Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

IX CONGRESO ISACA

COSTA RICA 2016Gobierno, gestión y aseguramiento de las

tecnologías de información.

Auditoria estratégica del ciber-

riesgo Carlos Giraldo

CISA, CISM, CRISC, CIA, PMP,

CBCP

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

Agenda

• Riesgos estratégicos

– Cómo los riesgos estratégicos permiten enlazar la gestión de riesgos con las necesidades del negocio para su crecimiento y viabilidad.

• El riesgo estratégico y el ciber riesgo

– Cómo el riesgo estratégico permite visualizar ciber riesgos con impacto en la estrategia

• Auditoría estratégica del ciber riesgo

– Cómo gestionar el ciber riesgo a nivel estratégico

• Conclusiones

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

RIESGOS ESTRATÉGICOS

Las organizaciones que hoy son líderes son

las que han aprendido cómo proteger su

valor mediante la administración del riesgo.

Las líderes del mañana serán las que

reconozcan la oportunidad que el riesgo

también tiene para crear valor.

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

RIESGOS ESTRATÉGICOS

Cómo los riesgos estratégicos permiten

enlazar la gestión de riesgos con las

necesidades del negocio para su

crecimiento y viabilidad.Ambiente

Regulatorio Cambiante

Ambiente de amenazas

que evoluciona

Ambiente de TI

Cambiante

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

Los riesgos estratégicosTendencias

Explorando Riesgos

Estratégicos

Tiene la Organización

un foco explícito en

gestionar riesgos

estratégicos?

Propiedad Ejecutiva

Quién determina

principalmente el

enfoque para

gestionar riesgos

estratégicos?

Enfoque cambiante

Ha cambiado el

enfoque para

gestionar riesgos

estratégicos en los

últimos 3 años?

Fuente: Deloitte/Forbes Insights Exploring Strategic Risk, 2013

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

Ciber amenazas

Cual de los siguientes

habilitadores o disruptores

de tecnología usted

considera que pueden

amenazar su modelo de

negocios?

Los riesgos estratégicosTendencias

Fuente: Deloitte/Forbes Insights Exploring Strategic Risk, 2013

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

Los riesgos estratégicos

¿Qué es riesgo estratégico?

Riesgo que resulta de:

• Asunciones incorrectas acerca de los factores

externos y/o internos, planes de negocio inapropiados

(p. e. muy agresivos, mal enfocados), ejecución

inefectiva de la estrategia del negocio, o

• Falla para responder de manera oportuna a cambios

en la regulación, entorno macroeconómico o

competencia, tales como ciclos del negocio, acciones

de los competidores, preferencias cambiantes de los

clientes, obsolescencia del producto / servicio y

desarrollos tecnológicos.

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

Los riesgos estratégicosLa estrategia es un conjunto integrado de

elecciones

Cómo

ganaremos en

los mercados

objetivo?

Qué prioridad

le daremos a

las

iniciativas?

Cuáles son

nuestras metas y

aspiraciones?

Cómo

configuraremos

las capacidades

críticas?

Donde

vamos a

jugar?

• Iniciativas

• Inversiones

• Gestión del

cambio

• Clientes

• Productos

• Geografía

• Propuesta de valor

• Fuentes de ventaja a defender

• Relación con comunidades

• Alianzas • Capacidades distintivas

• Habilitar el sistema

organizacional

• Propósito

• Objetivos

Financieros

• Objetivos No

Financieros

Estrategia de la

Unidad de Negocio

• Portafolio de negocios

• Peso relativo de las

inversiones

Método para incrementar la

competitividad de negocios

individuales:

– Compartir actividades

– Transferir habilidades

Estrategia

Corporativa

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

Los riesgos estratégicosBeneficios de identificarlos

Permite analizar los riesgos

que se pueden transformar en

oportunidades

Permite definir mecanismos

para su administración y

aprovechamiento

Facilita cumplir la labor

de la Junta Directiva y

de la Administración de

tener un programa

efectivo de gestión de

riesgos, incluyendo los

estratégicos

Permite integrar la

gestión de riesgos

en la estrategia

de negocio

Permite identificar las

implicaciones de

riesgo y oportunidad

que generan nuevas

estrategias o

actividades de negocio

Administrar

los riesgos

emergentes

Permite hacer

preguntas difíciles

con respecto a la

estrategia y a las

iniciativas

resultantes

Riesgo = Oportunidad

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

Qué recursos y capacidades

necesitamos para Gestionar Riesgos a

un nivel aceptable mientras

implementamos la estrategia?

