SlideShare una empresa de Scribd logo
1 de 21
Descargar para leer sin conexión
Madrid 27 Marzo 2008    Manuel Ballester, PhD IEEE, MBA, CISA, CISM




                       Reflexión Inicial


         “Cuanto más se dividen los obstáculos,
          son más fáciles de vencer”


                                  Concepción Arenal; (1820-1893) Escritora




Madrid 27 Marzo 2008    Manuel Ballester, PhD IEEE, MBA, CISA, CISM




                                                                             1
Contenido




        1. Conceptos Básicos
        2. Gestión del Riesgo
        3. Proceso de Gestión de Riesgos
        4. Controles
        5. Metodologías




Madrid 27 Marzo 2008            Manuel Ballester, PhD IEEE, MBA, CISA, CISM




1.- Conceptos Básicos
   Objeto de la presentación

    Dar a conocer los conceptos básicos de Gestión del Riesgo


    Identificar los objetivos y fases de la Gestión de Riesgos




Madrid 27 Marzo 2008            Manuel Ballester, PhD IEEE, MBA, CISA, CISM




                                                                              2
1.- Conceptos Básicos


   PRIMER PASO                     ENTENDER LOS CONCEPTOS BÁSICOS
                                   FUNDAMENTO DE LA GESTIÓN DE RIESGOS


   ACTIVO

   Todos aquellos componentes o recursos de la organización, tanto físicos
   (tangibles) como lógicos (intangibles) que constituyen:
             La infraestructura

             Patrimonio

             Conocimiento

             Reputación en el mercado



Madrid 27 Marzo 2008          Manuel Ballester, PhD IEEE, MBA, CISA, CISM




  1.- Conceptos Básicos


   VULNERABILIDAD

   Toda aquella circunstancia o característica de un activo que permite la
   consecución de ataques que comprometan la confidencialidad,
   integridad o disponibilidad de ese mismo activo o de otros activos de la
   organización




Madrid 27 Marzo 2008          Manuel Ballester, PhD IEEE, MBA, CISA, CISM




                                                                              3
1.- Conceptos Básicos

  Ejemplos de vulnerabilidades

  Factores de riesgo que causan las amenazas

        Falta de conocimientos del usuario

        Falta de funcionalidad de la seguridad

        Configuración inadecuada del cortafuegos

        Elección deficiente de contraseñas

        Tecnología no probada

        Transmisión por comunicaciones no protegidas




Madrid 27 Marzo 2008           Manuel Ballester, PhD IEEE, MBA, CISA, CISM




  1.- Conceptos Básicos


   AMENAZA

   Es un evento o incidente provocado por una entidad hostil a la
   organización (humana, natural o artificial) que aprovecha una o varias
   vulnerabilidades de un activo con el fin de agredir la confidencialidad,
   integridad o disponibilidad de ese mismo activo o de otros activos de la
   organización (se dice que la amenaza “explota” la vulnerabilidad del
   activo)




Madrid 27 Marzo 2008           Manuel Ballester, PhD IEEE, MBA, CISA, CISM




                                                                              4
1.- Conceptos Básicos

  Tipos de amenaza


   Pueden ser:

    externas o internas a la organización


    deliberadas o accidentales

   (por ejemplo en el caso de desastres naturales o negligencia sin intención de
   daño por parte de personal de la organización)




Madrid 27 Marzo 2008            Manuel Ballester, PhD IEEE, MBA, CISA, CISM




  1.- Conceptos Básicos

   Ejemplos de amenaza

         Errores

         Daño intencional / ataque

         Fraude

         Robo

         Falla de equipo / software

         Desastres naturales




Madrid 27 Marzo 2008            Manuel Ballester, PhD IEEE, MBA, CISA, CISM




                                                                                   5
1.- Conceptos Básicos


   IMPACTO

   Magnitud de las consecuencias que tiene para el negocio el hecho de que
   uno o varios activos hayan visto comprometida su confidencialidad,
   integridad o disponibilidad debido a que una o varias amenazas hayan
   explotado las vulnerabilidades de estos u otros activos.

   Al estimar un determinado nivel de impacto es necesario considerar la
   criticidad de los activos afectados




Madrid 27 Marzo 2008          Manuel Ballester, PhD IEEE, MBA, CISA, CISM




  1.- Conceptos Básicos

   Ejemplos de impacto en una organización: pérdida (directa o indirecta)

        Pérdida económica directa

        Sanción por incumplimiento de legislación

        Pérdida de imagen / reputación

        Poner en peligro al personal o a los clientes

        Violación de confianza

        Pérdida de oportunidad de negocio

        Reducción de la eficiencia /desempeño operativo

        Interrupción de la actividad de negocio


Madrid 27 Marzo 2008          Manuel Ballester, PhD IEEE, MBA, CISA, CISM




                                                                             6
1.- Conceptos Básicos


    RIESGO

   Se define como la probabilidad de que la organización se vea sometida a un
   determinado nivel de impacto (determinado a su vez por las consecuencias
   de la agresión)




Madrid 27 Marzo 2008         Manuel Ballester, PhD IEEE, MBA, CISA, CISM




  1.- Conceptos Básicos

   Estimación de riesgo


   Se basa en la combinación de dos factores:

              La frecuencia con la que las amenazas consideradas podrían materializarse

               (estimando la probabilidad de que las amenazas consideradas puedan
               explotar las vulnerabilidades de los activos)



              Nivel de impacto causado en el negocio en caso de que las amenazas
               consideradas se hagan efectivas




Madrid 27 Marzo 2008         Manuel Ballester, PhD IEEE, MBA, CISA, CISM




                                                                                           7
1.- Conceptos Básicos


   Los conceptos explicados anteriormente se relacionan de la siguiente manera:

