“la gestión del riesgo de la información entendida como una auditoría continua” ciclo de...
TRANSCRIPT
![Page 1: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/1.jpg)
“La gestión del riesgo de la información entendida como una auditoría continua”
Ciclo de conferencias sobre Auditoría InformáticaUniversidad Politécnica de Madrid
Íñigo García de Amézaga
24 de noviembre de 2014
![Page 2: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/2.jpg)
Presentación
• Agradecimiento a la Universidad Politécnica de Madrid y a Dintel.
• Ciclo de conferencias, la tercera. Perspectiva desde una empresa.
• Permisos.
![Page 3: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/3.jpg)
Objetivos de la sesión
• Mostrar diferentes posibilidades profesionales que tengan sinergias con la auditoría informática.
• Compartir mis experiencias clave para que puedas diseñar tu trayectoria profesional.
• Entender la gestión del riesgo de la información como auditoría continua al servicio de los objetivos de la compañía.
![Page 4: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/4.jpg)
Íñigo García de Amézaga
• Desde 2008 desarrollo mi labor como responsable del riesgo de la información en la división de banca mayorista de ING actividad que compatibilizo desde hace algo más de dos con la de coach profesional a tiempo parcial, ejerciendo por cuenta propia.
• Soy ingeniero de telecomunicación y mi trayectoria profesional siempre ha estado ligada a la seguridad de la información previamente trabajé en compañías como Siemens, SIA o Indra.
• Poseo las certificaciones CISA, CISM y CRISC de ISACA además de la ISO 27001 Lead auditor e ISO 22301, todas ellas relacionadas con la auditoria de sistemas, seguridad de la información, gestión del riesgo y continuidad de negocio.
Permíteme que me presente …
![Page 5: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/5.jpg)
• Es una buena pregunta que me hizo una niña de 8 años hace unos días.
• Voy a intentar responderla a lo largo de la presentación.
• No es tan importante que yo os cuente lo que hago y cómo, sino que suscite en vosotros actitudes y una forma de enfocar vuestro futuro profesional.
Si, ya …. pero…. ¿en qué trabajas?
![Page 6: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/6.jpg)
• Estáis en un buen sector profesional. La crisis y el desempleo juegan en vuestra contra. La capacitación profesional en un sector demandado lo hacen a vuestro favor.
• Idiomas y experiencia internacional.
• La formación continua y cuidar la red de contactos profesionales es una responsabilidad professional.
• Que mi actividad, sea cual sea, esté alineada con el negocio.
Algunas ideas
![Page 7: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/7.jpg)
• Perfiles: especialista de producto, 'controller' financiero, 'senior account manager', especialista de SEO/SEM, ingeniero comercial, diseñador senior Textil, 'key account manager' de logística y programador en java.
• Puestos: 'market access'; analista de cartera de riesgos crediticios, key account manager' de nuevas tecnologías; director de marketing on line, ingeniero de planta, responsable de 'business intelligence', 'retail manager' y director de operaciones
Algunas ideas, las profesiones con más futuro
![Page 8: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/8.jpg)
Algunas ideas, idiomas y experiencia internacional
![Page 9: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/9.jpg)
Algunas ideas, red de contactos profesionales
![Page 10: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/10.jpg)
• La gestión del riesgo de la información es una herramienta para satisfacer las necesidades de negocio.
• Mientras que el gobierno de la seguridad de la información define los vínculos que existen entre las metas y objetivos de negocio y el programa de seguridad de la información, la gestión de riesgos de la seguridad de la información define el grado de protección que es prudente con base en los requerimientos, objetivos y prioridades del negocio
ISACA, manual de preparación al examen CISM 2014
Algunas ideas, actividad alineada con el negocio
![Page 11: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/11.jpg)
• Productos de ahorro . El cliente pone dinero y el banco le devuelve intereses. Hace falta licencia bancaria y existe un fondo de garantía de los bancos centrales (BDE, DNB)
• Financiación. El cliente pide dinero y debe devolverlo con intereses. No solo los bancos hacen préstamos.
