CURSO – TALLER

Gestión de Riesgos de TI
Chiclayo, 26 de marzo de 2022

Ing. Juan Dávila, MBA

CRISC, CISM, CISA, ISO 27001 LA&LI, ISO 22301 LA, ISO 37001 LA, Cobit 5 F & I & A
 Quien les habla …

• MBA e Ingeniero Industrial, “ejecutivo” con más de 25 años (“vintage”) de experiencia en gobierno,
planificación estratégica, riesgos, auditoría y seguridad de procesos de negocios y de Tecnologías de
Información y Comunicaciones (TIC).
• Especializaciones en Gestión de Procesos, Gobierno de TI, Auditoria de Procesos y de TI, Gestión de
Riesgos, SGSI, Ciberseguridad, PCN/PRD, Gestión de Crisis y por si acaso, en Anti-Soborno.
• Desempeñé roles operativos, ejecutivos y gerenciales en áreas de procesos y de TI en
organizaciones de diversos sectores. Fuí responsable de Auditoría de TI en Telefónica del Perú,
planificando y desarrollando la revisión y el análisis de procesos de negocios y de TIC, gestión de
servicios y proyectos de TI (y fue divertido !!).
• Instructor en cursos y talleres de Gobierno, Riesgos, Seguridad de Información, Ciberseguridad y
Auditoría TIC en diversas universidades e instituciones, así como en cursos de preparación de los
exámenes de certificación CISA, CISM y CRISC en el Capítulo de ISACA Lima, desde 2008. Speaker
en conferencias en Brasil, Bolivia, Chile, Colombia, Costa Rica, Ecuador, España, México, Puerto
Rico y Uruguay (esto es más divertido aún !!).
 WORKSHOP
Instrucciones

• El workshop es de inmersión total. La cantidad y calidad del material tratado

requiere su asistencia y atención máximas para el logro de los objetivos de
aprendizaje.
• El amplio abanico de riesgos de TI requiere de la distribución de los mismos en
sesiones que incluyen ejercicios que deberán ser trabajados en grupos de 4
personas como máximo.
• El uso intensivo de ejercicios requiere la utilización de una herramienta tipo Excel
para el armado de las propuestas, matrices y mapas de riesgos.
Unidad I – Sesión No. 0

Contexto de la Gestión de
Riesgos
EL CIBERESPACIO – UN ECOSISTEMA
TECNOLOGÍAS DISRUPTIVAS
 PANORAMA GLOBAL DE RIESGOS

http://reports.weforum.org/global-risks-2020/global-risks-landscape-2020/#landscape
 RIESGOS DIGITALES

“Más del 50% de la población mundial está ahora en línea, aproximadamente

un millón de personas se conectan por primera vez cada día y dos tercios de
la población mundial poseen un dispositivo móvil. Si bien la tecnología digital
está brindando enormes beneficios económicos y sociales a gran parte de la
población mundial, problemas como el acceso desigual a Internet, la falta de
un marco de gobernanza tecnológica global y la inseguridad cibernética
representan un riesgo significativo.
La incertidumbre geopolítica y geoeconómica, incluida la posibilidad de un
ciberespacio fragmentado, también amenaza con impedir que se aproveche
todo el potencial de las tecnologías de próxima generación. Los que
respondieron a nuestra encuesta calificaron la “falla de la infraestructura de
la información” como el sexto riesgo de mayor impacto en los años hasta
2030”.
http://reports.weforum.org/global-risks-2020/global-risks-landscape-2020/#risks///
 RIESGOS – SISTEMAS DE SALUD

“Los sistemas de salud (globales) corren el riesgo de volverse inadecuados para su

propósito. Las nuevas vulnerabilidades resultantes de los patrones cambiantes de la
sociedad, el medio ambiente, la demografía y la tecnología amenazan con deshacer
los dramáticos avances en bienestar y prosperidad que los sistemas de salud apoya-
ron durante el último siglo. Las enfermedades no transmisibles, como las mentales y
cardiovasculares, reemplazaron a las enfermedades infecciosas como la principal
causa de muerte, mientras que el aumento de la longevidad y los costos económicos y
sociales de la gestión de enfermedades crónicas han puesto a los sistemas de salud
en muchos países bajo presión. El progreso contra las pandemias también se ve
socavado por las dudas en las vacunas y la resistencia a los medicamentos, lo que
dificulta cada vez más asestar el golpe final contra algunos de los mayores asesinos
de la humanidad. A medida que resurgen los riesgos vigentes para la salud y surgen
otros nuevos, los éxitos pasados de la humanidad en la superación de los problemas
de salud no garantizan resultados futuros”.
http://reports.weforum.org/global-risks-2020/global-risks-landscape-2020/#risks///
RIESGOS DE TI
REFLEXIONES
 CONTEXTO VIGENTE DE RIESGOS DE TI

Entender el riesgo
de TI, con
perspectiva
• La tecnología nos desborda, financiera y de
negocio.
a nivel personal y a nivel
organizacional.
• Cultivar la conciencia Contexto: TI, Comprender el
Estandarizado, transformación
alrededor del riesgo en ciber-riesgo,
alineado (ISO31K,
COBIT), uso de un
digital, explosión dados sus
general, y a los riesgos de información y crecientes
lenguaje común.
tecnológicos en forma impactos.
ciberseguridad.
específica, es ….
Gestionar el
riesgo (y las
oportunidades)
como actividad
crítica para el
éxito
organizacional.
CONTEXTO VIGENTE DE RIESGOS DE TI
RIESGOS DE TI Y SU ALCANCE
 RIESGOS DE TI Y SU ALCANCE

Fuente: Risk IT Framework 2nd. Ed.

INQUIETUDES !!!

• ¿Cómo justifico la gestión de riesgos?

• ¿Qué es riesgo? ¿Amenaza? ¿Vulnerabilidad?
• ¿En cuál de ellos se aplican los controles?
• ¿Qué nivel de detalle debe tener la gestión de riesgos?
• ¿Ciberriesgo es lo mismo que riesgo de seguridad de información?
• Malware, redes sociales, BYOD, cloud, …
• ¿Dónde empiezo? ¿Metodologías? ¿Cuál aplica?
• ¿Se pueden evitar los riesgos? ¿Y si se materializan, se puede minimizar
su impacto?
• ¿Quién se compra el lío?
 MÁS INQUIETUDES !!!

