Integrando los Riesgos de TI a la

Gestin del Riesgo Corporativo

Lic. Franco N. Rigante, CISA,CRISC,PMP

Conferencista Biografa
Franco Nelson Rigante, CISA, CRISC licenciado en Sistemas de la Universidad
de Buenos Aires, certificado como PMP, con estudios de Posgrado en
Administracin y Planeamiento Estratgico.
Trabaj durante 10 aos en el Banco Central de la Repblica Argentina,
auditando sistemas informticos de entidades financieras. Actualmente es
Socio de IT Advisory de Grant Thornton Argentina, liderando proyectos
internacionales sobre aspectos de IT Governance, Risk & Compliance. Posee
experiencia laboral en Alemania, Espaa y Honduras, fue profesor en una
Maestra de Auditora y en carreras universitarias de grado, se ha
desempeado como Consultor para el BID y el Banco Mundial y ha dictado
conferencias para PMI (Argentina), ITSMF (Espaa) e ISACA (Uruguay).
Es autor de artculos sobre IT-GRC para medios grficos especializados y forma
parte del equipo de trabajo de ISACA Madrid para la traduccin oficial al
castellano de COBIT 5.

Agenda Road Map

Introduccin

Consenso
Conceptual

Seleccin
Metodologa

Ejecucin
Proceso de
Anlisis de
Riesgos TI

Integracin
con Riesgo
Operacional

Toda Organizacin tiene Riesgos

Riesgo proviene del italiano risico o rischio que, a su vez,
tiene origen en el rabe clsico rizq (lo que depara la
providencia). El trmino hace referencia a la proximidad
o contingencia de un posible dao.
(Diccionario de la Real Academia Espaola)

Riesgos de TI y el Riesgo Corporativo

Fuente: Risk IT Framework - ISACA (Information System Audit and Control)

Governance, Risk & Compliance

Enfoque holstico para maximizar la creacin de valor desde IT
para los stakeholders, alineando e integrando las actividades que
la organizacin realiza sobre:
Gobierno Corporativo
Gestin Integral del Riesgo Corporativo
Cumplimiento de leyes y regulaciones aplicables.

Empezando por el Final - Resultados

Riesgo por Proceso

Riesgo por Soluc. Inf.

Riesgo por Tipo Activo

Riesgo por Activo

Riesgo por Amenaza

Ej. Riesgos de TI de Plazo Fijo

Ej. Riesgos del Core Bancario (Solucin)

Ej. Riesgos del Hardware

Ej. Riesgos del AS/400

Ej. Riesgos de Acceso No Autorizado

Agenda Road Map

Introduccin

Consenso
Conceptual

Seleccin
Metodologa

Ejecucin
Proceso de
Anlisis de
Riesgos TI

Integracin
con Riesgo
Operacional

El activo por excelencia, que interesa tanto a clientes

externos, internos, terceros y entes de supervisin y
control es la Informacin.
Proceso de Negocio = Informacin + TI/SI

Activo + Valioso
Soportado por

Activos de TI/SI

Ejemplos de Procesos de una Entidad

Productos/Servicios de la Entidad

Proceso 1
(Ej. Alta)

Caja de
Ahorro

Contabilidad

Proceso 2
(Ej.
Operacin)

Proceso 3
(Ej. Baja)

Ejemplo de un proceso

Ejemplo de un proceso

Incidencia de TI para un Proceso

%
variable

Riesgo Residual: Componentes

Riesgo residual TI/SI a gestionar

Lo determina
el Propietario
del Negocio

Criticidad
para el
Negocio

Historia +
Expectativa

Probabilidad
de
Ocurrencia

Impacto
TI/SI

Lo determina el Dueo
del Riesgo de TI
(experto TI/SI)

(Mitigantes
del Impacto
y de la
Probabilidad)
Amenaza

Concepto de Criticidad para el Negocio

Impacto tecnolgico vs criticidad

Determinacin del componente tecnolgico

Lo determina el
Propietario del
Negocio

Lo determina el
Dueo del
Riesgo de TI
(experto TI/SI)

Agenda Road Map

Introduccin

Consenso
Conceptual

Seleccin
Metodologa

Ejecucin
Proceso de
Anlisis de
Riesgos TI

Integracin
con Riesgo
Operacional

Ventajas de utilizar una Metodologa

mayor objetividad (mtricas, clculos, variables)

documentacin / trazabilidad
lenguaje comn = mejor comunicacin
respaldo en estndares internacionales
mtodo sistemtico para posteriores evaluaciones
enfoque consistente, eficiente e integrado
transparencia de riesgos de TI para la Direccin
independencia de criterios personalizados
alineamiento con regulaciones futuras

Contexto normativo local - Riesgos

Evaluar Marco Regulatorio - Ejemplo

A 5203

Lineamientos
Gestin Riesgo
Corporativo

A 4793

Riesgo
Operacional

A 4609

Riesgos de TI

Entonces Qu Metodologa elegir?

