Universidad Rey Juan Carlos Mster en Investigacin en Sistemas Hardware y Software Avanzados

Herramientas Cualitativas y Cuantitativas para la Investigacin en Informtica OPTIMIZACIN DE LA GESTIN DE RIESGOS EN SISTEMAS TIC. ESTADO DEL ARTE

21 DE ENERO 2010

CONTENIDOS
Introduccin y antecedentes. ITIL V3 y la Gestin de Riesgos. Metodologas de anlisis de riesgos. Cuadro de Mando Integral. Conclusiones

CONTENIDOS
Introduccin y antecedentes. ITIL V3 y la Gestin de Riesgos. Metodologas de anlisis de riesgos. Cuadro de Mando Integral. Conclusiones

Introduccin y antecedentes
Hiptesis
Proponer para el ciclo de ITIL V3 un sistema de gestin de riesgos optimizado para las caractersticas de ITIL V3 y que adems facilite alinear los objetivos del anlisis de riesgo con los del sistema TI y con los de la misma corporacin.

CONTENIDOS
Introduccin y antecedentes. ITIL V3 y la Gestin de Riesgos. Metodologas de anlisis de riesgos. Cuadro de Mando Integral. Conclusiones

ITIL V3 y la Gestin de Riesgos.

Estrategia
Gestin Financiera Gestin de la demanda Gestin de la Cartera de Servicios

Diseo
Gestin Catlogo del Servicio. Gestin del Nivel de Servicio. Gestin de la Capacidad. Gestin de la Disponibilidad. Gestin de la Continuidad Gestin de la Seguridad de la Informacin. Gestin de Suministradores

Transicin
Planificacin y soporte de la transicin. Gestin de Cambios. Gestin de la Configuracin y Activos Gestin de Entregas y Despligues. Validacin y Pruebas del Servicio. Evaluacin Gestin del Conocimiento.

Operacin
Gestin de Eventos. Gestin de Incidencias Gestin de Problemas. Gestin de Peticiones. Gestin de Acceso. Service Help Gestin Tcnica. Gestin de Operaciones. Gestin de Aplicaciones

Mejora Continua del Servicio

Proceso de mejora de CSI(7 pasos) Informe del Servicio. Medicin del Servicio.

ITIL V3 y la Gestin de Riesgos.

Estrategia
Riesgos de Contrato. Riesgos Operativos. Riesgos de Mercado. Riesgos de Diseo.

Diseo
Falta de cumplimiento en algn PFS Los tiempos programados. No existen suficientes recursos Insuficiente implicacin

Transicin
Los cambios de dependencias y responsabilidades Los servicios en transicin pueden representar costes adicionales no planificados. Prcticas de Transicin con propensin a cubrir todos los riesgos.

Operacin
Inadecuados fondos y recursos Prdida del momentum. Prdida de Personal principal Resistencia al cambio. Falta de apoyo a la gestin. Fallos de diseo en origen

Mejora Continua del Servicio

No discutir las oportunidades de mejora con el negocio. No implicar al personal correcto en todos los niveles para planear, construir, probar e implementar la mejora

CONTENIDOS
Introduccin y antecedentes. ITIL V3 y la Gestin de Riesgos. Metodologas de anlisis de riesgos. Cuadro de Mando Integral. Conclusiones

Metodologas de anlisis de riesgos. COSO-ERM Entorno para la gestin del riesgo en un nivel corporativo. Incide ms en la gestin de riesgos que en el control interno de COSO I. Gestin de riesgos integrado. Precursor de un vocabulario comn para anlisis de riesgo

Metodologas de anlisis de riesgos. Risk IT Risk IT nace en el entorno de ISACA como un cdigo de buenas prcticas. Complemento a lo que COBIT representa como medio para controlar y mitigar los riesgos. El entorno Risk IT est basado en los principios de los estndares/entornos de ERM Enterprise Risk Management como COSO ERM y AS/NZS 4360. Risk IT clasifica los riesgos en tres categoras: Riesgos que consiguen valor/beneficios en TI Riesgos en la entrega de proyectos y programas TI Riesgo en la entrega de servicios y operaciones TI. Cuenta con tres dominios: Gobierno del riesgo (Apetito y Tolerancia al riesgo, Comunicacin y Conocimiento, etc.) Evaluacin del riesgo (Descripcin del impacto, Escenarios) Respuesta al riesgo( KRI,s, Definicin de la respuesta y prioridades)