¿Sabemos cuáles son los RIESGOS a los que ¿Cuánto tiempo podría sobrevivir su empresa en el
está expuesta nuestra empresa? caso de un desastre? Una hora? Un día? Una
semana? Un mes? Un año?
¿Hemos realizado una evaluación de los
RIESGOS en función de impacto y ¿Cuánto tiempo podría sobrevivir sin la generación
probabilidad? de ingresos?

¿Contamos con planes para proteger las ¿Ha pensado qué es lo que su cliente le solicitará
personas, la tecnología y los procesos del primero frente a un ciberataque?
negocio?
¿Sabe qué proveedores lo ayudarán en caso de un
¿Tenemos una cultura de riesgos en nuestra riesgo de TI de alto impacto?
organización?
¿Sabe qué procesos recuperar primero ante un
¿Contamos con algún plan que ayude con la ciberataque de alto impacto?
continuidad de las operaciones de la
empresa?
Unidad I – Sesión No. 1

Estándares y marcos de
referencia para el Gobierno
y la Gestión de Riesgos
CONTEXTO ORGANIZACIONAL

• ¿Para qué existen las empresas?

• ¿Cuál es su objetivo final?
ESTÁNDARES Y MARCOS DE REFERENCIA
 ISO 31000:2018
GESTIÓN CORPORATIVA DE RIESGOS
 ISO 27005:2018
GESTIÓN DE RIESGOS DE SEGURIDAD DE INFORMACIÓN
 MAGERIT
GESTIÓN DE RIESGOS DE TECNOLOGÍAS DE INFORMACIÓN
NIST 800-30 – MODELO DE RIESGOS Y SUS FACTORES
NIST 800-30 – PROCESO DE GESTIÓN DE RIESGOS
Unidad I – Sesión No. 2

Marco de referencia para el

Gobierno y la Gestión de Riesgos
GOBIERNO CORPORATIVO DE RIESGOS

Gobierno Corporativo de Riesgos

Gestión de riesgos
Modelo
Corporativo

Gestión de
riesgos - Líneas Baselines
de defensa

Gobierno de Riesgo Apetito Tolerancia Capacidad

Cultura de
Riesgos
riesgos
GOBIERNO CORPORATIVO DE RIESGOS

Gobierno Corporativo de Riesgos

Gestión de riesgos
Modelo
Corporativo

Gestión de
riesgos - Líneas Baselines
de defensa

Gobierno de Riesgo Apetito Tolerancia Capacidad

Cultura de
Riesgos
riesgos
MODELO CORPORATIVO DE RIESGOS
MODELO CORPORATIVO DE RIESGOS
MODELO CORPORATIVO DE RIESGOS
MODELO CORPORATIVO DE RIESGOS – EJEMPLOS
MODELO CORPORATIVO DE RIESGOS – EJEMPLOS
MODELO CORPORATIVO DE RIESGOS – EJEMPLOS

Riesgo Estratégico

Riesgo de Riesgos de Riesgo de

Mercado Crédito Liquidez

Riesgo Operacional

Riesgo Regulatorio, Legal y de Cumplimiento

Riesgo Reputacional
MODELO CORPORATIVO DE RIESGOS – EJEMPLOS

Riesgo Estratégico

Cumplimiento Reputacional Innovación Ambiental

Riesgo Financiero

Mercado Crédito Liquidez

Riesgo de Negocio

Facturación Tarifación Cobranzas Reservas

Relación con Cliente Canales Distribución Créditos Otros

Riesgo Operacional

Tecnológicos Calidad Procesos RRHH

Seguridad de Lavado Activos /
Fraude Interrupción
Información / … Financ.Terrorismo
GOBIERNO DE RIESGOS

Gobierno Corporativo de Riesgos

Gestión de riesgos
Modelo
Corporativo

Gestión de
riesgos - Líneas Baselines
de defensa

Gobierno de Riesgo Apetito Tolerancia Capacidad

Cultura de
Riesgos
riesgos
 GOBIERNO DE RIESGOS

Estructura Soft Cultura,

stakeholders,
comportamientos.
Toda organización establece una
estructura de gobierno para Estructura
Estructura normativa procedimental
definir alineamientos de toda la
Perfil, apetito,
organización con el cumplimiento Política, metodología y tolerancia, capacidad,
de sus objetivos estratégicos, lo procedimientos. KRIs, matrices y
mapas.
que permitirá la generación de
valor.
Gobierno
de riesgos
GOBIERNO DE RIESGOS

Fuente: IT Risk Practitioner Guide, ISACA, 2020

 GOBIERNO DE RIESGOS

• Dirección, supervisión y optimización de riesgos en el proceso de toma de

decisiones para apoyar el logro de los objetivos estratégicos de la organización.
• Gobierno: f (expectativas, necesidades, intereses, decisiones) → valor.
• Establece una conexión entre la toma de decisiones corporativa y la gestión de
riesgos para impulsar y asegurar la sostenibilidad organizacional en el tiempo.
• Consolida el gobierno y la supervisión del sistema y monitoreo de riesgos desde
la Junta Directiva, soportada por el modelo de las “Tres líneas (de defensa)”.
• Roles fundamentales: Alta Dirección y Comité Directivo de Riesgos.
 POLÍTICA DE RIESGOS

• Estructura normativa general para el

gobierno y la gestión del riesgo en toda
Elementos:
la organización, a través de objetivos, • Alcance y autoridad, vinculados al
compromisos y reglas, en línea con sus apetito de riesgo (o tolerancia).
valores y objetivos de negocio. • Roles y responsabilidades de los
• La Política debe estar incluida en el mo- stakeholders (E-T-O).
delo de control interno (cuyo propósito • Las consecuencias de no cumplir con la
es asegurar que la organización logre política.
• Los recursos para manejar excepciones
sus objetivos).
• El esquema para la verificación y
• Ej.: Establecer comportamientos para la
medición del cumplimiento de la
protección de la información relevante política.
y de los sistemas e infraestructuras
asociadas.
GOBIERNO CORPORATIVO DE RIESGOS

