CIGRAS-2015.09.09-09-Gestion de Riesgos y Continuidad Operativa de IT Recomendaciones Practicas-Rodrigo Guirado

Gestin de Riesgos y
Continuidad Operativa en IT:

Recomendaciones Prcticas
Rodrigo Guirado, CISA, CGEIT, CRISC
PricewaterhouseCoopers Uruguay
Agenda
Motivacin
Gestin de Riesgos en IT
Continuidad Operativa de IT
Conclusiones
Motivacin
Los dos conceptos a tratar son posiblemente de los
ms antiguos vinculados a la gestin de IT y, sin
embargo, siguen presentando enormes problemas.
La alineacin de estos conceptos en IT y el resto de la
organizacin es crtica por la importancia de ambos.
La gestin de riesgos en particular es regularmente
malentendida como una prctica burocrtica,
disociada de la actividad diaria y vinculada
esencialmente al cumplimiento normativo.
Definicin de Riesgo
Qu definicin usar?
Amenaza que puede explotar una debilidad que
presenta la organizacin para materializarse
(ocurrir) y afectar negativamente a un conjunto de
activos.
Evento que, de ocurrir, afecta negativamente el
logro de un cierto objetivo, pudiendo impedir la
creacin de valor para la organizacin o erosionar el
valor existente.
Definicin de Riesgo
El asociar los riesgos a los objetivos (solamente a los
objetivos) y luego los controles a los riesgos (lo cual es
intuitivo) permite transmitir el mensaje fundamental de
que la gestin de riesgos tiene como fin ltimo el lograr
aquellas cosas que se quieren lograr.
Es sencillo de ver que si el objetivo es la proteccin de
activos, lo anterior incluye completamente este
concepto, pero agrega una posibilidad expresiva
mucho mayor y directamente alineada con el negocio.
Anlisis de Riesgos
Todos los elementos de anlisis dentro de una
metodologa de gestin de riesgos (tablas de
probabilidad e impacto, funciones de exposicin, etc.)
solo existen para responder una pregunta sencilla:
cules riesgos son los ms preocupantes?.
Por lo anterior, es fundamental elegir un modelo de
anlisis de riesgos que cumpla con dos caractersticas
bsicas: a) responde a la pregunta previa y b) es lo ms
sencillo y simple de usar posible.
Anlisis de Riesgos
Para lograr dichas caractersticas se pueden hacer una
serie de recomendaciones:
Nunca tomar un modelo genrico directamente.
Definir tablas de probabilidad e impacto congruentes
con el nivel de anlisis que se quiere realizar.
Alinear lo ms posible los criterios de anlisis de
riesgos de IT con lo que ya exista en el negocio o
participar de implementaciones conjuntas.
Casi en cualquier caso, garantizar que el modelo
elegido priorice el impacto sobre la probabilidad.
Tolerancia a Riesgos
Una vez analizados de acuerdo al modelo elegido es
necesario determinar si su nivel es:
Aceptable: no tengo que hacer nada al respecto.
Atencin: est dentro de lo razonable pero conviene
realizar un seguimiento (por ejemplo, a travs de
indicadores).
Inaceptable: debo implementar un plan de accin
para corregir la situacin actual.
Tolerancia a Riesgos - Ejemplo

Tolerancia al Riesgo
Probabilidad
Muy Alta
Atencin
Inaceptable
Inaceptable
Inaceptable Inaceptable
Alta
Atencin
Atencin
Inaceptable
Media
Aceptable
Atencin
Atencin
Baja
Aceptable
Aceptable
Atencin
Atencin
Inaceptable
Muy Baja
Aceptable
Aceptable
Aceptable
Atencin
Atencin
Muy Bajo
Bajo
Medio
Alto
Muy Alto
Impacto
Tolerancia a Riesgos - Ejemplo

Tolerancia al Riesgo
Probabilidad
Muy Alta
Atencin
Atencin
Inaceptable
Alta
Atencin
Atencin
Inaceptable
Media
Aceptable
Atencin
Atencin
Baja
Aceptable
Aceptable
Atencin
Atencin
Inaceptable
Muy Baja
Aceptable
Aceptable
Aceptable
Atencin
Inaceptable
Muy Bajo
Bajo
Medio
Alto
Muy Alto
Impacto
Acciones vinculadas a Riesgos

