“la gestión del riesgo de la información entendida como una auditoría continua” ciclo de...
TRANSCRIPT
“La gestión del riesgo de la información entendida como una auditoría continua”
Ciclo de conferencias sobre Auditoría InformáticaUniversidad Politécnica de Madrid
Íñigo García de Amézaga
24 de noviembre de 2014
Presentación
• Agradecimiento a la Universidad Politécnica de Madrid y a Dintel.
• Ciclo de conferencias, la tercera. Perspectiva desde una empresa.
• Permisos.
Objetivos de la sesión
• Mostrar diferentes posibilidades profesionales que tengan sinergias con la auditoría informática.
• Compartir mis experiencias clave para que puedas diseñar tu trayectoria profesional.
• Entender la gestión del riesgo de la información como auditoría continua al servicio de los objetivos de la compañía.
Íñigo García de Amézaga
• Desde 2008 desarrollo mi labor como responsable del riesgo de la información en la división de banca mayorista de ING actividad que compatibilizo desde hace algo más de dos con la de coach profesional a tiempo parcial, ejerciendo por cuenta propia.
• Soy ingeniero de telecomunicación y mi trayectoria profesional siempre ha estado ligada a la seguridad de la información previamente trabajé en compañías como Siemens, SIA o Indra.
• Poseo las certificaciones CISA, CISM y CRISC de ISACA además de la ISO 27001 Lead auditor e ISO 22301, todas ellas relacionadas con la auditoria de sistemas, seguridad de la información, gestión del riesgo y continuidad de negocio.
Permíteme que me presente …
• Es una buena pregunta que me hizo una niña de 8 años hace unos días.
• Voy a intentar responderla a lo largo de la presentación.
• No es tan importante que yo os cuente lo que hago y cómo, sino que suscite en vosotros actitudes y una forma de enfocar vuestro futuro profesional.
Si, ya …. pero…. ¿en qué trabajas?
• Estáis en un buen sector profesional. La crisis y el desempleo juegan en vuestra contra. La capacitación profesional en un sector demandado lo hacen a vuestro favor.
• Idiomas y experiencia internacional.
• La formación continua y cuidar la red de contactos profesionales es una responsabilidad professional.
• Que mi actividad, sea cual sea, esté alineada con el negocio.
Algunas ideas
• Perfiles: especialista de producto, 'controller' financiero, 'senior account manager', especialista de SEO/SEM, ingeniero comercial, diseñador senior Textil, 'key account manager' de logística y programador en java.
• Puestos: 'market access'; analista de cartera de riesgos crediticios, key account manager' de nuevas tecnologías; director de marketing on line, ingeniero de planta, responsable de 'business intelligence', 'retail manager' y director de operaciones
Algunas ideas, las profesiones con más futuro
Algunas ideas, idiomas y experiencia internacional
Algunas ideas, red de contactos profesionales
• La gestión del riesgo de la información es una herramienta para satisfacer las necesidades de negocio.
• Mientras que el gobierno de la seguridad de la información define los vínculos que existen entre las metas y objetivos de negocio y el programa de seguridad de la información, la gestión de riesgos de la seguridad de la información define el grado de protección que es prudente con base en los requerimientos, objetivos y prioridades del negocio
ISACA, manual de preparación al examen CISM 2014
Algunas ideas, actividad alineada con el negocio
• Productos de ahorro . El cliente pone dinero y el banco le devuelve intereses. Hace falta licencia bancaria y existe un fondo de garantía de los bancos centrales (BDE, DNB)
• Financiación. El cliente pide dinero y debe devolverlo con intereses. No solo los bancos hacen préstamos.
• Medios de pago. Para mover dinero y hacer pagos. No solo los bancos facilitan esta operative (Paypal, Amazon, Google)
• Otros servicios: asesoramiento, cambio de divisas, acciones, etc. No son servicios exclusivos de un banco
Entendiendo el negocio, ¿qué hace un banco?
• Video: we are ING• http://www.youtube.com/watch?v=OqfjmhjBQ6I
Entendiendo el negocio, ¿qué hace ING?
Entendiendo el negocio, ¿qué hace ING?
“Banking is make things happen”
(la actividad de banca es hacer que las cosas ocurran)
“Our purpose is empowering people to stay a step ahead in life and in business”
(Nuestro propósito es empoderar a la gente para que esté un paso por delante en la vida y en los negocios”
Entendiendo el negocio, ¿qué hace ING?
15
Actitud y forma de comunicar
¿Aprendizajes ?
• Contribuyo a mejorar la cuenta de resultados del banco minimizando el riesgo de pérdidas por incidentes tecnológicos.
