Rodrigo Guirado, CISA, CGEIT, CRISC

PricewaterhouseCoopers Uruguay

Gestión de Riesgos y

Continuidad Operativa en IT:

Recomendaciones Prácticas

Agenda

• Motivación

• Gestión de Riesgos en IT

• Continuidad Operativa de IT

• Conclusiones

PricewaterhouseCoopers Uruguay

Motivación

• Los dos conceptos a tratar son posiblemente de los

más antiguos vinculados a la gestión de IT y, sin

embargo, siguen presentando enormes problemas.

• La alineación de estos conceptos en IT y el resto de la

organización es crítica por la importancia de ambos.

• La gestión de riesgos en particular es regularmente

“malentendida” como una práctica burocrática,

disociada de la actividad diaria y vinculada

esencialmente al cumplimiento normativo.

PricewaterhouseCoopers Uruguay

Definición de Riesgo

• ¿Qué definición usar?

• Amenaza que puede explotar una debilidad que

presenta la organización para materializarse

(ocurrir) y afectar negativamente a un conjunto de

activos.

• Evento que, de ocurrir, afecta negativamente el

logro de un cierto objetivo, pudiendo impedir la

creación de valor para la organización o erosionar el

valor existente.

PricewaterhouseCoopers Uruguay

Definición de Riesgo

• El asociar los riesgos a los objetivos (solamente a los

objetivos) y luego los controles a los riesgos (lo cual es

intuitivo) permite transmitir el mensaje fundamental de

que la gestión de riesgos tiene como fin último el lograr

aquellas cosas que se quieren lograr.

• Es sencillo de ver que si el objetivo es la “protección de

activos”, lo anterior incluye completamente este

concepto, pero agrega una posibilidad “expresiva”

mucho mayor y directamente alineada con el negocio.

PricewaterhouseCoopers Uruguay

Análisis de Riesgos

• Todos los elementos de análisis dentro de una

metodología de gestión de riesgos (tablas de

probabilidad e impacto, funciones de exposición, etc.)

solo existen para responder una pregunta sencilla:

“¿cuáles riesgos son los más preocupantes?”.

• Por lo anterior, es fundamental elegir un modelo de

análisis de riesgos que cumpla con dos características

básicas: a) responde a la pregunta previa y b) es lo más

sencillo y simple de usar posible.

PricewaterhouseCoopers Uruguay

Análisis de Riesgos

• Para lograr dichas características se pueden hacer una

serie de recomendaciones:

• Nunca tomar un modelo genérico directamente.

• Definir tablas de probabilidad e impacto congruentes

con el nivel de análisis que se quiere realizar.

• Alinear lo más posible los criterios de análisis de

riesgos de IT con lo que ya exista en el negocio o

participar de implementaciones conjuntas.

• Casi en cualquier caso, garantizar que el modelo

elegido priorice el impacto sobre la probabilidad.

PricewaterhouseCoopers Uruguay

Tolerancia a Riesgos

• Una vez analizados de acuerdo al modelo elegido es

necesario determinar si su nivel es:

• Aceptable: no tengo que hacer nada al respecto.

• Atención: está dentro de lo razonable pero conviene

realizar un seguimiento (por ejemplo, a través de

indicadores).

• Inaceptable: debo implementar un plan de acción

para corregir la situación actual.

PricewaterhouseCoopers Uruguay

Tolerancia a Riesgos - Ejemplo

PricewaterhouseCoopers Uruguay

Tolerancia al Riesgo

Probabilidad

Muy Alta Atención Inaceptable Inaceptable Inaceptable Inaceptable

Alta Atención Atención Inaceptable Inaceptable Inaceptable

Media Aceptable Atención Atención Inaceptable Inaceptable

Baja Aceptable Aceptable Atención Atención Inaceptable

Muy Baja Aceptable Aceptable Aceptable Atención Atención

Muy Bajo Bajo Medio Alto Muy Alto

Impacto

Tolerancia a Riesgos - Ejemplo

PricewaterhouseCoopers Uruguay

Tolerancia al Riesgo

Probabilidad

Muy Alta Atención Atención Inaceptable Inaceptable Inaceptable

Alta Atención Atención Inaceptable Inaceptable Inaceptable

Media Aceptable Atención Atención Inaceptable Inaceptable

Baja Aceptable Aceptable Atención Atención Inaceptable

Muy Baja Aceptable Aceptable Aceptable Atención Inaceptable

Muy Bajo Bajo Medio Alto Muy Alto

Impacto

Acciones vinculadas a Riesgos

• Para hablar de gestión o administración de riesgos en

lugar de simplemente de análisis de riesgos, es

fundamental considerar dos aspectos adicionales:

• Acciones correctivas

• Monitoreo

• Si cualquiera de los dos aspectos se descuida (algo

que es sumamente común) la efectividad y el valor del

modelo utilizado se ven significativamente disminuidas.