        Los activos tienen o pueden tener vulnerabilidades

        Las amenazas aprovechan vulnerabilidades de los activos para materializar
       su daño

        La materialización de una amenaza sobre un activo tiene un impacto

        La probabilidad de que la organización se vea sometida a un cierto nivel de
       impacto es el riesgo




Madrid 27 Marzo 2008         Manuel Ballester, PhD IEEE, MBA, CISA, CISM




2.- Gestión del Riesgo
   Datos estadísticos e importancia



    • El 80% de los administradores de mercado de capitales pagan en promedio
       un 11% más por acciones de empresas con demostración efectiva de
       manejo de riesgos.
       [Fuente: Asset Managers paymore for Well Governed Companies – KPMG –
       Reino Unido 2002]


    • Porque el resultado final de una compañía se construye por su habilidad
       para lograr los objetivos y evitar los riesgos.




Madrid 27 Marzo 2008         Manuel Ballester, PhD IEEE, MBA, CISA, CISM




                                                                                       8
2.- Gestión del Riesgo
   Introducción a la Gestión del Riesgo

    Definición de Riesgo [Fuente: ISO]

       Probabilidad de que una amenaza se materialice, utilizando vulnerabilidades
       existentes de un activo o grupo de activos, generando pérdidas o daño.

    Definición de Gestión del Riesgo [Fuente: isaca.org]

            Aplicación sistemática de:
             Políticas, prácticas y procedimientos de administración

            A las tareas de:
             Identificar, analizar, evaluar, tratar y monitorizar el riesgo

            Con el objeto de:
             Ayudar a la compañía a alcanzar sus objetivos de negocio.



Madrid 27 Marzo 2008             Manuel Ballester, PhD IEEE, MBA, CISA, CISM




   2.- Gestión del Riesgo

   Introducción a la Gestión de Riesgo


   Engloba al Análisis del Riesgo:
   Proceso mediante el cual se identifican las amenazas y las vulnerabilidades en una
   organización, se valora su impacto y la probabilidad de que ocurran.
   [Fuente: UNE/ISO/IEC27000]

   Proceso sistemático para estimar la magnitud de los riesgos a que está
   expuesta una Organización.
   [Fuente: MAGERIT]




Madrid 27 Marzo 2008             Manuel Ballester, PhD IEEE, MBA, CISA, CISM




                                                                                        9
2.- Gestión del Riesgo

  Tarea del Analista de riesgos



   El Analista de Riesgos debe utilizar el Análisis de Riesgos para:

             Preguntarse no si nuestra organización está expuesta a riesgos sino
              a qué riesgos está expuesta

             Preguntarse no si alguna vez estos riesgos se harán efectivos sino
              cuándo lo harán y asesorar para la toma de medidas preventivas y
              correctoras para cuando suceda




Madrid 27 Marzo 2008        Manuel Ballester, PhD IEEE, MBA, CISA, CISM




  2.- Gestión del Riesgo

  Procedimiento de decisión


  Un procedimiento de Gestión de Riesgos ayuda a la decisión.

  Resultados: Guía para que la organización tome decisiones sobre:

       implantar nuevos mecanismos de seguridad

       qué controles o procesos de seguridad serán los más adecuados




Madrid 27 Marzo 2008        Manuel Ballester, PhD IEEE, MBA, CISA, CISM




                                                                                    10
2.- Gestión del Riesgo

  Procedimiento de decisión


  En función de los resultados y de los riesgos identificados la organización
  puede:

   Decidir qué medidas tomar dependiendo de una serie de factores:


           COSTES DE LA IMPLANTACIÓN DE CONTROLES QUE REDUZCAN LOS
                                   RIESGOS


                                        VS
               COSTES DERIVADOS DE LAS CONSECUENCIAS DE LA
                    MATERIALIZACIÓN DE ESTOS RIESGOS



Madrid 27 Marzo 2008       Manuel Ballester, PhD IEEE, MBA, CISA, CISM




  2.- Gestión del Riesgo

  Procedimiento de decisión

   Implantar y mantener controles de seguridad que minimicen estos riesgos y
  los mantengan a un nivel aceptable (lo cual implica inversiones económicas)

   Asumir ciertos riesgos a los que está expuesta la organización ya que las
  consecuencias acarrean un coste económico y estratégico menor que el coste
  que sería necesario aportar para reducir dichos riesgos




Madrid 27 Marzo 2008       Manuel Ballester, PhD IEEE, MBA, CISA, CISM




                                                                                11
2.- Gestión del Riesgo


  El nivel de riesgo al que está sometido una organización nunca puede erradicarse
  totalmente.



   Se trata de buscar un equilibrio entre :

        el nivel de recursos y mecanismos que es preciso dedicar para minimizar
       estos riesgos

        un cierto nivel de confianza que se puede considerar suficiente (nivel de
       riesgo aceptable)




Madrid 27 Marzo 2008          Manuel Ballester, PhD IEEE, MBA, CISA, CISM




  2.- Gestión del Riesgo


  Es un procedimiento sistemático que necesita realizar determinadas tareas y
  estimaciones de forma totalmente imparcial y objetiva:


    Identificar las vulnerabilidades presentes en los activos

    Estimación de la probabilidad con la que las amenazas pueden explotar las
   vulnerabilidades de los activos

    Estimación del impacto en el negocio en caso de que ciertas amenazas se
   hagan efectivas

    Estimación de si se puede asumir el riesgo o es necesario invertir en la
   implantación o actualización de controles de seguridad


Madrid 27 Marzo 2008          Manuel Ballester, PhD IEEE, MBA, CISA, CISM




                                                                                     12
2.- Gestión del Riesgo


  Si estos factores no se evalúan con total imparcialidad y objetividad, la Gestión
  de Riesgos no podrá cumplir su función con garantías, que es:

  Ayudarnos a tomar decisiones sobre cómo proteger nuestros activos: papel del
  auditor como agente independiente que reporta a la Dirección General




Madrid 27 Marzo 2008            Manuel Ballester, PhD IEEE, MBA, CISA, CISM




  3.- Proceso de Gestión del Riesgo

   Fases detalladas

                                              Fases

            A) Identificación de activos y procesos

            B) Evaluación del riesgo de los activos y procesos.