Cómo podemos monitorear riesgos

emergentes que pueden impactar la

estrategia?

Agilidad para responder a eventos?

Los riesgos estratégicosConsideraciones

Qué Riesgos

estratégicos debemos

administrar efectivamente

para lograr nuestros

objetivos y aspiraciones ?

Involucre la evaluación de

riesgos en el proceso de

desarrollo de la estrategia

Revise y pruebe los

supuestos

Identifique indicadores de

alerta temprana

Cuáles son nuestros

objetivos y

aspiraciones?

Dónde

Jugar?Cómo Ganar?

Capacidades

Requeridas?

Configuración

de Procesos y

Sistemas?

Identifique los supuestos

claves sobre los cuales se basa

el Dónde Jugar y Cómo Ganar

Defina y evalúe eventos o

escenarios que pueden impactar

el DJ y CG positiva o

negativamente

Monitorear y reportar

sobre indicadores de

riesgo

Considere análisis de

riesgos emergentes en

la revisión de riesgos

estratégicos

Cuánto riesgo

aceptaremos para

lograr nuestros

objetivos y

aspiraciones?

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

EL RIESGO ESTRATÉGICO Y

EL CIBER RIESGO

Cómo el riesgo estratégico permite

visualizar ciber riesgos con impacto en la

estrategia

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

El riesgo estratégico y el ciber riesgo

Marco de Riesgos Estratégicos ® Deloitte

Macro ambiente

Fuerzas externas al Mercado

y la industria que pueden

impactar significativamente

la estrategia de la

Organización (ej: factores

macroeconómicos,

influencias geopolíticas,

cambios demográficos

Avances tecnológicos)

Operaciones

Dónde y cómo se ejecutan

las funciones colectivas

dentro de la Compañía y su

infraestructura soporte (ej:

I&D, ventas y mercadeo,

cadena de suministros,

finanzas, IT, talento)

Ecosistema

Entidades interconectadas

que interactúan a lo largo

de la cadena de valor para

definir y soportar la

industria (ej: competidores,

socios y proveedores)

Elección estratégica

Decisiones clave que

definen dónde y cómo la

compañía va a competir y

crear valor en el Mercado

(ej: productos/servicios,

clientes, canales, precio,

promoción)

Current

value

Future

value

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

El riesgo estratégico y el ciber riesgo

Ejemplo de factores de riesgo estratégico

Current

value

Future

value

Macro ambiente

• Envejecimiento de la

población

• Deterioro macroeconónico

• Conflictos regionales o

continentales

• Tecnologías disruptivas

Operaciones

• Guerra por el talento

• Insuficiencia de materias

primas

• Ineficiencia de I&D

• Inadecuado entendimiento

del mercado

• Función de tecnología muy

operativa pero no

estratégica

Ecosistema

• Regulaciones que

imponen cargas

imprevistas

• Competidores no

tradicionales y/o

agresivos

• Deterioro de socios de

negocio o proveedores

Elección estratégica

• Canales, productos o

servicios cuyo retorno

no sea el esperado

• Errores en la

segmentación de

clientes / selección del

mercado objetivo

• Precios inapropiados

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

El riesgo estratégico y el ciber riesgo

Marco de Riesgos Estratégicos ® Deloitte

¿Quién me podría atacar?

Programa de ciber riesgo y gobierno

¿Qué están buscando, cuáles son los

riesgos clave que debo mitigar?

