Antes de todo debemos manejar que no podemos realizar ningún tipo de proyectos si no tenemos definido que hoy en día debemos "Alinear las Estrategias de TI con las Estrategias del Negocio", es decir, ya no hay más TI, sin la interrelación y conocimiento de las Unidades de Negocio de la Compañía.
Creo el primer paso debería ser un análisis de cómo se encuentra tu Compañía en el tema de Riesgos y Controles de procesos críticos.
1. ¿Posee la Compañía un documento de Políticas de Seguridad? , si es así, este documento ¿Está basado en algún estándar internacional? , Veamos en que áreas de la Compañía has implementado controles de TI.
2. Si no posees el documento de Políticas, podemos comenzar realizando un Análisis de Riesgos en la Compañía, ¿Cómo? , Analicemos cuáles son los servicios críticos de la Compañía y de ellos encontremos ¿Cuáles son los procesos más críticos de la misma?.
La intención, realizar un BIA (Business Impact Analysis).
Por dónde comenzar cuando queremos Administrar el Riesgo Tecnológico en la Compañía
3. ¿Cómo comenzar a realizar un análisis de riesgo sencillo?
a. Apóyate con la Unidad de Negocios de Control de Calidad ó Organización y Métodos, debe ser la Unidad encargada de la elaboración de los procedimientos en la Compañía, consulta con ellos si han realizado algún análisis de Procesos de las Unidades de Negocios, conversa con los usuarios claves de las Unidades de Negocios. De los procedimientos puedes determinar los procesos importantes.
b. Establece un cuadro donde puedas escribir los campos: No. , Proceso. Tipos de Riesgo y Riesgo Identificado, entonces identifica para cada proceso crítico el riesgo asociado, recuerda que en una Unidad de Negocios solo debes escoger los procesos más críticos.
c. Los Tipos de Riesgo son: Personas, Sistemas, Externos y Procesos, esta es la definición de Basilea II.
Como Ayuda te detallo como escoger los tipos de Riesgos según Basilea II:
Personas
§ Fraude interno: Son pérdidas causadas por actos realizados con la intención de defraudar, malversar bienes o incumplir las normas, la ley o la política de la organización (excluidos los casos de diversidad o discriminación) que involucren al menos a una persona interna.
§ Prácticas de empleo y seguridad laboral: Pérdidas que resultan de actos inconsecuentes con las normas o acuerdos de empleo, salud o seguridad, del pago de reclamaciones de daños personales o de casos de discriminación.
Procesos
§ Ejecución, entrega y gestión de procesos: Pérdidas provenientes de fallas en el procesamiento de transacciones, en la gestión de operaciones y en la relación con las contrapartes y con los proveedores.
§ Clientes, productos y prácticas comerciales: Pérdidas resultantes del incumplimiento de una obligación profesional hacia clientes específicos o de las características o diseño de un producto.
Sistemas
§ Interrupción de operaciones o fallos de sistemas: Pérdidas que resultan de la tecnología de la información, nuevos procesos y gestión y cuentas de clientes.
Eventos externos
§ Daños o pérdidas de activos físicos: Pérdidas que resultan del daño a los activos físicos por causas de fuerza mayor.
§ Fraude externo: Pérdidas por causa de actos con la intención de defraudar, malversar bienes o violar la ley por un tercero
Que tal Ciro, es un placer compartir contigo este espacio de nueva cuenta.
En cuanto a detección de riesgos, ubicándonos en mi área, en donde hicimos un análisis de riesgos sobre los componentes (HW y SW) de servidores... Cómo ponderas la severidad, ocurrencia, detección? En base a qué? Porque conocemos cómo se hace esto en el sector automotriz, que realmente no tiene nada que ver con riesgos en TI. Existe algun documento (o estándar como dices) que me indique cómo hacerlo? Agradezco tu atención. Recibe Saludos. Angy
Interesante tu pregunta y un gusto para mí responderte, si es la primera vez que realizas un análisis de riesgos en (HW y SW) o en cualquier otro proceso, quiere decir que no tienes una base histórica de cuántos eventos han sucedido en el tiempo en c/u de tus procesos de tecnología, entonces, tu análisis de riesgo será cualitativo, es decir estará basado en el expertise, en este caso de los técnicos o analistas de informática u tecnología.