PricewaterhouseCoopers Uruguay

Acciones correctivas

PricewaterhouseCoopers Uruguay

Niv

el

de

exp

osic

ión

Costo de implementar controles

Alto

Bajo

($)

Implementar

controles

Usar

criterio

No

económico

Monitoreo

• Para obtener el mayor valor de las prácticas de gestión

de riesgos, el monitoreo debe alcanzar los siguientes

aspectos:

• Grado de utilización del modelo definido.

• Nivel de actualización de las matrices.

• Seguimiento de los indicadores definidos (KRIs).

• Efectividad de los controles críticos.

• Nivel de implementación de las acciones

correctivas.

PricewaterhouseCoopers Uruguay

Continuidad operativa de IT

• Existen tres aspectos que regularmente generan

problemas para hacer una apropiada planificación de la

continuidad operativa de IT sobre los cuales se harán

comentarios/recomendaciones:

• Definición del BIA (Business Impact Analysis).

• Utilización de prácticas de análisis de riesgos.

• Mantenimiento de los planes.

PricewaterhouseCoopers Uruguay

Business Impact Analysis (BIA)

• Si bien el/los BIA deberían ser responsabilidad

exclusiva de las áreas de negocio (dada su importancia

para el resto de la solución de continuidad) es común

que IT se vea obligado a liderar este proceso de

análisis en muchos casos.

• En tal sentido, la primer recomendación es tratar de

evitar tener planes de recuperación de IT que no estén

basados en un BIA dado que de otro modo puede

resultar difícil establecer las responsabilidades y

presupuestos asociados.

PricewaterhouseCoopers Uruguay

Business Impact Analysis (BIA)

• Lo siguiente es recordar que el único objetivo que se

busca con un BIA es establecer las ventanas de

recuperación y por lo tanto las técnicas a utilizar deben

ser lo más simples posibles para lograr este objetivo.

• En tal sentido, lo más sencillo suele ser acordar una

serie de categorías de impacto (económico, imagen,

cumplimiento, etc.) y solicitar a los responsables de los

procesos que evalúen una posible interrupción en

ciertas ventanas de tiempo predefinidas (una hora, un

día, una semana, etc.) para esas categorías.

PricewaterhouseCoopers Uruguay

Business Impact Analysis (BIA)

• Para lograr una adecuada respuesta del negocio, es

relevante que los criterios utilizados sean aceptables

(idealmente aprobados a nivel de Alta Gerencia) y

además instruir claramente al responsable del proceso

que el concepto de “criticidad” para el BIA quiere decir

exclusivamente “urgencia”.

• Lo anterior es típicamente un problema usual cuando

los responsables del negocio establecen a un nivel de

criticidad alto (malentendiendo la finalidad del BIA) y

esto termina en un plan inapropiado para IT.

PricewaterhouseCoopers Uruguay

Análisis de Riesgo y Continuidad

PricewaterhouseCoopers Uruguay

Estrategia de Continuidad del Negocio

Procesos críticos, Recursos críticos

Análisis de Riesgos

Plan Preventivo Plan de Respuesta

Procedimientos de administración y prueba de la solución

Business Impact Analysis (BIA)

Política de Continuidad del Negocio

Mantenimiento de los planes

• Este es un punto extremadamente difícil de lograr y en

general no hay más alternativa que buscarlo a través de

la capacitación y concientización.

• Lo fundamental es transmitir que los planes de

continuidad desactualizados son en general peores que

no tener ningún plan y que el esfuerzo de

mantenimiento es mínimo si se realiza en forma

periódica.

PricewaterhouseCoopers Uruguay

Mantenimiento de los planes

• Un aspecto que puede facilitar el proceso es tener los

planes de IT vinculados a los planes de negocio de

forma tal de que al aparecer cualquier cambio en el

negocio estos inmediatamente son

comunicados/acordados con IT.

• Por otra parte, en cualquier proyecto significativo de IT

(implementaciones, cambios de plataformas, etc.)

debería incluirse como una etapa el análisis de su

impacto dentro de los planes de continuidad.

PricewaterhouseCoopers Uruguay

Conclusiones

• Para ambos temas, utilizando herramientas apropiadas,

vale la vieja expresión de “menos es más”.

• Las metodologías complejas, de difícil utilización y/o

que involucran mucho esfuerzo, rara vez permiten

obtener un nivel de valor alto, independientemente de

su interés o rigurosidad teórica.

• La presentación (“venta”) adecuada de los temas hacia

la interna resulta fundamental para lograr buenos

grados de adopción y utilización sin los cuales estas

prácticas terminan teniendo muy poco sentido.

PricewaterhouseCoopers Uruguay

DATOS DE CONTACTO

www.pwc.com.uy

rodrigo.guirado@uy.pwc.com

+598 2916 04 63

WEB:

EMAIL:

TEL:

NOMBRE: PricewaterhouseCoopers Uruguay

PricewaterhouseCoopers Uruguay

GRACIAS POR SU TIEMPO