Está en la página 1de 29

6a.

Academia de Actualización
Profesional 2009
Administración de Riesgos en IT

PwC
Agenda / Contenido

Introducción conceptual sobre Administración de Riesgos Corporativos

Riesgos en IT

Key Risk Indicators

Beneficios de la Administración de Riesgos


Agenda / Contenido

Introducción conceptual sobre Administración de Riesgos Corporativos

Riesgos en IT

Key Risk Indicators

Beneficios de la Administración de Riesgos


Introducción conceptual sobre Administración de Riesgos Corporativos

Definición formal de Administración de Riesgos (COSO II)

“La Administración de Riesgos corporativos es un proceso efectuado por el


consejo de administración de una entidad, su dirección y restante personal,
aplicable a la definición de estrategias en toda la empresa y diseñado para
identificar eventos potenciales que puedan afectar a la organización,
gestionar sus riesgos dentro del riesgo aceptado y proporcionar una
seguridad razonable sobre la consecución de objetivos de la entidad.”

Los principales puntos a resaltar de dicha definición son que la Administración


de Riesgos es un proceso (no alcanza con una “foto” de la organización), que
debe ser llevado adelante por todo el personal, y que se basa en la detección
de eventos que puedan comprometer el cumplimiento de cualquier objetivo
de la entidad.

Administración de Riesgos en IT Junio 2009


PricewaterhouseCoopers Diapositiva 4
Introducción conceptual sobre Administración de Riesgos Corporativos

Definición formal de Administración de Riesgos (COSO II)

ALINEADO CON
Los objetivos pueden
ser visualizados en el
contexto de 4 categorías
QUÉ
8
componentes
inter-
relacionados

DÓNDE
Se consideran las
actividades en
todos los niveles
de la organización

Administración de Riesgos en IT Junio 2009


PricewaterhouseCoopers Diapositiva 5
Introducción conceptual sobre Administración de Riesgos Corporativos

Definición formal de Administración de Riesgos (COSO II)

Riesgo: evento que, de ocurrir, tiene un impacto negativo sobre un cierto


objetivo, pudiendo impedir la creación de valor para la organización o
erosionar el valor existente.
Probabilidad: indicador de la factibilidad de que el riesgo ocurra en la práctica.
Impacto: indicador de las pérdidas estimadas de cualquier índole
(económicas, de imagen, de oportunidad, etc.) que puede sufrir la
organización en caso de que el riesgo ocurra.
Control: toda acción tendiente a reducir la probabilidad y/o el impacto de uno
o varios riesgos.

Administración de Riesgos en IT Junio 2009


PricewaterhouseCoopers Diapositiva 6
Introducción conceptual sobre Administración de Riesgos Corporativos

Definición formal de Administración de Riesgos (COSO II)

Exposición: es una función que relaciona el impacto y la probabilidad, que se


utiliza a efectos de facilitar el análisis. Distinguimos entre la exposición
inherente, la cual se obtiene considerando el impacto y probabilidad
“naturales” de un riesgo, es decir, sin tener en cuenta el efecto de ningún
control; y la exposición residual, la cual se obtiene considerando el impacto y
probabilidad ajustados según los controles instalados.
Tolerancia al Riesgo: determina a partir de qué nivel la exposición residual se
considera inaceptable. En otras palabras, que tanto riesgo se está dispuesto a
asumir por la organización.

Administración de Riesgos en IT Junio 2009


PricewaterhouseCoopers Diapositiva 7
Introducción conceptual sobre Administración de Riesgos Corporativos

ENTRADA CONTROLES RESPUESTA

No
8. Evaluar riesgo ¿Aceptar
9. Respuesta al riesgo
residual riesgo?

Tolerancia
al Riesgo 7. Estimar nivel de SI
control Transferir Reducir Reducir Identificar
Evitar opciones
todo / parte Impacto Probabilidad

Directorio / Alta 6. Identificar &


Gerencia analizar controles Considerar relación costo / beneficio

Evaluar
Estrategias de respuesta recomendadas opciones

RIESGOS Seleccionar estrategia de respuesta


5. Ranking de riesgos
Reporte de
Riesgos
 De acuerdo a la exposición
Preparar
Preparar plan de respuesta
plan

Marco de
Gestión de
Riesgos 4. Calcular exposición Evitar
Transferir Reducir Reducir Implementar
todo / parte Impacto Probabilidad plan

Parte transferida
3. Analizar riesgos
Parte retenida
Monitoreo y

 Determinar Probabilidad
Revisión

 Determinar Impacto
Benchmark
SI ¿Aceptar No
riesgo?
2. Identificar riesgos

Experiencia  ¿Qué puede pasar?


