gestión de riesgos y continuidad operativa en it ... · pdf fileestrategia de...
TRANSCRIPT
![Page 1: Gestión de Riesgos y Continuidad Operativa en IT ... · PDF fileEstrategia de Continuidad del Negocio Procesos críticos, Recursos críticos Análisis de Riesgos Plan Preventivo Plan](https://reader033.vdocuments.pub/reader033/viewer/2022050801/5a8acfcf7f8b9afe568c0343/html5/thumbnails/1.jpg)
Rodrigo Guirado, CISA, CGEIT, CRISC
PricewaterhouseCoopers Uruguay
Gestión de Riesgos y
Continuidad Operativa en IT:
Recomendaciones Prácticas
![Page 2: Gestión de Riesgos y Continuidad Operativa en IT ... · PDF fileEstrategia de Continuidad del Negocio Procesos críticos, Recursos críticos Análisis de Riesgos Plan Preventivo Plan](https://reader033.vdocuments.pub/reader033/viewer/2022050801/5a8acfcf7f8b9afe568c0343/html5/thumbnails/2.jpg)
Agenda
• Motivación
• Gestión de Riesgos en IT
• Continuidad Operativa de IT
• Conclusiones
PricewaterhouseCoopers Uruguay
![Page 3: Gestión de Riesgos y Continuidad Operativa en IT ... · PDF fileEstrategia de Continuidad del Negocio Procesos críticos, Recursos críticos Análisis de Riesgos Plan Preventivo Plan](https://reader033.vdocuments.pub/reader033/viewer/2022050801/5a8acfcf7f8b9afe568c0343/html5/thumbnails/3.jpg)
Motivación
• Los dos conceptos a tratar son posiblemente de los
más antiguos vinculados a la gestión de IT y, sin
embargo, siguen presentando enormes problemas.
• La alineación de estos conceptos en IT y el resto de la
organización es crítica por la importancia de ambos.
• La gestión de riesgos en particular es regularmente
“malentendida” como una práctica burocrática,
disociada de la actividad diaria y vinculada
esencialmente al cumplimiento normativo.
PricewaterhouseCoopers Uruguay
![Page 4: Gestión de Riesgos y Continuidad Operativa en IT ... · PDF fileEstrategia de Continuidad del Negocio Procesos críticos, Recursos críticos Análisis de Riesgos Plan Preventivo Plan](https://reader033.vdocuments.pub/reader033/viewer/2022050801/5a8acfcf7f8b9afe568c0343/html5/thumbnails/4.jpg)
Definición de Riesgo
• ¿Qué definición usar?
• Amenaza que puede explotar una debilidad que
presenta la organización para materializarse
(ocurrir) y afectar negativamente a un conjunto de
activos.
• Evento que, de ocurrir, afecta negativamente el
logro de un cierto objetivo, pudiendo impedir la
creación de valor para la organización o erosionar el
valor existente.
PricewaterhouseCoopers Uruguay
![Page 5: Gestión de Riesgos y Continuidad Operativa en IT ... · PDF fileEstrategia de Continuidad del Negocio Procesos críticos, Recursos críticos Análisis de Riesgos Plan Preventivo Plan](https://reader033.vdocuments.pub/reader033/viewer/2022050801/5a8acfcf7f8b9afe568c0343/html5/thumbnails/5.jpg)
Definición de Riesgo
• El asociar los riesgos a los objetivos (solamente a los
objetivos) y luego los controles a los riesgos (lo cual es
intuitivo) permite transmitir el mensaje fundamental de
que la gestión de riesgos tiene como fin último el lograr
aquellas cosas que se quieren lograr.
• Es sencillo de ver que si el objetivo es la “protección de
activos”, lo anterior incluye completamente este
concepto, pero agrega una posibilidad “expresiva”
mucho mayor y directamente alineada con el negocio.
PricewaterhouseCoopers Uruguay
![Page 6: Gestión de Riesgos y Continuidad Operativa en IT ... · PDF fileEstrategia de Continuidad del Negocio Procesos críticos, Recursos críticos Análisis de Riesgos Plan Preventivo Plan](https://reader033.vdocuments.pub/reader033/viewer/2022050801/5a8acfcf7f8b9afe568c0343/html5/thumbnails/6.jpg)
Análisis de Riesgos
• Todos los elementos de análisis dentro de una
metodología de gestión de riesgos (tablas de
probabilidad e impacto, funciones de exposición, etc.)
solo existen para responder una pregunta sencilla:
“¿cuáles riesgos son los más preocupantes?”.
• Por lo anterior, es fundamental elegir un modelo de
análisis de riesgos que cumpla con dos características
básicas: a) responde a la pregunta previa y b) es lo más
sencillo y simple de usar posible.
