El documento presenta los conceptos básicos de la gestión de riesgos, incluyendo activos, vulnerabilidades, amenazas, impacto y riesgo. Explica que la gestión de riesgos es un proceso sistemático para identificar, analizar y evaluar los riesgos con el objetivo de ayudar a la organización a alcanzar sus objetivos. El proceso incluye fases como la identificación de activos y procesos, la evaluación del riesgo, y la inversión e implantación de medidas para gestionar los riesgos.
1. Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Reflexión Inicial
“Cuanto más se dividen los obstáculos,
son más fáciles de vencer”
Concepción Arenal; (1820-1893) Escritora
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
1
2. Contenido
1. Conceptos Básicos
2. Gestión del Riesgo
3. Proceso de Gestión de Riesgos
4. Controles
5. Metodologías
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
1.- Conceptos Básicos
Objeto de la presentación
Dar a conocer los conceptos básicos de Gestión del Riesgo
Identificar los objetivos y fases de la Gestión de Riesgos
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
2
3. 1.- Conceptos Básicos
PRIMER PASO ENTENDER LOS CONCEPTOS BÁSICOS
FUNDAMENTO DE LA GESTIÓN DE RIESGOS
ACTIVO
Todos aquellos componentes o recursos de la organización, tanto físicos
(tangibles) como lógicos (intangibles) que constituyen:
La infraestructura
Patrimonio
Conocimiento
Reputación en el mercado
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
1.- Conceptos Básicos
VULNERABILIDAD
Toda aquella circunstancia o característica de un activo que permite la
consecución de ataques que comprometan la confidencialidad,
integridad o disponibilidad de ese mismo activo o de otros activos de la
organización
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
3
4. 1.- Conceptos Básicos
Ejemplos de vulnerabilidades
Factores de riesgo que causan las amenazas
Falta de conocimientos del usuario
Falta de funcionalidad de la seguridad
Configuración inadecuada del cortafuegos
Elección deficiente de contraseñas
Tecnología no probada
Transmisión por comunicaciones no protegidas
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
1.- Conceptos Básicos
AMENAZA
Es un evento o incidente provocado por una entidad hostil a la
organización (humana, natural o artificial) que aprovecha una o varias
vulnerabilidades de un activo con el fin de agredir la confidencialidad,
integridad o disponibilidad de ese mismo activo o de otros activos de la
organización (se dice que la amenaza “explota” la vulnerabilidad del
activo)
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
4
5. 1.- Conceptos Básicos
Tipos de amenaza
Pueden ser:
externas o internas a la organización
deliberadas o accidentales
(por ejemplo en el caso de desastres naturales o negligencia sin intención de
daño por parte de personal de la organización)
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
1.- Conceptos Básicos
Ejemplos de amenaza
Errores
Daño intencional / ataque
Fraude
Robo
Falla de equipo / software
Desastres naturales
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
5
6. 1.- Conceptos Básicos
IMPACTO
Magnitud de las consecuencias que tiene para el negocio el hecho de que
uno o varios activos hayan visto comprometida su confidencialidad,
integridad o disponibilidad debido a que una o varias amenazas hayan
explotado las vulnerabilidades de estos u otros activos.
Al estimar un determinado nivel de impacto es necesario considerar la
criticidad de los activos afectados
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
1.- Conceptos Básicos
Ejemplos de impacto en una organización: pérdida (directa o indirecta)
Pérdida económica directa
Sanción por incumplimiento de legislación
Pérdida de imagen / reputación
Poner en peligro al personal o a los clientes
Violación de confianza
Pérdida de oportunidad de negocio
Reducción de la eficiencia /desempeño operativo
Interrupción de la actividad de negocio
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
6
7. 1.- Conceptos Básicos
RIESGO
Se define como la probabilidad de que la organización se vea sometida a un
determinado nivel de impacto (determinado a su vez por las consecuencias
de la agresión)
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
1.- Conceptos Básicos
Estimación de riesgo
Se basa en la combinación de dos factores:
La frecuencia con la que las amenazas consideradas podrían materializarse
(estimando la probabilidad de que las amenazas consideradas puedan
explotar las vulnerabilidades de los activos)
Nivel de impacto causado en el negocio en caso de que las amenazas
consideradas se hagan efectivas
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
7
8. 1.- Conceptos Básicos
Los conceptos explicados anteriormente se relacionan de la siguiente manera:
Los activos tienen o pueden tener vulnerabilidades
Las amenazas aprovechan vulnerabilidades de los activos para materializar
su daño
La materialización de una amenaza sobre un activo tiene un impacto
La probabilidad de que la organización se vea sometida a un cierto nivel de
impacto es el riesgo
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
2.- Gestión del Riesgo
Datos estadísticos e importancia
• El 80% de los administradores de mercado de capitales pagan en promedio
un 11% más por acciones de empresas con demostración efectiva de
manejo de riesgos.
