Madrid 27 Marzo 2008    Manuel Ballester, PhD IEEE, MBA, CISA, CISM                       Reflexión Inicial         “Cuant...
Contenido        1. Conceptos Básicos        2. Gestión del Riesgo        3. Proceso de Gestión de Riesgos        4. Contr...
1.- Conceptos Básicos   PRIMER PASO                     ENTENDER LOS CONCEPTOS BÁSICOS                                   F...
1.- Conceptos Básicos  Ejemplos de vulnerabilidades  Factores de riesgo que causan las amenazas        Falta de conocimie...
1.- Conceptos Básicos  Tipos de amenaza   Pueden ser:    externas o internas a la organización    deliberadas o accident...
1.- Conceptos Básicos   IMPACTO   Magnitud de las consecuencias que tiene para el negocio el hecho de que   uno o varios a...
1.- Conceptos Básicos    RIESGO   Se define como la probabilidad de que la organización se vea sometida a un   determinado...
1.- Conceptos Básicos   Los conceptos explicados anteriormente se relacionan de la siguiente manera:        Los activos t...
2.- Gestión del Riesgo   Introducción a la Gestión del Riesgo    Definición de Riesgo [Fuente: ISO]       Probabilidad de ...
2.- Gestión del Riesgo  Tarea del Analista de riesgos   El Analista de Riesgos debe utilizar el Análisis de Riesgos para: ...
2.- Gestión del Riesgo  Procedimiento de decisión  En función de los resultados y de los riesgos identificados la organiza...
2.- Gestión del Riesgo  El nivel de riesgo al que está sometido una organización nunca puede erradicarse  totalmente.   Se...
2.- Gestión del Riesgo  Si estos factores no se evalúan con total imparcialidad y objetividad, la Gestión  de Riesgos no p...
3.- Proceso de Gestión del Riesgo   Fases detalladas                        a) IDENTIFICACIÓN DE ACTIVOS Y PROCESOS       ...
3.- Proceso de Gestión del Riesgo   Fases detalladas                                       c) EVALUACIÓN DE LAS MEDIDAS   ...
3.- Proceso de Gestión del Riesgo   Fases detalladas          e) SELECCIÓN DE LAS MEDIDAS, INVERSIÓN E IMPLANTACIÓN       ...
3.- Proceso de Gestión del Riesgo    En resumen     Una adecuada administración del riesgo permite:     • Mejor visión des...
4.- Controles    Controles internos       ¿Cómo se miden?                 Coste de adquisición                 Dificult...
4.- Controles   Clasificación de los Controles internos    b) Correctivos    Cuando contribuyen a eliminar o reducir el im...
5.- Metodologías   ESTÁNDARES DE MERCADO   ISO27001   Contiene los requisitos para establecer, implantar, documentar y eva...
Reflexión Final         “El que ha comenzado bien,          está a la mitad de la obra”                       Horacio, Qui...
Upcoming SlideShare
Loading in …5
×

Gestión de Riesgos

409 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
409
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
12
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Gestión de Riesgos

  1. 1. Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM Reflexión Inicial “Cuanto más se dividen los obstáculos, son más fáciles de vencer” Concepción Arenal; (1820-1893) EscritoraMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 1
  2. 2. Contenido 1. Conceptos Básicos 2. Gestión del Riesgo 3. Proceso de Gestión de Riesgos 4. Controles 5. MetodologíasMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM1.- Conceptos Básicos Objeto de la presentación  Dar a conocer los conceptos básicos de Gestión del Riesgo  Identificar los objetivos y fases de la Gestión de RiesgosMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 2
  3. 3. 1.- Conceptos Básicos PRIMER PASO ENTENDER LOS CONCEPTOS BÁSICOS FUNDAMENTO DE LA GESTIÓN DE RIESGOS ACTIVO Todos aquellos componentes o recursos de la organización, tanto físicos (tangibles) como lógicos (intangibles) que constituyen:  La infraestructura  Patrimonio  Conocimiento  Reputación en el mercadoMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 1.- Conceptos Básicos VULNERABILIDAD Toda aquella circunstancia o característica de un activo que permite la consecución de ataques que comprometan la confidencialidad, integridad o disponibilidad de ese mismo activo o de otros activos de la organizaciónMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 3
  4. 4. 1.- Conceptos Básicos Ejemplos de vulnerabilidades Factores de riesgo que causan las amenazas  Falta de conocimientos del usuario  Falta de funcionalidad de la seguridad  Configuración inadecuada del cortafuegos  Elección deficiente de contraseñas  Tecnología no probada  Transmisión por comunicaciones no protegidasMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 1.- Conceptos Básicos AMENAZA Es un evento o incidente provocado por una entidad hostil a la organización (humana, natural o artificial) que aprovecha una o varias vulnerabilidades de un activo con el fin de agredir la confidencialidad, integridad o disponibilidad de ese mismo activo o de otros activos de la organización (se dice que la amenaza “explota” la vulnerabilidad del activo)Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 4
