Metodología para el Análisis de Riesgo de TI en Entidades Financieras

Metodología para el Análisis de Riesgo de TI en Entidades Financieras Presentación de la Práctica Buenos Aires Noviembre 2008 La información conteni

Author: Rosario Alvarado Silva

1 downloads 97 Views 2MB Size

Report

DOWNLOAD PDF

Recommend Stories

Basilea II y el Riesgo Operacional en las entidades financieras

INFORMACION DE ENTIDADES FINANCIERAS

MANUAL DE CUENTAS PARA ENTIDADES FINANCIERAS

Story Transcript

Metodología para el Análisis de Riesgo de TI en Entidades Financieras Presentación de la Práctica

Buenos Aires Noviembre 2008

La información contenida en el documento es confidencial y propietaria. No puede ser distribuida sin la correspondiente aprobación - © Copyright Moore Stephens

Índice  Marco General  Pasos del proceso de Gestión del Riesgo de TI  Análisis de riesgo de TI  Informes  Beneficios Esperados

1

Las Entidades Financieras tienen el desafío de implantar Basilea II.

IMPLEMENTACION

1999

2000

2001

2003

2004

2006

2010

3º RONDA CONSULTIVA

BASILEA II

PRINCIPIOS PARA LA ADMINISTRACIÓN DEL RIESGO DE CRÉDITO

ACUERDO DEFINITIVO

REGULACIONES BANCARIAS AUTOCTONAS 2º RONDA CONSULTIVA (PRACTICAS SÓLIDAS PARA LA ADMINISTRACION Y SUPERVISION DEL RIESGO OPERATIVO

2

El planteo de Basilea II tiene como objetivo encontrar una relación de capital del banco asociado al riesgo.

3

El riesgo de TI como parte del Riesgo Operacional.

Crédito Procesos internos de la Entidad Riesgo

Mercado Personal de la Entidad Operativo Sistemas de información

Legal

4

El proceso de evaluación y gestión del riesgo de TI debe seguir un conjunto de pasos sistemáticos.

Gestión de Riesgo de TI

Análisis de Riesgo de TI

Elaborar el Plan de Acción

Implantar el Plan de Acción

Controlar y Mantener el Plan de Acción

Análisis de Riesgo de TI

Actividades de Negocio

Activos

Amenazas

Controles

Riesgo Residual

5

Conocer el riesgo al que están sometidos los recursos de TI es imprescindible para gestionarlos.

Negocios Probabilidad

 El gran reto de éste proyecto es la complejidad del problema que se enfrenta.

Riesgo Residual

Frecuencia

Análisis de Riesgo de TI

Activos

 Hay muchos elementos que considerar y si no se es muy riguroso, las conclusiones serán de poco fiar.

Amenazas

Riesgo Repercutido

Riesgo

Impacto

Riesgo Acumulado

Degradación Controles

Valoración

Es por ello que debe existir una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del consultor. 6

Índice  Marco General  Pasos del proceso de Gestión del Riesgo de TI  Análisis de Riesgo de TI  Informes  Beneficios Esperados

7

Nuestro proceso de evaluación y gestión del riesgo de TI.

GESTIÓN DEL RIESGO DE TI

Análisis de Riesgo de TI

Plan de Acción

Implantación del Plan

Control y Mantenimiento del Plan

8

El análisis de riesgo de TI es el análisis de los activos, sus amenazas, sus riesgos asociados, y como estos se correlacionan con los procesos del negocio. Análisis de Riesgo de TI

Plan de Acción

Implantación del Plan

Control y Mantenimiento del Plan

• Informe de Riesgo de TI por Proceso • Informe de Riesgos de TI por Activo

Procesos del negocio

Amenazas

Activos de TI

9

El Plan de Acción es documentar en forma clara y concreta que conjunto de soluciones deben implementarse de manera de mitigar los riesgos encontrados. Análisis de Riesgo de TI

Plan de Acción

Implantación del Plan

Control y Mantenimiento del Plan

Plan de Accion

 Realizar la planificación – Análisis de las acciones a corto – mediano y largo plazo. – Generar escenarios de trabajo.  Priorizar – Identificar las acciones críticas. – Hacer una unión entre las inversiones y los objetivos del negocio.  Valorizar – Pasar la inversión a aspectos cuantitativos. – Realizar el plan de negocios que determine el ROI de la inversión.