 ¿Cómo puede pasar?

Talleres OBJETIVOS LEYENDA


1. Establecer contexto
 Contexto estratégico ENTRADA ANÁLISIS IMPLEMENTACIÓN REPORTE
 Contexto organizacional
 Contexto de Gestión de Riesgo
Administración de Riesgos en IT  Decidir sobre la estructura de RM Junio 2009
PricewaterhouseCoopers Diapositiva 8
Agenda / Contenido

Introducción conceptual sobre Administración de Riesgos Corporativos

Riesgos en IT

Key Risk Indicators

Beneficios de la Administración de Riesgos


Riesgos en IT
ENTRADA CONTROLES
Objetivos
No
8. Evaluar riesgo Aceptar
residual riesgo?
De acuerdo al plan estratégico de
Tolerancia
al Riesgo 7. Estimar nivel de SI IT, la gerencia selecciona los
control
objetivos más importantes del área.
6. Identificar &
Directorio / Alta
Gerencia analizar controles Ejemplo: Mantener presencia en
Internet en forma segura y con una
RIESGOS
Reporte de
Riesgos
5. Ranking de riesgos performance adecuada.
 De acuerdo a la exposición

Marco de
Gestión de
Riesgos 4. Calcular exposición

3. Analizar riesgos Monitoreo y


 Determinar Probabilidad
Revisión
 Determinar Impacto
Benchmark

2. Identificar riesgos

Experiencia  ¿Qué puede pasar?


 ¿Cómo puede pasar?

Talleres OBJETIVOS
1. Establecer contexto
 Contexto estratégico
 Contexto organizacional
 Contexto de Gestión de Riesgo
 Decidir sobre la estructura de RM

Administración de Riesgos en IT Junio 2009


PricewaterhouseCoopers Diapositiva 10
Riesgos en IT

Categorías de riesgos
Categoría Ejemplos de riesgos
Plataforma tecnológica de hardware y software de Obsolescencia, falta de capacidad, problemas con el
base soporte, …
Sistemas de aplicación Problemas de mantenimiento, baja performance, …
Acceso a datos Accesos no autorizados al CPD, divulgación de
información confidencial…
Utilitarios y herramientas disponibles Baja productividad, …
Recursos Humanos Capacitación inadecuada, pérdida de personal clave,

Planificación estratégica Falta de alineación con el negocio, no contar con
planes a largo plazo, …
Adquisición e implementación No contar con procedimientos adecuados, falta de
monitoreo / mantenimiento, …
Desarrollo, operaciones y atención a clientes Manuales de operación desactualizados, no
involucramiento de los usuarios en el desarrollo, …
Monitoreo Insuficiencia de recursos, …
Reputación e imagen Poco entendimiento de los servicios de IT por parte de
los usuarios, …
Auditoría / revisiones externas No contar con controles adecuados, no cumplir con
las recomendaciones de auditoría, …
Normativa / legal Incumplimiento de contratos, incumplimiento de
normas de reguladores, …
Administración de Riesgos en IT Junio 2009
PricewaterhouseCoopers Diapositiva 11
Riesgos en IT
ENTRADA CONTROLES
Identificar Riesgos
No
8. Evaluar riesgo Aceptar
residual riesgo? A la hora de identificar riesgos es crítico
Tolerancia
contar con un proceso sistemático para
SI
al Riesgo 7. Estimar nivel de
control
lograr una lista lo más completa
posible.
6. Identificar &
Directorio / Alta
Gerencia analizar controles Ejemplo:
RIESGOS
Plataforma tecnológica de hardware y
Reporte de
Riesgos
5. Ranking de riesgos software de base: Capacidad del
 De acuerdo a la exposición
hardware insuficiente (R1).
Marco de Sistemas de aplicación: -
Gestión de
Riesgos 4. Calcular exposición
Acceso a datos: Acceso no autorizado
3. Analizar riesgos Monitoreo y a información sensible (R2).
 Determinar Probabilidad
Utilitarios y herramientas disponibles: -
Revisión
 Determinar Impacto
Benchmark