Mapa de procesos de COBIT 5

Riesgos de TI en COBIT 5
Garantizar
Optimizacin de
los Riesgos

Garantizar que el apetito y la tolerancia respectos a

los riesgos para el valor de la organizacin son
entendidos, articulados, comunicados, gestionados,
optimizados, minimizando el riesgo de falta de
Compliance

Gestionar
Riesgos

Continuamente identificar, evaluar, y reducir los

riesgos de dentro de los niveles fijados por la
Direccin, en forma integrado al ERM, balanceando
costos y beneficios para la organizacin.

Todos los Procesos

Incluyen prcticas y actividades para tratar riesgos, y

los roles en las matrices RACI.

Riesgos de TI en COBIT 5 - Roles

MAGERIT Caractersticas principales

- Creado por Gobierno Espaa
- Establece Tipos de Activos

- Trae un catlogo de amenazas

- Incluye gua de salvaguardas
- Mtodo cualitativo/cuantitativo
- Dependencia: herencia de valor
- Informacin: Activo + valioso
- Dimensiones adicionales (+2)

MAGERIT Caractersticas principales

Riesgos de TI y el Riesgo Corporativo

Fuente: Risk IT Framework - ISACA (Information System Audit and Control)

Escenarios de Riesgos segn Risk IT

Entonces Qu Metodologa elegir?

Las mejores prcticas combinadas!

MAGERIT
COBIT
Regulaciones
RISK IT

Metodologa Anlisis de Riesgos de TI/SI

COBIT, para:
Comunicacin con Alta Gerencia y Alineamiento con Negocio
Gestin del Proceso de Anlisis de Riesgos de TI/SI
Considerar amenazas de un inadecuado Gobierno de TI/SI
RISK IT, para:

Escenarios de riesgo, por actor, accin, tiempo, etc.

MAGERIT, para:
Conceptos de Tipos de Activos, Informacin y Dependencias
Considerar catlogo de amenazas para cada tipo de activo.
Regulaciones aplicables, para Compliance
30

Agenda Road Map

Introduccin

Consenso
Conceptual

Seleccin
Metodologa

Ejecucin
Proceso de
Anlisis de
Riesgos TI

Integracin
con Riesgo
Operacional

Proceso de Anlisis Riesgos de TI/SI

Ejecutar
Proceso de
Anlisis
Seguimiento y
Mejora
Contnua

Clasificar
Activos de
Informacin

Ejecutar
Planes de
Accin

Analizar
Riesgos de TI

Gestionar
Riesgos de TI

Integrar con
Riesgo
Operacional

Clasificacin de Activos de Informacin

Metodologa

Qu
clasificar?

Aplicaciones

Informacin
(y propagar)

Todos los
Activos

(ej. Router)

(y propagar)

Ejemplo de un proceso

Clasificacin de Activos de Informacin

Optimizar cuestionario clasificacin

Incorporar atributos adicionales para mayor precisin:
confidencialidad:
identificar combinacin de campos
confidenciales
hbeas data (datos personales)
integridad: sanciones por fallas, frecuencia de uso,
montos promedios, plazo de exposicin
disponibilidad: tiles para el armado del BIA.
Identificar los Activos No Informticos crticos

Resultados de la clasificacin
Determinacin de Criticidad para el Negocio (1 a 5)
Opcional: definir punto de corte y corregir ajustes

Preparacin para realizar el Anlisis

de Riesgos de los Activos de TI/SI
Agrupar activos

Propagar resultado
de clasificacin a
activos inferiores

Agrupar Activos como Soluciones Inf.

Relacionar y Propagar Clasificacin

Propagar Criticidad a Activos inferiores

Catlogo de amenazas, por tipo de activo

Incorporar know-how de los expertos de TI/SI/Seg.Inf.

Catlogo de amenazas, por tipo de activo

Incorporar know-how de los expertos de TI/SI/Seg.Inf.

Catlogo de amenazas, por tipo de activo

Incorporar know-how de los expertos de TI/SI/Seg.Inf.

Catlogo de amenazas, por tipo de activo

Incorporar know-how de los expertos de TI/SI/Seg.Inf.

Catlogo de amenazas, por tipo de activo

Incorporar know-how de los expertos de TI/SI/Seg.Inf.

