carlos giraldo cbcp - isaca.org · ciber riesgos con impacto en la estrategia ... externos y/o...
TRANSCRIPT
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
IX CONGRESO ISACA
COSTA RICA 2016Gobierno, gestión y aseguramiento de las
tecnologías de información.
Auditoria estratégica del ciber-
riesgo Carlos Giraldo
CISA, CISM, CRISC, CIA, PMP,
CBCP
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
Agenda
• Riesgos estratégicos
– Cómo los riesgos estratégicos permiten enlazar la gestión de riesgos con las necesidades del negocio para su crecimiento y viabilidad.
• El riesgo estratégico y el ciber riesgo
– Cómo el riesgo estratégico permite visualizar ciber riesgos con impacto en la estrategia
• Auditoría estratégica del ciber riesgo
– Cómo gestionar el ciber riesgo a nivel estratégico
• Conclusiones
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
RIESGOS ESTRATÉGICOS
Las organizaciones que hoy son líderes son
las que han aprendido cómo proteger su
valor mediante la administración del riesgo.
Las líderes del mañana serán las que
reconozcan la oportunidad que el riesgo
también tiene para crear valor.
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
RIESGOS ESTRATÉGICOS
Cómo los riesgos estratégicos permiten
enlazar la gestión de riesgos con las
necesidades del negocio para su
crecimiento y viabilidad.Ambiente
Regulatorio Cambiante
Ambiente de amenazas
que evoluciona
Ambiente de TI
Cambiante
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
Los riesgos estratégicosTendencias
Explorando Riesgos
Estratégicos
Tiene la Organización
un foco explícito en
gestionar riesgos
estratégicos?
Propiedad Ejecutiva
Quién determina
principalmente el
enfoque para
gestionar riesgos
estratégicos?
Enfoque cambiante
Ha cambiado el
enfoque para
gestionar riesgos
estratégicos en los
últimos 3 años?
Fuente: Deloitte/Forbes Insights Exploring Strategic Risk, 2013
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
Ciber amenazas
Cual de los siguientes
habilitadores o disruptores
de tecnología usted
considera que pueden
amenazar su modelo de
negocios?
Los riesgos estratégicosTendencias
Fuente: Deloitte/Forbes Insights Exploring Strategic Risk, 2013
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
Los riesgos estratégicos
¿Qué es riesgo estratégico?
Riesgo que resulta de:
• Asunciones incorrectas acerca de los factores
externos y/o internos, planes de negocio inapropiados
(p. e. muy agresivos, mal enfocados), ejecución
inefectiva de la estrategia del negocio, o
• Falla para responder de manera oportuna a cambios
en la regulación, entorno macroeconómico o
competencia, tales como ciclos del negocio, acciones
de los competidores, preferencias cambiantes de los
clientes, obsolescencia del producto / servicio y
desarrollos tecnológicos.
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
Los riesgos estratégicosLa estrategia es un conjunto integrado de
elecciones
Cómo
ganaremos en
los mercados
objetivo?
Qué prioridad
le daremos a
las
iniciativas?
Cuáles son
nuestras metas y
aspiraciones?
Cómo
configuraremos
las capacidades
críticas?
Donde
vamos a
jugar?
• Iniciativas
• Inversiones
• Gestión del
cambio
• Clientes
• Productos
• Geografía
• Propuesta de valor
• Fuentes de ventaja a defender
• Relación con comunidades
• Alianzas • Capacidades distintivas
• Habilitar el sistema
organizacional
• Propósito
• Objetivos
Financieros
• Objetivos No
Financieros
Estrategia de la
Unidad de Negocio
• Portafolio de negocios
• Peso relativo de las
inversiones
Método para incrementar la
competitividad de negocios
individuales:
– Compartir actividades
– Transferir habilidades
Estrategia
Corporativa
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
Los riesgos estratégicosBeneficios de identificarlos
Permite analizar los riesgos
que se pueden transformar en
oportunidades
Permite definir mecanismos
para su administración y
aprovechamiento
Facilita cumplir la labor
de la Junta Directiva y
de la Administración de
tener un programa
efectivo de gestión de
riesgos, incluyendo los
estratégicos
Permite integrar la
gestión de riesgos
en la estrategia
de negocio
Permite identificar las
implicaciones de
riesgo y oportunidad
que generan nuevas
estrategias o
actividades de negocio
Administrar
los riesgos
emergentes
Permite hacer
preguntas difíciles
con respecto a la
estrategia y a las
iniciativas
resultantes
Riesgo = Oportunidad
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
Qué recursos y capacidades
necesitamos para Gestionar Riesgos a
un nivel aceptable mientras
implementamos la estrategia?