Gobierno Corporativo de Riesgos

Gestión de riesgos
Modelo
Corporativo

Gestión de
riesgos - Líneas Baselines
de defensa

Gobierno de Riesgo Apetito Tolerancia Capacidad

Cultura de
Riesgos
riesgos
 GESTIÓN DE RIESGOS

Objetivos generales:
• Proceso sistemático que a través de la
contextualización, identificación, análisis,
evaluación, cuantificación, tratamiento y
monitoreo de los riesgos de la empresa, permite
apoyar el logro de los objetivos estratégicos, y
por ende, la creación de valor.
• Brinda una visión global de los objetivos del
negocio, orientado a mejorar la eficiencia y
eficacia de los procesos que soportan el logro
de los objetivos estratégicos.
• Nota: Es imperativo implementar una cultura
corporativa de riesgos.
La gestión del riesgo es una actividad inherente
a nuestros roles.
 GESTIÓN DE RIESGOS

• Integrar la gestión de riesgos en la estrategia funcional y la gestión de procesos.

• Fortalecer los sistemas de gestión de riesgos a través del desarrollo de
capacidades y herramientas para lograr la autogestión.
• Fortalecer la cultura de (auto)gestión de riesgos en la Organización.
• Con el fin de asegurar esta visión, se debe implementar una metodología
integral adaptada a la naturaleza de operaciones de la Organización y sus
procesos críticos.
• Roles fundamentales: Líderes de procesos, áreas de operación y soporte,
Riesgos y Auditoría Interna.
GESTIÓN DE RIESGOS – LÍNEAS (DE DEFENSA)
 GESTIÓN DE CIBERRIESGOS

• La implementación de proyectos organizacionales requiere de la utilización de

componentes tecnológicos que incluyen la interconexión entre redes.
• Esta interconexión entre redes implica riesgos.
• El ciberriesgo puede manifestarse en componentes de procesos, personas,
organizacionales y a nivel país.
• El ciberriesgo existirá siempre y cuando genere un impacto en el negocio.
 GESTIÓN DE RIESGOS
ROLES Y RESPONSABILIDADES

• La definición clara de roles y responsabilidades es clave para el éxito de

la implementación de la gestión de riesgos en la organización.

• Tablas RACI para la gestión de riesgos.

• ¡¡ Todos tienen expectativas, necesidades y responsabilidades !!

 GESTIÓN DE RIESGOS
ROLES Y RESPONSABILIDADES
 GESTIÓN DE RIESGOS
ROLES Y RESPONSABILIDADES
 GESTIÓN DE RIESGOS
HABILIDADES Y COMPETENCIAS
GOBIERNO CORPORATIVO DE RIESGOS

Gobierno Corporativo de Riesgos

Gestión de riesgos
Modelo
Corporativo

Gestión de
riesgos - Líneas Baselines
de defensa

Gobierno de Riesgo Apetito Tolerancia Capacidad

Cultura de
Riesgos
riesgos
 GESTIÓN DE RIESGOS
CULTURA, ÉTICA Y COMPORTAMIENTO

¿Como se reconoce a las

¿Cómo nos reconocen?
personas de las organizaciones?
• Ética organizacional: Valores, • Comportamientos individuales:
principios, teoría y práctica. Objetivos personales.
• Ética individual: Valores personales, • Comportamientos organizacionales:
religión, principios, creencias Actitud y ejemplos de la Alta
políticas, experiencias personales, Dirección y la Gerencia.
etc. • Comportamiento hacia el riesgo.
• Comunicación, concientización,
expectativas, influencias, feedback,
etc.
CULTURA DE RIESGOS
CULTURA DE RIESGOS

Fuente: IT Risk Practitioner Guide, ISACA, 2020

CULTURA DE RIESGOS

Fuente: IT Risk Practitioner Guide, ISACA, 2020

CULTURA DE RIESGOS

Fuente: IT Risk Practitioner Guide, ISACA, 2020

 GESTIÓN DE RIESGOS – IMPACTO DE LA CULTURA ORGANIZACIONAL

Las organizaciones se diferencian en:

• Integración GRC – ERM – IT Risk Management.
• Gobierno – Apetito – Tolerancia.
• Compromiso – Roles – Responsabilidades.
• Awareness de los stakeholders.
• Indicadores y métricas.
• Impacto y difusión de las auditorías.
• Aprendizaje de los errores.

!! La concientización en riesgos se ENTRENA !!

GOBIERNO CORPORATIVO DE RIESGOS

Gobierno Corporativo de Riesgos

Gestión de riesgos
Modelo
Corporativo

Gestión de
riesgos - Líneas
Baselines
de defensa

Gobierno de Riesgo Apetito Tolerancia Capacidad

Cultura de
Riesgos
riesgos
 DEFINICIONES

• ISO Guide 73 – ISO 31000-2018: Efecto de la incertidumbre sobre el logro de los

objetivos organizacionales. Combinación de la probabilidad de un evento y sus
consecuencias en el logro de los objetivos de negocio. El efecto puede ser
positivo o negativo.

• IAI: La posibilidad de que ocurra un acontecimiento que tenga un impacto en el

alcance de los objetivos. El riesgo se mide en términos de impacto y
probabilidad.

• The Financial Services Roundtable: Riesgo es el potencial de pérdidas directas,

que impactan las utilidades o el patrimonio, o indirectas al imponer restricciones
a la capacidad de la entidad de alcanzar sus objetivos de negocios.

• !! El riesgo existe siempre !!, sea o no detectado y reconocido por una

organización.
 DEFINICIONES – RIESGOS (Basilea II)

• Evento de riesgo: Todo hecho, situación, acontecimiento, acción, condición u

omisión que tiene una causa que lo origina y es capaz de generar una
consecuencia (pérdida).

• Evento de pérdida: Todo resultado negativo o no deseado, producto de la

materialización u ocurrencia de un evento y que impacta en el logro de un
objetivo.
 DEFINICIONES – RIESGO OPERACIONAL

• Comité de Basilea: “... es el riesgo de pérdida debido a la inadecuación o a fallos

de los procesos, el personal y los sistemas internos o bien a causa de
acontecimientos externos. Esta definición incluye el riesgo legal, pero excluye el
riesgo estratégico y el de reputación.”