            C) Evaluación de las medidas.

            D) Análisis de la brecha de riesgos.

            E) Inversión e implantación de las medidas.

            F) Construir la sostenibilidad del método.




Madrid 27 Marzo 2008            Manuel Ballester, PhD IEEE, MBA, CISA, CISM




                                                                                      13
3.- Proceso de Gestión del Riesgo

   Fases detalladas

                        a) IDENTIFICACIÓN DE ACTIVOS Y PROCESOS
                                  Subtarea                                  Objetivo o resultado
            Inventario de procesos                             Procesos de negocio
                                                               Criticidad y prioridad objetivas para cada
                                                               proceso.
                                                               Fuente: usuarios clave de negocio.

            Inventario de activos                              Catálogo de activos.
                                                               Posibles fuentes: inventario, software de
                                                               descubrimiento, inmovilizado, administración de
                                                               personal, gestión de roles, sistemas de
                                                               asignación de recursos.

            Agrupación/Categorización de activos por la        Creación de un universo de activos más
            dupla (naturaleza, proceso de negocio que          manejable, más orientado a los procesos que
            soporta).                                          sustentan que a su propia naturaleza
                                                               tecnológica.




Madrid 27 Marzo 2008                   Manuel Ballester, PhD IEEE, MBA, CISA, CISM




  3.- Proceso de Gestión del Riesgo

   Fases detalladas

                     b) EVALUACIÓN DEL RIESGO DE ACTIVOS Y PROCESOS

                              Subtarea                                         Objetivo o resultado
         Análisis de las vulnerabilidades y las amenazas por   Conjunto de vulnerabilidades asociadas a los
         categoría de activo.                                  activos.
                                                               Conjunto de amenazas asociadas a las
                                                               vulnerabilidades.

         Estimación de la probabilidad de ocurrencia.          Estimación de la probabilidad de impacto de las
                                                               amenazas en las vulnerabilidades:
                                                                - Estadísticas públicas o privadas.
                                                                - Datos históricos.
                                                                - Experiencia.


         Estimación del riesgo.                                Estimación del impacto de cada ocurrencia.
                                                               Valoración (cuantitativa/cualitativa).




Madrid 27 Marzo 2008                   Manuel Ballester, PhD IEEE, MBA, CISA, CISM




                                                                                                                 14
3.- Proceso de Gestión del Riesgo

   Fases detalladas

                                       c) EVALUACIÓN DE LAS MEDIDAS

                             Subtarea                                          Objetivo o resultado
                                                                Relación de objetivos de control a perseguir, para
        Selección de objetivos de control para cada riesgo a    impedir el impacto de las amenazas en las
        mitigar.                                                vulnerabilidades.

        Selección de controles para cada objetivo de control.   Para cada objetivo de control, se establece qué
                                                                medidas de carácter técnico u organizativo son
                                                                procedentes.

        Estimación de costes.                                   Estimación del coste de la implantación de cada
                                                                contramedida.
                                                                Este paso permite establecer la RAZONABILIDAD
                                                                de los controles de seguridad.




Madrid 27 Marzo 2008                   Manuel Ballester, PhD IEEE, MBA, CISA, CISM




  3.- Proceso de Gestión del Riesgo

   Fases detalladas

                                         d) ANÁLISIS DE LA BRECHA

                                 Subtarea                                  Objetivo o resultado

               Construcción de la matriz de riesgos.            Obtener información sobre qué impacto en
                                                                el nivel de riesgo tiene la inversión en
               Selección de riesgos a mitigar en función del    medidas teniendo en cuenta:
               coste del control y del valor final del riesgo   • Riesgos que mitigan.
               del activo.                                      • En muchos activos, los riesgos se mitigan
               Reordenado de la matriz de riesgos para          sólo parcialmente.
               formalizar qué riesgos se asumen,                • Dependencias entre activos.
               transfieren o mitigan.                           • Ajuste de estrategias.

                        Escenario #1                                           Escenario #2



                                                                                                  Medidas #2
                                         Medidas #1
                                                                                                  Inversión € #2
                                         Inversión € #1




Madrid 27 Marzo 2008                   Manuel Ballester, PhD IEEE, MBA, CISA, CISM




                                                                                                                     15
3.- Proceso de Gestión del Riesgo

   Fases detalladas

          e) SELECCIÓN DE LAS MEDIDAS, INVERSIÓN E IMPLANTACIÓN

             Escenario #1                                                         Escenario #2




                                                                                                 Medidas #2
                            Medidas #1
                                                                                                 Inversión € #2
                            Inversión € #1




                                   Aceptación formal del
        Selección de                                           Proyecto de
                                   nivel de riesgo                                  Provisión económica
        escenario deseado                                      implantación
                                   residual




Madrid 27 Marzo 2008                         Manuel Ballester, PhD IEEE, MBA, CISA, CISM