Cómo podemos monitorear riesgos
emergentes que pueden impactar la
estrategia?
Agilidad para responder a eventos?
Los riesgos estratégicosConsideraciones
Qué Riesgos
estratégicos debemos
administrar efectivamente
para lograr nuestros
objetivos y aspiraciones ?
Involucre la evaluación de
riesgos en el proceso de
desarrollo de la estrategia
Revise y pruebe los
supuestos
Identifique indicadores de
alerta temprana
Cuáles son nuestros
objetivos y
aspiraciones?
Dónde
Jugar?Cómo Ganar?
Capacidades
Requeridas?
Configuración
de Procesos y
Sistemas?
Identifique los supuestos
claves sobre los cuales se basa
el Dónde Jugar y Cómo Ganar
Defina y evalúe eventos o
escenarios que pueden impactar
el DJ y CG positiva o
negativamente
Monitorear y reportar
sobre indicadores de
riesgo
Considere análisis de
riesgos emergentes en
la revisión de riesgos
estratégicos
Cuánto riesgo
aceptaremos para
lograr nuestros
objetivos y
aspiraciones?
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
EL RIESGO ESTRATÉGICO Y
EL CIBER RIESGO
Cómo el riesgo estratégico permite
visualizar ciber riesgos con impacto en la
estrategia
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
El riesgo estratégico y el ciber riesgo
Marco de Riesgos Estratégicos ® Deloitte
Macro ambiente
Fuerzas externas al Mercado
y la industria que pueden
impactar significativamente
la estrategia de la
Organización (ej: factores
macroeconómicos,
influencias geopolíticas,
cambios demográficos
Avances tecnológicos)
Operaciones
Dónde y cómo se ejecutan
las funciones colectivas
dentro de la Compañía y su
infraestructura soporte (ej:
I&D, ventas y mercadeo,
cadena de suministros,
finanzas, IT, talento)
Ecosistema
Entidades interconectadas
que interactúan a lo largo
de la cadena de valor para
definir y soportar la
industria (ej: competidores,
socios y proveedores)
Elección estratégica
Decisiones clave que
definen dónde y cómo la
compañía va a competir y
crear valor en el Mercado
(ej: productos/servicios,
clientes, canales, precio,
promoción)
Current
value
Future
value
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
El riesgo estratégico y el ciber riesgo
Ejemplo de factores de riesgo estratégico
Current
value
Future
value
Macro ambiente
• Envejecimiento de la
población
• Deterioro macroeconónico
• Conflictos regionales o
continentales
• Tecnologías disruptivas
Operaciones
• Guerra por el talento
• Insuficiencia de materias
primas
• Ineficiencia de I&D
• Inadecuado entendimiento
del mercado
• Función de tecnología muy
operativa pero no
estratégica
Ecosistema
• Regulaciones que
imponen cargas
imprevistas
• Competidores no
tradicionales y/o
agresivos
• Deterioro de socios de
negocio o proveedores
Elección estratégica
• Canales, productos o
servicios cuyo retorno
no sea el esperado
• Errores en la
segmentación de
clientes / selección del
mercado objetivo
• Precios inapropiados
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
El riesgo estratégico y el ciber riesgo
Marco de Riesgos Estratégicos ® Deloitte
¿Quién me podría atacar?