[Fuente: Asset Managers paymore for Well Governed Companies – KPMG –
Reino Unido 2002]
• Porque el resultado final de una compañía se construye por su habilidad
para lograr los objetivos y evitar los riesgos.
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
8
9. 2.- Gestión del Riesgo
Introducción a la Gestión del Riesgo
Definición de Riesgo [Fuente: ISO]
Probabilidad de que una amenaza se materialice, utilizando vulnerabilidades
existentes de un activo o grupo de activos, generando pérdidas o daño.
Definición de Gestión del Riesgo [Fuente: isaca.org]
Aplicación sistemática de:
Políticas, prácticas y procedimientos de administración
A las tareas de:
Identificar, analizar, evaluar, tratar y monitorizar el riesgo
Con el objeto de:
Ayudar a la compañía a alcanzar sus objetivos de negocio.
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
2.- Gestión del Riesgo
Introducción a la Gestión de Riesgo
Engloba al Análisis del Riesgo:
Proceso mediante el cual se identifican las amenazas y las vulnerabilidades en una
organización, se valora su impacto y la probabilidad de que ocurran.
[Fuente: UNE/ISO/IEC27000]
Proceso sistemático para estimar la magnitud de los riesgos a que está
expuesta una Organización.
[Fuente: MAGERIT]
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
9
10. 2.- Gestión del Riesgo
Tarea del Analista de riesgos
El Analista de Riesgos debe utilizar el Análisis de Riesgos para:
Preguntarse no si nuestra organización está expuesta a riesgos sino
a qué riesgos está expuesta
Preguntarse no si alguna vez estos riesgos se harán efectivos sino
cuándo lo harán y asesorar para la toma de medidas preventivas y
correctoras para cuando suceda
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
2.- Gestión del Riesgo
Procedimiento de decisión
Un procedimiento de Gestión de Riesgos ayuda a la decisión.
Resultados: Guía para que la organización tome decisiones sobre:
implantar nuevos mecanismos de seguridad
qué controles o procesos de seguridad serán los más adecuados
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
10
11. 2.- Gestión del Riesgo
Procedimiento de decisión
En función de los resultados y de los riesgos identificados la organización
puede:
Decidir qué medidas tomar dependiendo de una serie de factores:
COSTES DE LA IMPLANTACIÓN DE CONTROLES QUE REDUZCAN LOS
RIESGOS
VS
COSTES DERIVADOS DE LAS CONSECUENCIAS DE LA
MATERIALIZACIÓN DE ESTOS RIESGOS
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
2.- Gestión del Riesgo
Procedimiento de decisión
Implantar y mantener controles de seguridad que minimicen estos riesgos y
los mantengan a un nivel aceptable (lo cual implica inversiones económicas)
Asumir ciertos riesgos a los que está expuesta la organización ya que las
consecuencias acarrean un coste económico y estratégico menor que el coste
que sería necesario aportar para reducir dichos riesgos
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
11
12. 2.- Gestión del Riesgo
El nivel de riesgo al que está sometido una organización nunca puede erradicarse
totalmente.
