Administración de riesgos

Introducción

El avance acelerado al que se han enfrentado diversas organizaciones está estrechamente vinculado con el incremento en el uso de la tecnología de la Información así como la evolución en la forma de su utilización.

Este progreso ha permitido que la tecnología de Información se convierta en una herramienta trascendental para diseñar e implementar mejores y más efectivos procesos, generando oportunidades de crecimiento así como la posibilidad de contar con información veraz y oportuna para una eficaz toma de decisiones. Sin embargo, esto conlleva a tener una dependencia en la Información y en los sistemas que la proporcionan.

Este tipo de dependencia trae consigo una serie de riesgos inherentes que las organizaciones deben de enfrentar, a estas exposiciones se les conoce como riesgo tecnológico.

El riesgo también se podría definir como el efecto de la incertidumbre en la consecución de los objetivos, dicho esto utilizaremos las herramientas que nos proporciona ITIL para evaluar la gestión de los riesgos que podrían presentase en esta compañía. Una compañía enfocada en el área de finanzas brindando al cliente diversas formas de obtener tarifas aplicadas a sus necesidades, garantizando un servicio eficaz y sobre todo seguro tanto para el cliente como para el que brinda el servicio.

Dentro de las herramientas a utilizar para dicha evaluación están:

• ISO 2700
• ISO 31000
• IEC 2700
• COBIT

Esta entidad financiera no es la excepción agregando que la mayor parte de sus operaciones están ligadas a la tecnología, con lo cual se hace más eficiente el servicio para el cliente, sin embargo está expuesta a problemas bancarios, fraudes y falsificación los cuales pueden ser muy riesgosos para esta entidad sino se cuenta con una adecuada administración del riesgo tecnológico.

Por lo antes ya mencionado, es de interés empresarial el desarrollar actividades para la administración de riesgo tecnológico como hábitos adicionales a la administración integral de esta entidad financiera, los cuales no lleven a minimizar los posibles impactos negativos que puedan presentarse por el uso de estos procesos y desarrollar una estrategia basada en el riesgo tecnológico que nos permita un manejo correcto en la toma de decisiones garantizando la mejor de las practicas.

Objetivos

1. Objetivo General

El objetivo de la Administración de Riesgo Tecnológico es la de concientizar a los dueños de los procesos y a los responsables de los sistemas de Información de la existencia de riesgos y de la necesidad de mitigarlos a tiempo, ofreciendo un método sistemático de trabajo definido y repetible para el análisis y evaluación de tales riesgos, para ayudar a descubrir y planificar las medidas oportunas para mantener los riegos de TI bajo control de acuerdo a las mejores prácticas.

b. Objetivos Particulares

· Preparar esta entidad financiera para el proceso de administración de Riesgo Tecnológico en base a un marco de referencia constituido de las mejores prácticas como COBIT e ISO/IEC 27001 buscando la uniformidad en el marco de trabajo para le gestión del Riesgo

Tecnológico para una mejor Gobernabilidad de las Tecnologías de la Información.

· Contar con un método para poder identificar, evaluar, administrar, controlar y reportar los riesgos tecnológicos que enfrenta la institución, con el fin de mitigar o eliminar el posible impacto negativo de dichos riesgos en Esta entidad financiera.

Funciones

Unidad de Riesgo Operativo

1. Levantar un proyecto de la empresa, evaluando los procesos ejecutados en los siguientes activos:

1. Software
2. Hardware
3. Comunicaciones
4. Personal
5. Datos/Información
6. Software de información
7. Comunicaciones

1. Preparar una propuesta de gestión de riesgo tecnológico, así como políticas y procedimientos para la identificación, evaluación y control.
2. Definir el alcance de la identificación y evaluación de riesgos.