  3.- Proceso de Gestión del Riesgo
  Fases detalladas                  f ) CONSTRUCCIÓN DE LA SOSTENIBILIDAD
                                             Subtarea                         Objetivo o resultado
                                                                   Aprobación expresa.
                        Implicación de la Alta Dirección.          Recursos económicos.
                                                                   Creación de un Comité de Riesgos.
                        Evaluación de los controles                Efectividad y eficiencia.
                        implantados.                               Impacto real en el nivel de riesgo.
                        Inclusión de la Administración del         Informes sobre asunción de riesgos
                        Riesgo en la toma de decisiones a          en la toma de decisiones tanto a nivel
                        todos los niveles.                         estratégico, como táctico u operativo.
                        Revisión periódica de los escenarios
                        de riesgo ante cambios relacionados
                        con:                                       Asesoría de qué riesgos ocultos y
                        • Contexto legislativo                     costes adicionales suponen los
                                                                   cambios en el contexto interno y/o
                        • Contexto económico
                                                                   externo.
                        • Nuevos productos
                        • Nuevos nichos
                                                                   ¿Lo hacemos bien?
                        Auditoría externa periódica                ¿En qué podemos mejorar?
                                                                   ¿Cómo impactaría dicha mejora?
                                                                   Evitar resistencias, asegurar la
                        Formación y concienciación
                                                                   efectividad.


Madrid 27 Marzo 2008                         Manuel Ballester, PhD IEEE, MBA, CISA, CISM




                                                                                                                  16
3.- Proceso de Gestión del Riesgo

    En resumen

     Una adecuada administración del riesgo permite:
     • Mejor visión desde las TI de qué es y qué no es relevante para
        el negocio.
     • Detección objetiva de áreas de mejora.
     • Mejor estrategia de inversiones en TI.
     • Aumento de la confianza en las TI.
        - Nuevos productos.
        - Nuevas oportunidades.
     • Aumento de la visibilidad estratégica de las TI.




Madrid 27 Marzo 2008        Manuel Ballester, PhD IEEE, MBA, CISA, CISM




4.- Controles
    Controles internos


   Políticas, procedimientos, prácticas y estructuras organizativas puestas para:

                  Reducir las vulnerabilidades de los activos

                  Reducir la probabilidad de que las amenazas puedan explotar
                   vulnerabilidades

                  Reducir el impacto producido en el negocio por la materialización
                   de amenazas




Madrid 27 Marzo 2008        Manuel Ballester, PhD IEEE, MBA, CISA, CISM




                                                                                       17
4.- Controles
    Controles internos


       ¿Cómo se miden?

                 Coste de adquisición
                 Dificultad de implantación




Madrid 27 Marzo 2008       Manuel Ballester, PhD IEEE, MBA, CISA, CISM




4.- Controles
   Clasificación de los Controles internos


    a) Detectivos

    Cuando detectan que ha ocurrido un error, una omisión o un acto malicioso y
    lo reportan

    Ejemplos
             Puntos de verificación en los trabajos de producción
             Función de auditoría interna
             Registro de logs
             Controles de eco en las telecomunicaciones
             Verificación de datos dobles en los cálculos
             Hash totals


Madrid 27 Marzo 2008       Manuel Ballester, PhD IEEE, MBA, CISA, CISM




                                                                                  18
4.- Controles
   Clasificación de los Controles internos


    b) Correctivos

    Cuando contribuyen a eliminar o reducir el impacto negativo de la
    materialización de una amenaza. Corrigen o remedian problemas
    descubiertos por los controles detectivos o los errores que surjan de un
    problema.

    Ejemplos
             Copias de respaldo (back-ups)
             Plan de contingencias y continuidad de negocio
             Procedimientos de nueva ejecución de programa



Madrid 27 Marzo 2008      Manuel Ballester, PhD IEEE, MBA, CISA, CISM




4.- Controles
   Clasificación de los Controles internos


    c) Preventivos

    Previenen de incidentes

    Ejemplos:
             Política de seguridad
             Formación del usuario
             Controles de acceso
             Proveedores de seguridad gestionada
             Segregación de tareas
             Correcto diseño de documentos
             Procedimientos de autorización de transacciones


Madrid 27 Marzo 2008      Manuel Ballester, PhD IEEE, MBA, CISA, CISM




                                                                               19
5.- Metodologías

   ESTÁNDARES DE MERCADO

   ISO27001

   Contiene los requisitos para establecer, implantar, documentar y evaluar un sistema de
   gestión de seguridad de la información (SGSI)

   ISO 27002

   Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005 Es una guía de
   buenas prácticas que describe los objetivos de control y controles recomendables en
   cuanto a seguridad de la información.




Madrid 27 Marzo 2008         Manuel Ballester, PhD IEEE, MBA, CISA, CISM




5.- Metodología

   ESTÁNDARES DE MERCADO


   COBIT (ISACA)

   En TODAS las áreas de gestión y control se contempla los aspectos básicos para la
   protección, integridad y confidencialidad de la información




Madrid 27 Marzo 2008         Manuel Ballester, PhD IEEE, MBA, CISA, CISM




                                                                                            20
Reflexión Final


         “El que ha comenzado bien,
          está a la mitad de la obra”

                       Horacio, Quintus Horatius Flaccus (65- a.C.) poeta




Madrid 27 Marzo 2008   Manuel Ballester, PhD IEEE, MBA, CISA, CISM




                   mballester@temanova.com




Madrid 27 Marzo 2008   Manuel Ballester, PhD IEEE, MBA, CISA, CISM




                                                                            21

Más contenido relacionado

La actualidad más candente

Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001dcordova923
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgossgalvan
 
Red segura
Red seguraRed segura
Red segurarosslili
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de RiesgosRamiro Cid
 
Dbfa1095 552b-47ef-9be8-3972de8845ba
Dbfa1095 552b-47ef-9be8-3972de8845baDbfa1095 552b-47ef-9be8-3972de8845ba
Dbfa1095 552b-47ef-9be8-3972de8845baJuxCR
 
Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Gabriel Marcos
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadHarold Morales
 
Riesgo operativo
Riesgo operativoRiesgo operativo
Riesgo operativoSECMA
 
LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...
LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...
LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...Ricardo Cañizares Sales
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 
Analisis gestion de riesgos
Analisis gestion de riesgosAnalisis gestion de riesgos
Analisis gestion de riesgosmendozanet
 

La actualidad más candente (15)

Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgos
 
Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgos
 
Red segura
Red seguraRed segura
Red segura
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de Riesgos
 
Dbfa1095 552b-47ef-9be8-3972de8845ba
Dbfa1095 552b-47ef-9be8-3972de8845baDbfa1095 552b-47ef-9be8-3972de8845ba
Dbfa1095 552b-47ef-9be8-3972de8845ba
 
Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Seguridad Inteligente (2009)
Seguridad Inteligente (2009)
 
2003 07-seguridad
2003 07-seguridad2003 07-seguridad
2003 07-seguridad
 
2003 07-seguridad
2003 07-seguridad2003 07-seguridad
2003 07-seguridad
 
Analisis de riesgos
Analisis de riesgosAnalisis de riesgos
Analisis de riesgos
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridad
 
Riesgo operativo
Riesgo operativoRiesgo operativo
Riesgo operativo
 
LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...
LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...
LA CONVERGENCIA DE LA SEGURIDAD - UN NUEVO PARADIGMA EN LA GESTIÓN DE LOS RIE...
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
 
Analisis gestion de riesgos
Analisis gestion de riesgosAnalisis gestion de riesgos
Analisis gestion de riesgos
 

Similar a Gestión de Riesgos

METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMICHELCARLOSCUEVASSA
 
Risk management original
Risk management originalRisk management original
Risk management originalCarlos Escobar
 
Cesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos mageritCesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos mageritCesar Velez
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONAny López
 
Análisis y Evaluación de Riesgos
Análisis y Evaluación de RiesgosAnálisis y Evaluación de Riesgos
Análisis y Evaluación de RiesgosCamilo Quintana
 
Modulo II, parte 2 curso de Protección de Datos.
Modulo II, parte 2 curso de Protección de Datos.Modulo II, parte 2 curso de Protección de Datos.
Modulo II, parte 2 curso de Protección de Datos.ANTONIO GARCÍA HERRÁIZ
 
Actividad 3 métodos para la evaluación integral de riesgos
Actividad 3   métodos para la evaluación integral de riesgosActividad 3   métodos para la evaluación integral de riesgos
Actividad 3 métodos para la evaluación integral de riesgosOscarAntonioHerrnTru
 
Webinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfWebinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfFabianaOcchiuzzi2
 
Actividad 3 Métodos de evaluación del riesgo.
Actividad 3 Métodos de evaluación del riesgo.Actividad 3 Métodos de evaluación del riesgo.
Actividad 3 Métodos de evaluación del riesgo.Joanna Patricia
 
Tarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asistTarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asistLizeth Rubio
 
Metodos para la evaluación de riesgos
Metodos para la evaluación de riesgosMetodos para la evaluación de riesgos
Metodos para la evaluación de riesgosemon12345
 
Metodos para la evaluación de riesgos
Metodos para la evaluación de riesgosMetodos para la evaluación de riesgos
Metodos para la evaluación de riesgosMARIAJOSEQUIROZCORON
 
Sigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfSigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfNicanor Sachahuaman
 

Similar a Gestión de Riesgos (20)

METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
 
Risk management original
Risk management originalRisk management original
Risk management original
 
Actividad no 3
Actividad no 3Actividad no 3
Actividad no 3
 
Cesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos mageritCesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos magerit
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
 
Preparación -Seguridad Informática
Preparación -Seguridad Informática Preparación -Seguridad Informática
Preparación -Seguridad Informática
 
Análisis y Evaluación de Riesgos
Análisis y Evaluación de RiesgosAnálisis y Evaluación de Riesgos
Análisis y Evaluación de Riesgos
 
Modulo II, parte 2 curso de Protección de Datos.
Modulo II, parte 2 curso de Protección de Datos.Modulo II, parte 2 curso de Protección de Datos.
Modulo II, parte 2 curso de Protección de Datos.
 
Actividad 3 métodos para la evaluación integral de riesgos
Actividad 3   métodos para la evaluación integral de riesgosActividad 3   métodos para la evaluación integral de riesgos
Actividad 3 métodos para la evaluación integral de riesgos
 
Metodo de analisis de riesgos, Magerit
Metodo de analisis de riesgos, MageritMetodo de analisis de riesgos, Magerit
Metodo de analisis de riesgos, Magerit
 
Webinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfWebinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdf
 
Actividad 3 Métodos de evaluación del riesgo.
Actividad 3 Métodos de evaluación del riesgo.Actividad 3 Métodos de evaluación del riesgo.
Actividad 3 Métodos de evaluación del riesgo.
 