¿Qué tácticas podrían utilizar?

SEGUROSVIGILANTES RESISTENTES¿ Tenemos

implementados

controles para

defendernos de las

amenazas conocidas

y emergentes?

¿Podemos detectar

actividades

maliciosas o sin

autorización, incluso

las desconocidas?

¿Podemos actuar y

recuperarnos

rápidamente para

minimizar el

impacto?

Ciber

amenazas

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

El riesgo estratégico y el ciber riesgo

El impacto del ciber riesgo en la estrategia

Current

value

Future

value

Riesgo

estratégico

Ciber riesgo

Situaciones

geopolíticas que

afecten el

desempeño del

negocio

Sufrir ataques

cibernéticos por

parte de grupos

terroristas u otras

naciones

Riesgo

estratégico

Ciber riesgo

Investigación y

desarrollo no

entregan

innovaciones al

ritmo requerido

por el negocio

Sufrir ataques

cibernéticos

orientados al robo

de información

confidencial /

propiedad industrial

Riesgo

estratégico

Ciber riesgo

Nuestros socios de

negocio no estén

en capacidad de

atender los

requerimientos de

nuestra estrategia

oportuna o

adecuadamente

Ataques

cibernéticos

exitosos debido a

vulnerabilidades de

seguridad en

nuestros socios de

negocio

Riesgo

estratégico

Ciber riesgo

Los servicios en

línea no tengan la

calidad prometida

al cliente

Indisponibilidad de

los servicios debido

a terceros

malintencionados

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

GESTIÓN ESTRATÉGICA DEL

CIBER RIESGO

¿Cómo gestionar el ciber riesgo a nivel

estratégico?

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

Gestión estratégica del ciber riesgo

Ciclo de gestión de riesgos estratégicos

Identificar el riesgo

estratégico

Analizar y priorizar

Definir medidas de administración /

aprovechamiento

Definir Indicadores Clave de Riesgo -KRI

Monitorear los KRI

Ajustar medidas y

KRI

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

Gestión estratégica del ciber riesgo

Ciclo de gestión de riesgos estratégicos

Analizar y priorizar

• Al ser riesgos estratégicos suele ser el

primer nivel de la administración y la

Junta Directiva quienes proveen consejo

experto sobre estos riesgos y su nivel de

prioridad.

• Estas actividades deberían estar

integradas al proceso de planeación

estratégica.

• Diferentes herramientas de colaboración

pueden usarse para este fin (p. e. votación

electrónica en línea, discusiones de foco,

lluvia de ideas, entre otros)

Definir medidas de administración / aprovechamiento

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

Gestión estratégica del ciber riesgo

Ciclo de gestión de riesgos estratégicos

• KRIs del ciber riesgo

– Información no estructurada

– Información de tendencias y

ciber inteligencia

– Información disponible

– Información con significado

• Asociación con riesgos

estratégicos

Definir Indicadores

Clave de Riesgo -KRI

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

Gestión estratégica del ciber riesgo

Ciclo de gestión de riesgos estratégicos

Definir Indicadores

Clave de Riesgo -

KRI Riesgo estratégico Ciber riesgo Ejemplo de información para

KRI

Investigación y desarrollo

no entregan innovaciones

al ritmo requerido por el

negocio

Sufrir ataques

cibernéticos

orientados al robo

de información

confidencial /

propiedad industrial

• Incidencia de ataques

cibernéticos en la industria /

geografía

• Innovaciones producidas

por la competencia

Riesgo estratégico Ciber riesgo Ejemplo de información para

KRI

Nuestros socios de

negocio no estén en

capacidad de atender los

requerimientos de nuestra

estrategia oportuna o

adecuadamente

Ataques cibernéticos

exitosos debido a

vulnerabilidades de

seguridad en

nuestros socios de

negocio

• % de socios de negocio

cuyo programa de gestión

del ciber riesgo he validado

• % de planes de acción

vencidos

• Eventos de ciber seguridad

en socios de negocio

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

Gestión estratégica del ciber riesgo

Ciclo de gestión de riesgos estratégicos

Monitorear los KRI

• El monitoreo de KRI busca

anticiparse a eventos.