• The Bank of New York: “... es el potencial de pérdidas financieras, daño a la

reputación, y/o pérdida de valor para los accionistas debido a fallas en los
controles internos, fallas en los sistemas de información, error humano o
vulnerabilidades a eventos externos.”
 RIESGOS ESTRATÉGICOS, TÁCTICOS Y OPERATIVOS

Articulación entre los niveles estratégico, táctico y operativo bajo un mismo

enfoque y metodología de gestión del riesgo:
• Riesgo Estratégico: La posibilidad de pérdidas por decisiones de alto
nivel asociadas a la creación de ventajas competitivas sostenibles.
Relacionado con fallas y/o debilidades en el análisis del mercado, Objetivos
tendencias e incertidumbre del entorno, competencias claves de la estratégicos
empresa, en el proceso de generación e innovación de valor, etc.

• Riesgo Táctico: La posibilidad de pérdidas por decisiones de nivel Objetivos

gerencial orientadas a brindar soporte para el logro de los resultados gerenciales
estratégicos.

• Riesgo Operacional: La posibilidad de pérdidas debido a procesos Objetivos de

inadecuados, fallas del personal, de la tecnología de información, procesos de
eventos externos, etc. negocio
 RIESGOS ESTRATÉGICOS, TÁCTICOS Y OPERATIVOS

EJERCICIOS: ¿Cómo tipificaría los siguientes riesgos?

• 2006: Se funda Wikileaks, sitio web para documentos filtrados de interés público.
• 2009: Volkswagen decide seguir fabricando vehículos que incumplen estándares de
emisión de gases.
• 2010: Red de Internet de Telefónica Brasil registra caídas sucesivas de varios días.
• 2013: Edward Snowden publica documentos secretos de la NSA.
• 2013: Target (USA) reconoce robo de datos de más de 70 millones de clientes.
• 2016: Gran Bretaña vota por el sí al Brexit (salida de la Comunidad Europea).
• 2016: Samsung reconoce fallos de diseño y control de calidad en el Galaxy Note 7.
• 2017: Equifax sufre el robo de millones de registros con información de sus clientes.
 DEFINICIONES – RIESGOS DE TI

• COBIT 5: Riesgo de TI es un riesgo de negocio asociado con el uso, la propiedad,

operación, involucramiento, influencia y adopción de las TI en una empresa,
generando eventos que pueden impactar en el negocio.

• El riesgo de TI consiste de eventos relacionados a TI que potencialmente podrían

impactar al negocio. El riesgo de TI puede darse con una frecuencia e impacto
inciertos, generando desafíos e incertidumbre en el logro de las metas y los
objetivos estratégicos.
COMPONENTES DEL RIESGO

Activo de TI

Consecuencia
Probabilidad
Amenazas Vulnerabilidades (Impacto) Criticidad
f(Hist, exp,
(externas) (internas) Dueño del Dueño negocio
…)
riesgo
RIESGO INHERENTE – RIESGO RESIDUAL
RIESGO INHERENTE – RIESGO RESIDUAL
MAPAS DE RIESGO
MAPAS DE RIESGO
 APETITO DE RIESGO

• Nivel de riesgo que la organización

está dispuesta a aceptar, en el logro • Por tanto, es específico para
de sus objetivos estratégicos. cada ...
• Considera 3 factores: • Ojo con el efecto en cascada
▪ La capacidad objetiva de la empresa hacia las áreas de negocio.
para absorber pérdidas.
• Por ej., ustedes aceptarían el
▪ La cultura o predisposición hacia la
toma de riesgos: Averso / Agresivo !! riesgo de ¿(In)Cumplimiento
▪ La naturaleza de operaciones de la regulatorio? O ¿Fraude?
organización y el tipo de riesgo • Hablen ahora o …
asociado. El riesgo cambia en
diferentes sectores.
 APETITO Y TOLERANCIA

• Tolerancia: Ligera variación del Apetito

(aplica en condiciones extraordinarias). • En estos días, ¿Cuál sería
• Son definidos a nivel corporativo, se vuestro enfoque?
alinean con la estrategia y las políticas.
• ¿Qué deciden si su costo de
• Se consideran variantes internas definidas
por umbrales.
respuesta al riesgo es mayor
• Enfoques conservadores (aversos) / que sus capacidades
agresivos (propensos) pueden condicionar económicas?
nuevas inversiones.
• Comunicación, revisión y actualización
periódica, en línea con el contexto de
negocios.
 APETITO DE RIESGO – MAPAS

Fuente: IT Risk Practitioner Guide, ISACA, 2020

APETITO, TOLERANCIA Y CAPACIDAD

Fuente: Definición e implantación del apetito de riesgo, IAI

 APETITO, TOLERANCIA Y CAPACIDAD

Fuente: Definición e implantación del apetito de riesgo, IAI. Adaptación propia.

APETITO, TOLERANCIA Y CAPACIDAD

EJERCICIO: Defina los niveles de apetito de riesgo, tolerancia y capacidad para su

unidad de negocio:

Apetito de riesgo:

Tolerancia:

Capacidad:
Unidad II – Sesión No. 3

Proceso de Gestión de
Riesgos
PROCESO DE GESTIÓN DE RIESGOS
PROCESOS DE GESTIÓN DE RIESGOS – COBIT 2019
 PROCESO DE GESTIÓN DE RIESGOS

OBJETIVO.
• Definir y operar un marco de trabajo integral de
gestión de riesgos que permita la
contextualización, identificación, análisis,
evaluación, valoración, tratamiento y monitoreo de
los riesgos asociados a activos y procesos de
negocio, así como la supervisión de dicha gestión
para mantener los riesgos dentro de un nivel
aceptable y facilitar el logro de los objetivos
estratégicos.

