Los retos de una gestión corporativa de los riesgos de
la información
Visión y propuesta de valor de Steria
Abril, 2008
© Steria|p2
Presión creciente de los riesgos sobre el negocio
Marcos regulatorios y normasEuro-SOX: Directiva 2006/43/CEDirectiva europea sobre los mercados de instrumentos financieros – MiFIDBASEL II, Solvency II, SEVESO IINormas sectoriales específicas...Directivas de firma electrónica Payment Card Industry (PCI) Data Security StandardsLOPD
Marcos regulatorios y normasEuro-SOX: Directiva 2006/43/CEDirectiva europea sobre los mercados de instrumentos financieros – MiFIDBASEL II, Solvency II, SEVESO IINormas sectoriales específicas...Directivas de firma electrónica Payment Card Industry (PCI) Data Security StandardsLOPD
Riesgos del mercadoGlobalizaciónLa necesidad del crecimiento y la presión de competencia implica tomar riesgos. ¿Hasta donde?
Riesgos del mercadoGlobalizaciónLa necesidad del crecimiento y la presión de competencia implica tomar riesgos. ¿Hasta donde?
Importancia creciente de las TIs
e-negocioLa información como activo valiosoNivel creciente de las amenazas y su impacto en el negocio
Importancia creciente de las TIs
e-negocioLa información como activo valiosoNivel creciente de las amenazas y su impacto en el negocio
Riesgosde la
información
Presióndel
mercado
Presiónregulatoria
Necesidad creciente de una gestión corporativa de los riesgos que abarque de forma integrada todas las áreas de la empresa.
¿Cual es el nivel de riesgo que estamos dispuestos a asumir?¿Cual es nivel de control adecuado?¿Cuanta seguridad es suficiente?
© Steria|p3
Hacia una visión renovada de la gestión de los riesgos
La gestión de los riesgos afecta hoy a todas las áreas clave de la empresa: finanzas, legal, producción, RR.HH., TI, R&D,...Los esfuerzos entre las distintas áreas están a menudo descoordinados. Cada unidad de negocio trata de gestionar los riesgos en sus proyectos y dominios. No existe una estrategia deriesgos global promovida por el top management → efecto silo.
métricas y criterios diferentes de valoración y control del riesgo. Problema de benchmarkingduplicación de esfuerzos,ineficiencias, poca fiabilidad de los controles.
La presión de los nuevos riesgos y los problemas inherentes a su gestión tradicional generan una tendencia a renovar el enfoque de un viejo tema: la gestión de los riesgos
Nuevo enfoque: adoptar prácticas y métricas de gestión de los riesgos integradas y comunes a todas las áreas de la empresa, las cuales son conocidas globalmente como ERM (Enterprise Risk Management)
© Steria|p4
Cambio de paradigma en la gestión de los riesgos
Visión amplia: Se consideran todos los riesgos y oportunidades para el negocio
Visión limitada: fundamentalmente riesgos financieros y asegurables
Continua: El proceso de gestión de los riesgos es permanente
Ad Hoc: La gestión de riesgos se aplica cuando los managers piensan que es necesario
Integrada: Gestión de los riesgos coordinada a nivel de seniormanagement. Todo el managementcontempla la gestión de los riesgos como parte de su trabajo y utiliza un sistema común de KRI (Key Risk Indicators)
Fragmentada: cada departamento o función gestiona los riesgos de forma independiente, con sus propias métricas e indicadores
Nuevo modeloModelo tradicional
Resultado: aumento constante del número y complejidad de los riesgos
Globalización
Falta de control(ENRON, Parmalat...)
Terrorismo
Nuevasregulaciones
Dependenciade las TI
Desastres
© Steria|p5
El camino al ERM
ERM: un método integrado, consistente y estratégico para gestionar los riesgos, común para toda la Empresa.
Integrado: en el ciclo de vida de todos los proyectos, no esperando a buscar soluciones una vez el proyecto está terminadoConsistente: para todos los tipos de riesgos, coherente con los valores y cultura de la empresa, un mismo lenguaje en toda la organización.
