISO/IEC 27000 o

Activos de Información = VALOR para la Organización

o

Proporciona un Marco de Gestión para la Seguridad de la Información • • • •

o

Metódico Documental Objetivos y resultados claros Gestión de Riesgos

Preservar la Confidencialidad, Integridad y Disponibilidad de la Información : • • •

11 dominios 39 objetivos de control 133 controles

22

ISO/IEC 27000: Información Protegida

23

ISO/IEC 27000: Información Protegida Gestión Gestión de de Riesgos Riesgos

Gestión Política Política de de Seguridad Seguridad Organización Organización de de la la Seguridad Seguridad Gestión Gestión de de Activos Activos

Control Control de de Accesos Accesos

Cumplimiento Cumplimiento Gestión Gestión de de Recursos Recursos Humanos Humanos Adquisición, Adquisición, Desarrollo Desarrollo yyMantto Mantto de de Sistemas Sistemas

Operación

Continuidad Continuidad del del Negocio Negocio

Gestión Gestión de de Comunicac. Comunicac. yyOperaciones Operaciones

Gestión Gestión de de Incidentes Incidentes de de Seguridad Seguridad

Gestión Gestión de de Seguridad Seguridad Física Física yy Ambiental Ambiental 24

4. Estrategia para la Gestión de Riesgos y Seguridad de la Información “El riesgo está delante de la Organización, no atrás”

25

Integración de las gestiones cualitativas y cuantitativas.

4.1. Modelo de Gestión o

La Gestión de Riesgos no es reciente.

o

Eventos y pérdidas recientes en el mercado en general y en las instituciones financieras, le han brindado gran popularidad.

o

Pérdidas y Regulaciones, han implicado la creación de una mayor conciencia sobre la importancia de la Gestión de Riesgos

o

La mayoría de las empresas en Latinoamérica, se encuentran en “etapas preliminares del diseño”, de lo que puede denominarse un “Modelo de Gestión de Riesgos”.

Concientización sobre la importancia del riesgo Operativo. 1. CULTURA

Desarrollo de Indicadores y auto – evaluaciones.

Cálculo de capital con modelos avanzados.

Identificación de riesgos, mapa de riesgos y seguimiento.

Desarrollo del modelo de cuantificación.

Definición de la estructura organizacional y políticas.

Registro y seguimiento de eventos de pérdida y riesgos.

2. GESTIÓN CUALITATIVA

3. GESTIÓN CUANTITATIVA

26

4.1. Modelo de Gestión de Riesgo Operativo

2 Ri . dIde es ennti go tfifc s y icaac Co cióión ntr nded ole e s

os ies g a R ida nto d im ie de Pér egu 5. S ventos yE

Información para la Toma de Decisiones

3. E valu a Ries c ión de gos

sy s ica to l ít ien o P im 1. ced o Pr

4. Medición del Riesgo y Registro de Eventos 27

4.2. Sensibilización o

Comprender a la Organización y su entorno

o

Determinar el “Perfil de Riesgo”

o

Identificar el “Apetito de Riesgo”.

28

4.3. Definición de Estrategia o

Comprender la “Cultura de la Organización” como parte sustantiva del desarrollo de la Estrategia

o

Establecer Planes a Mediano y Largo Plazo.

o

Definir con la Organización objetivos a Mediano y Largo Plazo (“estado deseado”)

o

Establecer la capacidad y disponibilidad requerida, del personal relacionado con la Estrategia.

Objetivo de Control

Riesgos

Estrategia

Información Protegida Barreras (Organización)

29

4.4. Desarrollo de Estrategia o

Definir el Marco de Gestión

o

Determinar si la Estrategia requerirá componentes operativos

o

Establecer el flujo de información de la Estrategia

o

Identificar necesidad de contratación de servicios

o

Establecer y dar seguimiento puntual al personal y actividades de la Estrategia.

30

4.5. Establecimiento de Indicadores o

Establecer el “valor” para la Organización que debiera obtenerse con una actividad y, definir el objetivo de control a utilizar, para determinar la consecución del “valor”

o

Hacer uso de estándares y prácticas como referencia al desarrollo de la Estrategia

o

Evaluar la “madurez del proceso”

31

4.6. Implementación y Operación o

Establecer con la Organización, el nivel de cumplimiento de la Estrategia

o

Determinar acciones a seguir en casos de incumplimiento

o

Dar seguimiento al más alto nivel de la Organización

o

Verificar que la comunicación sea apropiada

o

Desarrollar programas de concientización y formación

o

Realizar Auditorías y dar seguimiento puntual a sus resultados.

32

5. Consideraciones

33

5.1 Equilibrio Control Vs Operación

DESEMPEÑO

CUMPLIMIENTO

ORGANIZACIÓN

34

5.2 Factores de Éxito. •

Generar conciencia en la Organización



Establecer la Gestión como proceso inherente a actividades y a la información



Definir una estructurada



Establecer roles y responsabilidades



Implementar la Gestión de Incidentes



Revisar y auditar con un enfoque de mejora continua.

Metodología

clara

y

5.3 Beneficios. •

Reduce pérdidas y reservas de capital



Reduce riesgos a niveles aceptables



Contribuye a mejorar procesos y servicios



Reduce Costos

o

Mejora la percepción y confianza de la Organización 35

Lic. Jorge A. Aguilar Frías. CISM, CISA, ITSM. [email protected] 044.55.35.57.32.93

Get in touch

Social

© Copyright 2013 - 2025 MYDOKUMENT.COM - All rights reserved.