ALCANCE
• Identificar riesgos, categorizar, contextualizar,
calificarlos y definir los planes de tratamiento, a
partir de las políticas definidas por el proceso.
 PROCESO DE GESTIÓN DE RIESGOS
FUNDAMENTOS

Enfoques
cualitativos y
Evaluación y cuantitativos Mapas de
• Enfoque estructurado con análisis de riesgo (mapas
riesgos de calor)
foco en los factores de
riesgo (A-V-P-I).
• Deberían ser aplicables a Identificación Escenarios de
toda la organización. de riesgo riesgo de TI
• Expresado en umbrales,
desplegable en áreas o
unidades de negocio, Criterios →
Expresar el Fundamentos
proyectos, etc.) Registro de
impacto en de la Gestión riesgos
términos de de Riesgos
negocio
PROCESO DE GESTIÓN DE RIESGOS

CLIENTE
PROVEEDOR SALIDAS
ENTRADAS (Proceso Interno o
(Proceso Interno o Entidad Externa) (Resultados Relevantes)
Entidad Externa)
Lineamientos Corporativos
Proceso Gestión Integral de Riesgos Modelo de gestión de riesgos Gerencias TI

Planes estratégicos y tácticos de Riesgos evaluados, gestionados y/o

Estrategia de TI Todos los procesos de TI
Tecnología priorizados aceptados de procesos de TI

Informes de Control Interno / Control Interno de TI Riesgos asociados al logro de objetivos

Comité de Gerencia TI
Auditoría interna y/o Externa Cumplimiento Regulatorio de TI estratégicos, gestionados y/o aceptados

Evaluación de riesgos de proveedores Riesgos de proveedores evaluados, Administración de proveedores de

Administración de proveedores de TI
de TI gestionados y/o aceptados TI

Todos los procesos y proyectos

Eventos de riesgo (EH, monitoreo, Gerencia de TI
Matrices de Riesgos estratégicos de TI
gestión de incidentes) VP Riesgos
Proceso Gestión Integral de Riesgos

Todos los procesos y proyectos

Mapa de procesos Procesos Matrices de Riesgos
estratégicos de TI
Unidad II – Sesión No. 4

Identificación de Riesgos
IDENTIFICACIÓN DE RIESGOS

Talleres de autoevaluación
Técnicas de identificación de

PRINCIPALES TÉCNICAS
eventos de riesgo:
• Eventos desencadenantes. Análisis interno y entrevistas
• Riesgo inherente y residual.
Inventario de activos y eventos
Registro de riesgos:
• Datos y plantillas para Análisis de flujos de procesos
registros de riesgos.
• Componentes de un perfil de Reportes, auditorías, etc.
riesgos.
Bases de datos de eventos de pérdida
IDENTIFICACIÓN DE RIESGOS

ARQUITECTURA DE TI
IDENTIFICACIÓN DE FACTORES DE RIESGOS
IDENTIFICACIÓN DE FACTORES DE RIESGOS

EJERCICIO:
Sobre la base de los bloques del universo de riesgos de la gráfica
anterior, identifique cuáles son amenazas / vulnerabilidades / riesgos.
 IDENTIFICACIÓN DE RIESGOS
INVENTARIO DE ACTIVOS

Información básica a considerar:

• ID / Proceso / Subproceso /
Propietario / UUNN
• Registro de activos organizacionales • Descripción / Status
que forman parte de las operaciones • Clasificación / Relevancia / Activo
tecnológicas de soporte a los procesos. • Otros.
IDENTIFICACIÓN DE RIESGOS

EJERCICIO: Elaborar una matriz de trabajo para registrar la identificación de

Cuatro (04) activos de TI relacionados con algunos de los siguientes
bloques:

• Apps, Web Servers, Seguridad Perimetral, Continuidad del Negocio,

Proveedores, SSOO, BBDD, Seguridad de Información, Privacidad,
Servidores, Estaciones de trabajo, Backup, Gestión de Cambios,
Operaciones, Seguridad Física & Ambiental, Gestión de Incidencias y
Problemas, CMDB, Licenciamiento, Cloud Computing, Shadow IT, etc.
 MATRICES DE RIESGOS

Información a considerar:
• ID / Propietario / Escenario / UUNN /
Fecha de Id
• Registro de riesgos para almacenar y • Fuente (si se conoce) / Descripción
mantener toda la información recopilada • Puntajes
en un formato útil para los stakeholders. • Respuesta / Estado Respuesta
• Control(es) / Categoría (P/S)
• Fecha de seguimiento / Comentarios /
Otros.
MATRICES DE RIESGOS
IDENTIFICACIÓN DE RIESGOS

EJERCICIO:
A partir de la definición de los (04) activos de TI, identificar 3 riesgos
asociados para cada uno.
Unidad II – Sesión No. 5

Análisis de Riesgos
 FACTORES DE RIESGOS

• Objetivo (Activo/Recurso):
• Gente / Infraestructura / Instalaciones / Datos /
• Influyen en la frecuencia y el impacto de
Aplicaciones / Procesos TI / Redes / …
los riesgos.
• Fuente/Actor de amenaza:
• Internos: Personal, proveedores, etc. • Contextuales:
• Externos: Competidores, reguladores, mercado, • Internos: Objetivos estratégicos, Arquitectura
ciberatacantes, etc. TI, gestión de cambios, cultura riesgos, etc.
• Otros: Fallas, desastres naturales, etc. • Externos: Mercado, ciberamenazas,
• Intención/Motivación: regulación, tecnología, .
• Malicioso / accidental / fallas proceso / fuerza
• De capacidad: Habilidades para Gobierno y
mayor / ciclo de negocios / …
Gestión de Riesgos de TI:
• Efecto/Resultado:
• Revelación de datos / interrupción / robo / • De madurez en la gestión del riesgo de TI.
cambios no autorizados / destrucción / … • De soporte al logro de los objetivos
• Timing: estratégicos.
• Duración / Oportunidad / Lapso entre ataque e
impacto / …
 ANÁLISIS DE RIESGOS