• En ING, mi principal responsabilidad es la de asesorar a la dirección en materia de seguridad y gestión del riesgo de la información así como de la continuidad del negocio, para que puedan tomar las decisiones gerenciales y estratégicas de una forma informada y pro-activa.
• Me aseguro de que las normas de la multinacional y las buenas prácticas en materia de seguridad de la información y gestión del riesgo son conocidas por el personal y están bien aplicadas.
• Identifico y evalúo el riesgo tecnológico y su impacto en el negocio. Monitorizo e informo. Defino controles y propongo medidas que mitiguen el riesgo hasta niveles aceptables con un coste-beneficio optimo.
Voviendo a lo que hago en ING…
IIA, Instituto de Auditores Internos (USA)
El modelo de tres líneas de defensa.
Responsabilidades de cada línea de defensa
ING implementa el modelo de tres líneas de defensa
Marco de Gobierno de Gestión del Riesgo en ING
Business LinesCorporate Audit
Services(CAS)
1st Line 2nd Line 3rd Line
Have primary responsibility for day to day risk management
Bear consequences of Loss
Help formulate the strategies, policies and structures for
managing non financial risk
Monitors execution … and overall integrity
Improves Risk Management to make it easier and more
effective
Provides independent and objective assurance on overall
effectiveness of internal controls
Provides specific recommendations for improving
governance, risk and control Framework
Compliance Risk Management
Operational Risk Management
Legal
Credit Risk Management
Market Risk Management
Finance & Control
¿Tres o cinco líneas de defensa ?
Business Lines Corporate Audit Services (CAS)
External Auditor
Regulator
Independent/Partnership
Compliance Risk Management
Operational Risk Management
Legal
Credit Risk Management
Market Risk Management
Finance & Control
ING Bank’s Risk Governance Framework
Independent
1st Line 2nd Line 3rd Line 4th 5th
Funciones de la Gestión de Riesgos en ING
Credit
potential loss due to default by
ING Bank’s debtors or
trading counterparties
Market
potential loss due to adverse movements in
market variables. Market risks
include interest rate, and FX
Operationaldirect or indirect
loss resulting from inadequate or failed internal
processes, people and
systems or from external events,
includes reputational and
legal
Compliancerisk of
impairment of ING Bank’s
integrity as a result of failure (or perceived
failure) to comply with relevant
laws, regulations, ING
Bank policies and standards
Legalrisk related to a
failure (or perceived
failure) to adhere to applicable
laws, regulations and standards;
contractual liabilities or contractual
obligations and liability (tort) towards third
parties
Gestión del riesgo operacional
Gestión del riesgo de la información
Capital Operacional
• Advanced Measurement Approach (AMA)• Regulaciones de Basilea (Basel II & Basel III)
• El modelo avanzado AMA permite a los bancos utilizar modelos matemáticos para calcular y reportar sus necesidades de capital operacional
• Está sujeto a supervisión basada en test muy rigurosos
• Datos de entrada:1. Pérdida interna de datos.
2. Entorno del negocio / Análisis de riesgos.
3. Análisis de escenarios.
4. Pérdida externa de datos.
Importancia del cálculo de capital operacionalB
ank
reso
urce
s
Client
Client
Client
Client
Ban
k R
esou
rces
Cap
ital
Client
Client
Client
Client
Ban
k R
esou
rces
Cap
ital
Risk Capital
Client
More risk more
capital
¿Cuánto capital?B
ank
reso
urce
s
Ban
k R
esou
rces
Cap
ital
Ban
k R
esou
rces
Cap
ital
Risk Capital
Client
Client
Client
Client
Client
Client
Client
Client
Client
More risk More
capital
Una buena gestión del riesgo de la información, que es parte del riesgo operacional, lleva consigo una menor provisión de fondos.
Por tanto la gestión del riesgo de la información tiene un efecto directo en la cuenta de resultados del banco por dos motivos• Reduce la provisión de capital • Reduce las pérdidas por incidentes
¿Aprendizajes ?
Incidentes y cibercrimen
• Los incidentes reales existen.
• Tras el cibercrimen está el crimer organizado a nivel mundial.
• Es una preocupación que afecta incluso a la seguridad nacional de los distintos países
ING y cibercrimen
Volviendo a mi trabajo….cuáles son mis tareas del día a día
1. RISK IDENTIFICATION & ASSESSMENT
2. CHALLENGING & ADVISING
3. REGISTRATION (in a corporate tool)
4. WRITING POLICIES & PROCEDURES
5. MONITORING & QUALITY ASSURANCE
6. REPORTING
7. TRAINING & AWARENESS
8. OTHER
• Clasificar los activos, las medidas para protegerlos deben ser proporcionales a su valor comercial.
