1

Riesgo gil: Desafo para las

Organizaciones

MBA Jorge Garibay Orozco

j.garibay@pinkelephant.com
CISSP, CISA, CRISC, ISO 27001 LA, ISO 22301 LI
Desafos para las organizaciones

Responder oportunamente y eficazmente a las demandas de los clientes en

mercado de la Economa Digital.
Generar competencias digitales acorde a las nuevos modelos de negocio.
Mantener informacin de calidad para apoyar las decisiones del negocio.
Obtener beneficios financieros y diferenciadores en el mercado a partir de las
inversiones realizadas en TI, logrando metas estratgicas y mejoras al negocio
mediante el uso eficaz e innovador de la TI.
Lograr una excelencia operativa mediante la aplicacin eficiente, rpida y fiable de la
tecnologa.
Mantener el riesgo relacionado con TI a niveles aceptables.
Optimizar el costo de la tecnologa y los servicios de TI.

Cmo se logran estos beneficios con el fin de crear valor para las partes
interesadas de la organizacin?
 Desafos de TI en la Nueva Economa Digital

Habilitacin de la transformacin digital.

Alineacin e integracin de TI de una manera gil con el Negocio.
Posicionamiento estratgico del CIO aprovechando las nuevas necesidades
Gobernar la operacin de TI de estable y confiable
Respuestas giles con calidad y costo a las demandas de los clientes.
Gestionar el riesgo tecnolgico, continuidad y seguridad de la informacin de
manera oportuna y predictiva
Cumplimiento de Regulaciones de una manera eficiente
Competencias y cultura de agilidad orientada a la Eficiencia Operativa y
Optimizacin de Recursos.
Innovacin hacia el crecimiento y rentabilidad.
Adicionalmente de todo lo anterior, debe atender los requerimientos de las nuevas
Tecnologas:
Cybersecurity, Cloud Computing, Social Media, Big Data, Analytics, etc.
Riesgos - Situacin actual

De acuerdo a cifras del FBI/CSI, durante 2016 los delitos informticos se

incrementaron un 72% con relacin a 2015

La interrupcin en la continuidad de las operaciones est ms expuesta que

antes no slo por temas naturales, sino sociales, tecnolgicos

Los ms comunes son el abuso computacional, los fraudes y la distribucin de

software malicioso (Virus, spyware, robo de identidad, entre otros)

Reporte de WEF 2017: Riesgos naturales, Ciberseguridad ( 3 y 5 lugar)

Desconocimiento de muchos sectores sobre las amenazas reales y exposiciones

a ataques, as como a materializacin de los riesgos

Qu se espera en los prximos aos en temas de TI y cmo afectan la

identificacin de riesgos?
 Todas las compaas son sujetas de fallar en la definicin de su estrategia
identificacin de sus riesgos de negocio ..y ms an. en la ejecucin
de los procesos que la sustentan!

La seguridad en sus operaciones y la continuidad del negocio dependen

de una correcta identificacin de riesgos, as como de la preparacin que
tengan para afrontarlos.

El Gobierno de las TI prepara a las organizaciones a afrontar estos

retospero an falta mucho para implementarlo.
https://www.youtube.com/watch?v=ystdF6jN7hc
Riesgos Marcos de referencia y operaciones

Anlisis de Riesgos y Administracin de Riesgos

Magerit, Octave, COSO, ISO 31000, ISO 27005, Risk IT, Cobit 5, NIST, Var

Cul seleccionamos, qu tiempo lleva la implementacin, con qu

periodicidad se llevan a cabo, herramientas?

Tratamiento de Riesgos

Presupuestos, planes de trabajo, auditoras, seguimiento?

Toma de decisiones a partir del riesgo

 Y entonces qu hacemos o con qu cumplimos primero ?
Primero lo primero .establecimiento del contexto de la organizacin

Misin. visin y objetivos de la empresa

Organizacin de TI ..es acorde a los objetivos de la empresa?
Estructura organizacional y funciones de negocio
Marcos de trabajo, alcance, fronteras, excepciones, marco legal
Sistemas de gestin, procesos de negocio
Polticas corporativas y de seguridad
Gente y partes interesadas
Roles y responsabilidades
Activos de TI
Restricciones que afectan a la organizacin
Situacin actual y contexto de la empresa
Requerimientos regulatorios y de cumplimiento
Definicin de criterios para el anlisis de riesgo y definir metodologa

Identificacin de procesos de negocio

Identificacin y evaluacin de activos
Identificacin y valoracin de impactos
Estimacin y evaluacin de riesgos
Tratamiento de riesgos
Aceptacin de riesgos
Implementacin de controles
Monitorear controles
Monitorear el proceso de gestin de riesgos operativos y tecnolgicos
Mejora continua
Modelo de Atencin de Riesgos
Modelo gil

Previsin
Prevencin

Monitoreo de
contexto y
cumplimiento

Tratamiento
Deteccin
Riesgo gil

a. Previsin
Predecir posibles riesgos.anticiparse
Benchmark y revisin de histricos
Anlisis de tendencias
Evaluaciones peridicas del contexto

b. Prevencin
Capacitacin constante
Actualizacin de sistemas, herramientas
Indicadores de apetito de riesgo
Monitoreo de niveles de riesgo
c. Deteccin
Alarmas e indicadores
Resiliencia y desarrollo de capacidades de respuesta
Eficiencia de controles
Contencin de las amenazas
Actualizacin de nuevos riesgos
Nuevas herramientas de TI
Amenazas emergentes

d. Tratamiento
Respuestas automatizadas
Respuestas rpidas (Quick wins)
Esquemas innovadores de atencin
Apoyo permanente de TI
Creacin de historia
Mejora continua
https://www.youtube.com/watch?v=uqZiIO0YI7Y
Gracias
Ms Informacin
Info.mx@pinkelephant.com
Tel.52 55-3544-3050