• Metodología: f (Cultura, recursos, habilidades,

conocimiento, el entorno, el apetito por el
riesgo, ERM, etc.) → cuantitativa o cualitativa. • Ningún método es totalmente objetivo !!
El riesgo identificado se registra en una matriz • Las evaluaciones solo cuantitativas
para un análisis detallado de los factores de pueden crear un exceso de confianza en
riesgo y para una justificación de costos de un modelos complejos.
plan de remediación. • Las evaluaciones solo cualitativas pueden
• Los proceso de análisis se usan para evaluar tener sesgos, juicios de valor (experto), la
estáticamente los mejores y peores resultados naturaleza simplificada de usar una
de los escenarios para permitir un triaje escala de medición ordinal o basada en
rápido. taxonomía, con resultados poco fiables.
• Ojo: La P() y el I() no son la imagen completa al • En todo caso, siempre está el … !!
analizar el riesgo. Los eventos improbables
ocurren con demasiada frecuencia, y muchos
eventos probables nunca se materializan.
 ANÁLISIS CUANTITATIVO DE RIESGOS

• Probabilidad: Determinación y cálculo

estadístico.
• Las técnicas cuantitativas pueden
utilizarse cuando existe la suficiente
información para calcular la probabilidad
y/o el impacto del riesgo empleando
técnicas probabilísticas y no
probabilísticas.
• Una consideración importante es la
disponibilidad de información precisa, ya
sea de fuentes internas o externas, y
uno de los retos que plantea el uso de
estas técnicas es el de obtener
suficientes datos válidos.
 ANÁLISIS DE RIESGOS
CRITERIOS PARA AMENAZAS

Considerar catálogos de
fuentes de amenazas:
• Internas.
• Externas.
• Ciberdelincuentes.
• Organizaciones.
• Países
ANÁLISIS DE RIESGOS – AMENAZAS

EJERCICIO:
A partir de los bloques elegidos en el ejercicio anterior, identifique las
amenazas relacionadas con los riesgos potenciales identificados,
asignando un valor para la combinación de Capacidad – Motivación:
 ANÁLISIS DE RIESGOS
CRITERIOS PARA VULNERABILIDADES

Catálogo de vulnerabilidades:
• Inherentes al activo.
• Debilidades intrínsecas.
• Carencias (Falta de …).
• Inefectividad.
• Fallas en controles.
• Criterios adicionales.
ANÁLISIS DE RIESGOS – VULNERABILIDADES

EJERCICIO:
A partir de los bloques elegidos en el ejercicio anterior, identifique las
vulnerabilidades relacionadas con los riesgos potenciales identificados,
asignando un valor para la combinación de Severidad – Exposición:
 ANÁLISIS DE RIESGOS
CRITERIOS PARA PROBABILIDAD
VALORACIÓN DE PROBABILIDAD

EJERCICIOS:
1. A partir de los bloques elegidos en el ejercicio anterior, identifique una
matriz de probabilidad aplicable a su organización.
2. Identifique los valores de probabilidad asociados a los riesgos
potenciales trabajados hasta el momento.
 VALORACIÓN DE IMPACTOS

• Los riesgos significativos de TI

deben ser expresados en términos
inequívocos de negocio.
• Los stakeholders deben
comprender el impacto en los
objetivos estratégicos y la pérdida
directa o indirecta.
• Por tanto, se requiere conocer el
vínculo entre los escenarios de
riesgo de TI y el impacto en los
objetivos estratégicos.

Fuente: Risk IT Framework 2nd. Ed.

 ANÁLISIS DE RIESGOS
CRITERIOS PARA IMPACTO
VALORACIÓN DE RIESGOS – MODELOS
VALORACIÓN DE RIESGOS – CRITERIOS ALTERNOS
 VALORACIÓN DE IMPACTO

EJERCICIOS:

1. A partir de los bloques elegidos en el ejercicio anterior, identifique una

matriz de impacto aplicable a su organización.

2. Identifique los valores de impacto asociados a los riesgos potenciales

trabajados hasta el momento.
ANÁLISIS DE RIESGOS – CONSOLIDAR

EJERCICIO: Consolide los componentes de Amenaza, Vulnerabilidad, Impacto y

Probabilidad en la matriz de trabajo:
 ANÁLISIS DE RIESGOS
MAPA DE RIESGOS INHERENTES

ZONA DE RIESGO
NO ACEPTABLE

ZONA DE RIESGO
ACEPTABLE
 ANÁLISIS DE RIESGOS
MAPA DE RIESGOS INHERENTES

EJERCICIO: Traslade los valores obtenidos para los componentes de Impacto y

Probabilidad hacia el mapa de riesgos:
 ANÁLISIS DE ESCENARIOS

Enfoques:
• Técnica de identificación de riesgos relevantes. • Top-Down: A partir de los objetivos
• Deben ser escenarios aplicables al contexto de estratégicos.
la organización (aunque ahora ya nos quedan • Bottom-Up: A partir de los activos de TI.
Utilizado con frecuencia para el análisis de
muchas dudas !!).
vulnerabilidades y de amenazas.

Nota: No son métodos excluyentes. Son

complementarios.
ANÁLISIS DE ESCENARIOS

Fuente: Risk IT Framework 2nd. Ed.

ANÁLISIS DE ESCENARIOS

Fuente: Risk IT Framework 2nd. Ed.

ANÁLISIS DE ESCENARIOS

Fuente: Risk IT Framework 2nd. Ed.

Unidad II – Sesión No. 6

Evaluación de Riesgos
 EVALUACIÓN vs CRITERIOS DE VALORACIÓN

Sobre la base de los resultados del análisis de los

riesgos, se compara el nivel de riesgo analizado Nota 1: En algunas circunstancias, es
con los criterios de riesgo establecidos, con la posible que la evaluación del riesgo
finalidad de: analizado pueda llevar a decidir un análisis
de mayor profundidad y detalle.
• Ayudar a la toma de decisiones.
• Determinar cuáles son los riesgos a tratar. Nota 2: También es posible que la
• Determinar la prioridad en el tratamiento de evaluación del riesgo pueda decidir no
los riesgos. tomar medidas de tratamiento.
EVALUACIÓN – FLUJO OPERATIVO
Unidad II – Sesión No. 7

Tratamiento y Respuesta de
Riesgos
TRATAMIENTO Y RESPUESTA – FLUJO OPERATIVO
SELECCIÓN Y PRIORIZACIÓN – FLUJO OPERATIVO
 TRATAMIENTO Y RESPUESTA
SELECCIÓN Y PRIORIZACIÓN