• Medios de pago. Para mover dinero y hacer pagos. No solo los bancos facilitan esta operative (Paypal, Amazon, Google)
• Otros servicios: asesoramiento, cambio de divisas, acciones, etc. No son servicios exclusivos de un banco
Entendiendo el negocio, ¿qué hace un banco?
![Page 12: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/12.jpg)
• Video: we are ING• http://www.youtube.com/watch?v=OqfjmhjBQ6I
Entendiendo el negocio, ¿qué hace ING?
![Page 13: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/13.jpg)
Entendiendo el negocio, ¿qué hace ING?
![Page 14: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/14.jpg)
“Banking is make things happen”
(la actividad de banca es hacer que las cosas ocurran)
“Our purpose is empowering people to stay a step ahead in life and in business”
(Nuestro propósito es empoderar a la gente para que esté un paso por delante en la vida y en los negocios”
Entendiendo el negocio, ¿qué hace ING?
![Page 15: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/15.jpg)
15
![Page 16: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/16.jpg)
Actitud y forma de comunicar
¿Aprendizajes ?
![Page 17: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/17.jpg)
• Contribuyo a mejorar la cuenta de resultados del banco minimizando el riesgo de pérdidas por incidentes tecnológicos.
• En ING, mi principal responsabilidad es la de asesorar a la dirección en materia de seguridad y gestión del riesgo de la información así como de la continuidad del negocio, para que puedan tomar las decisiones gerenciales y estratégicas de una forma informada y pro-activa.
• Me aseguro de que las normas de la multinacional y las buenas prácticas en materia de seguridad de la información y gestión del riesgo son conocidas por el personal y están bien aplicadas.
• Identifico y evalúo el riesgo tecnológico y su impacto en el negocio. Monitorizo e informo. Defino controles y propongo medidas que mitiguen el riesgo hasta niveles aceptables con un coste-beneficio optimo.
Voviendo a lo que hago en ING…
![Page 18: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/18.jpg)
IIA, Instituto de Auditores Internos (USA)
![Page 19: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/19.jpg)
El modelo de tres líneas de defensa.
![Page 20: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/20.jpg)
Responsabilidades de cada línea de defensa
ING implementa el modelo de tres líneas de defensa
![Page 21: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/21.jpg)
Marco de Gobierno de Gestión del Riesgo en ING
Business LinesCorporate Audit
Services(CAS)
1st Line 2nd Line 3rd Line
Have primary responsibility for day to day risk management
Bear consequences of Loss
Help formulate the strategies, policies and structures for
managing non financial risk
Monitors execution … and overall integrity
Improves Risk Management to make it easier and more
effective
Provides independent and objective assurance on overall
effectiveness of internal controls
Provides specific recommendations for improving
governance, risk and control Framework
Compliance Risk Management
Operational Risk Management
Legal
Credit Risk Management
Market Risk Management
Finance & Control
![Page 22: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/22.jpg)
¿Tres o cinco líneas de defensa ?
Business Lines Corporate Audit Services (CAS)
External Auditor
Regulator
Independent/Partnership
Compliance Risk Management
Operational Risk Management
Legal
Credit Risk Management
Market Risk Management
Finance & Control
ING Bank’s Risk Governance Framework
Independent
1st Line 2nd Line 3rd Line 4th 5th
![Page 23: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/23.jpg)
Funciones de la Gestión de Riesgos en ING
Credit
potential loss due to default by
ING Bank’s debtors or
trading counterparties
Market
potential loss due to adverse movements in
market variables. Market risks
include interest rate, and FX
Operationaldirect or indirect
loss resulting from inadequate or failed internal
processes, people and
systems or from external events,
includes reputational and
legal
Compliancerisk of
impairment of ING Bank’s
integrity as a result of failure (or perceived
failure) to comply with relevant
laws, regulations, ING
Bank policies and standards
Legalrisk related to a
failure (or perceived
failure) to adhere to applicable
laws, regulations and standards;
contractual liabilities or contractual
obligations and liability (tort) towards third
parties
![Page 24: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/24.jpg)
Gestión del riesgo operacional
![Page 25: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/25.jpg)
Gestión del riesgo de la información
![Page 26: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/26.jpg)
Capital Operacional
• Advanced Measurement Approach (AMA)• Regulaciones de Basilea (Basel II & Basel III)
• El modelo avanzado AMA permite a los bancos utilizar modelos matemáticos para calcular y reportar sus necesidades de capital operacional
• Está sujeto a supervisión basada en test muy rigurosos
• Datos de entrada:1. Pérdida interna de datos.
