Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Gestión de Riesgos y Continuidad Operativa en IT

Anuncio 
Gestión de Riesgos y
Continuidad Operativa en IT:
Recomendaciones Prácticas
Rodrigo Guirado, CISA, CGEIT, CRISC
PricewaterhouseCoopers Uruguay
Agenda
•
•
•
•
Motivación
Gestión de Riesgos en IT
Continuidad Operativa de IT
Conclusiones
PricewaterhouseCoopers Uruguay
Motivación
• Los dos conceptos a tratar son posiblemente de los
más antiguos vinculados a la gestión de IT y, sin
embargo, siguen presentando enormes problemas.
• La alineación de estos conceptos en IT y el resto de la
organización es crítica por la importancia de ambos.
• La gestión de riesgos en particular es regularmente
“malentendida” como una práctica burocrática,
disociada de la actividad diaria y vinculada
esencialmente al cumplimiento normativo.
PricewaterhouseCoopers Uruguay
Definición de Riesgo
• ¿Qué definición usar?
• Amenaza que puede explotar una debilidad que
presenta la organización para materializarse
(ocurrir) y afectar negativamente a un conjunto de
activos.
• Evento que, de ocurrir, afecta negativamente el
logro de un cierto objetivo, pudiendo impedir la
creación de valor para la organización o erosionar el
valor existente.
PricewaterhouseCoopers Uruguay
Definición de Riesgo
• El asociar los riesgos a los objetivos (solamente a los
objetivos) y luego los controles a los riesgos (lo cual es
intuitivo) permite transmitir el mensaje fundamental de
que la gestión de riesgos tiene como fin último el lograr
aquellas cosas que se quieren lograr.
• Es sencillo de ver que si el objetivo es la “protección de
activos”, lo anterior incluye completamente este
concepto, pero agrega una posibilidad “expresiva”
mucho mayor y directamente alineada con el negocio.
PricewaterhouseCoopers Uruguay
Análisis de Riesgos
• Todos los elementos de análisis dentro de una
metodología de gestión de riesgos (tablas de
probabilidad e impacto, funciones de exposición, etc.)
solo existen para responder una pregunta sencilla:
“¿cuáles riesgos son los más preocupantes?”.
• Por lo anterior, es fundamental elegir un modelo de
análisis de riesgos que cumpla con dos características
básicas: a) responde a la pregunta previa y b) es lo más
sencillo y simple de usar posible.
PricewaterhouseCoopers Uruguay
Análisis de Riesgos
• Para lograr dichas características se pueden hacer una
serie de recomendaciones:
• Nunca tomar un modelo genérico directamente.
• Definir tablas de probabilidad e impacto congruentes
con el nivel de análisis que se quiere realizar.
• Alinear lo más posible los criterios de análisis de
riesgos de IT con lo que ya exista en el negocio o
participar de implementaciones conjuntas.
• Casi en cualquier caso, garantizar que el modelo
elegido priorice el impacto sobre la probabilidad.
PricewaterhouseCoopers Uruguay
Tolerancia a Riesgos
• Una vez analizados de acuerdo al modelo elegido es
necesario determinar si su nivel es:
• Aceptable: no tengo que hacer nada al respecto.
• Atención: está dentro de lo razonable pero conviene
realizar un seguimiento (por ejemplo, a través de
indicadores).
• Inaceptable: debo implementar un plan de acción
para corregir la situación actual.
PricewaterhouseCoopers Uruguay
Tolerancia a Riesgos - Ejemplo
Tolerancia al Riesgo
Probabilidad
Muy Alta
Atención
Inaceptable
Inaceptable
Inaceptable Inaceptable
Alta
Atención
Atención
Inaceptable
Inaceptable Inaceptable
Media
Aceptable
Atención
Atención
Inaceptable Inaceptable
Baja
Aceptable
Aceptable
Atención
Atención
Inaceptable
Muy Baja
Aceptable
Aceptable
Aceptable
Atención
Atención
Muy Bajo
Bajo
Medio
Alto
Muy Alto
Impacto
PricewaterhouseCoopers Uruguay
Tolerancia a Riesgos - Ejemplo
Tolerancia al Riesgo
Probabilidad
Muy Alta
Atención
Atención
Inaceptable
Inaceptable Inaceptable
Alta
Atención
Atención
Inaceptable
Inaceptable Inaceptable
Media
Aceptable
Atención
Atención
Inaceptable Inaceptable
Baja
Aceptable
Aceptable
Atención
Atención
Inaceptable
Muy Baja
Aceptable
Aceptable
Aceptable
Atención
Inaceptable
Muy Bajo
Bajo
Medio
Alto
Muy Alto
Impacto
PricewaterhouseCoopers Uruguay
Acciones vinculadas a Riesgos
• Para hablar de gestión o administración de riesgos en
lugar de simplemente de análisis de riesgos, es
fundamental considerar dos aspectos adicionales:
• Acciones correctivas
• Monitoreo
• Si cualquiera de los dos aspectos se descuida (algo
que es sumamente común) la efectividad y el valor del
modelo utilizado se ven significativamente disminuidas.
PricewaterhouseCoopers Uruguay
Acciones correctivas
Alto
Implementar
Nivel de
exposición
controles
Usar
criterio
No
económico
Bajo
Costo de implementar
controles
PricewaterhouseCoopers Uruguay
($)
Monitoreo
• Para obtener el mayor valor de las prácticas de gestión
de riesgos, el monitoreo debe alcanzar los siguientes
aspectos:
• Grado de utilización del modelo definido.