Entonces deberás encontrar dos tipos de riesgos: Riesgo inherente y Riesgo Residual.
El Riesgo Inherente es la multiplicación del Impacto (consecuencia potencial del evento en el HW o SW) X La frecuencia de ocurrencia (con que frecuencia se materializa el evento), esto lo haces sin tomar en cuenta los controles sobre el proceso.
El Riesgo Residual es la multiplicación de las mismas variables, pero tomando en cuenta los controles que posee el proceso.
¿Cómo ponderas la severidad? Con una Matriz de Riesgo, la más sencilla es una matriz de 3 X 3. Donde existen A = Riesgo Alto, M= Riesgo Medio y B= Riesgo Bajo
Posteriormente debes determinar las siguientes escalas para poder escoger los tipos de riesgo:
1. Escala de frecuencia o factibilidad
2. Escala de impacto o severidad
3. Escala de medición de controles
Escala de impacto o severidad
| Código Color | Indicador | Grado | Orden de Magnitud | Descripción |
| de Escala | en US$ | |||
| Bajo | 1 | 0 – 100 | El riesgo afecta poco al patrimonio de la Compañía. | |
| 2 | 101 - 1. 000 | |||
| Medio | 3 | 1. 001 - 10. 000 | El riesgo afecta significativamente al patrimonio de la Compañía. | |
| 4 | 10. 001 - 100. 000 | |||
| 5 | 100. 001 - 1.000.000 | |||
| Alto | 6 | 1.000.001 - 10.000.000 | El riesgo afecta seriamente al patrimonio de la Compañía. | |
| 7 | ≥ 10.000.001 |
Escala de frecuencia o factibilidad
| Color | Código Color | Grado | Descripción | Ocurrencia |
| de Escala | Anual | |||
| Bajo | 1 | 1 al año | 1 | |
| 2 | 2 al año | 2 | ||
| 3 | 1 al trimestre | 4 | ||
| 4 | 1 al mes | 12 | ||
| Medio | 5 | 2 al mes | 24 | |
| 6 | 1 por semana | 52 | ||
| 7 | 2 por semana | 104 | ||
| 8 | 1 al día | 365 | ||
| Alto | 9 | 2 - 5 al día | 1,278 | |
| 10 | 6 - 20 al día | 4,745 | ||
| 11 | 21 - 40 al día | 11,133 | ||
| 12 | ≥41 al día | 14,965 |
Escala de medición de controles
| Efectividad | Descripción | Ponderación |
| Control efectivo | El control identificado reduce los niveles inherentes de impacto, frecuencia de ocurrencia o ambos en un 75% | 0,25 (un control no elimina el riesgo) |
| Control medio | El control identificado reduce los niveles inherentes de impacto, frecuencia de ocurrencia o ambos en un 50% | 0,50 |
| Sin control o control inefectivo | No se identificaron controles, por lo que los niveles inherentes de impacto y frecuencia de ocurrencia quedan iguales. | 1 |
| El control es inefectivo |
Wow me parece muy buena tu aportación y la voy a sugerir con mis compañeros. Estamos en la implementación de un manual estandarizado para muchas de las dependencias como la mía en materia de TIC, y ahi sólo sugieren los términos muy alto, alto, medio, bajo, pero no ponen siquiera ejemplo de cómo poderarlo. Tu sugerencia estoy segura me ayudará de mucho. Ya te platicaré.
Muchísimas gracias, por tu apoyo.
Slds. Angy
Excelente, cuéntame cuando lo hagan y yo con gusto te ayudo
A todos los miembros de este debate, les agradezco de sobremanera su interés en los documentos q he estado compartiendo, el fin de semana, colocaré un documento más acerca del tema de Planes de Contingencia de TI, para que Uds. Lo utilicen,
Saludos y espero sus sugerencias o consultas,
Quiénes ya han aplicado la Evaluación de Riesgos en su Compañía? , les ha servido de alguna forma el documento, la presentación?
Cualquier consulta estoy a sus órdenes