2. Identificar riesgos Recursos Humanos: No contar con


Experiencia 


¿Qué puede pasar?
¿Cómo puede pasar?
personal calificado en seguridad de la
información (R3).
Talleres
1. Establecer contexto
OBJETIVOS
Planificación estratégica, organización



Contexto estratégico
Contexto organizacional
y gestión: -

 Contexto de Gestión de Riesgo

 Decidir sobre la estructura de RM

Administración de Riesgos en IT Junio 2009


PricewaterhouseCoopers Diapositiva 12
Riesgos en IT
ENTRADA CONTROLES

No
Identificar Riesgos (Cont.)
8. Evaluar riesgo Aceptar
residual riesgo? Adquisición e implementación: -
Tolerancia
al Riesgo 7. Estimar nivel de SI
Desarrollo, operaciones y atención a
control
clientes: -
6. Identificar &
Directorio / Alta
Gerencia analizar controles Monitoreo: No disponer de los recursos
necesarios (R4).
RIESGOS
Reporte de
Riesgos
5. Ranking de riesgos
Reputación e imagen: No lograr un
 De acuerdo a la exposición
grado de calidad aceptable (R5).
Marco de
Gestión de
4. Calcular exposición
Auditoría / Revisiones externas: -
Riesgos

Normativa / Legal: -
3. Analizar riesgos Monitoreo y

 Determinar Probabilidad
Revisión
 Determinar Impacto
Benchmark

2. Identificar riesgos

Experiencia  ¿Qué puede pasar?


 ¿Cómo puede pasar?

Talleres OBJETIVOS
1. Establecer contexto
 Contexto estratégico
 Contexto organizacional
 Contexto de Gestión de Riesgo
 Decidir sobre la estructura de RM

Administración de Riesgos en IT Junio 2009


PricewaterhouseCoopers Diapositiva 13
Riesgos en IT
ENTRADA CONTROLES

No
Evaluar Riesgos
8. Evaluar riesgo Aceptar
residual riesgo? Un aspecto relevante para estandarizar
Tolerancia
7. Estimar nivel de SI las prácticas de Administración de
al Riesgo
control Riesgos es utilizar criterios lo más
6. Identificar &
unificados posibles para estimar
Directorio / Alta
Gerencia analizar controles probabilidades e impactos.
RIESGOS De esta forma se busca minimizar
5. Ranking de riesgos
Reporte de
Riesgos
 De acuerdo a la exposición
(aunque es imposible de eliminar
totalmente) la visión subjetiva del
Marco de
Gestión de
analista al momento de aplicar la
4. Calcular exposición
Riesgos
técnica.
3. Analizar riesgos Monitoreo y
 Determinar Probabilidad
Revisión
 Determinar Impacto
Benchmark

2. Identificar riesgos

Experiencia  ¿Qué puede pasar?


 ¿Cómo puede pasar?

Talleres OBJETIVOS
1. Establecer contexto

 Contexto estratégico

 Contexto organizacional

 Contexto de Gestión de Riesgo

 Decidir sobre la estructura de RM

Administración de Riesgos en IT Junio 2009


PricewaterhouseCoopers Diapositiva 14
Riesgos en IT

Evaluar Riesgos (Cont.)


Ejemplo de criterios de probabilidad

Muy Probable - Ha ocurrido en el último año


Probablemente ocurra
en el año - Es típico de las operaciones de este negocio
Muy Alta (más de 35% de - Potencialmente puede ocurrir varias veces en los próximos
probabilidad de 5 años
ocurrencia)
Probable •- Ha ocurrido en los 2 últimos años
Probablemente ocurra
en los próximos 2 •- Es típico de las operaciones de este negocio
Alta años •- Potencialmente puede ocurrir varias veces en los
(más de 25% y menos próximos 10 años
de 35% de probabilidad
de ocurrencia)
Posible •- Puede ser difícil de controlar debido a alguna influencia
Probablemente ocurra
en los próximos 10 externa
Media años) •- Existen antecedentes de haber ocurrido en la empresa
(más del 2% y menos •- Potencialmente puede ocurrir varias veces en los
del 25% de probabilidad
de ocurrencia) próximos 15 años
Poco probable •- Nunca ocurrió en la región
(menos del 2% de
Baja probabilidad de •- Sería sorpresivo si ocurriera
ocurrencia)

Administración de Riesgos en IT Junio 2009


PricewaterhouseCoopers Diapositiva 15
Riesgos en IT

Evaluar Riesgos (Cont.)