Gestion de Riesgos
Gestion de RiesgosGestion de Riesgos
Gestion de Riesgos
 
Tarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asistTarea 2.4 lizeth rubio.segundo_asist
Tarea 2.4 lizeth rubio.segundo_asist
 
Metodos para la evaluación de riesgos
Metodos para la evaluación de riesgosMetodos para la evaluación de riesgos
Metodos para la evaluación de riesgos
 
Metodos para la evaluación de riesgos
Metodos para la evaluación de riesgosMetodos para la evaluación de riesgos
Metodos para la evaluación de riesgos
 
Magerit
MageritMagerit
Magerit
 
Analisis de riesgos
Analisis de riesgosAnalisis de riesgos
Analisis de riesgos
 
Sigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfSigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdf
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octave
 

Más de Conferencias FIST

Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceConferencias FIST
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseConferencias FIST
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiConferencias FIST
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security ForumConferencias FIST
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes WirelessConferencias FIST
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la ConcienciaciónConferencias FIST
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloConferencias FIST
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseConferencias FIST
 

Más de Conferencias FIST (20)

Seguridad en Open Solaris
Seguridad en Open SolarisSeguridad en Open Solaris
Seguridad en Open Solaris
 
Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open Source
 
Spanish Honeynet Project
Spanish Honeynet ProjectSpanish Honeynet Project
Spanish Honeynet Project
 
Seguridad en Windows Mobile
Seguridad en Windows MobileSeguridad en Windows Mobile
Seguridad en Windows Mobile
 
SAP Security
SAP SecuritySAP Security
SAP Security
 
Que es Seguridad
Que es SeguridadQue es Seguridad
Que es Seguridad
 
Network Access Protection
Network Access ProtectionNetwork Access Protection
Network Access Protection
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFi
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security Forum
 
Criptografia Cuántica
Criptografia CuánticaCriptografia Cuántica
Criptografia Cuántica
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes Wireless
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la Concienciación
 
Security Metrics
Security MetricsSecurity Metrics
Security Metrics
 
PKI Interoperability
PKI InteroperabilityPKI Interoperability
PKI Interoperability
 
Wifislax 3.1
Wifislax 3.1Wifislax 3.1
Wifislax 3.1
 
Network Forensics
Network ForensicsNetwork Forensics
Network Forensics
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el Desarrollo
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis Forense
 
Security Maturity Model
Security Maturity ModelSecurity Maturity Model
Security Maturity Model
 

