Los retos de una gestión corporativa de los riesgos de

la información

Visión y propuesta de valor de Steria

Abril, 2008

© Steria|p2

Presión creciente de los riesgos sobre el negocio

Marcos regulatorios y normasEuro-SOX: Directiva 2006/43/CEDirectiva europea sobre los mercados de instrumentos financieros – MiFIDBASEL II, Solvency II, SEVESO IINormas sectoriales específicas...Directivas de firma electrónica Payment Card Industry (PCI) Data Security StandardsLOPD

Marcos regulatorios y normasEuro-SOX: Directiva 2006/43/CEDirectiva europea sobre los mercados de instrumentos financieros – MiFIDBASEL II, Solvency II, SEVESO IINormas sectoriales específicas...Directivas de firma electrónica Payment Card Industry (PCI) Data Security StandardsLOPD

Riesgos del mercadoGlobalizaciónLa necesidad del crecimiento y la presión de competencia implica tomar riesgos. ¿Hasta donde?

Riesgos del mercadoGlobalizaciónLa necesidad del crecimiento y la presión de competencia implica tomar riesgos. ¿Hasta donde?

Importancia creciente de las TIs

e-negocioLa información como activo valiosoNivel creciente de las amenazas y su impacto en el negocio

Importancia creciente de las TIs

e-negocioLa información como activo valiosoNivel creciente de las amenazas y su impacto en el negocio

Riesgosde la

información

Presióndel

mercado

Presiónregulatoria

Necesidad creciente de una gestión corporativa de los riesgos que abarque de forma integrada todas las áreas de la empresa.

¿Cual es el nivel de riesgo que estamos dispuestos a asumir?¿Cual es nivel de control adecuado?¿Cuanta seguridad es suficiente?

© Steria|p3

Hacia una visión renovada de la gestión de los riesgos

La gestión de los riesgos afecta hoy a todas las áreas clave de la empresa: finanzas, legal, producción, RR.HH., TI, R&D,...Los esfuerzos entre las distintas áreas están a menudo descoordinados. Cada unidad de negocio trata de gestionar los riesgos en sus proyectos y dominios. No existe una estrategia deriesgos global promovida por el top management → efecto silo.

métricas y criterios diferentes de valoración y control del riesgo. Problema de benchmarkingduplicación de esfuerzos,ineficiencias, poca fiabilidad de los controles.

La presión de los nuevos riesgos y los problemas inherentes a su gestión tradicional generan una tendencia a renovar el enfoque de un viejo tema: la gestión de los riesgos

Nuevo enfoque: adoptar prácticas y métricas de gestión de los riesgos integradas y comunes a todas las áreas de la empresa, las cuales son conocidas globalmente como ERM (Enterprise Risk Management)

© Steria|p4

Cambio de paradigma en la gestión de los riesgos

Visión amplia: Se consideran todos los riesgos y oportunidades para el negocio

Visión limitada: fundamentalmente riesgos financieros y asegurables

Continua: El proceso de gestión de los riesgos es permanente

Ad Hoc: La gestión de riesgos se aplica cuando los managers piensan que es necesario

Integrada: Gestión de los riesgos coordinada a nivel de seniormanagement. Todo el managementcontempla la gestión de los riesgos como parte de su trabajo y utiliza un sistema común de KRI (Key Risk Indicators)

Fragmentada: cada departamento o función gestiona los riesgos de forma independiente, con sus propias métricas e indicadores

Nuevo modeloModelo tradicional

Resultado: aumento constante del número y complejidad de los riesgos

Globalización

Falta de control(ENRON, Parmalat...)

Terrorismo

Nuevasregulaciones

Dependenciade las TI

Desastres

© Steria|p5

El camino al ERM

ERM: un método integrado, consistente y estratégico para gestionar los riesgos, común para toda la Empresa.

Integrado: en el ciclo de vida de todos los proyectos, no esperando a buscar soluciones una vez el proyecto está terminadoConsistente: para todos los tipos de riesgos, coherente con los valores y cultura de la empresa, un mismo lenguaje en toda la organización.