10

Implantar el plan de acción es realizar las inversiones, escribir los procedimientos y generar la cultura de manera que la gestión del riesgo sea un proceso de cambio. Análisis de Riesgo de TI

Plan de Acción

Implantación del Plan

Control y Mantenimiento del Plan

Implantación

 Organizar el equipo de proyecto – Juntar a las partes de manera de consolidar un equipo de trabajo

 Seleccionar las diferentes soluciones – Identificar las soluciones del mercado y decidir cual implantar. – Verificar y controlar si se cumple con las especificaciones tecnicas.  Realizar el Project Management – Controlar los costos, tiempo y alcance del proveedor. – Verificar la calidad de la implantacion

11

El control es el proceso que permite la verificación permanente que los riesgos se mantienen bajo control. Análisis de Riesgo de TI

Plan de Acción

Implantación del Plan

Control y Mantenimiento del Plan

Control - Mantenimiento

Planificación

 El mantenimiento es buscar mejoras al Plan desarrollado. Aprob. Dirección

Implantación

 El control es identificar si las medidas correctivas se han cumplido.  Si surgen nuevas amenazas como se incorpora al Plan.

Medición de Resultados

Control

 Y en cada etapa del proceso de gestión de riesgos se informa a la alta gerencia de los riesgos.

12

Índice  Marco General  Pasos del proceso de Gestión del Riesgo de TI  Análisis de riesgo de TI  Informes  Beneficios Esperados

13

Existen dos partes que se interrelacionan, pero los usuarios son totalmente diferentes.

Riesgo de la operación del negocio •

El proceso de negocio.

•

Los productos que administra.

•

Los procesos internos de la Entidad.

Riesgo de TI •

Los datos e información.

•

El equipamiento informático (hardware, software de base y aplicativos, comunicaciones, etc.)

•

La infraestructura.

14

Para el análisis del riesgo operativo es fundamental entender como el riesgo de TI impacta en la operación.

El Entorno

Los Sistemas de Información

La Información

Los Procesos del Negocio

15

Esto genera que debe existir un puente que relacione el negocio con los activos de TI que soportan la operación del negocio.

El Entorno

Macroproceso

Los Sistemas de Información

La Información

Subproceso

Relación entre el Proceso y los Activos de TI Los Procesos del Negocio

Activos relacionados

16

El realizar un análisis del riesgo de TI es un proceso que debe ser cuidadoso y exhaustivo.

Análisis del Negocio

• Entender el Negocio. • Conocer sus productos. • Identificar los procesos de TI.

Activos de TI

• • • •

Identificación Clasificación. Valorización. Relación de dependencias.

Amenazas

• Identificación (vulnerabilidad) • Relación entre amenazas y activos.

Impacto

• Daño sobre el activo derivado de la materialización de una amenaza.

Riesgo

• El impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza.

Relación entre los Procesos y los Activos de TI

Metodología S.M.A.R.T

17

Entender los negocios es analizar a la Entidad desde el punto de vista de unidades de negocios y procesos. Análisis del Negocio

Activos de TI

Amenazas

Impacto

Riesgo

Negocios

 Unidad de Negocio

 Unidad de Negocios

 Unidad de Negocio

 Proceso A

 Proceso A

 Proceso A

 Proceso B

 Proceso B

 Proceso B

 Proceso C

 Proceso C

 Proceso C

18

Cada uno de los negocios se abre en procesos. Análisis del Negocio

Activos de TI

Negocios

Amenazas

Impacto

Riesgo

Procesos

Tarjetas

Cajas de Ahorro

Cuentas Corrientes Otros

Banco

Depósitos

Plazo Fijo

Otros Préstamos

19

Identificación y clasificación de los activos de TI. Análisis del Negocio

Base de datos

Hardware

Activos de TI

Infraestructura

Amenazas

Impacto

Riesgo

CPD

Tipos de Activos de TI Aplicaciones

Datos / Información

Equipos

Infraestructura

Comunicaciones

Personal de TI

Servicios

20

Los activos se deben ponderar de acuerdo a su importancia relativa en todas las dimensiones. Análisis del Negocio