La tendencia será imparable aunque lenta (por su dificultad inherente)Hacia 2010, el 50% de las empresas en sectores fuertemente regulados tendrán en marcha un programa ERM (Gartner Predicts 2007: Building Business Value With Risk Management, Ethics, Governance and Compliance)
Recomendación: implementar métodos de gestión de riesgos progresivamente, de forma incremental, ampliando su alcance y aplicabilidad una vez probada su capacidad para cumplir los requerimientos (Gartner Junio 2006: Choosing Risk Management Methods)
Basándose en marcos y estándares establecidos para asegurar la coherencia del resultado
© Steria|p6
Marcos y estándares
MarcosCOSO-ERMGartner's Simple ERM FrameworkCOBIT
MarcosCOSO-ERMGartner's Simple ERM FrameworkCOBIT
EstándaresISO Guide 73: Risk Management Vocabulary. (Harmonización de la terminología)ISO 27001 / ISO 27002
EstándaresISO Guide 73: Risk Management Vocabulary. (Harmonización de la terminología)ISO 27001 / ISO 27002
© Steria|p7
COSO-ERMCOSO (Committee of Sponsoring Organizations of the TreadwayCommission) es una iniciativa privada que ha definido en 2004 un marco de Enterprise Risk Management conocido como COSO-ERM,Concepto fundamental: “Apetito de Riesgo”
¿cual es el nivel de riesgo que la empresa está dispuesta a aceptar en su búsqueda de valor?
Objetivos
Com
pone
ntes
Organización
SUPERV.SUPERV.YY
SEGUIMIENTOSEGUIMIENTO
AMBIENTE DE CON
AMBIENTE DE CON MBIENTE DE CONTROL
MBIENTE DE CONTROLCOM
UNICAC
ION
COMUNIC
ACIO
N
CO
MU
NIC
ACIO
NC
OM
UN
ICAC
ION
INFO
RM
ACIO
NIN
FOR
MAC
ION
INFORMACION
INFORMACIONACTI-ACTI-
VIDADES
VIDADES
DEDE
CONTROL
CONTROLACTI-ACTI-
VIDADESVIDADESDEDE
CONTROLCONTROL
EVALUACION
EVALUACION
DEDE
RIESGOS
RIESGOSEVALUACION EVALUACION DEDE
RIESGOSRIESGOS
El marco se interpreta mejor considerando la información y comunicación como los elementos presentes en todos los componentes del marco, a la vez como fuente de riesgo y como herramienta de control
TROLTROL AA
© Steria|p8
Los riesgos de información en COBITControl Objectives for Information and related Technology (COBIT®) del IT Governance Institute es un marco muy extendido para la gobernación de las TIsCOBIT establece un conjunto de objetivos de control de alto nivel, cada uno de los cuales se satisface mediante un proceso.Uno de estos objetivos de control, perteneciente al área de planificación y organización, es la gestión de los riesgos:
P09: Evaluar y gestionar los riesgos en TI
“Establecer un marco de referencia de evaluación sistemática de los riesgos. Este marco de referencia deberá incorporar una evaluación regular de los riesgos de información relevantes para el logro de los objetivos del negocio”“El análisis de riesgos debe considerar el negocio, regulaciones, aspectos legales, tecnología, relaciones con partners y riesgos en los recursos humanos”
© Steria|p9
La gestión de los riesgos de la información
Se trata de una de las áreas críticas de un ERMLas TIs constituyen la infraestructura vital de la empresa moderna Toma de conciencia creciente de los riesgos de las TI y las potenciales perdidas para el negocio que puede acarrear un fallo
La empresa debe afrontar un cambio cultural en la gestión de los riesgos asociados a las TI
Modelo tradicional: El departamento de TI protege a la compañía al máximo nivel posible que permite el presupuesto disponibleCambio de perspectiva: Adoptar decisiones sobre los riesgos residuales en base a criterios de negocio
El marco CobiT de objetivos de control de las TI, y la familia de estándares ISO 27000 proporcionan una base sólida para adoptar un enfoque de los riesgos de las TI consistente con una gestión de riesgos integrada a nivel corporativo
© Steria|p10
Riesgos de las TI: la visión de Gartner
Los responsables de Sistemas de Información necesitan un nuevo modelo para gestionar los riesgos. Los métodos tradicionales dejan al negocio sin visibilidad y expuesto a niveles significativos de riesgos no gestionados
Dificultad de determinar “que es suficiente” en materia de control de riesgoGestionar de forma integrada amenazas sobre las TI y sobre el negocioLos modelos al uso no se han adaptado a la creciente complejidad e integración de las TIs
Los responsables de riesgos de información se ven cada vez mas involucrados en la gestión de los riesgos del negocio.