Ejemplo de criterios de impacto

Representa una •- Servicios críticos no disponibles


situación donde se
esperan pérdidas •- Prácticamente todos los clientes afectados
Muy Alto económicas o de •- Expectativas de juicios
imagen muy •- Pérdida de total de confianza
significativas
Representa una •- Degradación significativa en servicios críticos
situación donde se
Alto esperan pérdidas •- Número significativo de clientes afectados
económicas o de •- Expectativas concretas de multas / compensaciones
imagen moderadas
Representa una •- Pérdida de algunos servicios no críticos
situación donde se
produce algún impacto •- Algunos clientes afectados
Medio
menor a los clientes •- Posibles multas / compensaciones menores

Representa una •- Degradación tolerable de servicios


situación que afecta a
Bajo algunos servicios •- Algunos clientes internos afectados
internos

Administración de Riesgos en IT Junio 2009


PricewaterhouseCoopers Diapositiva 16
Riesgos en IT

Evaluar Riesgos (Cont.)


Riesgo Probabilidad Impacto
(inherente) (inherente)
Capacidad del hardware
insuficiente (R1) Media Alto

Acceso no autorizado a
información sensible (R2) Muy Alta Muy Alto

No contar con personal


calificado (R3) Media Medio

No disponer de los
recursos necesarios (R4) Alta Alto

No lograr un grado de
calidad aceptable (R5) Alta Medio

Administración de Riesgos en IT Junio 2009


PricewaterhouseCoopers Diapositiva 17
Riesgos en IT

Evaluar Riesgos (Cont.)

Tolerancia al Riesgo

Muy Alta R2

Alta R5 R4
Probabilidad
Media R3 R1

Baja

Bajo Medio Alto Muy Alto

Impacto

Administración de Riesgos en IT Junio 2009


PricewaterhouseCoopers Diapositiva 18
Riesgos en IT
ENTRADA CONTROLES

No
Evaluar Controles
8. Evaluar riesgo Aceptar
residual riesgo? En este punto se identifican y se
Tolerancia
7. Estimar nivel de SI evalúan los controles instalados que
al Riesgo
control disminuyen la probabilidad y/o impacto
6. Identificar &
de los riesgos analizados.
Directorio / Alta
Gerencia analizar controles
Es posible entonces estimar la
RIESGOS exposición residual para clasificar
5. Ranking de riesgos
Reporte de
Riesgos
 De acuerdo a la exposición
nuevamente los riesgos (residuales) y
determinar cuáles son tolerables -hay
Marco de
Gestión de
que monitorear- y cuáles no -hay que
4. Calcular exposición
Riesgos
elaborar una respuesta-
3. Analizar riesgos Monitoreo y

 Determinar Probabilidad
Revisión
 Determinar Impacto
Benchmark

2. Identificar riesgos

Experiencia  ¿Qué puede pasar?


 ¿Cómo puede pasar?

Talleres OBJETIVOS
1. Establecer contexto

 Contexto estratégico

 Contexto organizacional

 Contexto de Gestión de Riesgo

 Decidir sobre la estructura de RM

Administración de Riesgos en IT Junio 2009


PricewaterhouseCoopers Diapositiva 19
Riesgos en IT

Evaluar Riesgos residuales


Riesgo Controles Probabilidad Impacto
(residual) (residual)
Capacidad del hardware
insuficiente (R1) Media Alto

Acceso no autorizado a Estructura de Control


información sensible Interno, DMZ Baja Muy Alto
(R2’)
No contar con personal
calificado (R3) Media Medio

No disponer de los
recursos necesarios Alta Alto
(R4)
No lograr un grado de
calidad aceptable (R5) Alta Medio

Administración de Riesgos en IT Junio 2009


PricewaterhouseCoopers Diapositiva 20
Riesgos en IT

Evaluar Riesgos (Cont.)