El Jefe de Unidad de Riesgo Tecnológico deberá

1. Capacitar al Dueño de Proceso, cuando lo requiera, para identificar y evaluar los riesgos tecnológicos de acuerdo a la evaluación de los procesos.
2. Apoyar a los responsables facultados, del tratamiento de los riesgos a desarrollar (remediar, monitorear u optimizar el control).
3. Seguimiento y retroalimentación de las respuestas de riesgo.
4. Análisis de desviaciones en Riesgo Tecnológico.
5. Definir y monitorear los Indicadores por Riesgo Tecnológico.
6. Diseñar, desarrollar e implementar una base de datos histórica de exposición de riesgos, identificada en cada activo y subproceso, así como, de las incidencias por Riesgo tecnológico.

1. Actualizar al menos una vez al mes la base de datos por riesgo tecnológico, a través del registro de incidencias que se tengan por conocimiento de las diferentes fuentes de Información y en su caso verificar que el monto de pérdida esté reflejado dentro de la contabilidad de esta entidad financiera.

Los Dueños de Proceso deberán

1. Identificar y evaluar los riesgos tecnológicos inherentes a su proceso.
2. Determinar las causas y efectos derivados de los riesgos identificados.
3. Reportar la incidencia de eventos derivados de un riesgo tecnológico en cada área del banco.
4. Participar en las sesiones de medición y cuantificación del riesgo tecnológico.
5. Implementar, aplicar, mantener y actualizar el Sistema de Control Interno, cuyas acciones preventivas y correctivas, permitirán la mitigación y control del riesgo tecnológico.
6. Elaborar, establecer y dar mantenimiento a las políticas y procedimientos que afecten a su área.
7. Proporcionar Información relacionada con el seguimiento en las acciones referentes a las respuestas de Riesgos Tecnológicos.
8. Proporcionar la Información relacionada a cada uno de los Indicadores de los Riesgos Tecnológicos detectados.
9. Mantener una estrecha comunicación con su área así como con la Unidad ROp de cualquier índole en relación al riesgo tecnológico que contribuya a una mejora continua así como de Control Interno.
10. Informar, difundir e implementar a sus reportes las estrategias de cultura de riesgo tecnológico.

Marco Metodológico

 La administración de riesgos es el proceso en el que se identifican sistemáticamente, se evalúan y controlan los eventos no deseados que pueden ocasionar un cambio tecnológico considerando lo siguiente:

· Tiene que haber un cambio en el entendimiento de los procesos y sistematización del análisis de dependencias y riesgos de tecnología de Información.

· Continuamente se está en una nueva era de peligros, regulaciones y oportunidades.

· Se requiere detectar los riesgos actuales, permitiendo conocer las amenazas y debilidades y convertirlas en oportunidades y fortalezas

· El no detectar el riesgo no implica que no exista.

Administración de riesgos tecnológico

La entidad financiera requiere una metodología de identificación y evaluación de riesgo tecnológico, en base a los activos a evaluar, tomando las amenazas, vulnerabilidades y controles para así determinar el riesgo y ser capaces de administrarlo adecuadamente.

La metodología de riesgo de esta entidad financiera estará basada en el ISO 31000, la cual apoya la gestión de riesgo en general incluyendo el Operativo/Tecnológico.

[pic 1]

La metodología de administración de riesgos tecnológico estará basada está basada principalmente en dos marcos de referencia generalmente aplicable y aceptada:

a) COBIT (Control Objetives for Information and Related Technology) mejor práctica aplicada en materia de control y gobernabilidad de TI emitido por ISACA

(Information Systems Audit. and Control Foundation).

b) ISO/IEC 27001que es el estándar para establecer, implantar, mantener y mejorar un Sistema de Gestión de seguridad de la Información y es emitido conjuntamente por ISO (Organización internacional por la Normalización y la IEC (International Electrotechnical Commission).

COBIT

El uso del marco de trabajo COBIT para la administración de riesgos, se basa en el principio de proporcionar la Información que nuestra entidad financiera requiera para lograr sus objetivos, su necesidad, su necesidad de administrar y controlar los recursos los recursos de TI y sus riesgos relacionados, usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de Información.

El modelo de referencia COBIT se encuentra estructurado en:

Requerimientos de Información

· Efectividad. Se refiere a que la Información relevante sea pertinente para el proceso del negocio, así como a que su entrega sea oportuna, correcta, consistente y de manera utilizable

...