La tendencia será imparable aunque lenta (por su dificultad inherente)Hacia 2010, el 50% de las empresas en sectores fuertemente regulados tendrán en marcha un programa ERM (Gartner Predicts 2007: Building Business Value With Risk Management, Ethics, Governance and Compliance)

Recomendación: implementar métodos de gestión de riesgos progresivamente, de forma incremental, ampliando su alcance y aplicabilidad una vez probada su capacidad para cumplir los requerimientos (Gartner Junio 2006: Choosing Risk Management Methods)

Basándose en marcos y estándares establecidos para asegurar la coherencia del resultado

© Steria|p6

Marcos y estándares

MarcosCOSO-ERMGartner's Simple ERM FrameworkCOBIT

MarcosCOSO-ERMGartner's Simple ERM FrameworkCOBIT

EstándaresISO Guide 73: Risk Management Vocabulary. (Harmonización de la terminología)ISO 27001 / ISO 27002

EstándaresISO Guide 73: Risk Management Vocabulary. (Harmonización de la terminología)ISO 27001 / ISO 27002

© Steria|p7

COSO-ERMCOSO (Committee of Sponsoring Organizations of the TreadwayCommission) es una iniciativa privada que ha definido en 2004 un marco de Enterprise Risk Management conocido como COSO-ERM,Concepto fundamental: “Apetito de Riesgo”

¿cual es el nivel de riesgo que la empresa está dispuesta a aceptar en su búsqueda de valor?

Objetivos

Com

pone

ntes

Organización

SUPERV.SUPERV.YY

SEGUIMIENTOSEGUIMIENTO

AMBIENTE DE CON

AMBIENTE DE CON MBIENTE DE CONTROL

MBIENTE DE CONTROLCOM

UNICAC

ION

COMUNIC

ACIO

N

CO

MU

NIC

ACIO

NC

OM

UN

ICAC

ION

INFO

RM

ACIO

NIN

FOR

MAC

ION

INFORMACION

INFORMACIONACTI-ACTI-

VIDADES

VIDADES

DEDE

CONTROL

CONTROLACTI-ACTI-

VIDADESVIDADESDEDE

CONTROLCONTROL

EVALUACION

EVALUACION

DEDE

RIESGOS

RIESGOSEVALUACION EVALUACION DEDE

RIESGOSRIESGOS

El marco se interpreta mejor considerando la información y comunicación como los elementos presentes en todos los componentes del marco, a la vez como fuente de riesgo y como herramienta de control

TROLTROL AA

© Steria|p8

Los riesgos de información en COBITControl Objectives for Information and related Technology (COBIT®) del IT Governance Institute es un marco muy extendido para la gobernación de las TIsCOBIT establece un conjunto de objetivos de control de alto nivel, cada uno de los cuales se satisface mediante un proceso.Uno de estos objetivos de control, perteneciente al área de planificación y organización, es la gestión de los riesgos:

P09: Evaluar y gestionar los riesgos en TI

“Establecer un marco de referencia de evaluación sistemática de los riesgos. Este marco de referencia deberá incorporar una evaluación regular de los riesgos de información relevantes para el logro de los objetivos del negocio”“El análisis de riesgos debe considerar el negocio, regulaciones, aspectos legales, tecnología, relaciones con partners y riesgos en los recursos humanos”

© Steria|p9

La gestión de los riesgos de la información

Se trata de una de las áreas críticas de un ERMLas TIs constituyen la infraestructura vital de la empresa moderna Toma de conciencia creciente de los riesgos de las TI y las potenciales perdidas para el negocio que puede acarrear un fallo

La empresa debe afrontar un cambio cultural en la gestión de los riesgos asociados a las TI

Modelo tradicional: El departamento de TI protege a la compañía al máximo nivel posible que permite el presupuesto disponibleCambio de perspectiva: Adoptar decisiones sobre los riesgos residuales en base a criterios de negocio

El marco CobiT de objetivos de control de las TI, y la familia de estándares ISO 27000 proporcionan una base sólida para adoptar un enfoque de los riesgos de las TI consistente con una gestión de riesgos integrada a nivel corporativo

© Steria|p10

Riesgos de las TI: la visión de Gartner

Los responsables de Sistemas de Información necesitan un nuevo modelo para gestionar los riesgos. Los métodos tradicionales dejan al negocio sin visibilidad y expuesto a niveles significativos de riesgos no gestionados

Dificultad de determinar “que es suficiente” en materia de control de riesgoGestionar de forma integrada amenazas sobre las TI y sobre el negocioLos modelos al uso no se han adaptado a la creciente complejidad e integración de las TIs

Los responsables de riesgos de información se ven cada vez mas involucrados en la gestión de los riesgos del negocio.