Activos x Dimensión

Disponibilidad

Activo A

Activo B

6

Activo C

Activo D

4

Activo E

Activo Z

Amenazas

Impacto

Integridad

Confidencialidad

Autenticidad

Trazabilidad

7

9

0

2

7

6

6

2

4

6

4

6

4

Activos de TI

5

Riesgo

5

1

21

Se deben establecer las relaciones de dependencias entre los activos de TI. Análisis del Negocio

Activo I

Activo C

Activo F

Amenazas

Impacto

Riesgo

Activo D

Activo A

Activo B

Activos de TI

Activo E

Activo C

Activo G

Activo J

22

Las amenazas deben identificarse. Análisis del Negocio

Inundaciones

Activos de TI

Amenazas

Impacto

Riesgo

Robos / Terrorismo

Tornados

Cyber Attack

Personal disconforme

Incendios

Virus

23

Y también clasificarse. Análisis del Negocio

Activos de TI

Amenazas

Impacto

Riesgo

Desastres Naturales

Incidentes de origen no natural

Eventos / Hechos no intencionados

Acciones / Hechos Intencionados

 Configuraciones erróneas  Pérdida de equipamiento.  Errores en la administración

 Robo  Accesos no autorizados  Destrucción de equipos

24

Luego las amenazas deben ser asociadas a los activos de TI. Análisis del Negocio

Activos x Amenazas

Amenaza 1

Activo A

X

Amenaza 2

X

Activo C

X

Activo D

X

Activo Z

Amenazas

Amenaza 5

X

Activo B

Activo E

Amenaza 3

Activos de TI

X

Riesgo

Amenaza 23

X

X

X

X

X

X

X

Impacto

X

X

X

25

A cada una de las amenazas de un activo, también la podemos relacionar con la dimensión que afecta. Análisis del Negocio

Activos       

Aplicaciones. Datos / Información Equipos Infraestructura Comunicaciones Personal de TI Servicios

Activos de TI

Amenazas

Impacto

Riesgo

Procesos Operativos

Activos

Diferentes enfoques Procesos Financieros Dimensiones

Equipo

    

Disponibilidad Confidencialidad Integridad Autenticidad Trazabilidad

Disponibilidad

26

El impacto es el daño sobre el activo derivado de la

materialización de una amenaza. Análisis del Negocio

Activos de TI

Amenazas

Impacto

Riesgo

 El incendio del “Equipo X” afecta a su disponibilidad. Equipo X Disponibilidad

 Dado que de producirse la amenaza el activo se degradaría en un 70%.

 La disponibilidad del “Equipo X” estaría al 30%.

Activos 

Aplicaciones.



Datos / Información



Equipos



Infraestructura



Comunicaciones



Personal de TI



Servicios

Dimensiones Disponibilidad

Confidencialidad

Integridad

27

El riesgo potencial es el impacto ponderado con la probabilidad de ocurrencia de la amenaza. Análisis del Negocio

Activos de TI

Amenazas

Impacto

Riesgo

28

Del análisis de riesgo potencial se pasa a la etapa de la evaluación de los controles. Análisis del Negocio

Activos de TI

Amenazas

Impacto

Riesgo

CONTROLES

Riesgo Potencial

Detectivos

Preventivos

Preventivos

Auditoria

Detectivos / Auditoría

Controles diseñados para impedir en forma anticipada un error, una omisión o un acceso no autorizado.