PricewaterhouseCoopers Uruguay
![Page 7: Gestión de Riesgos y Continuidad Operativa en IT ... · PDF fileEstrategia de Continuidad del Negocio Procesos críticos, Recursos críticos Análisis de Riesgos Plan Preventivo Plan](https://reader033.vdocuments.pub/reader033/viewer/2022050801/5a8acfcf7f8b9afe568c0343/html5/thumbnails/7.jpg)
Análisis de Riesgos
• Para lograr dichas características se pueden hacer una
serie de recomendaciones:
• Nunca tomar un modelo genérico directamente.
• Definir tablas de probabilidad e impacto congruentes
con el nivel de análisis que se quiere realizar.
• Alinear lo más posible los criterios de análisis de
riesgos de IT con lo que ya exista en el negocio o
participar de implementaciones conjuntas.
• Casi en cualquier caso, garantizar que el modelo
elegido priorice el impacto sobre la probabilidad.
PricewaterhouseCoopers Uruguay
![Page 8: Gestión de Riesgos y Continuidad Operativa en IT ... · PDF fileEstrategia de Continuidad del Negocio Procesos críticos, Recursos críticos Análisis de Riesgos Plan Preventivo Plan](https://reader033.vdocuments.pub/reader033/viewer/2022050801/5a8acfcf7f8b9afe568c0343/html5/thumbnails/8.jpg)
Tolerancia a Riesgos
• Una vez analizados de acuerdo al modelo elegido es
necesario determinar si su nivel es:
• Aceptable: no tengo que hacer nada al respecto.
• Atención: está dentro de lo razonable pero conviene
realizar un seguimiento (por ejemplo, a través de
indicadores).
• Inaceptable: debo implementar un plan de acción
para corregir la situación actual.
PricewaterhouseCoopers Uruguay
![Page 9: Gestión de Riesgos y Continuidad Operativa en IT ... · PDF fileEstrategia de Continuidad del Negocio Procesos críticos, Recursos críticos Análisis de Riesgos Plan Preventivo Plan](https://reader033.vdocuments.pub/reader033/viewer/2022050801/5a8acfcf7f8b9afe568c0343/html5/thumbnails/9.jpg)
Tolerancia a Riesgos - Ejemplo
PricewaterhouseCoopers Uruguay
Tolerancia al Riesgo
Probabilidad
Muy Alta Atención Inaceptable Inaceptable Inaceptable Inaceptable
Alta Atención Atención Inaceptable Inaceptable Inaceptable
Media Aceptable Atención Atención Inaceptable Inaceptable
Baja Aceptable Aceptable Atención Atención Inaceptable
Muy Baja Aceptable Aceptable Aceptable Atención Atención
Muy Bajo Bajo Medio Alto Muy Alto
Impacto
![Page 10: Gestión de Riesgos y Continuidad Operativa en IT ... · PDF fileEstrategia de Continuidad del Negocio Procesos críticos, Recursos críticos Análisis de Riesgos Plan Preventivo Plan](https://reader033.vdocuments.pub/reader033/viewer/2022050801/5a8acfcf7f8b9afe568c0343/html5/thumbnails/10.jpg)
Tolerancia a Riesgos - Ejemplo
PricewaterhouseCoopers Uruguay
Tolerancia al Riesgo
Probabilidad
Muy Alta Atención Atención Inaceptable Inaceptable Inaceptable
Alta Atención Atención Inaceptable Inaceptable Inaceptable
Media Aceptable Atención Atención Inaceptable Inaceptable
Baja Aceptable Aceptable Atención Atención Inaceptable
Muy Baja Aceptable Aceptable Aceptable Atención Inaceptable
Muy Bajo Bajo Medio Alto Muy Alto
Impacto
![Page 11: Gestión de Riesgos y Continuidad Operativa en IT ... · PDF fileEstrategia de Continuidad del Negocio Procesos críticos, Recursos críticos Análisis de Riesgos Plan Preventivo Plan](https://reader033.vdocuments.pub/reader033/viewer/2022050801/5a8acfcf7f8b9afe568c0343/html5/thumbnails/11.jpg)
Acciones vinculadas a Riesgos
• Para hablar de gestión o administración de riesgos en
lugar de simplemente de análisis de riesgos, es
fundamental considerar dos aspectos adicionales:
• Acciones correctivas
• Monitoreo
• Si cualquiera de los dos aspectos se descuida (algo
que es sumamente común) la efectividad y el valor del
modelo utilizado se ven significativamente disminuidas.