Programa de ciber riesgo y gobierno
¿Qué están buscando, cuáles son los
riesgos clave que debo mitigar?
¿Qué tácticas podrían utilizar?
SEGUROSVIGILANTES RESISTENTES¿ Tenemos
implementados
controles para
defendernos de las
amenazas conocidas
y emergentes?
¿Podemos detectar
actividades
maliciosas o sin
autorización, incluso
las desconocidas?
¿Podemos actuar y
recuperarnos
rápidamente para
minimizar el
impacto?
Ciber
amenazas
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
El riesgo estratégico y el ciber riesgo
El impacto del ciber riesgo en la estrategia
Current
value
Future
value
Riesgo
estratégico
Ciber riesgo
Situaciones
geopolíticas que
afecten el
desempeño del
negocio
Sufrir ataques
cibernéticos por
parte de grupos
terroristas u otras
naciones
Riesgo
estratégico
Ciber riesgo
Investigación y
desarrollo no
entregan
innovaciones al
ritmo requerido
por el negocio
Sufrir ataques
cibernéticos
orientados al robo
de información
confidencial /
propiedad industrial
Riesgo
estratégico
Ciber riesgo
Nuestros socios de
negocio no estén
en capacidad de
atender los
requerimientos de
nuestra estrategia
oportuna o
adecuadamente
Ataques
cibernéticos
exitosos debido a
vulnerabilidades de
seguridad en
nuestros socios de
negocio
Riesgo
estratégico
Ciber riesgo
Los servicios en
línea no tengan la
calidad prometida
al cliente
Indisponibilidad de
los servicios debido
a terceros
malintencionados
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
GESTIÓN ESTRATÉGICA DEL
CIBER RIESGO
¿Cómo gestionar el ciber riesgo a nivel
estratégico?
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
Gestión estratégica del ciber riesgo
Ciclo de gestión de riesgos estratégicos
Identificar el riesgo
estratégico
Analizar y priorizar
Definir medidas de administración /
aprovechamiento
Definir Indicadores Clave de Riesgo -KRI
Monitorear los KRI
Ajustar medidas y
KRI
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
Gestión estratégica del ciber riesgo
Ciclo de gestión de riesgos estratégicos
Analizar y priorizar
• Al ser riesgos estratégicos suele ser el
primer nivel de la administración y la
Junta Directiva quienes proveen consejo
experto sobre estos riesgos y su nivel de
prioridad.
• Estas actividades deberían estar
integradas al proceso de planeación
estratégica.
• Diferentes herramientas de colaboración
pueden usarse para este fin (p. e. votación
electrónica en línea, discusiones de foco,
lluvia de ideas, entre otros)
Definir medidas de administración / aprovechamiento
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
Gestión estratégica del ciber riesgo
Ciclo de gestión de riesgos estratégicos
• KRIs del ciber riesgo
– Información no estructurada
– Información de tendencias y
ciber inteligencia
– Información disponible
– Información con significado
• Asociación con riesgos
estratégicos
Definir Indicadores
Clave de Riesgo -KRI
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
Gestión estratégica del ciber riesgo
Ciclo de gestión de riesgos estratégicos
Definir Indicadores
Clave de Riesgo -
KRI Riesgo estratégico Ciber riesgo Ejemplo de información para
KRI
Investigación y desarrollo
no entregan innovaciones
al ritmo requerido por el
negocio
Sufrir ataques
cibernéticos
orientados al robo
de información
confidencial /
propiedad industrial
• Incidencia de ataques
cibernéticos en la industria /
geografía
• Innovaciones producidas
por la competencia
Riesgo estratégico Ciber riesgo Ejemplo de información para
KRI
Nuestros socios de
negocio no estén en
capacidad de atender los
requerimientos de nuestra
estrategia oportuna o
adecuadamente
Ataques cibernéticos
exitosos debido a
vulnerabilidades de
seguridad en
nuestros socios de
negocio
• % de socios de negocio
cuyo programa de gestión
del ciber riesgo he validado
• % de planes de acción
vencidos
• Eventos de ciber seguridad
en socios de negocio
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
Gestión estratégica del ciber riesgo
Ciclo de gestión de riesgos estratégicos
Monitorear los KRI
• El monitoreo de KRI busca
anticiparse a eventos.