  5. 5. 1.- Conceptos Básicos Tipos de amenaza Pueden ser:  externas o internas a la organización  deliberadas o accidentales (por ejemplo en el caso de desastres naturales o negligencia sin intención de daño por parte de personal de la organización)Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 1.- Conceptos Básicos Ejemplos de amenaza  Errores  Daño intencional / ataque  Fraude  Robo  Falla de equipo / software  Desastres naturalesMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 5
  6. 6. 1.- Conceptos Básicos IMPACTO Magnitud de las consecuencias que tiene para el negocio el hecho de que uno o varios activos hayan visto comprometida su confidencialidad, integridad o disponibilidad debido a que una o varias amenazas hayan explotado las vulnerabilidades de estos u otros activos. Al estimar un determinado nivel de impacto es necesario considerar la criticidad de los activos afectadosMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 1.- Conceptos Básicos Ejemplos de impacto en una organización: pérdida (directa o indirecta)  Pérdida económica directa  Sanción por incumplimiento de legislación  Pérdida de imagen / reputación  Poner en peligro al personal o a los clientes  Violación de confianza  Pérdida de oportunidad de negocio  Reducción de la eficiencia /desempeño operativo  Interrupción de la actividad de negocioMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 6
  7. 7. 1.- Conceptos Básicos RIESGO Se define como la probabilidad de que la organización se vea sometida a un determinado nivel de impacto (determinado a su vez por las consecuencias de la agresión)Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 1.- Conceptos Básicos Estimación de riesgo Se basa en la combinación de dos factores:  La frecuencia con la que las amenazas consideradas podrían materializarse (estimando la probabilidad de que las amenazas consideradas puedan explotar las vulnerabilidades de los activos)  Nivel de impacto causado en el negocio en caso de que las amenazas consideradas se hagan efectivasMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 7
  8. 8. 1.- Conceptos Básicos Los conceptos explicados anteriormente se relacionan de la siguiente manera:  Los activos tienen o pueden tener vulnerabilidades  Las amenazas aprovechan vulnerabilidades de los activos para materializar su daño  La materialización de una amenaza sobre un activo tiene un impacto  La probabilidad de que la organización se vea sometida a un cierto nivel de impacto es el riesgoMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM2.- Gestión del Riesgo Datos estadísticos e importancia • El 80% de los administradores de mercado de capitales pagan en promedio un 11% más por acciones de empresas con demostración efectiva de manejo de riesgos. [Fuente: Asset Managers paymore for Well Governed Companies – KPMG – Reino Unido 2002] • Porque el resultado final de una compañía se construye por su habilidad para lograr los objetivos y evitar los riesgos.Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 8
  9. 9. 2.- Gestión del Riesgo Introducción a la Gestión del Riesgo Definición de Riesgo [Fuente: ISO] Probabilidad de que una amenaza se materialice, utilizando vulnerabilidades existentes de un activo o grupo de activos, generando pérdidas o daño. Definición de Gestión del Riesgo [Fuente: isaca.org]  Aplicación sistemática de: Políticas, prácticas y procedimientos de administración  A las tareas de: Identificar, analizar, evaluar, tratar y monitorizar el riesgo  Con el objeto de: Ayudar a la compañía a alcanzar sus objetivos de negocio.Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 2.- Gestión del Riesgo Introducción a la Gestión de Riesgo Engloba al Análisis del Riesgo: Proceso mediante el cual se identifican las amenazas y las vulnerabilidades en una organización, se valora su impacto y la probabilidad de que ocurran. [Fuente: UNE/ISO/IEC27000] Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización. [Fuente: MAGERIT]Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 9
  10. 10. 2.- Gestión del Riesgo Tarea del Analista de riesgos El Analista de Riesgos debe utilizar el Análisis de Riesgos para:  Preguntarse no si nuestra organización está expuesta a riesgos sino a qué riesgos está expuesta  Preguntarse no si alguna vez estos riesgos se harán efectivos sino cuándo lo harán y asesorar para la toma de medidas preventivas y correctoras para cuando sucedaMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 2.- Gestión del Riesgo Procedimiento de decisión Un procedimiento de Gestión de Riesgos ayuda a la decisión. Resultados: Guía para que la organización tome decisiones sobre: implantar nuevos mecanismos de seguridad qué controles o procesos de seguridad serán los más adecuadosMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 10