Gestión de Riesgos

  • 1. Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM Reflexión Inicial “Cuanto más se dividen los obstáculos, son más fáciles de vencer” Concepción Arenal; (1820-1893) Escritora Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 1
  • 2. Contenido 1. Conceptos Básicos 2. Gestión del Riesgo 3. Proceso de Gestión de Riesgos 4. Controles 5. Metodologías Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 1.- Conceptos Básicos Objeto de la presentación  Dar a conocer los conceptos básicos de Gestión del Riesgo  Identificar los objetivos y fases de la Gestión de Riesgos Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 2
  • 3. 1.- Conceptos Básicos PRIMER PASO ENTENDER LOS CONCEPTOS BÁSICOS FUNDAMENTO DE LA GESTIÓN DE RIESGOS ACTIVO Todos aquellos componentes o recursos de la organización, tanto físicos (tangibles) como lógicos (intangibles) que constituyen:  La infraestructura  Patrimonio  Conocimiento  Reputación en el mercado Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 1.- Conceptos Básicos VULNERABILIDAD Toda aquella circunstancia o característica de un activo que permite la consecución de ataques que comprometan la confidencialidad, integridad o disponibilidad de ese mismo activo o de otros activos de la organización Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 3
  • 4. 1.- Conceptos Básicos Ejemplos de vulnerabilidades Factores de riesgo que causan las amenazas  Falta de conocimientos del usuario  Falta de funcionalidad de la seguridad  Configuración inadecuada del cortafuegos  Elección deficiente de contraseñas  Tecnología no probada  Transmisión por comunicaciones no protegidas Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 1.- Conceptos Básicos AMENAZA Es un evento o incidente provocado por una entidad hostil a la organización (humana, natural o artificial) que aprovecha una o varias vulnerabilidades de un activo con el fin de agredir la confidencialidad, integridad o disponibilidad de ese mismo activo o de otros activos de la organización (se dice que la amenaza “explota” la vulnerabilidad del activo) Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 4
  • 5. 1.- Conceptos Básicos Tipos de amenaza Pueden ser:  externas o internas a la organización  deliberadas o accidentales (por ejemplo en el caso de desastres naturales o negligencia sin intención de daño por parte de personal de la organización) Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 1.- Conceptos Básicos Ejemplos de amenaza  Errores  Daño intencional / ataque  Fraude  Robo  Falla de equipo / software  Desastres naturales Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 5
  • 6. 1.- Conceptos Básicos IMPACTO Magnitud de las consecuencias que tiene para el negocio el hecho de que uno o varios activos hayan visto comprometida su confidencialidad, integridad o disponibilidad debido a que una o varias amenazas hayan explotado las vulnerabilidades de estos u otros activos. Al estimar un determinado nivel de impacto es necesario considerar la criticidad de los activos afectados Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 1.- Conceptos Básicos Ejemplos de impacto en una organización: pérdida (directa o indirecta)  Pérdida económica directa  Sanción por incumplimiento de legislación  Pérdida de imagen / reputación  Poner en peligro al personal o a los clientes  Violación de confianza  Pérdida de oportunidad de negocio  Reducción de la eficiencia /desempeño operativo  Interrupción de la actividad de negocio Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 6
  • 7. 1.- Conceptos Básicos RIESGO Se define como la probabilidad de que la organización se vea sometida a un determinado nivel de impacto (determinado a su vez por las consecuencias de la agresión) Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 1.- Conceptos Básicos Estimación de riesgo Se basa en la combinación de dos factores:  La frecuencia con la que las amenazas consideradas podrían materializarse (estimando la probabilidad de que las amenazas consideradas puedan explotar las vulnerabilidades de los activos)  Nivel de impacto causado en el negocio en caso de que las amenazas consideradas se hagan efectivas Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 7
  • 8. 1.- Conceptos Básicos Los conceptos explicados anteriormente se relacionan de la siguiente manera:  Los activos tienen o pueden tener vulnerabilidades  Las amenazas aprovechan vulnerabilidades de los activos para materializar su daño  La materialización de una amenaza sobre un activo tiene un impacto  La probabilidad de que la organización se vea sometida a un cierto nivel de impacto es el riesgo Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 2.- Gestión del Riesgo Datos estadísticos e importancia • El 80% de los administradores de mercado de capitales pagan en promedio un 11% más por acciones de empresas con demostración efectiva de manejo de riesgos. [Fuente: Asset Managers paymore for Well Governed Companies – KPMG – Reino Unido 2002] • Porque el resultado final de una compañía se construye por su habilidad para lograr los objetivos y evitar los riesgos. Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 8
  • 9. 2.- Gestión del Riesgo Introducción a la Gestión del Riesgo Definición de Riesgo [Fuente: ISO] Probabilidad de que una amenaza se materialice, utilizando vulnerabilidades existentes de un activo o grupo de activos, generando pérdidas o daño. Definición de Gestión del Riesgo [Fuente: isaca.org]  Aplicación sistemática de: Políticas, prácticas y procedimientos de administración  A las tareas de: Identificar, analizar, evaluar, tratar y monitorizar el riesgo  Con el objeto de: Ayudar a la compañía a alcanzar sus objetivos de negocio. Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 2.- Gestión del Riesgo Introducción a la Gestión de Riesgo Engloba al Análisis del Riesgo: Proceso mediante el cual se identifican las amenazas y las vulnerabilidades en una organización, se valora su impacto y la probabilidad de que ocurran. [Fuente: UNE/ISO/IEC27000] Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización. [Fuente: MAGERIT] Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 9
  • 10. 2.- Gestión del Riesgo Tarea del Analista de riesgos El Analista de Riesgos debe utilizar el Análisis de Riesgos para:  Preguntarse no si nuestra organización está expuesta a riesgos sino a qué riesgos está expuesta  Preguntarse no si alguna vez estos riesgos se harán efectivos sino cuándo lo harán y asesorar para la toma de medidas preventivas y correctoras para cuando suceda Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 2.- Gestión del Riesgo Procedimiento de decisión Un procedimiento de Gestión de Riesgos ayuda a la decisión. Resultados: Guía para que la organización tome decisiones sobre: implantar nuevos mecanismos de seguridad qué controles o procesos de seguridad serán los más adecuados Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 10
  • 11. 2.- Gestión del Riesgo Procedimiento de decisión En función de los resultados y de los riesgos identificados la organización puede:  Decidir qué medidas tomar dependiendo de una serie de factores: COSTES DE LA IMPLANTACIÓN DE CONTROLES QUE REDUZCAN LOS RIESGOS VS COSTES DERIVADOS DE LAS CONSECUENCIAS DE LA MATERIALIZACIÓN DE ESTOS RIESGOS Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 2.- Gestión del Riesgo Procedimiento de decisión  Implantar y mantener controles de seguridad que minimicen estos riesgos y los mantengan a un nivel aceptable (lo cual implica inversiones económicas)  Asumir ciertos riesgos a los que está expuesta la organización ya que las consecuencias acarrean un coste económico y estratégico menor que el coste que sería necesario aportar para reducir dichos riesgos Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 11
  • 12. 2.- Gestión del Riesgo El nivel de riesgo al que está sometido una organización nunca puede erradicarse totalmente. Se trata de buscar un equilibrio entre :  el nivel de recursos y mecanismos que es preciso dedicar para minimizar estos riesgos  un cierto nivel de confianza que se puede considerar suficiente (nivel de riesgo aceptable) Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 2.- Gestión del Riesgo Es un procedimiento sistemático que necesita realizar determinadas tareas y estimaciones de forma totalmente imparcial y objetiva:  Identificar las vulnerabilidades presentes en los activos  Estimación de la probabilidad con la que las amenazas pueden explotar las vulnerabilidades de los activos  Estimación del impacto en el negocio en caso de que ciertas amenazas se hagan efectivas  Estimación de si se puede asumir el riesgo o es necesario invertir en la implantación o actualización de controles de seguridad Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 12