Para hablar de gestin o administracin de riesgos en
lugar de simplemente de anlisis de riesgos, es
fundamental considerar dos aspectos adicionales:
Acciones correctivas
Monitoreo
Si cualquiera de los dos aspectos se descuida (algo
que es sumamente comn) la efectividad y el valor del
modelo utilizado se ven significativamente disminuidas.
Acciones correctivas
Alto
Implementar
Nivel de
exposicin
controles
Usar
criterio
No
econmico
Bajo
Costo de implementar
controles
($)
Monitoreo
Para obtener el mayor valor de las prcticas de gestin
de riesgos, el monitoreo debe alcanzar los siguientes
aspectos:
Grado de utilizacin del modelo definido.
Nivel de actualizacin de las matrices.
Seguimiento de los indicadores definidos (KRIs).
Efectividad de los controles crticos.
Nivel de implementacin de las acciones
correctivas.
Continuidad operativa de IT
Existen tres aspectos que regularmente generan
problemas para hacer una apropiada planificacin de la
continuidad operativa de IT sobre los cuales se harn
comentarios/recomendaciones:
Definicin del BIA (Business Impact Analysis).
Utilizacin de prcticas de anlisis de riesgos.
Mantenimiento de los planes.
Business Impact Analysis (BIA)

Si bien el/los BIA deberan ser responsabilidad
exclusiva de las reas de negocio (dada su importancia
para el resto de la solucin de continuidad) es comn
que IT se vea obligado a liderar este proceso de
anlisis en muchos casos.
En tal sentido, la primer recomendacin es tratar de
evitar tener planes de recuperacin de IT que no estn
basados en un BIA dado que de otro modo puede
resultar difcil establecer las responsabilidades y
presupuestos asociados.

Lo siguiente es recordar que el nico objetivo que se
busca con un BIA es establecer las ventanas de
recuperacin y por lo tanto las tcnicas a utilizar deben
ser lo ms simples posibles para lograr este objetivo.
En tal sentido, lo ms sencillo suele ser acordar una
serie de categoras de impacto (econmico, imagen,
cumplimiento, etc.) y solicitar a los responsables de los
procesos que evalen una posible interrupcin en
ciertas ventanas de tiempo predefinidas (una hora, un
da, una semana, etc.) para esas categoras.

Para lograr una adecuada respuesta del negocio, es
relevante que los criterios utilizados sean aceptables
(idealmente aprobados a nivel de Alta Gerencia) y
adems instruir claramente al responsable del proceso
que el concepto de criticidad para el BIA quiere decir
exclusivamente urgencia.
Lo anterior es tpicamente un problema usual cuando
los responsables del negocio establecen a un nivel de
criticidad alto (malentendiendo la finalidad del BIA) y
esto termina en un plan inapropiado para IT.
Anlisis de Riesgo y Continuidad

Poltica de Continuidad del Negocio
Procedimientos de administracin y prueba de la solucin
Plan Preventivo
Plan de Respuesta
Anlisis de Riesgos
Estrategia de Continuidad del Negocio
Procesos crticos, Recursos crticos
Mantenimiento de los planes

Este es un punto extremadamente difcil de lograr y en
general no hay ms alternativa que buscarlo a travs de
la capacitacin y concientizacin.
Lo fundamental es transmitir que los planes de
continuidad desactualizados son en general peores que
no tener ningn plan y que el esfuerzo de
mantenimiento es mnimo si se realiza en forma
peridica.
Mantenimiento de los planes

Un aspecto que puede facilitar el proceso es tener los
planes de IT vinculados a los planes de negocio de
forma tal de que al aparecer cualquier cambio en el
negocio estos inmediatamente son
comunicados/acordados con IT.
Por otra parte, en cualquier proyecto significativo de IT
(implementaciones, cambios de plataformas, etc.)
debera incluirse como una etapa el anlisis de su
impacto dentro de los planes de continuidad.
Conclusiones
Para ambos temas, utilizando herramientas apropiadas,
vale la vieja expresin de menos es ms.
Las metodologas complejas, de difcil utilizacin y/o
que involucran mucho esfuerzo, rara vez permiten
obtener un nivel de valor alto, independientemente de
su inters o rigurosidad terica.
La presentacin (venta) adecuada de los temas hacia
la interna resulta fundamental para lograr buenos
grados de adopcin y utilizacin sin los cuales estas
prcticas terminan teniendo muy poco sentido.
DATOS DE CONTACTO
NOMBRE:
WEB:
EMAIL:
TEL:
www.pwc.com.uy
rodrigo.guirado@uy.pwc.com
+598 2916 04 63
GRACIAS POR SU TIEMPO

CIGRAS-2015.09.09-09-Gestion de Riesgos y Continuidad Operativa de IT Recomendaciones Practicas-Rodrigo Guirado

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

CIGRAS-2015.09.09-09-Gestion de Riesgos y Continuidad Operativa de IT Recomendaciones Practicas-Rodrigo Guirado

Uploaded by

Copyright:

Available Formats

Gestin de Riesgos y

Continuidad Operativa en IT:

Tolerancia a Riesgos - Ejemplo

Tolerancia a Riesgos - Ejemplo

Acciones vinculadas a Riesgos

Business Impact Analysis (BIA)

Business Impact Analysis (BIA)

Business Impact Analysis (BIA)

Anlisis de Riesgo y Continuidad

Mantenimiento de los planes

Mantenimiento de los planes

GRACIAS POR SU TIEMPO

You might also like