PricewaterhouseCoopers Uruguay
![Page 12: Gestión de Riesgos y Continuidad Operativa en IT ... · PDF fileEstrategia de Continuidad del Negocio Procesos críticos, Recursos críticos Análisis de Riesgos Plan Preventivo Plan](https://reader033.vdocuments.pub/reader033/viewer/2022050801/5a8acfcf7f8b9afe568c0343/html5/thumbnails/12.jpg)
Acciones correctivas
PricewaterhouseCoopers Uruguay
Niv
el
de
exp
osic
ión
Costo de implementar controles
Alto
Bajo
($)
Implementar
controles
Usar
criterio
No
económico
![Page 13: Gestión de Riesgos y Continuidad Operativa en IT ... · PDF fileEstrategia de Continuidad del Negocio Procesos críticos, Recursos críticos Análisis de Riesgos Plan Preventivo Plan](https://reader033.vdocuments.pub/reader033/viewer/2022050801/5a8acfcf7f8b9afe568c0343/html5/thumbnails/13.jpg)
Monitoreo
• Para obtener el mayor valor de las prácticas de gestión
de riesgos, el monitoreo debe alcanzar los siguientes
aspectos:
• Grado de utilización del modelo definido.
• Nivel de actualización de las matrices.
• Seguimiento de los indicadores definidos (KRIs).
• Efectividad de los controles críticos.
• Nivel de implementación de las acciones
correctivas.
PricewaterhouseCoopers Uruguay
![Page 14: Gestión de Riesgos y Continuidad Operativa en IT ... · PDF fileEstrategia de Continuidad del Negocio Procesos críticos, Recursos críticos Análisis de Riesgos Plan Preventivo Plan](https://reader033.vdocuments.pub/reader033/viewer/2022050801/5a8acfcf7f8b9afe568c0343/html5/thumbnails/14.jpg)
Continuidad operativa de IT
• Existen tres aspectos que regularmente generan
problemas para hacer una apropiada planificación de la
continuidad operativa de IT sobre los cuales se harán
comentarios/recomendaciones:
• Definición del BIA (Business Impact Analysis).
• Utilización de prácticas de análisis de riesgos.
• Mantenimiento de los planes.
PricewaterhouseCoopers Uruguay
![Page 15: Gestión de Riesgos y Continuidad Operativa en IT ... · PDF fileEstrategia de Continuidad del Negocio Procesos críticos, Recursos críticos Análisis de Riesgos Plan Preventivo Plan](https://reader033.vdocuments.pub/reader033/viewer/2022050801/5a8acfcf7f8b9afe568c0343/html5/thumbnails/15.jpg)
Business Impact Analysis (BIA)
• Si bien el/los BIA deberían ser responsabilidad
exclusiva de las áreas de negocio (dada su importancia
para el resto de la solución de continuidad) es común
que IT se vea obligado a liderar este proceso de
análisis en muchos casos.
• En tal sentido, la primer recomendación es tratar de
evitar tener planes de recuperación de IT que no estén
basados en un BIA dado que de otro modo puede
resultar difícil establecer las responsabilidades y
presupuestos asociados.
PricewaterhouseCoopers Uruguay
![Page 16: Gestión de Riesgos y Continuidad Operativa en IT ... · PDF fileEstrategia de Continuidad del Negocio Procesos críticos, Recursos críticos Análisis de Riesgos Plan Preventivo Plan](https://reader033.vdocuments.pub/reader033/viewer/2022050801/5a8acfcf7f8b9afe568c0343/html5/thumbnails/16.jpg)
Business Impact Analysis (BIA)
• Lo siguiente es recordar que el único objetivo que se
busca con un BIA es establecer las ventanas de
recuperación y por lo tanto las técnicas a utilizar deben
ser lo más simples posibles para lograr este objetivo.
• En tal sentido, lo más sencillo suele ser acordar una
serie de categorías de impacto (económico, imagen,
cumplimiento, etc.) y solicitar a los responsables de los
procesos que evalúen una posible interrupción en
ciertas ventanas de tiempo predefinidas (una hora, un
día, una semana, etc.) para esas categorías.
PricewaterhouseCoopers Uruguay
![Page 17: Gestión de Riesgos y Continuidad Operativa en IT ... · PDF fileEstrategia de Continuidad del Negocio Procesos críticos, Recursos críticos Análisis de Riesgos Plan Preventivo Plan](https://reader033.vdocuments.pub/reader033/viewer/2022050801/5a8acfcf7f8b9afe568c0343/html5/thumbnails/17.jpg)
Business Impact Analysis (BIA)
• Para lograr una adecuada respuesta del negocio, es
relevante que los criterios utilizados sean aceptables
(idealmente aprobados a nivel de Alta Gerencia) y
además instruir claramente al responsable del proceso
que el concepto de “criticidad” para el BIA quiere decir
exclusivamente “urgencia”.