  11. 11. 2.- Gestión del Riesgo Procedimiento de decisión En función de los resultados y de los riesgos identificados la organización puede:  Decidir qué medidas tomar dependiendo de una serie de factores: COSTES DE LA IMPLANTACIÓN DE CONTROLES QUE REDUZCAN LOS RIESGOS VS COSTES DERIVADOS DE LAS CONSECUENCIAS DE LA MATERIALIZACIÓN DE ESTOS RIESGOSMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 2.- Gestión del Riesgo Procedimiento de decisión  Implantar y mantener controles de seguridad que minimicen estos riesgos y los mantengan a un nivel aceptable (lo cual implica inversiones económicas)  Asumir ciertos riesgos a los que está expuesta la organización ya que las consecuencias acarrean un coste económico y estratégico menor que el coste que sería necesario aportar para reducir dichos riesgosMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 11
  12. 12. 2.- Gestión del Riesgo El nivel de riesgo al que está sometido una organización nunca puede erradicarse totalmente. Se trata de buscar un equilibrio entre :  el nivel de recursos y mecanismos que es preciso dedicar para minimizar estos riesgos  un cierto nivel de confianza que se puede considerar suficiente (nivel de riesgo aceptable)Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 2.- Gestión del Riesgo Es un procedimiento sistemático que necesita realizar determinadas tareas y estimaciones de forma totalmente imparcial y objetiva:  Identificar las vulnerabilidades presentes en los activos  Estimación de la probabilidad con la que las amenazas pueden explotar las vulnerabilidades de los activos  Estimación del impacto en el negocio en caso de que ciertas amenazas se hagan efectivas  Estimación de si se puede asumir el riesgo o es necesario invertir en la implantación o actualización de controles de seguridadMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 12
  13. 13. 2.- Gestión del Riesgo Si estos factores no se evalúan con total imparcialidad y objetividad, la Gestión de Riesgos no podrá cumplir su función con garantías, que es: Ayudarnos a tomar decisiones sobre cómo proteger nuestros activos: papel del auditor como agente independiente que reporta a la Dirección GeneralMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 3.- Proceso de Gestión del Riesgo Fases detalladas Fases A) Identificación de activos y procesos B) Evaluación del riesgo de los activos y procesos. C) Evaluación de las medidas. D) Análisis de la brecha de riesgos. E) Inversión e implantación de las medidas. F) Construir la sostenibilidad del método.Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 13
  14. 14. 3.- Proceso de Gestión del Riesgo Fases detalladas a) IDENTIFICACIÓN DE ACTIVOS Y PROCESOS Subtarea Objetivo o resultado Inventario de procesos Procesos de negocio Criticidad y prioridad objetivas para cada proceso. Fuente: usuarios clave de negocio. Inventario de activos Catálogo de activos. Posibles fuentes: inventario, software de descubrimiento, inmovilizado, administración de personal, gestión de roles, sistemas de asignación de recursos. Agrupación/Categorización de activos por la Creación de un universo de activos más dupla (naturaleza, proceso de negocio que manejable, más orientado a los procesos que soporta). sustentan que a su propia naturaleza tecnológica.Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 3.- Proceso de Gestión del Riesgo Fases detalladas b) EVALUACIÓN DEL RIESGO DE ACTIVOS Y PROCESOS Subtarea Objetivo o resultado Análisis de las vulnerabilidades y las amenazas por Conjunto de vulnerabilidades asociadas a los categoría de activo. activos. Conjunto de amenazas asociadas a las vulnerabilidades. Estimación de la probabilidad de ocurrencia. Estimación de la probabilidad de impacto de las amenazas en las vulnerabilidades: - Estadísticas públicas o privadas. - Datos históricos. - Experiencia. Estimación del riesgo. Estimación del impacto de cada ocurrencia. Valoración (cuantitativa/cualitativa).Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 14
  15. 15. 3.- Proceso de Gestión del Riesgo Fases detalladas c) EVALUACIÓN DE LAS MEDIDAS Subtarea Objetivo o resultado Relación de objetivos de control a perseguir, para Selección de objetivos de control para cada riesgo a impedir el impacto de las amenazas en las mitigar. vulnerabilidades. Selección de controles para cada objetivo de control. Para cada objetivo de control, se establece qué medidas de carácter técnico u organizativo son procedentes. Estimación de costes. Estimación del coste de la implantación de cada contramedida. Este paso permite establecer la RAZONABILIDAD de los controles de seguridad.Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 3.- Proceso de Gestión del Riesgo Fases detalladas d) ANÁLISIS DE LA BRECHA Subtarea Objetivo o resultado Construcción de la matriz de riesgos. Obtener información sobre qué impacto en el nivel de riesgo tiene la inversión en Selección de riesgos a mitigar en función del medidas teniendo en cuenta: coste del control y del valor final del riesgo • Riesgos que mitigan. del activo. • En muchos activos, los riesgos se mitigan Reordenado de la matriz de riesgos para sólo parcialmente. formalizar qué riesgos se asumen, • Dependencias entre activos. transfieren o mitigan. • Ajuste de estrategias. Escenario #1 Escenario #2 Medidas #2 Medidas #1 Inversión € #2 Inversión € #1Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 15