Impacto tecnolgico inherente y

mitigantes para cada amenaza

Anlisis de Riesgos de Activos de TI/SI

Determinar fortaleza mitigantes

para calcular riesgo residual

Mapa de Riesgos Residuales

Elaborar Informe Final

Descripcin entorno entidad (negocio y TI/SI)

Resumen ejecutivo
Etapas del proyecto participantes - alcance
Clasificacin de los activos de informacin
Catlogo de riesgos analizados
Comparativo con el ltimo anlisis de riesgos
Mapas y Grficos para mayor comprensin
Conclusiones generales del anlisis
Tratamiento de los riesgos inaceptables.

Exposicin Resultados: Consolidaciones

todas las soluciones
informticas son iguales?

Riesgo por Proceso

es igual de importante un
proveedor al hardware?

Riesgo por Soluc. Inf.

Por peso solucin informtica

Por peso tipo de activo

es igual de importante
una aplicacin que otra?

Riesgo por Tipo Activo

Por criticidad del activo del tipo

es igual de importante
una amenaza que otra?

Riesgo por Activo

Por impacto de cada amenaza

es igual de importante un
activo que otro?

Riesgo por Amenaza

Por criticidad del activo

Consolidacin Por Amenaza:

Consolidacin Por Activo:

Consolidacin Por Solucin Informtica:

Consolidacin Por Solucin Informtica:

Consolidacin Por Proceso:

Gestin de Riesgos de Activos de TI/SI

Sustento objetivo de variables

+ Subjetiva

Indicadores

Ajuste de variables

Foto

Eventos de
Prdida

Foto

Original

Qu pas?
Con qu frecuencia?
Cunto impact?
Cmo funcionaron los
controles existentes?

Nueva
+ Objetiva

Agenda Road Map

Introduccin

Consenso
Conceptual

Seleccin
Metodologa

Ejecucin
Proceso de
Anlisis de
Riesgos TI

Integracin
con Riesgo
Operacional

Proceso Integrando los Riesgos

Proceso Integrando los Riesgos

%
variable

Esquema conceptual basado en GRC

Interacciones recomendadas entre los distintos sectores

Roles claves para la Gestin Integral

de Riesgos
Clasifica el valor de la informacin (C-I-D)
Responsable de declarar los eventos de prdida de su
proceso y de solicitar a TI/PAI las acciones necesarias para
evitar su reiteracin.

No audita la metodologa de Riesgos de TI

No realiza seguimiento de observaciones de auditora.
Contrasta el nivel Riesgo de TI con:
El umbral de tolerancia fijado por la Direccin
Si esta sub-valorado versus los eventos de prdida reales

Roles claves para la Gestin Integral

de Riesgos
Interacta con los dueos de los riesgos de TI para
mantener actualizado el catlogo de riesgos a analizar
Ejecuta el Proceso de Anlisis de Riesgos de TI
Interacta con el rea de Riesgo Operacional para integrar
los resultados del Anlisis de Riesgos de TI

Audita la metodologa de Riesgos de TI y todo el proceso de

Clasificacin de Activos de Informacin, Anlisis de Riesgos de
TI, Gestin de Riesgos de TI e Integracin con Riesgos
Operacionales.
Hace seguimientos de observaciones de TI

Anlisis de Riesgos de TI - Interacciones

Dificultades habituales - Top Ten

integracin inexistente/parcial entre riesgos

inadecuada comprensin de la alta gerencia
solapamiento: duplicacin o falta de cobertura
falta de compromiso de los dueos de riesgos de TI
inconsistencia en mitigantes respecto a auditoras
propietarios de procesos no concientizados en riesgos.
divergencias metodolgicas entre reas
falta de indicadores para sustento de variables claves
rea de Riesgo Operacional toma el rol de Auditora
falta de actualizacin ante eventos claves

Recomendaciones Finales Top Ten

diseo de estructura formal adecuada

integracin metodolgica clara (RO + TI)
procesos y procedimientos acordes con la entidad
respaldo en estndares internacionales reconocidos
mapa de procesos vinculados a activos informticos
consistencia: Riesgos de TI con BIA, DRP y audit.
evitar silos y fomentar visin holstica (GRC)
utilizar el enfoque basado en riesgos a favor
definir indicadores y mtricas claves de Gestin
capacitacin y concientizacin a todos los actores

Preguntas de Cierre

Muchas Gracias!
Lic. Franco N. Rigante, CISA,CRISC,PMP
Franco.Rigante@ar.gt.com
Blog: http://francoitgrc.wordpress.com
@FrancoIT_GRC

Colaborar Contribuir Conectar

http://www.isaca.org/Knowledge-Center

El Knowledge Center es una coleccin de

recursos y comunidades en lnea que conecta los
miembros de ISACA globalmente, sobre
industrias y por enfoque profesional todo en
un solo lugar. Usted puede agregar o responder
a una discusin, publicar un documento o link,
conectar con otros miembros de ISACA, o crear
un wiki por participando en una comunidad hoy!