Charla BAITEC - Riesgos

749 views

Published on

Gestión de Riesgos en Cloud Computing - Presentación 21Jun2011 - BAITEC

Published in: Business, Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
749
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
33
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Charla BAITEC - Riesgos

  1. 1. LOS RIESGOS DE LAS TECNOLOGIAS DE LA INFORMACIÓN 1
  2. 2. Primera parteQué es la Gestión de Riesgos 2
  3. 3. ¿Qué es un Riesgo? Una definición genérica: El grado de incerteza respecto de la aparición de un evento y sus consecuencias (positivas o negativas). Participan los conceptos de: Amenaza Es el evento que origina el Riesgo Terremoto; Fallo de Hardware; Error Humano… Probabilidad Un suceso o condición segura NO es un Riesgo Vulnerabilidad Debilidad de un Activo o Recurso que puede ser explotado por una o más amenazasVersión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 3
  4. 4. Diagrama de Riesgos CONTRAMEDIDAS PROBABILIDAD Recurso / Amenaza Activo Impacto Vulnerabilidad Recurso / Activo Impacto Amenaza Vulnerabilidad Recurso / Activo Impacto Amenaza Recurso / Vulnerabilidad Activo Amenaza Impacto Recurso / Activo Vulnerabilidad Impacto Amenaza Recurso / ActivoVersión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 4
  5. 5. Clasificación de Riesgos Según su Tipo de Impacto: Riesgos Positivos También llamados “Oportunidades” Deben potenciarse y aprovecharse Riesgos Negativos Son los Riesgos “por antonomasia” Deben tomarse medidas para: Reducir o Eliminar la Probabilidad de que sucedan - Gestionar las Amenazas; Vulnerabilidades y/o Activos, p.e. - Planes de Pruebas; Reducción de Puntos Únicos de Falla; Campañas de Entrenamiento y/o Concientización, etc. Mitigar su Impacto, p.e. - Políticas de Respaldo y Recuperación y Planes de Contingencia - TercerizacionesVersión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 5
  6. 6. Clasificación de Riesgos Según el Área primaria impactada: Riesgos propios de Negocio: Difícilmente transferibles Mercados de Bienes y Financieros Competencia Leyes y Regulaciones, etc. Riesgos no específicos SIEMPRE impactan finalmente en el Negocio Riesgos Tecnológicos No informáticos Informáticos Otros Riesgos Recursos humanos Ambientales, etc.Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 6
  7. 7. Riesgos Informáticos Son un tipo específico de Riesgo Tecnológico Se definen como: Los riesgos asociados al Uso, Propiedad, Operación, Involucramiento, Influencia y Adopción de las TI dentro de una Organización ISACA – The RiskIT Framework – 2009 Son un componente inseparable de los Riesgos de Negocios Pueden clasificarse en: Asociados a la Pérdida de Beneficios o Valor Asociados a los Proyectos Asociados a la Entrega y Soporte de un Servicio InformáticoVersión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 7
  8. 8. Riesgos Informáticos – 3 Visiones RIESGOS CORPORATIVOS Riesgos Riesgos Riesgos de Riesgos Riesgos Riesgos Riesgos de Estratégicos Ambientales Mercado Crediticios Operativos Industriales TI RIESGOS CORPORATIVOS Riesgos Riesgos Riesgos de Riesgos Riesgos Riesgos Estratégicos Ambientales Mercado Crediticios Operativos Industriales Riesgos de TI RIESGOS CORPORATIVOS Riesgos Riesgos Riesgos de Riesgos Riesgos Riesgos Estratégicos Ambientales Mercado Crediticios Operativos Industriales Riesgos de TIVersión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 8
  9. 9. Gestión de Riesgos Informáticos Beneficios directos: Reduce el impacto en los ingresos y/o beneficios Protege las inversiones de los efectos negativos Prepara la organización para enfrentar a las amenazas Facilita la toma de acciones tempranas “Resolver los problemas pequeños cuando aún son pequeños” Además: Facilita las Comunicaciones entre TI y el Negocio Incrementa la confianza en la Gestión Facilita la implantación de medidas reactivas Versus “Gestión por Crisis” Compensa actitudes imprudentes o poco realistasVersión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 9
  10. 10. Desafíos Falta de inclusión en las Políticas de las Organizaciones Carencia de una Metodología RiskIT® (ISACA® - ITGI®); M_o_R®: OGC®; ISO 31000:2009, etc. Procesos subjetivos para la Toma de Decisiones “Gestión por Extrapolación” Inexistente o frágil justificación financiera Falta de Información ¿Costo de la Indisponibilidad? Impactos no financieros (Imagen) Limitación de recursos (Financieros, Humanos, Tiempo, etc.) Integrar la Gestión de Riesgos a la Cultura Organizacional “Gestión por Esperanza”Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 10
  11. 11. Principios Generales (*) La Gestión del Riesgo debe: Crear Valor para la organización Ser parte integral de los Procesos organizacionales y de Toma de Decisiones Manejar apropiadamente los niveles de incerteza Basarse en la mejor información disponible Ajustarse a los Objetivos y Necesidades del Negocio Considerar los factores humanos Ser transparente e inclusiva Ser dinámica, iterativa y susceptible a los cambios Someterse a un proceso de Mejora Continua (*) ISO 31000 – Risk Management – Principles & GuidelinesVersión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 11
  12. 12. Posicionamiento Apetito por el Riesgo “Risk Appetite” Es el Nivel de Riesgo que una Organización está dispuesta a aceptar al perseguir sus Objetivos Organizaciones “Cautelosas” o “Temerarias” Suele seguir pautas históricas Tolerancia ante el Riesgo “Risk Tolerance” Es la Variación respecto del logro de los Objetivos que una Organización está dispuesta a aceptar Suele estar definida o condicionada por el Tipo de Negocio; el Mercado o Regulaciones P.E: ¿Cuántos clientes estamos dispuestos a perder en caso de (…)?Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 12