Factores:
• Costos / Impactos / Capacidades / Efectividad /
Exigencias (normativas) / Competencia por Opciones:
recursos.
Prioridad alta:
• Quick wins.
• Respuestas muy efectivas y eficientes en costos • Sustento (business case).
para los riesgos altos.
Prioridad normal:
• Todas las respuestas requieren un análisis
cuidadoso y decisión de la gerencia sobre las
inversiones.
Prioridad baja:
• Relación costo / beneficio.
¿Qué deciden con riesgos regulatorios?
¿Qué deciden con riesgos excepcionales?
 TRATAMIENTO Y RESPUESTA

• Disposición. Selección y priorización de la

• Agregación. respuesta:
• Evitar.
• Riesgo residual →Apetito de
riesgo. • Mitigar.
• Compartir / Transferir.
• Aceptar.
TRATAMIENTO Y RESPUESTA – MITIGAR

• Ejecutar acciones para reducir la Ejemplos:

frecuencia / probabilidad (otra vez, • Parcheos.
esto depende de la disponibilidad de • Concientización.
la información y de otros factores) • BCP / DRP.
y/o el impacto/consecuencia. • Herramientas: Cifrado /
• Desde controles mitigantes e incluso SIEM / Auth Multifactor /
compensatorios (a nivel P-P-T-I). Otros.
TRATAMIENTO Y RESPUESTA – MITIGAR

EJERCICIO: Identifique opciones para Mitigar los riesgos registrados en la matriz de

trabajo.
 TRATAMIENTO Y RESPUESTA – EVITAR

• Dejar de realizar la actividad o las

condiciones que generan el riesgo. Ejemplos:
• Ninguna otra opción de respuesta es • Caso BlackBerry: 5 años de
adecuada: caída vertical, hasta que …
– No hay una respuesta sustentable en • Caso Samsung Galaxy
términos de costos. Note 7.
– No se puede transferir o compartir.
– El nivel de exposición ha sido
considerado inaceptable por la
gerencia.
TRATAMIENTO Y RESPUESTA – EVITAR

EJERCICIO: Identifique opciones para Evitar los riesgos registrados en la matriz de

trabajo.
 TRATAMIENTO Y RESPUESTA
COMPARTIR / TRANSFERIR

• Reduce la frecuencia/probabilidad y/o Ejemplos:

el impacto/consecuencia al transferir • Ciberseguros.
una parte del riesgo. • Outsourcing.
• Se acepta la pérdida en caso ocurra. • Consultorías / Asesorías.
• La organización sigue siendo
propietaria y responsable del riesgo.
 TRATAMIENTO Y RESPUESTA
COMPARTIR / TRANSFERIR

EJERCICIO: Identifique opciones para Compartir / Transferir los riesgos registrados

en la matriz de trabajo.
 TRATAMIENTO Y RESPUESTA – ACEPTAR

• Se cuenta con información de

sustento acerca del riesgo y se Ejemplos:
reconoce la exposición a la pérdida; • Caso Volkswagen.
sin embargo, no se toman acciones • En general, implícitamente
relativas a un riesgo en particular. Las lo están haciendo todos
razones pueden ser diversas. (los que no han
• Se acepta la pérdida en caso ocurra. implementado un Modelo
• Se requieren niveles autorizados de de Gestión de
aceptación del riesgo (establecer Ciberseguridad).
dueño del riesgo) y … documentar !!
• ¿Controles compensatorios?
TRATAMIENTO Y RESPUESTA – ACEPTAR

EJERCICIO: Identifique opciones para Aceptar los riesgos registrados en la matriz de

trabajo.
 TRATAMIENTO Y RESPUESTA
AGREGACIÓN DE RIESGOS

• Método de combinación de 2 o más Ejemplos:

riesgos, para mejor exposición, • Vulnerabilidades de
entendimiento, dimensionamiento, servidores.
decisiones y/o tratamiento. • Comportamientos.
• Incumplimiento normativo.
• Ojo con riesgo (impacto) agregado >
• SoD.
Apetito (y Tolerancia) !!
• Shadow IT / Uso de puertos /
…
Unidad II – Sesión No. 8

Registro y Reporte de
Riesgos
 REPORTE DE RIESGOS

• Descripción de contexto de la organización: Negocio y TI.

• Resumen ejecutivo.
• Clasificación de activos de información.
• Universo, catálogo, mapas y gráficos vigentes de riesgos.
• Comparativo con reportes anteriores.
• Exposición de resultados.
• Estrategias de mitigación.
• Conclusiones generales.
• Directrices para reportar riesgos:
• Proceso de comunicación y reporte de riesgos.
• Aplicación de conceptos de agregación de riesgos.
• Expresando los riesgos en términos de negocios:
Riesgo y oportunidad.
REPORTE DE RIESGOS – VISTAS
REPORTE DE RIESGOS DE TI – EJERCICIO

EJERCICIO: Sobre la base de los riesgos registrados en la matriz de trabajo:

• Prepare un reporte de riesgos con enfoque estratégico, táctico y operativo.
Unidad III – Sesión No. 9

Ciclo de vida de controles

 DISEÑO E IMPLEMENTACIÓN DE CONTROLES

¿Qué es un control?
• Los controles son las políticas, procedimientos, prácticas y directrices diseñadas
para proporcionar aseguramiento razonable de que se logran los objetivos del
negocio y que los eventos no deseados se previenen, detectan o corrigen.
• En sí mismos, pueden constituir una respuesta al riesgo.
 DISEÑO E IMPLEMENTACIÓN DE CONTROLES

El profesional de riesgos debe involucrarse con:

• La evaluación del nivel de riesgo de los procesos de negocio.
• La determinación del nivel de riesgo de negocio asociado con TI.
• La determinación de los requisitos de seguridad de información basado en sus riesgos.
• La selección de los controles apropiados para satisfacer los requisitos de seguridad y
mitigar los riesgos.
• El diseño o supervisión de los controles.
• La implementación y prueba de los controles.
• La definición de KRIs y otros indicadores para determinar la efectividad de los controles.
• El reporte de los riesgos vigentes y la efectividad de los controles.
• El lanzamiento de los proyectos para implementar nuevos controles donde sea
necesario.
CONTROLES – CATEGORÍAS