Controles diseñados para detectar y reportar cuando ocurran errores, omisiones o el ingreso no autorizado.

Riesgo Residual

29

Conociendo los riesgos y sus dimensiones se puede elaborar la matriz de riesgos por Activo de TI. Análisis del Negocio

Activos de TI

Amenazas

Impacto

Riesgo

FRECUENCIA

NIVEL DE AMENAZA MEDIO ALTO

ALTO

BAJO MEDIO ALTO

BAJO

BAJO MEDIO

IMPACTO

ACTIVOS

30

Para establecer la relación de los procesos y los activos se elaboran diagramas de proceso y de flujo de datos. Análisis del Negocio

Activos de

Amenazas Impacto Relación TI entre los Procesos y los Activos de TI

Riesgo

31

Y a partir de estos diagramas se identifican los activos que son necesarios para el funcionamiento del proceso. Análisis del Negocio

Activos de

Amenazas Impacto Relación TI entre los Procesos y los Activos de TI

Riesgo

32

De esta manera se establece un nuevo nivel de dependencias donde se asocian los activos de TI a los procesos de negocios. Análisis del Negocio

Proceso B

Proceso A

Activo D

Activo C

Activo B

Activo F

Riesgo

Proceso C

Activo A

Activo I

Activos de

Amenazas Impacto Relación TI entre los Procesos y los Activos de TI

Activo E

Activo C

Activo G

Activo J

33

Índice  Marco General  Pasos del proceso de Gestión del Riesgo de TI  Análisis de riesgo de TI  Informes  Beneficios Esperados

34

Como resultado final se brindará Emergencia

El Riesgo Único por Proceso (riesgo repercutido) •

Que identificará el riesgo de TI asociado a un proceso operativo.

•

Que será el riesgo de TI para el cálculo del Riesgo Operacional. Mantenimiento

El Riesgo por Activo (riesgo acumulado) •

Que identificará el nivel de riesgo de cada Activos de TI.

•

Que se utilizará para la Gestión de Riesgo de los Activos de TI.

35

El riesgo repercutido permitiría a la Entidad correlacionar el proceso de negocio con el riesgo que tienen sus activos de TI.

Riesgo de TI

Procesos Significatividad

Puntaje (de 1 a 10)

Porcentual

ALTO

8.2

82%

Cuentas Corrientes

MEDIO

6.4

64%

Plazo Fijo

MEDIO

5.8

58%

Otros

BAJO

2.9

29%

Cajas de Ahorro

36

El riesgo acumulado permite gestionar cada uno de los activos y ver que acciones correctivas se toman para mitigar los riesgos.

37

De esta manera entender por proceso, que acciones correctivas se deben tomar para gestionar el riesgo de cada activo de TI.

38

Pudiéndose llevar un control de lo que es el riesgo repercutido en los procesos y el riesgo acumulado en los activos.

Riesgo Repercutido de TI

Riesgo Acumulado de TI

39

Indice  Marco General  Pasos del proceso de Gestión del Riesgo de TI  Análisis de riesgo de TI  Informes  Beneficios Esperados

40

Los beneficios de este enfoque permitiría resolver varios desafíos que agregarían valor al análisis.

Uso

Riesgo Único por Proceso

Área

 Ver como la  Riesgo TI afecta la operacional. operación del negocio.

 Encontrar la variable TI en la valoración del riesgo operacional.

 Ver como el riesgo afecta a cada activo de TI.

 Gestionar el riesgo.  Plan de continuidad del negocio.  Gestión de la Seguridad.

Análisis de Riesgo

Riesgo por Activo

Beneficio

 El área de sistemas de la empresa.

41

Muchas Gracias! Ing. Marcelo Espeche [email protected]

Cr. Horacio L. Martinez [email protected]

Moore Stephens Suarez & Menendez Maipú 942, piso 12 - C1006ACN Ciudad Autónoma de Buenos Aires - Argentina www.suarez-menendez.com Tel: (+54 11) 4103.9500 Fax: (+54 11) 4103.0959