• La información de valor para este

propósito suele ser información

no estructurada.

• El reto es transformarla en

información accionable.

• La información estructurada en su

mayoría es sobre eventos ya

ocurridos.

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

Gestión estratégica del ciber riesgo

Ciclo de gestión de riesgos estratégicos

Ajustar

medidas y KRI

• Con base en la taxonomía

de riesgos es posible

ajustar las medidas a

nivel no solo estratégicos

sino operativo.

• Igualmente ajustar los KRI

que puedan ser

irrelevantes.

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

Auditoría estratégica del ciber

riesgo

Si su empresa utiliza Internet, es vulnerable ante los ciberataques.

¿Está preparada su organización para enfrentarse a las ciber amenazas?

¿Ha considerado qué activos pueden ser vulnerables?

¿Sabe cuál puede ser el costo de un ataque que tenga éxito?

¿Ha planificado cuál sería la respuesta de su empresa a un ataque?

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

Auditoría estratégica del ciber

riesgo - Fases

Evaluar / Detectar

Responder / Planes de

acción

Preparar / Analizar

los riesgos

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

Auditoría estratégica del ciber

riesgo

Preparar:

Conocer el proceso de identificación de las ciber amenazas que pueden afectar el modelo de negocio. Conocer la estrategia y el roadmap de ciber seguridad.

Analizar los riesgos que suponen para la compañía y valorarlos.

Entender los roles y responsabilidades de ciber seguridad y determinar que los empleados conozcan sus responsabilidades.

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

Auditoría estratégica del ciber

riesgo

Evaluar:

• Evaluación de vulnerabilidades

• Evaluar la gestión de seguridad y los componentes implementados para la protección y detección de ataques a la organización

Preguntas clave:

• ¿En qué medida es capaz su organización de gestionar las consecuencias de un ataque?

• ¿Quién gestiona la protección y detección ante los ataques?

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

Auditoría estratégica del ciber

riesgo

Responder:

• Evaluar los mecanismos de respuesta a futuros ataques

• Evaluar los programas de manejo de crisis

• Tener en cuenta que una respuesta inadecuada a una violación de la seguridad puede provocar un gran daño a la reputación de la empresa y al valor que ésta tiene para los accionistas.

• Dada la evolución de las amenazas, las organizaciones deben asumir que serán atacadas en algún momento y, quizás, de forma reiterada.

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

Auditoría estratégica del ciber

riesgo

Responder:

Los planes de acción que defina la organización deben incluir:

• Definir procesos y planes necesarios para priorizar las acciones de respuesta y mitigación, considerando la continuidad del negocio en su conjunto

• Disponer de aptitudes técnicas y herramientas necesarias para evaluar el origen de la violación, llevar a cabo una investigación forense y probar la validez de la solución técnica.

• Revisar de forma continua, mejorar y adaptar la capacidad de respuesta, además de modificar los perfiles de riesgo organizacional y las ciber amenazas.

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

CONCLUSIONES

– El éxito de una compañía depende en diversas formas de cómo atiende las ciber amenazas y considera el ciber riesgo

– El ciber riesgo debe asociarse con la estrategia para tener visibilidad, ser entendido y tratado apropiadamente

– Los KRI permiten visualizar tendencias y comportamientos para anticipar efectos en los ciber riesgos de la organización y su estrategia

– Las fuentes para monitorear los KRI suelen ser ciber inteligencia e información no estructurada

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

¿Preguntas?

Tel. (506) 2240-0100/Fax. (506) 2241-0039 congresos-costarica@isacacr.org www.isaca.org/costa-ricaCapítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

IX CONGRESO ISACA

COSTA RICA 2016Gobierno, gestión y aseguramiento de las

tecnologías de información.

Gracias

cgiraldo@deloitte.com