Las organizaciones TI tienen mucha experiencia en la gestión de sus propios riesgos: seguridad y continuidad del negocio, pero poca en tratar con riesgos de alto nivel para el negocio.
La inversión en gestión de riesgos en TI tiene un elevado retornoUn 1% a un 2% adicional de presupuesto en TI dedicado a la gestión de los riesgos devuelve un valor desproporcionadamente alto.
Fuentes Gartner: IT Risk Management: A Little Bit More Is a Whole Lot Better (Feb. 2005),Findings From the 'Compliance and Risk' Research Community: Managing Risk Outside the IT Organization (Mayo 2006)
© Steria|p11
Responsable de riesgos y responsable de seguridad del S.I.: dos funciones que se complementan
Dos funciones no completamente definidas, que han evolucionado de forma independiente y a menudo con una comunicación insuficiente
RM (Risk Manager)RSSI (Responsable de la Seguridad del S.I.)
Sin embargo ambas funciones se complementan y necesitan en el tratamiento de los riesgos de la información
Un problema relacionado con la información supone un riesgo para la empresa y/o los clientesTambién hay un riesgo si los medios desplegados por las T.I. no respetan compromisos con los clientes o las exigencias reglamentarias o jurídicas
RM
RSSI
Criticidad de los procesos
Análisis de vulnerabilidades del S.I.
y los riesgos resultantes
Plande
acciónElección de la cobertura
Seguros
Riesgos residuales aceptables
Fuente: Informe CLUSIF RM et RSSI: Deux métiers s’unissent pour la gestion des risques liés au Système d’Information. Junio, 2006
© Steria|p12
Como implantar una gestión de riesgos de la información
1. Adoptar un marco ERM y COBIT como referencias
No ser excesivamente ambiciosos: implantación progresivaUna implantación global de un marco ERM como COSO puede llevar dos añosIr adoptando prácticas de gestión de riesgos, que aunque parciales, estén en línea con este objetivo global.
2. Adoptar ISO 2700x como referencia para la gestión de riesgos de información
3. Seleccionar una metodología de análisis de riesgos de la información que se adapte al marco global de gestión de riesgos de la empresa
4. Adaptar la metodología al modelo de gestión de riesgos global
Categorías y niveles de riesgos, métricas, catálogos de amenazas, etc.
ERM
COBITISO 2700X
Metodología deAnálisis de Riesgos
Personalización
5. Hacer un despliegue progresivo por BUs y procesos de negocio
6. Aprovechar las oportunidades que brindan los nuevos proyectos, implantación de soluciones ERP, etc. Cada nuevo despliegue debe ir acompañado de una evaluación de los riesgos.
© Steria|p13
Innove-Risk
Es la solución de Steria para la implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI). Consta de:
Una metodología de gestión de los riesgos de la información en los procesos de negocioLa implantación de la metodología y el SGSI sobre una herramientaSatisface todos los requisitos de un sistema certificable en la norma ISO 27001:2005
CONFIDENCIALIDAD - Aseguramiento de que la información es accesible sólo para aquellos usuarios autorizados a tener acceso.
INTEGRIDAD - Garantía de la exactitud y completitud de la información y los métodos de su procesamiento.
DISPONIBILIDAD - Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a los activos de información.
TRAZABILIDAD - Capacidad para determinar en todo momento quién hizo qué y cuándo.
AUTENTICIDAD - La identidad es asegurada de forma exacta, de manera que no se pueda evadir una responsabilidad contraída.
características de la información
© Steria|p14
Factores clave de Innove-Risk
Viene a cubrir una carencia: los marcos y estándares de gestión de riesgos y gobernabilidad de las TIs no definen una metodología concreta para realizar esta gestión
Gestión de los riesgos en la información con una visión global e integrada compatible con marcos ERM como COSO o GARTNER, y con COBIT
Formalización de parámetros globales: mapa de procesos, categorías de riesgos, niveles de riesgo, “apetito de riesgo” por BU, estrategias de mitigación del riesgo, etc.Análisis del riesgo basado en el impacto sobre el negocioControl y monitorización
Soportado al 100% por una herramienta
Conformidad al 100% con estándares ISO 2700x
La misma herramienta que soporta la aplicación de la metodología, permite gestionar el proceso del SGSI (Sistema de Gestión de la Seguridad de la Información)
Top Related