Professional Documents
Culture Documents
Agenda
Motivacin
Gestin de Riesgos en IT
Continuidad Operativa de IT
Conclusiones
PricewaterhouseCoopers Uruguay
Motivacin
Los dos conceptos a tratar son posiblemente de los
ms antiguos vinculados a la gestin de IT y, sin
embargo, siguen presentando enormes problemas.
La alineacin de estos conceptos en IT y el resto de la
organizacin es crtica por la importancia de ambos.
La gestin de riesgos en particular es regularmente
malentendida como una prctica burocrtica,
disociada de la actividad diaria y vinculada
esencialmente al cumplimiento normativo.
PricewaterhouseCoopers Uruguay
Definicin de Riesgo
Qu definicin usar?
Amenaza que puede explotar una debilidad que
presenta la organizacin para materializarse
(ocurrir) y afectar negativamente a un conjunto de
activos.
Evento que, de ocurrir, afecta negativamente el
logro de un cierto objetivo, pudiendo impedir la
creacin de valor para la organizacin o erosionar el
valor existente.
PricewaterhouseCoopers Uruguay
Definicin de Riesgo
El asociar los riesgos a los objetivos (solamente a los
objetivos) y luego los controles a los riesgos (lo cual es
intuitivo) permite transmitir el mensaje fundamental de
que la gestin de riesgos tiene como fin ltimo el lograr
aquellas cosas que se quieren lograr.
Es sencillo de ver que si el objetivo es la proteccin de
activos, lo anterior incluye completamente este
concepto, pero agrega una posibilidad expresiva
mucho mayor y directamente alineada con el negocio.
PricewaterhouseCoopers Uruguay
Anlisis de Riesgos
Todos los elementos de anlisis dentro de una
metodologa de gestin de riesgos (tablas de
probabilidad e impacto, funciones de exposicin, etc.)
solo existen para responder una pregunta sencilla:
cules riesgos son los ms preocupantes?.
Por lo anterior, es fundamental elegir un modelo de
anlisis de riesgos que cumpla con dos caractersticas
bsicas: a) responde a la pregunta previa y b) es lo ms
sencillo y simple de usar posible.
PricewaterhouseCoopers Uruguay
Anlisis de Riesgos
Para lograr dichas caractersticas se pueden hacer una
serie de recomendaciones:
Nunca tomar un modelo genrico directamente.
Definir tablas de probabilidad e impacto congruentes
con el nivel de anlisis que se quiere realizar.
Alinear lo ms posible los criterios de anlisis de
riesgos de IT con lo que ya exista en el negocio o
participar de implementaciones conjuntas.
Casi en cualquier caso, garantizar que el modelo
elegido priorice el impacto sobre la probabilidad.
PricewaterhouseCoopers Uruguay
Tolerancia a Riesgos
Una vez analizados de acuerdo al modelo elegido es
necesario determinar si su nivel es:
Aceptable: no tengo que hacer nada al respecto.
Atencin: est dentro de lo razonable pero conviene
realizar un seguimiento (por ejemplo, a travs de
indicadores).
Inaceptable: debo implementar un plan de accin
para corregir la situacin actual.
PricewaterhouseCoopers Uruguay
Probabilidad
Muy Alta
Atencin
Inaceptable
Inaceptable
Inaceptable Inaceptable
Alta
Atencin
Atencin
Inaceptable
Inaceptable Inaceptable
Media
Aceptable
Atencin
Atencin
Inaceptable Inaceptable
Baja
Aceptable
Aceptable
Atencin
Atencin
Inaceptable
Muy Baja
Aceptable
Aceptable
Aceptable
Atencin
Atencin
Muy Bajo
Bajo
Medio
Alto
Muy Alto
Impacto
PricewaterhouseCoopers Uruguay
Probabilidad
Muy Alta
Atencin
Atencin
Inaceptable
Inaceptable Inaceptable
Alta
Atencin
Atencin
Inaceptable
Inaceptable Inaceptable
Media
Aceptable
Atencin
Atencin
Inaceptable Inaceptable
Baja
Aceptable
Aceptable
Atencin
Atencin
Inaceptable
Muy Baja
Aceptable
Aceptable
Aceptable
Atencin
Inaceptable
Muy Bajo
Bajo
Medio
Alto
Muy Alto
Impacto
PricewaterhouseCoopers Uruguay
PricewaterhouseCoopers Uruguay
Acciones correctivas
Alto
Implementar
Nivel de
exposicin
controles
Usar
criterio
No
econmico
Bajo
Costo de implementar
controles
PricewaterhouseCoopers Uruguay
($)
Monitoreo
Para obtener el mayor valor de las prcticas de gestin
de riesgos, el monitoreo debe alcanzar los siguientes
aspectos:
Grado de utilizacin del modelo definido.
Nivel de actualizacin de las matrices.
Seguimiento de los indicadores definidos (KRIs).
Efectividad de los controles crticos.
Nivel de implementacin de las acciones
correctivas.
PricewaterhouseCoopers Uruguay
Continuidad operativa de IT
Existen tres aspectos que regularmente generan
problemas para hacer una apropiada planificacin de la
continuidad operativa de IT sobre los cuales se harn
comentarios/recomendaciones:
Definicin del BIA (Business Impact Analysis).
Utilizacin de prcticas de anlisis de riesgos.
Mantenimiento de los planes.
PricewaterhouseCoopers Uruguay
Plan Preventivo
Plan de Respuesta
Anlisis de Riesgos
Estrategia de Continuidad del Negocio
Procesos crticos, Recursos crticos
Business Impact Analysis (BIA)
PricewaterhouseCoopers Uruguay
PricewaterhouseCoopers Uruguay
PricewaterhouseCoopers Uruguay
Conclusiones
Para ambos temas, utilizando herramientas apropiadas,
vale la vieja expresin de menos es ms.
Las metodologas complejas, de difcil utilizacin y/o
que involucran mucho esfuerzo, rara vez permiten
obtener un nivel de valor alto, independientemente de
su inters o rigurosidad terica.
La presentacin (venta) adecuada de los temas hacia
la interna resulta fundamental para lograr buenos
grados de adopcin y utilizacin sin los cuales estas
prcticas terminan teniendo muy poco sentido.
PricewaterhouseCoopers Uruguay
DATOS DE CONTACTO
NOMBRE:
WEB:
EMAIL:
TEL:
PricewaterhouseCoopers Uruguay
PricewaterhouseCoopers Uruguay
www.pwc.com.uy
rodrigo.guirado@uy.pwc.com
+598 2916 04 63