Se trata de buscar un equilibrio entre :
el nivel de recursos y mecanismos que es preciso dedicar para minimizar
estos riesgos
un cierto nivel de confianza que se puede considerar suficiente (nivel de
riesgo aceptable)
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
2.- Gestión del Riesgo
Es un procedimiento sistemático que necesita realizar determinadas tareas y
estimaciones de forma totalmente imparcial y objetiva:
Identificar las vulnerabilidades presentes en los activos
Estimación de la probabilidad con la que las amenazas pueden explotar las
vulnerabilidades de los activos
Estimación del impacto en el negocio en caso de que ciertas amenazas se
hagan efectivas
Estimación de si se puede asumir el riesgo o es necesario invertir en la
implantación o actualización de controles de seguridad
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
12
13. 2.- Gestión del Riesgo
Si estos factores no se evalúan con total imparcialidad y objetividad, la Gestión
de Riesgos no podrá cumplir su función con garantías, que es:
Ayudarnos a tomar decisiones sobre cómo proteger nuestros activos: papel del
auditor como agente independiente que reporta a la Dirección General
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
3.- Proceso de Gestión del Riesgo
Fases detalladas
Fases
A) Identificación de activos y procesos
B) Evaluación del riesgo de los activos y procesos.
C) Evaluación de las medidas.
D) Análisis de la brecha de riesgos.
E) Inversión e implantación de las medidas.
F) Construir la sostenibilidad del método.
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
13
14. 3.- Proceso de Gestión del Riesgo
Fases detalladas
a) IDENTIFICACIÓN DE ACTIVOS Y PROCESOS
Subtarea Objetivo o resultado
Inventario de procesos Procesos de negocio
Criticidad y prioridad objetivas para cada
proceso.
Fuente: usuarios clave de negocio.
Inventario de activos Catálogo de activos.
Posibles fuentes: inventario, software de
descubrimiento, inmovilizado, administración de
personal, gestión de roles, sistemas de
asignación de recursos.
Agrupación/Categorización de activos por la Creación de un universo de activos más
dupla (naturaleza, proceso de negocio que manejable, más orientado a los procesos que
soporta). sustentan que a su propia naturaleza
tecnológica.
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
3.- Proceso de Gestión del Riesgo
Fases detalladas
b) EVALUACIÓN DEL RIESGO DE ACTIVOS Y PROCESOS
Subtarea Objetivo o resultado
Análisis de las vulnerabilidades y las amenazas por Conjunto de vulnerabilidades asociadas a los
categoría de activo. activos.
Conjunto de amenazas asociadas a las
vulnerabilidades.
Estimación de la probabilidad de ocurrencia. Estimación de la probabilidad de impacto de las
amenazas en las vulnerabilidades:
- Estadísticas públicas o privadas.
- Datos históricos.
- Experiencia.
Estimación del riesgo. Estimación del impacto de cada ocurrencia.
Valoración (cuantitativa/cualitativa).
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
14
15. 3.- Proceso de Gestión del Riesgo
Fases detalladas
c) EVALUACIÓN DE LAS MEDIDAS
Subtarea Objetivo o resultado
Relación de objetivos de control a perseguir, para
Selección de objetivos de control para cada riesgo a impedir el impacto de las amenazas en las
mitigar. vulnerabilidades.
Selección de controles para cada objetivo de control. Para cada objetivo de control, se establece qué
medidas de carácter técnico u organizativo son
procedentes.
Estimación de costes. Estimación del coste de la implantación de cada
contramedida.
Este paso permite establecer la RAZONABILIDAD
de los controles de seguridad.
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
3.- Proceso de Gestión del Riesgo
Fases detalladas
d) ANÁLISIS DE LA BRECHA
Subtarea Objetivo o resultado
Construcción de la matriz de riesgos. Obtener información sobre qué impacto en
el nivel de riesgo tiene la inversión en
Selección de riesgos a mitigar en función del medidas teniendo en cuenta:
coste del control y del valor final del riesgo • Riesgos que mitigan.
del activo. • En muchos activos, los riesgos se mitigan
Reordenado de la matriz de riesgos para sólo parcialmente.
formalizar qué riesgos se asumen, • Dependencias entre activos.
transfieren o mitigan. • Ajuste de estrategias.