  • 13. 2.- Gestión del Riesgo Si estos factores no se evalúan con total imparcialidad y objetividad, la Gestión de Riesgos no podrá cumplir su función con garantías, que es: Ayudarnos a tomar decisiones sobre cómo proteger nuestros activos: papel del auditor como agente independiente que reporta a la Dirección General Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 3.- Proceso de Gestión del Riesgo Fases detalladas Fases A) Identificación de activos y procesos B) Evaluación del riesgo de los activos y procesos. C) Evaluación de las medidas. D) Análisis de la brecha de riesgos. E) Inversión e implantación de las medidas. F) Construir la sostenibilidad del método. Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 13
  • 14. 3.- Proceso de Gestión del Riesgo Fases detalladas a) IDENTIFICACIÓN DE ACTIVOS Y PROCESOS Subtarea Objetivo o resultado Inventario de procesos Procesos de negocio Criticidad y prioridad objetivas para cada proceso. Fuente: usuarios clave de negocio. Inventario de activos Catálogo de activos. Posibles fuentes: inventario, software de descubrimiento, inmovilizado, administración de personal, gestión de roles, sistemas de asignación de recursos. Agrupación/Categorización de activos por la Creación de un universo de activos más dupla (naturaleza, proceso de negocio que manejable, más orientado a los procesos que soporta). sustentan que a su propia naturaleza tecnológica. Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 3.- Proceso de Gestión del Riesgo Fases detalladas b) EVALUACIÓN DEL RIESGO DE ACTIVOS Y PROCESOS Subtarea Objetivo o resultado Análisis de las vulnerabilidades y las amenazas por Conjunto de vulnerabilidades asociadas a los categoría de activo. activos. Conjunto de amenazas asociadas a las vulnerabilidades. Estimación de la probabilidad de ocurrencia. Estimación de la probabilidad de impacto de las amenazas en las vulnerabilidades: - Estadísticas públicas o privadas. - Datos históricos. - Experiencia. Estimación del riesgo. Estimación del impacto de cada ocurrencia. Valoración (cuantitativa/cualitativa). Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 14
  • 15. 3.- Proceso de Gestión del Riesgo Fases detalladas c) EVALUACIÓN DE LAS MEDIDAS Subtarea Objetivo o resultado Relación de objetivos de control a perseguir, para Selección de objetivos de control para cada riesgo a impedir el impacto de las amenazas en las mitigar. vulnerabilidades. Selección de controles para cada objetivo de control. Para cada objetivo de control, se establece qué medidas de carácter técnico u organizativo son procedentes. Estimación de costes. Estimación del coste de la implantación de cada contramedida. Este paso permite establecer la RAZONABILIDAD de los controles de seguridad. Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 3.- Proceso de Gestión del Riesgo Fases detalladas d) ANÁLISIS DE LA BRECHA Subtarea Objetivo o resultado Construcción de la matriz de riesgos. Obtener información sobre qué impacto en el nivel de riesgo tiene la inversión en Selección de riesgos a mitigar en función del medidas teniendo en cuenta: coste del control y del valor final del riesgo • Riesgos que mitigan. del activo. • En muchos activos, los riesgos se mitigan Reordenado de la matriz de riesgos para sólo parcialmente. formalizar qué riesgos se asumen, • Dependencias entre activos. transfieren o mitigan. • Ajuste de estrategias. Escenario #1 Escenario #2 Medidas #2 Medidas #1 Inversión € #2 Inversión € #1 Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 15
  • 16. 3.- Proceso de Gestión del Riesgo Fases detalladas e) SELECCIÓN DE LAS MEDIDAS, INVERSIÓN E IMPLANTACIÓN Escenario #1 Escenario #2 Medidas #2 Medidas #1 Inversión € #2 Inversión € #1 Aceptación formal del Selección de Proyecto de nivel de riesgo Provisión económica escenario deseado implantación residual Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 3.- Proceso de Gestión del Riesgo Fases detalladas f ) CONSTRUCCIÓN DE LA SOSTENIBILIDAD Subtarea Objetivo o resultado Aprobación expresa. Implicación de la Alta Dirección. Recursos económicos. Creación de un Comité de Riesgos. Evaluación de los controles Efectividad y eficiencia. implantados. Impacto real en el nivel de riesgo. Inclusión de la Administración del Informes sobre asunción de riesgos Riesgo en la toma de decisiones a en la toma de decisiones tanto a nivel todos los niveles. estratégico, como táctico u operativo. Revisión periódica de los escenarios de riesgo ante cambios relacionados con: Asesoría de qué riesgos ocultos y • Contexto legislativo costes adicionales suponen los cambios en el contexto interno y/o • Contexto económico externo. • Nuevos productos • Nuevos nichos ¿Lo hacemos bien? Auditoría externa periódica ¿En qué podemos mejorar? ¿Cómo impactaría dicha mejora? Evitar resistencias, asegurar la Formación y concienciación efectividad. Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 16
  • 17. 3.- Proceso de Gestión del Riesgo En resumen Una adecuada administración del riesgo permite: • Mejor visión desde las TI de qué es y qué no es relevante para el negocio. • Detección objetiva de áreas de mejora. • Mejor estrategia de inversiones en TI. • Aumento de la confianza en las TI. - Nuevos productos. - Nuevas oportunidades. • Aumento de la visibilidad estratégica de las TI. Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 4.- Controles Controles internos Políticas, procedimientos, prácticas y estructuras organizativas puestas para:  Reducir las vulnerabilidades de los activos  Reducir la probabilidad de que las amenazas puedan explotar vulnerabilidades  Reducir el impacto producido en el negocio por la materialización de amenazas Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 17
  • 18. 4.- Controles Controles internos  ¿Cómo se miden?  Coste de adquisición  Dificultad de implantación Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 4.- Controles Clasificación de los Controles internos a) Detectivos Cuando detectan que ha ocurrido un error, una omisión o un acto malicioso y lo reportan Ejemplos  Puntos de verificación en los trabajos de producción  Función de auditoría interna  Registro de logs  Controles de eco en las telecomunicaciones  Verificación de datos dobles en los cálculos  Hash totals Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 18
  • 19. 4.- Controles Clasificación de los Controles internos b) Correctivos Cuando contribuyen a eliminar o reducir el impacto negativo de la materialización de una amenaza. Corrigen o remedian problemas descubiertos por los controles detectivos o los errores que surjan de un problema. Ejemplos  Copias de respaldo (back-ups)  Plan de contingencias y continuidad de negocio  Procedimientos de nueva ejecución de programa Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 4.- Controles Clasificación de los Controles internos c) Preventivos Previenen de incidentes Ejemplos:  Política de seguridad  Formación del usuario  Controles de acceso  Proveedores de seguridad gestionada  Segregación de tareas  Correcto diseño de documentos  Procedimientos de autorización de transacciones Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 19
  • 20. 5.- Metodologías ESTÁNDARES DE MERCADO ISO27001 Contiene los requisitos para establecer, implantar, documentar y evaluar un sistema de gestión de seguridad de la información (SGSI) ISO 27002 Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005 Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 5.- Metodología ESTÁNDARES DE MERCADO COBIT (ISACA) En TODAS las áreas de gestión y control se contempla los aspectos básicos para la protección, integridad y confidencialidad de la información Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 20
  • 21. Reflexión Final “El que ha comenzado bien, está a la mitad de la obra” Horacio, Quintus Horatius Flaccus (65- a.C.) poeta Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM mballester@temanova.com Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 21