Metodologas de anlisis de riesgos. ISO-31000:2009

ISO ha decidido publicar un estndar basado principalmente en la norma AS/NZS 4360 El objetivo del estndar es proporcionar un marco general y global que sea til a diferentes sectores y clases de empresa y negocio, y mediante su gua ISO/IEC 73:2009 Risk management vocabulary ofrecer una terminologa comn. El estndar ofrece unos principios como base sobre los cuales construir un entorno que deber implantarse en la organizacin de la empresa para poder aplicar los procesos de la gua. Principios: La gestin de riesgos crea valor. La gestin de riesgos es parte del proceso de decisin. Entorno: Exigencia y compromiso por la gestin de la organizacin. Diseo, Implementacin, Monitorizado y revisin, y mejora continua del entorno.

Proceso con actividades de comunicacin y consulta, Implantacin del contexto, Valoracin

del riesgo, Tratamiento del riesgo, Monitorizado y revisin y Registro del proceso de gestin de riesgos.

Metodologas de anlisis de riesgos. Gua de Anlisis de Riesgos para Sistemas TI (SP 800-30)
El National Institute of Standards and Technology de los EEUU desarroll en el 2002 esta gua. Esta gua est orientada al ciclo de vida de los sistemas. Se percibe una orientacin sobre la seguridad de la informacin. Una de las principales utilidades con las que se le provee es la de certificacin de sistemas. El objetivo, segn la gua, de la gestin de riesgos es permitir que la organizacin alcance sus objetivos mediante: La securizacin de sus sistemas TI. El apoyo a la gestin para que sus decisiones sean bien informadas. El apoyo a la gestin para autorizar (acreditar) los sistemas TI. La gua abarca: Una visin de conjunto de la gestin de riesgos. Una descripcin de la metodologa de valoracin del riesgo basado en nueve fases. Una descripcin del proceso de mitigacin/reduccin del riesgo. Una discusin sobre: Buenas prcticas, la necesidad de una continua evaluacin y valoracin y los factores que conducen a un programa de xito respecto a la gestin de riesgos.

CONTENIDOS
Introduccin y antecedentes. ITIL V3 y la Gestin de Riesgos. Metodologas de anlisis de riesgos. Cuadro de Mando Integral. Conclusiones

Cuadro de Mando Integral.

Los CMI o BSC nacen principalmente de la necesidad de medir el desempeo de las organizaciones en la consecucin de sus objetivos. Las principales funcionalidades del CMI son: Su capacidad para comunicar los resultados de las mtricas aplicadas en la medicin de los objetivos y normalmente recogidos en informes ascendentes; Su capacidad para transmitir los objetivos estratgicos en sentido descendente y sus desglose en objetivos operacionales. Su capacidad para detectar y mostrar relaciones causa-efecto entre objetivos y as determinar las posibles cadenas de valor y permitiendo alinear los objetivos de las unidades y departamentos con los estratgicos de la organizacin. Su aplicacin en entornos de gestin TI est incrementndose.

Para ITIL V3 existe un trabajo proponiendo CMI y un desglose en cascada y segn fases
del ciclo de vida y tamao de la organizacin. En gestin de riesgos solo se conoce alguna propuesta para riesgos financieros.

Cuadro de Mando Integral.

CONTENIDOS
Introduccin y antecedentes. ITIL V3 y la Gestin de Riesgos. Metodologas de anlisis de riesgos Cuadro de Mando Integral. Conclusiones.

Conclusiones ITIL V3 no cuenta con una metodologa de gestin riesgos adaptada a sus caractersticas. Se han analizado cuatro entornos de gestin de riesgos, dos para control de riesgos empresariales, COSO-ERM e ISO-31000 y dos para riesgos TI, Risk IT y la gua SP800-30 del NIST. SP800-30 se adapta al ciclo de vida de los sistemas Risk IT ha sido publicado para trabajar con COBIT, que se encuentra bien mapeado con ITIL. Los CMI pueden utilizarse como una herramienta de comunicacin y control en la gestin de riesgos TI. Existen propuestas de utilizacin de los CMI en gestin de riesgos financieros pero no en TI. Los CMI para gestin de riesgos TI pueden organizarse en cascada y en paralelo a los de gestin de las TI.