• Identificar los requisitos legales, reglamentarios (regulatorios), organizativos y otros para gestionar el riesgo de su incumplimiento a niveles aceptables.
• La evaluación de riesgos, vulnerabilidades y amenazas debe hacerse de forma periódica.
• Determinar las opciones para reducir el riesgo a niveles aceptables.
• Evaluar los controles de seguridad tanto en su diseño como en su efectividad.
• Identificar el riesgo tal y como está y el riesgo deseado para ver las diferencias.
Tareas de un responsible de seguridad.
• Integrar la gestión del riesgo de la información en los procesos de la organización.
• Supervisar el riesgo existente para asegurar que los cambios son identificados y gestionados adecuadamente.
• Informar del incumplimiento y de los cambios en el riesgo para la adecuada toma de decisiones en materia de gestión de riesgos de la información.
Tareas de un responsible de seguridad II
Objective & Obligations
Setting
Business Environment Assessment
& Events
Risk Assessment
Risk Response
Control Activities
Monitoring
Information & Communi-
cations
Non Financial Risk Governance Non Financial Risk Committee (NFRC)
• Business Strategy• Risk Appetite• Policies and Standards• Compliance Chart
• Process & Risk Landscape• Business Environment• Internal Control Factors
(BEICF)• Internal / External Events• Scenario topics
First line monitoring (FLM)• Key Risk Indicator (KRI)• Key Control Testing (KCT)
Second Line Monitoring (SLM)• Test of Design (TOD)• Test of Effectiveness (TOE)
Sign Off
Key Controls (KC)• Manage(d) Risk level• Control activities
• Training & Awareness • Non Financial Risk
Dashboard (NFRD)
Issue & Action Tracking on mitigation• Risk Reduction• Risk Avoidance• Risk Transfer• Risk Acceptance
• Risk and Control Self (re) Assessment (RCSA)probability < 10 years
• Scenario Analysis (SA)probability > 10 years
• Risk Profile(Inherent, Managed, Residual)
• Lessons Learned
Advanced Measurement Approach (AMA)(Internal Loss, BEA & RCSA, Scenario Analyses & External Loss data)
Non Financial Risk Process Enterprise Risk Management (ERM)
1st LoD
Risk Owner2nd LoD
Challenge & Advice3d LoD
Audit
Business Unit Operational Risk Profile
Obligations, Risks & Controls
El riesgo se define como la combinación de la probabilidad de que se produzca un evento y sus consecuencias negativas.
Los factores que lo componen son la amenaza y la vulnerabilidad.
RIESGO = AMENAZA x VULNERABILIDAD
Riesgo
Amenaza es un fenómeno, sustancia, actividad humana o condición peligrosa que puede ocasionar impactos al negocio, la salud (empleados), al igual que daños a la propiedad, la pérdida de medios de sustento y de servicios, trastornos sociales y económicos, o daños ambientales. La amenaza se determina en función de la intensidad y la frecuencia.
Amenaza
Desastres Naturales
• Incendio• Inundación• Terremotos
• Huelgas • Fraudes• Sabotajes• Errores y negligencias
• Averías en el hardware• Fallos del software• Líneas de comunicación• Fallos en las instalaciones
PersonasTecnología
Organización
• Falta de políticas • Procedimientos inadecuados
Amenazas
Vulnerabilidad
Vulnerabilidad, son las características y las circunstancias de un negocio, sistema o bien que los hacen susceptibles a los efectos dañinos de una amenaza.
La Vulnerabilidad de un Activo es la posibilidad
( probabilidad) de ocurrencia de la materialización de una Amenaza sobre el Activo.
Amenaza
Activo
Vulnerabilidad
Agresión
Vulnerabilidad
• Para estimar las perdidas potenciales incurridas por una amenaza se debe valorar los activos mediante cualquiera de las técnicas de valoración posibles.
• Este proceso da como resultado la posibilidad de asignar a cada activo un valor financiero para el calculo del EF* y el SLE*
* ver diapositivas siguientes.
Estimación Potencial de Perdidas
• Exposure factor (EF) representa el porcentaje de perdida que una amenaza provocará sobre un activo concreto.
• Es necesario para el cálculo del Single Loss Expectancy (SLE), que es necesario para el cálculo del Annualized Loss Expectancy (ALE).