Las organizaciones TI tienen mucha experiencia en la gestión de sus propios riesgos: seguridad y continuidad del negocio, pero poca en tratar con riesgos de alto nivel para el negocio.

La inversión en gestión de riesgos en TI tiene un elevado retornoUn 1% a un 2% adicional de presupuesto en TI dedicado a la gestión de los riesgos devuelve un valor desproporcionadamente alto.

Fuentes Gartner: IT Risk Management: A Little Bit More Is a Whole Lot Better (Feb. 2005),Findings From the 'Compliance and Risk' Research Community: Managing Risk Outside the IT Organization (Mayo 2006)

© Steria|p11

Responsable de riesgos y responsable de seguridad del S.I.: dos funciones que se complementan

Dos funciones no completamente definidas, que han evolucionado de forma independiente y a menudo con una comunicación insuficiente

RM (Risk Manager)RSSI (Responsable de la Seguridad del S.I.)

Sin embargo ambas funciones se complementan y necesitan en el tratamiento de los riesgos de la información

Un problema relacionado con la información supone un riesgo para la empresa y/o los clientesTambién hay un riesgo si los medios desplegados por las T.I. no respetan compromisos con los clientes o las exigencias reglamentarias o jurídicas

RM

RSSI

Criticidad de los procesos

Análisis de vulnerabilidades del S.I.

y los riesgos resultantes

Plande

acciónElección de la cobertura

Seguros

Riesgos residuales aceptables

Fuente: Informe CLUSIF RM et RSSI: Deux métiers s’unissent pour la gestion des risques liés au Système d’Information. Junio, 2006

© Steria|p12

Como implantar una gestión de riesgos de la información

1. Adoptar un marco ERM y COBIT como referencias

No ser excesivamente ambiciosos: implantación progresivaUna implantación global de un marco ERM como COSO puede llevar dos añosIr adoptando prácticas de gestión de riesgos, que aunque parciales, estén en línea con este objetivo global.

2. Adoptar ISO 2700x como referencia para la gestión de riesgos de información

3. Seleccionar una metodología de análisis de riesgos de la información que se adapte al marco global de gestión de riesgos de la empresa

4. Adaptar la metodología al modelo de gestión de riesgos global

Categorías y niveles de riesgos, métricas, catálogos de amenazas, etc.

ERM

COBITISO 2700X

Metodología deAnálisis de Riesgos

Personalización

5. Hacer un despliegue progresivo por BUs y procesos de negocio

6. Aprovechar las oportunidades que brindan los nuevos proyectos, implantación de soluciones ERP, etc. Cada nuevo despliegue debe ir acompañado de una evaluación de los riesgos.

© Steria|p13

Innove-Risk

Es la solución de Steria para la implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI). Consta de:

Una metodología de gestión de los riesgos de la información en los procesos de negocioLa implantación de la metodología y el SGSI sobre una herramientaSatisface todos los requisitos de un sistema certificable en la norma ISO 27001:2005

CONFIDENCIALIDAD - Aseguramiento de que la información es accesible sólo para aquellos usuarios autorizados a tener acceso.

INTEGRIDAD - Garantía de la exactitud y completitud de la información y los métodos de su procesamiento.

DISPONIBILIDAD - Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a los activos de información.

TRAZABILIDAD - Capacidad para determinar en todo momento quién hizo qué y cuándo.

AUTENTICIDAD - La identidad es asegurada de forma exacta, de manera que no se pueda evadir una responsabilidad contraída.

características de la información

© Steria|p14

Factores clave de Innove-Risk

Viene a cubrir una carencia: los marcos y estándares de gestión de riesgos y gobernabilidad de las TIs no definen una metodología concreta para realizar esta gestión

Gestión de los riesgos en la información con una visión global e integrada compatible con marcos ERM como COSO o GARTNER, y con COBIT

Formalización de parámetros globales: mapa de procesos, categorías de riesgos, niveles de riesgo, “apetito de riesgo” por BU, estrategias de mitigación del riesgo, etc.Análisis del riesgo basado en el impacto sobre el negocioControl y monitorización

Soportado al 100% por una herramienta

Conformidad al 100% con estándares ISO 2700x

La misma herramienta que soporta la aplicación de la metodología, permite gestionar el proceso del SGSI (Sistema de Gestión de la Seguridad de la Información)

© Steria|p15

GRACIAS POR SU ATENCIÓN