  16. 16. 3.- Proceso de Gestión del Riesgo Fases detalladas e) SELECCIÓN DE LAS MEDIDAS, INVERSIÓN E IMPLANTACIÓN Escenario #1 Escenario #2 Medidas #2 Medidas #1 Inversión € #2 Inversión € #1 Aceptación formal del Selección de Proyecto de nivel de riesgo Provisión económica escenario deseado implantación residualMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 3.- Proceso de Gestión del Riesgo Fases detalladas f ) CONSTRUCCIÓN DE LA SOSTENIBILIDAD Subtarea Objetivo o resultado Aprobación expresa. Implicación de la Alta Dirección. Recursos económicos. Creación de un Comité de Riesgos. Evaluación de los controles Efectividad y eficiencia. implantados. Impacto real en el nivel de riesgo. Inclusión de la Administración del Informes sobre asunción de riesgos Riesgo en la toma de decisiones a en la toma de decisiones tanto a nivel todos los niveles. estratégico, como táctico u operativo. Revisión periódica de los escenarios de riesgo ante cambios relacionados con: Asesoría de qué riesgos ocultos y • Contexto legislativo costes adicionales suponen los cambios en el contexto interno y/o • Contexto económico externo. • Nuevos productos • Nuevos nichos ¿Lo hacemos bien? Auditoría externa periódica ¿En qué podemos mejorar? ¿Cómo impactaría dicha mejora? Evitar resistencias, asegurar la Formación y concienciación efectividad.Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 16
  17. 17. 3.- Proceso de Gestión del Riesgo En resumen Una adecuada administración del riesgo permite: • Mejor visión desde las TI de qué es y qué no es relevante para el negocio. • Detección objetiva de áreas de mejora. • Mejor estrategia de inversiones en TI. • Aumento de la confianza en las TI. - Nuevos productos. - Nuevas oportunidades. • Aumento de la visibilidad estratégica de las TI.Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM4.- Controles Controles internos Políticas, procedimientos, prácticas y estructuras organizativas puestas para:  Reducir las vulnerabilidades de los activos  Reducir la probabilidad de que las amenazas puedan explotar vulnerabilidades  Reducir el impacto producido en el negocio por la materialización de amenazasMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 17
  18. 18. 4.- Controles Controles internos  ¿Cómo se miden?  Coste de adquisición  Dificultad de implantaciónMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM4.- Controles Clasificación de los Controles internos a) Detectivos Cuando detectan que ha ocurrido un error, una omisión o un acto malicioso y lo reportan Ejemplos  Puntos de verificación en los trabajos de producción  Función de auditoría interna  Registro de logs  Controles de eco en las telecomunicaciones  Verificación de datos dobles en los cálculos  Hash totalsMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 18
  19. 19. 4.- Controles Clasificación de los Controles internos b) Correctivos Cuando contribuyen a eliminar o reducir el impacto negativo de la materialización de una amenaza. Corrigen o remedian problemas descubiertos por los controles detectivos o los errores que surjan de un problema. Ejemplos  Copias de respaldo (back-ups)  Plan de contingencias y continuidad de negocio  Procedimientos de nueva ejecución de programaMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM4.- Controles Clasificación de los Controles internos c) Preventivos Previenen de incidentes Ejemplos:  Política de seguridad  Formación del usuario  Controles de acceso  Proveedores de seguridad gestionada  Segregación de tareas  Correcto diseño de documentos  Procedimientos de autorización de transaccionesMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 19
  20. 20. 5.- Metodologías ESTÁNDARES DE MERCADO ISO27001 Contiene los requisitos para establecer, implantar, documentar y evaluar un sistema de gestión de seguridad de la información (SGSI) ISO 27002 Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005 Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM5.- Metodología ESTÁNDARES DE MERCADO COBIT (ISACA) En TODAS las áreas de gestión y control se contempla los aspectos básicos para la protección, integridad y confidencialidad de la informaciónMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 20
  21. 21. Reflexión Final “El que ha comenzado bien, está a la mitad de la obra” Horacio, Quintus Horatius Flaccus (65- a.C.) poetaMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM mballester@temanova.comMadrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM 21

×