Facto de exposición EF
• Single Loss Expectancy (SLE) es la valoración económica expresada en dólares (euros) que se asigna a un determinado evento. Representa la pérdida originada por ese evento.
• Se calcula a partir de la fórmula:
SLE= Asset Value ($) × Exposure Factor (EF)
Expectativa de pérdida por un incidente SLE
• Annualized Rate of Occurrence (ARO) representa la frecuencia estimada por el que que puede ocurrir una amenaza.
• Este parámetro solo considera la posibilidad de que suceda el evento, no tiene en cuenta las perdidas que se puedan originar como consecuencia.
Frecuencia anualizada de ocurrencia ARO
• Annualized Loss Expectancy (ALE) es un valor económico expresado en dólares (euros) calculado a partir de la formula:
ALE = Single Loss Expectancy (SLE) × Annualized Rate of Occurrence (ARO)
Expectativa de pérdida anualizada ALE
© FAST
Control Características Ejemplos
Preventivos
Impedir problemas antes de que ocurran
Visualizar entradas y operaciones Procurar predecir potenciales
problemas antes de que ocurran Evitar errores, omisiones y actos
maliciosos
Empleo de personal cualificado Segregación de funciones Control de accesos a las áreas de riesgo Uso de documentos bien diseñados Procesos adecuados de autorización de las
transacciones Control informatizado de accesos al sistema
Detectivos
Detectan cuando se ha producido un error, una omisión o un acto indebido, e informan de ello
Totales de control (hash totals) Puntos de control en tareas de producción.
(Check points) Control de eco en las telecomunicaciones Control duplicado de los cálculos Funciones de auditoría interna
Correctivos
Minimizan el impacto de una amenaza Remedian problemas identificados
mediante un control detectivo Identifican la causa de un problema Corrigen errores surgidos como
consecuencia de un problema Modifican los sistemas de proceso
para evitar futuras repeticiones del mismo problema
Planes de contingencia Procedimientos de copias de seguridad Procesos de re-ejecución (re-run)
¿ Qué puedo hacer?, controles, distintos tipos
Aceptación del riesgo residual
• Identificar el riesgo residual
• después de la implementación del control
• Identificado, reconocido y aceptado
• Aceptable vs NO Aceptable
• ¿Por qué?:
• Imposibilidad material y financiera de tener 100% de seguridad
• Un activo por el alto coste de los posibles controles o el poco riesgo, se puede dejar “descubierto”
• Si el riesgo es No aceptable, qué presupuesto de control se necesita para llegar a “Aceptable”
Evaluando el riesgo
Bajo
Medio
Alto
Critico
Pro
babi
lidad
Impacto €
--
1. Riesgo inherente (sin controles)2. Riesgo gestionado (con los controles existentes)
3. Riesgo residual (tras implementar controles nuevos)
Apetito de riesgo y mitgación
bajo
Medio
Alto
Critico
3
Pro
babi
lidad
impacto
2
1
Controles
Planificación de
nuevos controles
Objective & Obligations
Setting
Business Environment Assessment
& Events
Risk Assessment
Risk Response
Control Activities
Monitoring
Information & Communi-
cations
Non Financial Risk Governance Non Financial Risk Committee (NFRC)
• Business Strategy• Risk Appetite• Policies and Standards• Compliance Chart
• Process & Risk Landscape• Business Environment• Internal Control Factors
(BEICF)• Internal / External Events• Scenario topics
First line monitoring (FLM)• Key Risk Indicator (KRI)• Key Control Testing (KCT)
Second Line Monitoring (SLM)• Test of Design (TOD)• Test of Effectiveness (TOE)
Sign Off
Key Controls (KC)• Manage(d) Risk level• Control activities
• Training & Awareness • Non Financial Risk
Dashboard (NFRD)
Issue & Action Tracking on mitigation• Risk Reduction• Risk Avoidance• Risk Transfer• Risk Acceptance
• Risk and Control Self (re) Assessment (RCSA)probability < 10 years
• Scenario Analysis (SA)probability > 10 years
• Risk Profile(Inherent, Managed, Residual)
• Lessons Learned
Advanced Measurement Approach (AMA)(Internal Loss, BEA & RCSA, Scenario Analyses & External Loss data)
Non Financial Risk Process Enterprise Risk Management (ERM)
1st LoD
Risk Owner2nd LoD
Challenge & Advice3d LoD
Audit
Business Unit Operational Risk Profile
Obligations, Risks & Controls
¡Muchas gracias !
¿ Preguntas ?
Íñigo García de Amézaga
[email protected] [email protected] es.linkedin.com/pub/inigo-garcia-de-amezaga/8/239/49a/