2. Entorno del negocio / Análisis de riesgos.
3. Análisis de escenarios.
4. Pérdida externa de datos.
![Page 27: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/27.jpg)
Importancia del cálculo de capital operacionalB
ank
reso
urce
s
Client
Client
Client
Client
Ban
k R
esou
rces
Cap
ital
Client
Client
Client
Client
Ban
k R
esou
rces
Cap
ital
Risk Capital
Client
More risk more
capital
![Page 28: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/28.jpg)
¿Cuánto capital?B
ank
reso
urce
s
Ban
k R
esou
rces
Cap
ital
Ban
k R
esou
rces
Cap
ital
Risk Capital
Client
Client
Client
Client
Client
Client
Client
Client
Client
More risk More
capital
![Page 29: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/29.jpg)
Una buena gestión del riesgo de la información, que es parte del riesgo operacional, lleva consigo una menor provisión de fondos.
Por tanto la gestión del riesgo de la información tiene un efecto directo en la cuenta de resultados del banco por dos motivos• Reduce la provisión de capital • Reduce las pérdidas por incidentes
¿Aprendizajes ?
![Page 30: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/30.jpg)
Incidentes y cibercrimen
• Los incidentes reales existen.
• Tras el cibercrimen está el crimer organizado a nivel mundial.
• Es una preocupación que afecta incluso a la seguridad nacional de los distintos países
![Page 31: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/31.jpg)
ING y cibercrimen
![Page 32: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/32.jpg)
Volviendo a mi trabajo….cuáles son mis tareas del día a día
1. RISK IDENTIFICATION & ASSESSMENT
2. CHALLENGING & ADVISING
3. REGISTRATION (in a corporate tool)
4. WRITING POLICIES & PROCEDURES
5. MONITORING & QUALITY ASSURANCE
6. REPORTING
7. TRAINING & AWARENESS
8. OTHER
![Page 33: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/33.jpg)
• Clasificar los activos, las medidas para protegerlos deben ser proporcionales a su valor comercial.
• Identificar los requisitos legales, reglamentarios (regulatorios), organizativos y otros para gestionar el riesgo de su incumplimiento a niveles aceptables.
• La evaluación de riesgos, vulnerabilidades y amenazas debe hacerse de forma periódica.
• Determinar las opciones para reducir el riesgo a niveles aceptables.
• Evaluar los controles de seguridad tanto en su diseño como en su efectividad.
• Identificar el riesgo tal y como está y el riesgo deseado para ver las diferencias.
Tareas de un responsible de seguridad.
![Page 34: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/34.jpg)
• Integrar la gestión del riesgo de la información en los procesos de la organización.
• Supervisar el riesgo existente para asegurar que los cambios son identificados y gestionados adecuadamente.
• Informar del incumplimiento y de los cambios en el riesgo para la adecuada toma de decisiones en materia de gestión de riesgos de la información.