Tolerancia al Riesgo

Muy Alta R2

Alta R5 R4
Probabilidad
Media R3 R1

Baja R2’

Bajo Medio Alto Muy Alto

Impacto

Administración de Riesgos en IT Junio 2009


PricewaterhouseCoopers Diapositiva 21
Riesgos en IT

Respuesta a los riesgos


RESPUESTA En líneas generales los riesgos que
queden marcados como “Aceptables”
9. Respuesta al riesgo
no requerirán acciones adicionales
mientras que los que queden como
Evitar
Transferir Reducir Reducir Identificar
opciones
“Atención” requerirán de un monitoreo
todo / parte Impacto Probabilidad
adecuado para garantizar que se
Considerar relación costo / beneficio mantengan en dicho nivel (o se
Evaluar
Estrategias de respuesta recomendadas opciones reduzcan).
Seleccionar estrategia de respuesta

Por otra parte, cualquier riesgo cuya


Preparar plan de respuesta
Preparar
plan exposición residual resulte
“Inaceptable” requerirá de la
Transferir Reducir Reducir Implementar
Evitar
todo / parte Impacto Probabilidad plan preparación de un Plan de Acción para
su corrección/mejora/mitigación.
Parte transferida

Parte retenida

SI No
Ejemplo: Contratar servicio de
Aceptar
riesgo? monitoreo a un tercero.

Administración de Riesgos en IT Junio 2009


PricewaterhouseCoopers Diapositiva 22
Riesgos en IT

Respuesta a los Riesgos (Cont.)

Alto

Implementar
controles
exposición

Usar
Nivel de

criterio

No
económico

Bajo

Costo de implementar ($)


controles
Administración de Riesgos en IT Junio 2009
PricewaterhouseCoopers Diapositiva 23
Agenda / Contenido

Introducción conceptual sobre Administración de Riesgos Corporativos

Riesgos en IT

Key Risk Indicators

Beneficios de la Administración de Riesgos


Key Risk Indicators

Definición de KRI

Se trata de mediciones cuantitativas o cualitativas que proporcionan un mayor


conocimiento de los riesgos potenciales permitiendo identificar un aumento de
la exposición más allá de los valores aceptables.
Para que resulten útiles deben estar disponibles de manera oportuna.
Ejemplo 1
Objetivo de IT – Crear y mantener un nivel de seguridad elevado contra
intrusiones externas en los sistemas.
Medición – Número de intrusiones realizadas con éxito.
Medida objetivo y tolerancia – objetivo: 0 por mes, tolerancia: 0 por mes.
Evento posible – Acceso de individuos no autorizados a los sistemas de la
empresa a través de conexiones de Internet.

Administración de Riesgos en IT Junio 2009


PricewaterhouseCoopers Diapositiva 25
Key Risk Indicators

Definición de KRI (Cont.)

Ejemplo 2
Objetivo de IT – Mantener estable el personal altamente calificado.
Medición – Porcentaje de rotación del personal altamente calificado.
Medida objetivo y tolerancia – objetivo: rotación del personal altamente
calificado < 10%, tolerancia: 2%
Evento posible – Los mejores empleados renuncian.

Administración de Riesgos en IT Junio 2009


PricewaterhouseCoopers Diapositiva 26
Agenda / Contenido

Introducción conceptual sobre Administración de Riesgos Corporativos

Riesgos en IT

Key Risk Indicators

Beneficios de la Administración de Riesgos


Beneficios de la Administración de Riesgos

Beneficios esperados

• Alinear el riesgo aceptado y la estrategia


• Mejorar las decisiones de respuesta a los riesgos
• Reducir las sorpresas y pérdidas operativas
• Identificar y gestionar la diversidad de riesgos para toda el área
• Aprovechar las oportunidades
• Mejorar la utilización de capital

Administración de Riesgos en IT Junio 2009


PricewaterhouseCoopers Diapositiva 28
Nuestra Visión
Ser la Firma líder
en servicios profesionales,
referente del mercado.

©2009 PricewaterhouseCoopers Ltda., PricewaterhouseCoopers, PricewaterhouseCoopers International Business Services Ltda., Shaw
Faget & Asociados, Shaw Faget & Asociados International Business Services Ltda. y PW Software Ltda. Todos los derechos reservados.
PricewaterhouseCoopers se refiere a las firmas uruguayas de PricewaterhouseCoopers Ltda., PricewaterhouseCoopers,
PricewaterhouseCoopers International Business Services Ltda., Shaw Faget & Asociados, Shaw Faget & Asociados International Business
Services Ltda. y PW Software Ltda. o, según requiera el contexto, a la red de firmas miembro de PricewaterhouseCoopers International
Limited, cada una de las cuales es una entidad legal separada e independiente.
PwC