  13. 13. Análisis de Riesgos Por lo menos dos etapas bien diferenciadas: Análisis de Riesgos GESTIÓN DE RIESGOS Recolección de Información Amenazas Análisis de Vulnerabilidades Riesgos Probabilidades, etc. Permite la Toma de Decisiones Gestión de Riesgos Pone en práctica Procesos y Actividades: Implementación de Contramedidas Gestión de Monitoreo de Riesgos (Detección) RiesgosVersión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 13
  14. 14. Análisis de Riesgos Pueden identificarse: Identificación de los Riesgos GESTIÓN DE RIESGOS Análisis Cualitativo Identificación de la Probabilidad e Impacto Análisis de Análisis Cuantitativo Riesgos Incluye el análisis de las Vulnerabilidades Definir los Niveles aceptables de Riesgo Asociado al Apetito y Tolerancia al Riesgo Toma la forma de Costo/Beneficio Gestión de Identificar las contramedidas Riesgos Evitar; Mitigar; Transferir o Aceptar Toma la forma de Costo/BeneficioVersión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 14
  15. 15. Gestión de Riesgos Pueden identificarse: Implementar las respuestas definidas GESTIÓN DE RIESGOS Pueden combinarse Asegurar su efectividad Análisis de Monitoreo de Riesgos Riesgos Análisis de la Efectividad y Eficiencia Mejora y Revisión Mejora continua Gestión de RiesgosVersión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 15
  16. 16. Segunda parteRiesgos asociados al “Cloud Computing” 16
  17. 17. Principales Amenazas Según Gartner Group (1/2): Gartner Group – “Assessing the Security Risks of Cloud Computing” – June 2008 Acceso a la Información http://tinyurl.com/GartnerCloud2008 Grado de robustez que tienen los controles del Proveedor respecto de la información de sus clientes Cumplimiento Regulatorio La responsabilidad de Cliente NO es transferible al proveedor Auditorías y controles externos Ubicación de los Datos ¿Dónde está físicamente la información? Regulaciones Regionales exigibles por los Clientes Segregación de Datos Los esquemas de Encriptamiento incluyen sus propios riesgos y problemasVersión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 17
  18. 18. Principales Amenazas Según Gartner Group (2/2): Recuperación Planes de Respaldo y Recuperación y Planes de Contingencia Detección y Control de Actividades ilegales/deshonestas Por parte del Proveedor, su personal, sus proveedores o entidades externas (“hackers”) Long-term viability Compras o uniones (“merging”) Protección de datos (Disponibilidad, Integridad, Confidencialidad)Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 18
  19. 19. Principales Amenazas Según ENISA(*) – Resumen (1/2): ENISA – “Benefits, risks and recommendations for information Riesgos Organizacionales y Políticos security” – November 2009 http://tinyurl.com/ENISACloud2009 Pérdida o limitaciones de Gobierno Limitaciones en la Portabilidad (“Lock-in”) Cumplimiento de Regulaciones Por parte del “Cloud Provider” Por parte del Cliente (Auditorías) Riesgos Técnicos Debilidades en la Separación de la información (“Isolating”) Riesgo Personales Débil definición de Roles Borrado inseguro o incompleto de datos Fallos en las interfaces de acceso (“Web browsers”) (*) European Network and Information Security Agency http://www.enisa.europa.eu/Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 19
  20. 20. Principales Amenazas Según ENISA – Resumen (2/2): Riesgos Legales Protección de los Datos Integridad, Confidencialidad, Disponibilidad, etc. Inespecíficos (no relacionados al “Cloud Computing”) Fallos en las redes Desempeño DisponibilidadVersión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 20
  21. 21. Evaluación de Riesgos Según CSA(*) pueden identificarse 6 etapas: Etapa 1: Identificar el tipo de Activo impactado por la decisión: Datos Aplicaciones; Funciones; Procesos CSA – “Security Guidance for Critical Areas of Focus in Cloud Computing” December 2009 Etapa 2: http://tinyurl.com/CSASecGuide2009 Para cada activo, evaluar las amenazas asociadas con: Su divulgación pública El acceso del personal del proveedor Su manipulación por parte del proveedor El fallo en el logro de sus objetivos Su indisponibilidad (*) Cloud Security Alliance https://cloudsecurityalliance.org/Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 21
  22. 22. Evaluación de Riesgos Etapa 3: Una vez establecida la importancia del Activo, definir el Modelo potencialmente más adecuado: Nube Pública, Privada, Hibrida, etc. Etapa 4: Evaluar las contramedidas viables: Para cada proveedor Para cada capa Etapa 5: Analizar el flujo de datos Cómo se “mueven” los datos dentro de la interface Cliente- ProveedorVersión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 22
  23. 23. Evaluación de Riesgos Etapa 6: Sacar las conclusiones, considerando principalmente: Arquitecturas potencialmente viables Tolerancia y Apetito ante el riesgoVersión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 23
  24. 24. ¿Qué les preocupa a las PYME’s? Según ENISA: Privacidad Aspectos Regulatorios Disponibilidad Claridad en las tarifas Datos y/o Servicios Costos variables fuera Integridad de control Datos y/o Servicios Costos y Dificultades asociadas a la Confidencialidad Migración No-Repudio Migraciones intra-nube Pérdida del Control ("lock-in) Manejo de Incidentes ENISA – “An SME perspective en Cloud Computing” – November 2009 http://tinyurl.com/ENISASurvey2009Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 24
  25. 25. MUCHAS GRACIASLOS RIESGOS DE LAS TECNOLOGIAS DE LA INFORMACIÓN 25

×