Tareas de un responsible de seguridad II
![Page 35: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/35.jpg)
Objective & Obligations
Setting
Business Environment Assessment
& Events
Risk Assessment
Risk Response
Control Activities
Monitoring
Information & Communi-
cations
Non Financial Risk Governance Non Financial Risk Committee (NFRC)
• Business Strategy• Risk Appetite• Policies and Standards• Compliance Chart
• Process & Risk Landscape• Business Environment• Internal Control Factors
(BEICF)• Internal / External Events• Scenario topics
First line monitoring (FLM)• Key Risk Indicator (KRI)• Key Control Testing (KCT)
Second Line Monitoring (SLM)• Test of Design (TOD)• Test of Effectiveness (TOE)
Sign Off
Key Controls (KC)• Manage(d) Risk level• Control activities
• Training & Awareness • Non Financial Risk
Dashboard (NFRD)
Issue & Action Tracking on mitigation• Risk Reduction• Risk Avoidance• Risk Transfer• Risk Acceptance
• Risk and Control Self (re) Assessment (RCSA)probability < 10 years
• Scenario Analysis (SA)probability > 10 years
• Risk Profile(Inherent, Managed, Residual)
• Lessons Learned
Advanced Measurement Approach (AMA)(Internal Loss, BEA & RCSA, Scenario Analyses & External Loss data)
Non Financial Risk Process Enterprise Risk Management (ERM)
1st LoD
Risk Owner2nd LoD
Challenge & Advice3d LoD
Audit
Business Unit Operational Risk Profile
Obligations, Risks & Controls
![Page 36: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/36.jpg)
El riesgo se define como la combinación de la probabilidad de que se produzca un evento y sus consecuencias negativas.
Los factores que lo componen son la amenaza y la vulnerabilidad.
RIESGO = AMENAZA x VULNERABILIDAD
Riesgo
![Page 37: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/37.jpg)
Amenaza es un fenómeno, sustancia, actividad humana o condición peligrosa que puede ocasionar impactos al negocio, la salud (empleados), al igual que daños a la propiedad, la pérdida de medios de sustento y de servicios, trastornos sociales y económicos, o daños ambientales. La amenaza se determina en función de la intensidad y la frecuencia.
Amenaza
![Page 38: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/38.jpg)
Desastres Naturales
• Incendio• Inundación• Terremotos
• Huelgas • Fraudes• Sabotajes• Errores y negligencias
• Averías en el hardware• Fallos del software• Líneas de comunicación• Fallos en las instalaciones
PersonasTecnología
Organización
• Falta de políticas • Procedimientos inadecuados
Amenazas
![Page 39: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/39.jpg)
Vulnerabilidad
Vulnerabilidad, son las características y las circunstancias de un negocio, sistema o bien que los hacen susceptibles a los efectos dañinos de una amenaza.
![Page 40: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/40.jpg)
La Vulnerabilidad de un Activo es la posibilidad
( probabilidad) de ocurrencia de la materialización de una Amenaza sobre el Activo.
Amenaza
Activo
Vulnerabilidad
Agresión
Vulnerabilidad
![Page 41: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/41.jpg)
• Para estimar las perdidas potenciales incurridas por una amenaza se debe valorar los activos mediante cualquiera de las técnicas de valoración posibles.
• Este proceso da como resultado la posibilidad de asignar a cada activo un valor financiero para el calculo del EF* y el SLE*
* ver diapositivas siguientes.
Estimación Potencial de Perdidas
![Page 42: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/42.jpg)
• Exposure factor (EF) representa el porcentaje de perdida que una amenaza provocará sobre un activo concreto.
• Es necesario para el cálculo del Single Loss Expectancy (SLE), que es necesario para el cálculo del Annualized Loss Expectancy (ALE).
Facto de exposición EF
![Page 43: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/43.jpg)
• Single Loss Expectancy (SLE) es la valoración económica expresada en dólares (euros) que se asigna a un determinado evento. Representa la pérdida originada por ese evento.
• Se calcula a partir de la fórmula:
SLE= Asset Value ($) × Exposure Factor (EF)
Expectativa de pérdida por un incidente SLE
![Page 44: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/44.jpg)
• Annualized Rate of Occurrence (ARO) representa la frecuencia estimada por el que que puede ocurrir una amenaza.
• Este parámetro solo considera la posibilidad de que suceda el evento, no tiene en cuenta las perdidas que se puedan originar como consecuencia.