Controles preventivos: Cifrado, autenticación, firewall, IPS, …

Controles correctivos: Backup, restore, …

Controles detectivos: Logs, reportes de control, …

Controles disuasivos: Pantalla pre-login, señalética, …

Controles directivos: Políticas, BSC, …

Controles compensatorios
CONTROLES – INTERRELACIONES
 DISEÑO E IMPLEMENTACIÓN DE CONTROLES

• La efectividad de los controles no puede ser evaluada a menos que puedan ser
probadas y medidas.
• Los niveles de confianza y los tamaños de muestra deben reflejar los objetivos de
negocio y los requisitos regulatorios.
• El diseño de los controles debería considerar:
• La efectividad en el diseño.
• La efectividad en la operación.
• El alineamiento con el ambiente de operación.
• Sencillez para el mantenimiento.
• La asignación a propietarios.
• Ubicación:
• Basados en red.
• Basados en capas: SSOO, BBDD y Aplicación.
• Controles físicos, ambientales, etc.
 DISEÑO E IMPLEMENTACIÓN DE CONTROLES

Confiabilidad de los controles:

• A medida que los volúmenes de
transacciones aumentan y con cálculos cada
vez más complejos, los controles automáticos
suelen ser más confiables que los manuales.
• Los controles automáticos son menos
propensos a errores si se diseñan, operan,
mantienen y aseguran efectivamente.
• Un enfoque proactivo de control de riesgos
requiere un mayor uso de controles
preventivos antes que controles detectivos.
• Controles efectivamente diseñados que
previenen el riesgo en la fuente liberan
permiten al personal concentrarse en las
tareas críticas del negocio.
MONITOREO Y MANTENIMIENTO DE CONTROLES

Selección

Eliminación y/o Diseño y

reemplazo desarrollo

Monitoreo y Prueba e
mantenimiento implementación
MONITOREO Y MANTENIMIENTO DE CONTROLES

La gerencia revisa las

Asegurar que los controles
actividades y la efectividad
mitigan los riesgos de forma
de los controles clave y se
efectiva.
reportan a los stakeholders.

Objetivos

Se identifican los procesos

que requieren correctivos y Se reportan a los
se asignan y completan las stakeholders.
acciones de remediación.
 MANTENIMIENTO DE CONTROLES

• Mantenimiento similar a la gestión de cambios.

• Mantener los controles en el tiempo.
• Las actividades incluyen:
▪ Pruebas periódicas de controles.
▪ Gestión de parches.
▪ Gestión de la configuración.
▪ Gestión de las excepciones.
▪ Gestión de incidentes y problemas.
▪ Documentación.
Unidad III – Sesión No. 10

Comunicación y Monitoreo
 CONCIENTIZACIÓN, REPORTE Y
COMUNICACIÓN

• La concientización reconoce a la
Comunicación:
incertidumbre como parte integral
• Toda la información comunicada debe
del negocio. ser fidedigna, clara, completa y
• El reporte oportuno, adecuado y entendible. Cada instancia E/T/O toma y
exacto de los riesgos es base para articula la información que le
la toma de decisiones y la corresponde para su respectivo ámbito
de actuación.
concientización.
• Ojo con la terminología técnica !!
• El riesgo (reportado) de TI debe
ser:
• Identificable / Reconocible /
Entendible / Gestionable.
CONCIENTIZACIÓN, REPORTE Y
COMUNICACIÓN

Fuente: Risk IT Framework 2nd. Ed.

 COMUNICACIÓN INTERNA

La dirección despliega comunicaciones dirigidas a las expectativas

de comportamiento y las responsabilidades del personal. Incluye
una exposición clara de la filosofía y enfoque de la gestión de
riesgos corporativos de la entidad y una delegación clara de
autoridad. La comunicación debe expresar eficazmente:
• La importancia y relevancia de una gestión eficaz de riesgos
corporativos.
• Los objetivos estratégicos de la organización.
• El apetito y la tolerancia al riesgo.
• Una metodología homologada de riesgos.
• Los roles y las responsabilidades del personal al desarrollar y
apoyar los componentes de la gestión de riesgos corporativos.
 REPORTE: KRI´s

Fuente: Risk IT Framework 2nd. Ed.

REPORTE: KRI´s Y SUS CRITERIOS DE SELECCIÓN

Fuente: Risk IT Framework 2nd. Ed.

 INDICADORES DE RIESGOS – KRI

KRI (Key Risk Indicator):

• Indicadores sobre riesgos relevantes: Continuidad, calidad,
participación y respuesta de mercado, reclamos, errores, crisis,
costos, penalidades, satisfacción, etc.
• Suelen agruparse según modelo corporativo de riesgos.
• Suelen indicar tendencias o probabilidad de ocurrencia de riesgos.
• Propuestos por los responsables de riesgos. Aprobados por el
propietario del riesgo.

Beneficios:
• Monitorean la evolución de los riesgos.
• Apoya la toma de decisiones.
• Oportunidades de mejora.
• Medición versus apetito y tolerancia al riesgo.
• Ayuda a optimizar ERM.
 INDICADORES DE RIESGOS – KRI – EJEMPLOS

Fuente: Risk IT Framework 2nd. Ed.

 MONITOREO DE RIESGOS

Determinar la efectividad corriente de la respuesta al riesgo (consistente con el ERM de la

• El monitoreo de riesgos organización).
se efectúa mediante la
selección de KRIs de Identificar cambios en la infraestructura de TI con impacto en el riesgo.
todos los controles y
puntos de datos Verificar la implementación efectiva de la respuesta planificada al riesgo y el
cumplimiento del marco normativo aplicable.
disponibles y relevantes.
• Refleja las prioridades del Analizar y aprender de las lecciones con origen en los eventos, cambios, incidencias y
negocio y el alineamiento tendencias.
con el apetito de riesgos.
• Sus objetivos son: Identificar nuevos riesgos.
 Gracias !!

Ing. Juan Dávila, MBA

CRISC, CISM, CISA, ISO 27001 LA&LI, ISO 22301 LA, ISO 37001 LA, Cobit 5 F & I & A
jdavilara@gmail.com