• Nivel de actualización de las matrices.
• Seguimiento de los indicadores definidos (KRIs).
• Efectividad de los controles críticos.
• Nivel de implementación de las acciones
correctivas.
PricewaterhouseCoopers Uruguay
Continuidad operativa de IT
• Existen tres aspectos que regularmente generan
problemas para hacer una apropiada planificación de la
continuidad operativa de IT sobre los cuales se harán
comentarios/recomendaciones:
• Definición del BIA (Business Impact Analysis).
• Utilización de prácticas de análisis de riesgos.
• Mantenimiento de los planes.
PricewaterhouseCoopers Uruguay
Business Impact Analysis (BIA)
• Si bien el/los BIA deberían ser responsabilidad
exclusiva de las áreas de negocio (dada su importancia
para el resto de la solución de continuidad) es común
que IT se vea obligado a liderar este proceso de
análisis en muchos casos.
• En tal sentido, la primer recomendación es tratar de
evitar tener planes de recuperación de IT que no estén
basados en un BIA dado que de otro modo puede
resultar difícil establecer las responsabilidades y
presupuestos asociados.
PricewaterhouseCoopers Uruguay
Business Impact Analysis (BIA)
• Lo siguiente es recordar que el único objetivo que se
busca con un BIA es establecer las ventanas de
recuperación y por lo tanto las técnicas a utilizar deben
ser lo más simples posibles para lograr este objetivo.
• En tal sentido, lo más sencillo suele ser acordar una
serie de categorías de impacto (económico, imagen,
cumplimiento, etc.) y solicitar a los responsables de los
procesos que evalúen una posible interrupción en
ciertas ventanas de tiempo predefinidas (una hora, un
día, una semana, etc.) para esas categorías.
PricewaterhouseCoopers Uruguay
Business Impact Analysis (BIA)
• Para lograr una adecuada respuesta del negocio, es
relevante que los criterios utilizados sean aceptables
(idealmente aprobados a nivel de Alta Gerencia) y
además instruir claramente al responsable del proceso
que el concepto de “criticidad” para el BIA quiere decir
exclusivamente “urgencia”.
• Lo anterior es típicamente un problema usual cuando
los responsables del negocio establecen a un nivel de
criticidad alto (malentendiendo la finalidad del BIA) y
esto termina en un plan inapropiado para IT.
PricewaterhouseCoopers Uruguay
Análisis de Riesgo y Continuidad
Política de Continuidad del Negocio
Procedimientos de administración y prueba de la solución
Plan Preventivo
Plan de Respuesta
Análisis de Riesgos
Estrategia de Continuidad del Negocio
Procesos críticos, Recursos críticos
Business Impact Analysis (BIA)
PricewaterhouseCoopers Uruguay
Mantenimiento de los planes
• Este es un punto extremadamente difícil de lograr y en
general no hay más alternativa que buscarlo a través de
la capacitación y concientización.
• Lo fundamental es transmitir que los planes de
continuidad desactualizados son en general peores que
no tener ningún plan y que el esfuerzo de
mantenimiento es mínimo si se realiza en forma
periódica.
PricewaterhouseCoopers Uruguay
Mantenimiento de los planes
• Un aspecto que puede facilitar el proceso es tener los
planes de IT vinculados a los planes de negocio de
forma tal de que al aparecer cualquier cambio en el
negocio estos inmediatamente son
comunicados/acordados con IT.
• Por otra parte, en cualquier proyecto significativo de IT
(implementaciones, cambios de plataformas, etc.)
debería incluirse como una etapa el análisis de su
impacto dentro de los planes de continuidad.
PricewaterhouseCoopers Uruguay
Conclusiones
• Para ambos temas, utilizando herramientas apropiadas,
vale la vieja expresión de “menos es más”.
• Las metodologías complejas, de difícil utilización y/o
que involucran mucho esfuerzo, rara vez permiten
obtener un nivel de valor alto, independientemente de
su interés o rigurosidad teórica.
• La presentación (“venta”) adecuada de los temas hacia
la interna resulta fundamental para lograr buenos
grados de adopción y utilización sin los cuales estas
prácticas terminan teniendo muy poco sentido.
PricewaterhouseCoopers Uruguay
DATOS DE CONTACTO
NOMBRE:
WEB:
EMAIL:
TEL:
PricewaterhouseCoopers Uruguay
PricewaterhouseCoopers Uruguay
www.pwc.com.uy
[email protected]
+598 2916 04 63
GRACIAS POR SU TIEMPO
Documentos relacionados
Índice de Competitividad Global - Ministerio de Economía y Finanzas
Índice de Competitividad Global - Ministerio de Economía y Finanzas
El Río Uruguay podría alcanzar una altura de 12.30 metros
El Río Uruguay podría alcanzar una altura de 12.30 metros
29 22 APORTES PARA LA REFLEXIÓN DESDE LA PERSPECTIVA DE LA GESTIÓN EDUCATIVA
29 22 APORTES PARA LA REFLEXIÓN DESDE LA PERSPECTIVA DE LA GESTIÓN EDUCATIVA
Trabajo Infantil 2º Parte
Trabajo Infantil 2º Parte
Descargar
Anuncio
Anuncio