Frecuencia anualizada de ocurrencia ARO
![Page 45: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/45.jpg)
• Annualized Loss Expectancy (ALE) es un valor económico expresado en dólares (euros) calculado a partir de la formula:
ALE = Single Loss Expectancy (SLE) × Annualized Rate of Occurrence (ARO)
Expectativa de pérdida anualizada ALE
![Page 46: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/46.jpg)
© FAST
Control Características Ejemplos
Preventivos
Impedir problemas antes de que ocurran
Visualizar entradas y operaciones Procurar predecir potenciales
problemas antes de que ocurran Evitar errores, omisiones y actos
maliciosos
Empleo de personal cualificado Segregación de funciones Control de accesos a las áreas de riesgo Uso de documentos bien diseñados Procesos adecuados de autorización de las
transacciones Control informatizado de accesos al sistema
Detectivos
Detectan cuando se ha producido un error, una omisión o un acto indebido, e informan de ello
Totales de control (hash totals) Puntos de control en tareas de producción.
(Check points) Control de eco en las telecomunicaciones Control duplicado de los cálculos Funciones de auditoría interna
Correctivos
Minimizan el impacto de una amenaza Remedian problemas identificados
mediante un control detectivo Identifican la causa de un problema Corrigen errores surgidos como
consecuencia de un problema Modifican los sistemas de proceso
para evitar futuras repeticiones del mismo problema
Planes de contingencia Procedimientos de copias de seguridad Procesos de re-ejecución (re-run)
¿ Qué puedo hacer?, controles, distintos tipos
![Page 47: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/47.jpg)
Aceptación del riesgo residual
• Identificar el riesgo residual
• después de la implementación del control
• Identificado, reconocido y aceptado
• Aceptable vs NO Aceptable
• ¿Por qué?:
• Imposibilidad material y financiera de tener 100% de seguridad
• Un activo por el alto coste de los posibles controles o el poco riesgo, se puede dejar “descubierto”
• Si el riesgo es No aceptable, qué presupuesto de control se necesita para llegar a “Aceptable”
![Page 48: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/48.jpg)
Evaluando el riesgo
Bajo
Medio
Alto
Critico
Pro
babi
lidad
Impacto €
--
![Page 49: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/49.jpg)
1. Riesgo inherente (sin controles)2. Riesgo gestionado (con los controles existentes)
3. Riesgo residual (tras implementar controles nuevos)
Apetito de riesgo y mitgación
bajo
Medio
Alto
Critico
3
Pro
babi
lidad
impacto
2
1
Controles
Planificación de
nuevos controles
![Page 50: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/50.jpg)
Objective & Obligations
Setting
Business Environment Assessment
& Events
Risk Assessment
Risk Response
Control Activities
Monitoring
Information & Communi-
cations
Non Financial Risk Governance Non Financial Risk Committee (NFRC)
• Business Strategy• Risk Appetite• Policies and Standards• Compliance Chart
• Process & Risk Landscape• Business Environment• Internal Control Factors
(BEICF)• Internal / External Events• Scenario topics
First line monitoring (FLM)• Key Risk Indicator (KRI)• Key Control Testing (KCT)
Second Line Monitoring (SLM)• Test of Design (TOD)• Test of Effectiveness (TOE)
Sign Off
Key Controls (KC)• Manage(d) Risk level• Control activities
• Training & Awareness • Non Financial Risk
Dashboard (NFRD)
Issue & Action Tracking on mitigation• Risk Reduction• Risk Avoidance• Risk Transfer• Risk Acceptance
• Risk and Control Self (re) Assessment (RCSA)probability < 10 years
• Scenario Analysis (SA)probability > 10 years
• Risk Profile(Inherent, Managed, Residual)
• Lessons Learned
Advanced Measurement Approach (AMA)(Internal Loss, BEA & RCSA, Scenario Analyses & External Loss data)
Non Financial Risk Process Enterprise Risk Management (ERM)
1st LoD
Risk Owner2nd LoD
Challenge & Advice3d LoD
Audit
Business Unit Operational Risk Profile
Obligations, Risks & Controls
![Page 51: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/51.jpg)
¡Muchas gracias !
![Page 52: “La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica](https://reader036.vdocuments.us/reader036/viewer/2022062417/551cee5b550346447a8b51f3/html5/thumbnails/52.jpg)
¿ Preguntas ?
Íñigo García de Amézaga
[email protected] [email protected] es.linkedin.com/pub/inigo-garcia-de-amezaga/8/239/49a/