• Lo anterior es típicamente un problema usual cuando
los responsables del negocio establecen a un nivel de
criticidad alto (malentendiendo la finalidad del BIA) y
esto termina en un plan inapropiado para IT.
PricewaterhouseCoopers Uruguay
![Page 18: Gestión de Riesgos y Continuidad Operativa en IT ... · PDF fileEstrategia de Continuidad del Negocio Procesos críticos, Recursos críticos Análisis de Riesgos Plan Preventivo Plan](https://reader033.vdocuments.pub/reader033/viewer/2022050801/5a8acfcf7f8b9afe568c0343/html5/thumbnails/18.jpg)
Análisis de Riesgo y Continuidad
PricewaterhouseCoopers Uruguay
Estrategia de Continuidad del Negocio
Procesos críticos, Recursos críticos
Análisis de Riesgos
Plan Preventivo Plan de Respuesta
Procedimientos de administración y prueba de la solución
Business Impact Analysis (BIA)
Política de Continuidad del Negocio
![Page 19: Gestión de Riesgos y Continuidad Operativa en IT ... · PDF fileEstrategia de Continuidad del Negocio Procesos críticos, Recursos críticos Análisis de Riesgos Plan Preventivo Plan](https://reader033.vdocuments.pub/reader033/viewer/2022050801/5a8acfcf7f8b9afe568c0343/html5/thumbnails/19.jpg)
Mantenimiento de los planes
• Este es un punto extremadamente difícil de lograr y en
general no hay más alternativa que buscarlo a través de
la capacitación y concientización.
• Lo fundamental es transmitir que los planes de
continuidad desactualizados son en general peores que
no tener ningún plan y que el esfuerzo de
mantenimiento es mínimo si se realiza en forma
periódica.
PricewaterhouseCoopers Uruguay
![Page 20: Gestión de Riesgos y Continuidad Operativa en IT ... · PDF fileEstrategia de Continuidad del Negocio Procesos críticos, Recursos críticos Análisis de Riesgos Plan Preventivo Plan](https://reader033.vdocuments.pub/reader033/viewer/2022050801/5a8acfcf7f8b9afe568c0343/html5/thumbnails/20.jpg)
Mantenimiento de los planes
• Un aspecto que puede facilitar el proceso es tener los
planes de IT vinculados a los planes de negocio de
forma tal de que al aparecer cualquier cambio en el
negocio estos inmediatamente son
comunicados/acordados con IT.
• Por otra parte, en cualquier proyecto significativo de IT
(implementaciones, cambios de plataformas, etc.)
debería incluirse como una etapa el análisis de su
impacto dentro de los planes de continuidad.
PricewaterhouseCoopers Uruguay
![Page 21: Gestión de Riesgos y Continuidad Operativa en IT ... · PDF fileEstrategia de Continuidad del Negocio Procesos críticos, Recursos críticos Análisis de Riesgos Plan Preventivo Plan](https://reader033.vdocuments.pub/reader033/viewer/2022050801/5a8acfcf7f8b9afe568c0343/html5/thumbnails/21.jpg)
Conclusiones
• Para ambos temas, utilizando herramientas apropiadas,
vale la vieja expresión de “menos es más”.
• Las metodologías complejas, de difícil utilización y/o
que involucran mucho esfuerzo, rara vez permiten
obtener un nivel de valor alto, independientemente de
su interés o rigurosidad teórica.
• La presentación (“venta”) adecuada de los temas hacia
la interna resulta fundamental para lograr buenos
grados de adopción y utilización sin los cuales estas
prácticas terminan teniendo muy poco sentido.
PricewaterhouseCoopers Uruguay
![Page 22: Gestión de Riesgos y Continuidad Operativa en IT ... · PDF fileEstrategia de Continuidad del Negocio Procesos críticos, Recursos críticos Análisis de Riesgos Plan Preventivo Plan](https://reader033.vdocuments.pub/reader033/viewer/2022050801/5a8acfcf7f8b9afe568c0343/html5/thumbnails/22.jpg)
DATOS DE CONTACTO
www.pwc.com.uy
+598 2916 04 63
WEB:
EMAIL:
TEL:
NOMBRE: PricewaterhouseCoopers Uruguay
PricewaterhouseCoopers Uruguay
![Page 23: Gestión de Riesgos y Continuidad Operativa en IT ... · PDF fileEstrategia de Continuidad del Negocio Procesos críticos, Recursos críticos Análisis de Riesgos Plan Preventivo Plan](https://reader033.vdocuments.pub/reader033/viewer/2022050801/5a8acfcf7f8b9afe568c0343/html5/thumbnails/23.jpg)
GRACIAS POR SU TIEMPO