• La información de valor para este
propósito suele ser información
no estructurada.
• El reto es transformarla en
información accionable.
• La información estructurada en su
mayoría es sobre eventos ya
ocurridos.
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
Gestión estratégica del ciber riesgo
Ciclo de gestión de riesgos estratégicos
Ajustar
medidas y KRI
• Con base en la taxonomía
de riesgos es posible
ajustar las medidas a
nivel no solo estratégicos
sino operativo.
• Igualmente ajustar los KRI
que puedan ser
irrelevantes.
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
Auditoría estratégica del ciber
riesgo
Si su empresa utiliza Internet, es vulnerable ante los ciberataques.
¿Está preparada su organización para enfrentarse a las ciber amenazas?
¿Ha considerado qué activos pueden ser vulnerables?
¿Sabe cuál puede ser el costo de un ataque que tenga éxito?
¿Ha planificado cuál sería la respuesta de su empresa a un ataque?
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
Auditoría estratégica del ciber
riesgo - Fases
Evaluar / Detectar
Responder / Planes de
acción
Preparar / Analizar
los riesgos
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
Auditoría estratégica del ciber
riesgo
Preparar:
Conocer el proceso de identificación de las ciber amenazas que pueden afectar el modelo de negocio. Conocer la estrategia y el roadmap de ciber seguridad.
Analizar los riesgos que suponen para la compañía y valorarlos.
Entender los roles y responsabilidades de ciber seguridad y determinar que los empleados conozcan sus responsabilidades.
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
Auditoría estratégica del ciber
riesgo
Evaluar:
• Evaluación de vulnerabilidades
• Evaluar la gestión de seguridad y los componentes implementados para la protección y detección de ataques a la organización
Preguntas clave:
• ¿En qué medida es capaz su organización de gestionar las consecuencias de un ataque?
• ¿Quién gestiona la protección y detección ante los ataques?
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
Auditoría estratégica del ciber
riesgo
Responder:
• Evaluar los mecanismos de respuesta a futuros ataques
• Evaluar los programas de manejo de crisis
• Tener en cuenta que una respuesta inadecuada a una violación de la seguridad puede provocar un gran daño a la reputación de la empresa y al valor que ésta tiene para los accionistas.
• Dada la evolución de las amenazas, las organizaciones deben asumir que serán atacadas en algún momento y, quizás, de forma reiterada.
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
Auditoría estratégica del ciber
riesgo
Responder:
Los planes de acción que defina la organización deben incluir:
• Definir procesos y planes necesarios para priorizar las acciones de respuesta y mitigación, considerando la continuidad del negocio en su conjunto
• Disponer de aptitudes técnicas y herramientas necesarias para evaluar el origen de la violación, llevar a cabo una investigación forense y probar la validez de la solución técnica.
• Revisar de forma continua, mejorar y adaptar la capacidad de respuesta, además de modificar los perfiles de riesgo organizacional y las ciber amenazas.
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
CONCLUSIONES
– El éxito de una compañía depende en diversas formas de cómo atiende las ciber amenazas y considera el ciber riesgo
– El ciber riesgo debe asociarse con la estrategia para tener visibilidad, ser entendido y tratado apropiadamente
– Los KRI permiten visualizar tendencias y comportamientos para anticipar efectos en los ciber riesgos de la organización y su estrategia
– Las fuentes para monitorear los KRI suelen ser ciber inteligencia e información no estructurada
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
¿Preguntas?
Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-ricaCapítulo Costa Rica
Confianza y Valor en los sistemas de información
Síganos
IX CONGRESO ISACA
COSTA RICA 2016Gobierno, gestión y aseguramiento de las
tecnologías de información.
Gracias