Escenario #1 Escenario #2
Medidas #2
Medidas #1
Inversión € #2
Inversión € #1
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
15
16. 3.- Proceso de Gestión del Riesgo
Fases detalladas
e) SELECCIÓN DE LAS MEDIDAS, INVERSIÓN E IMPLANTACIÓN
Escenario #1 Escenario #2
Medidas #2
Medidas #1
Inversión € #2
Inversión € #1
Aceptación formal del
Selección de Proyecto de
nivel de riesgo Provisión económica
escenario deseado implantación
residual
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
3.- Proceso de Gestión del Riesgo
Fases detalladas f ) CONSTRUCCIÓN DE LA SOSTENIBILIDAD
Subtarea Objetivo o resultado
Aprobación expresa.
Implicación de la Alta Dirección. Recursos económicos.
Creación de un Comité de Riesgos.
Evaluación de los controles Efectividad y eficiencia.
implantados. Impacto real en el nivel de riesgo.
Inclusión de la Administración del Informes sobre asunción de riesgos
Riesgo en la toma de decisiones a en la toma de decisiones tanto a nivel
todos los niveles. estratégico, como táctico u operativo.
Revisión periódica de los escenarios
de riesgo ante cambios relacionados
con: Asesoría de qué riesgos ocultos y
• Contexto legislativo costes adicionales suponen los
cambios en el contexto interno y/o
• Contexto económico
externo.
• Nuevos productos
• Nuevos nichos
¿Lo hacemos bien?
Auditoría externa periódica ¿En qué podemos mejorar?
¿Cómo impactaría dicha mejora?
Evitar resistencias, asegurar la
Formación y concienciación
efectividad.
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
16
17. 3.- Proceso de Gestión del Riesgo
En resumen
Una adecuada administración del riesgo permite:
• Mejor visión desde las TI de qué es y qué no es relevante para
el negocio.
• Detección objetiva de áreas de mejora.
• Mejor estrategia de inversiones en TI.
• Aumento de la confianza en las TI.
- Nuevos productos.
- Nuevas oportunidades.
• Aumento de la visibilidad estratégica de las TI.
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
4.- Controles
Controles internos
Políticas, procedimientos, prácticas y estructuras organizativas puestas para:
Reducir las vulnerabilidades de los activos
Reducir la probabilidad de que las amenazas puedan explotar
vulnerabilidades
Reducir el impacto producido en el negocio por la materialización
de amenazas
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
17
18. 4.- Controles
Controles internos
¿Cómo se miden?
Coste de adquisición
Dificultad de implantación
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
4.- Controles
Clasificación de los Controles internos
a) Detectivos
Cuando detectan que ha ocurrido un error, una omisión o un acto malicioso y
lo reportan
Ejemplos
Puntos de verificación en los trabajos de producción
Función de auditoría interna
Registro de logs
Controles de eco en las telecomunicaciones
Verificación de datos dobles en los cálculos
Hash totals
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
18
19. 4.- Controles
Clasificación de los Controles internos
b) Correctivos
Cuando contribuyen a eliminar o reducir el impacto negativo de la
materialización de una amenaza. Corrigen o remedian problemas
descubiertos por los controles detectivos o los errores que surjan de un
problema.
Ejemplos
Copias de respaldo (back-ups)
Plan de contingencias y continuidad de negocio
Procedimientos de nueva ejecución de programa
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
4.- Controles
Clasificación de los Controles internos
c) Preventivos
Previenen de incidentes
Ejemplos:
Política de seguridad
Formación del usuario
Controles de acceso
Proveedores de seguridad gestionada
Segregación de tareas
Correcto diseño de documentos
Procedimientos de autorización de transacciones
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
19
20. 5.- Metodologías
ESTÁNDARES DE MERCADO
ISO27001
Contiene los requisitos para establecer, implantar, documentar y evaluar un sistema de
gestión de seguridad de la información (SGSI)
ISO 27002
Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005 Es una guía de
buenas prácticas que describe los objetivos de control y controles recomendables en
cuanto a seguridad de la información.
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
5.- Metodología
ESTÁNDARES DE MERCADO
COBIT (ISACA)
En TODAS las áreas de gestión y control se contempla los aspectos básicos para la
protección, integridad y confidencialidad de la información
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
20
21. Reflexión Final
“El que ha comenzado bien,
está a la mitad de la obra”
Horacio, Quintus Horatius Flaccus (65- a.C.) poeta
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
mballester@temanova.com
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
21