SlideShare a Scribd company logo

Riesgos TI

C
Charlie M

Este documento resume los principales riesgos asociados a la tecnología de la información y al cloud computing. Explica qué es la gestión de riesgos y cómo clasificar, analizar e implementar controles para los riesgos informáticos. También describe las principales amenazas del cloud computing según fuentes como Gartner y ENISA, como la seguridad de los datos, el cumplimiento regulatorio y la recuperación ante desastres.

BusinessTechnology
1 of 25
Download to read offline
LOS RIESGOS DE LAS TECNOLOGIAS DE LA INFORMACIÓN 1
Primera parte Qué es la Gestión de Riesgos 2
¿Qué es un Riesgo? Una definición genérica: El grado de incerteza respecto de la aparición de un evento y sus consecuencias (positivas o negativas). Participan los conceptos de: Amenaza Es el evento que origina el Riesgo Terremoto; Fallo de Hardware; Error Humano… Probabilidad Un suceso o condición segura NO es un Riesgo Vulnerabilidad Debilidad de un Activo o Recurso que puede ser explotado por una o más amenazas Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 3
Diagrama de Riesgos CONTRAMEDIDAS PROBABILIDAD Recurso / Amenaza Activo Impacto Vulnerabilidad Recurso / Activo Impacto Amenaza Vulnerabilidad Recurso / Activo Impacto Amenaza Recurso / Vulnerabilidad Activo Amenaza Impacto Recurso / Activo Vulnerabilidad Impacto Amenaza Recurso / Activo Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 4
Clasificación de Riesgos Según su Tipo de Impacto: Riesgos Positivos También llamados “Oportunidades” Deben potenciarse y aprovecharse Riesgos Negativos Son los Riesgos “por antonomasia” Deben tomarse medidas para: Reducir o Eliminar la Probabilidad de que sucedan - Gestionar las Amenazas; Vulnerabilidades y/o Activos, p.e. - Planes de Pruebas; Reducción de Puntos Únicos de Falla; Campañas de Entrenamiento y/o Concientización, etc. Mitigar su Impacto, p.e. - Políticas de Respaldo y Recuperación y Planes de Contingencia - Tercerizaciones Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 5
Clasificación de Riesgos Según el Área primaria impactada: Riesgos propios de Negocio: Difícilmente transferibles Mercados de Bienes y Financieros Competencia Leyes y Regulaciones, etc. Riesgos no específicos SIEMPRE impactan finalmente en el Negocio Riesgos Tecnológicos No informáticos Informáticos Otros Riesgos Recursos humanos Ambientales, etc. Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 6
Riesgos Informáticos Son un tipo específico de Riesgo Tecnológico Se definen como: Los riesgos asociados al Uso, Propiedad, Operación, Involucramiento, Influencia y Adopción de las TI dentro de una Organización ISACA – The RiskIT Framework – 2009 Son un componente inseparable de los Riesgos de Negocios Pueden clasificarse en: Asociados a la Pérdida de Beneficios o Valor Asociados a los Proyectos Asociados a la Entrega y Soporte de un Servicio Informático Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 7
Riesgos Informáticos – 3 Visiones RIESGOS CORPORATIVOS Riesgos Riesgos Riesgos de Riesgos Riesgos Riesgos Riesgos de Estratégicos Ambientales Mercado Crediticios Operativos Industriales TI RIESGOS CORPORATIVOS Riesgos Riesgos Riesgos de Riesgos Riesgos Riesgos Estratégicos Ambientales Mercado Crediticios Operativos Industriales Riesgos de TI RIESGOS CORPORATIVOS Riesgos Riesgos Riesgos de Riesgos Riesgos Riesgos Estratégicos Ambientales Mercado Crediticios Operativos Industriales Riesgos de TI Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 8
Gestión de Riesgos Informáticos Beneficios directos: Reduce el impacto en los ingresos y/o beneficios Protege las inversiones de los efectos negativos Prepara la organización para enfrentar a las amenazas Facilita la toma de acciones tempranas “Resolver los problemas pequeños cuando aún son pequeños” Además: Facilita las Comunicaciones entre TI y el Negocio Incrementa la confianza en la Gestión Facilita la implantación de medidas reactivas Versus “Gestión por Crisis” Compensa actitudes imprudentes o poco realistas Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 9
Desafíos Falta de inclusión en las Políticas de las Organizaciones Carencia de una Metodología RiskIT® (ISACA® - ITGI®); M_o_R®: OGC®; ISO 31000:2009, etc. Procesos subjetivos para la Toma de Decisiones “Gestión por Extrapolación” Inexistente o frágil justificación financiera Falta de Información ¿Costo de la Indisponibilidad? Impactos no financieros (Imagen) Limitación de recursos (Financieros, Humanos, Tiempo, etc.) Integrar la Gestión de Riesgos a la Cultura Organizacional “Gestión por Esperanza” Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 10
Principios Generales (*) La Gestión del Riesgo debe: Crear Valor para la organización Ser parte integral de los Procesos organizacionales y de Toma de Decisiones Manejar apropiadamente los niveles de incerteza Basarse en la mejor información disponible Ajustarse a los Objetivos y Necesidades del Negocio Considerar los factores humanos Ser transparente e inclusiva Ser dinámica, iterativa y susceptible a los cambios Someterse a un proceso de Mejora Continua (*) ISO 31000 – Risk Management – Principles & Guidelines Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 11
Posicionamiento Apetito por el Riesgo “Risk Appetite” Es el Nivel de Riesgo que una Organización está dispuesta a aceptar al perseguir sus Objetivos Organizaciones “Cautelosas” o “Temerarias” Suele seguir pautas históricas Tolerancia ante el Riesgo “Risk Tolerance” Es la Variación respecto del logro de los Objetivos que una Organización está dispuesta a aceptar Suele estar definida o condicionada por el Tipo de Negocio; el Mercado o Regulaciones P.E: ¿Cuántos clientes estamos dispuestos a perder en caso de (…)? Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 12
Análisis de Riesgos Por lo menos dos etapas bien diferenciadas: Análisis de Riesgos GESTIÓN DE RIESGOS Recolección de Información Amenazas Análisis de Vulnerabilidades Riesgos Probabilidades, etc. Permite la Toma de Decisiones Gestión de Riesgos Pone en práctica Procesos y Actividades: Implementación de Contramedidas Gestión de Monitoreo de Riesgos (Detección) Riesgos Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 13
Análisis de Riesgos Pueden identificarse: Identificación de los Riesgos GESTIÓN DE RIESGOS Análisis Cualitativo Identificación de la Probabilidad e Impacto Análisis de Análisis Cuantitativo Riesgos Incluye el análisis de las Vulnerabilidades Definir los Niveles aceptables de Riesgo Asociado al Apetito y Tolerancia al Riesgo Toma la forma de Costo/Beneficio Gestión de Identificar las contramedidas Riesgos Evitar; Mitigar; Transferir o Aceptar Toma la forma de Costo/Beneficio Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 14
Gestión de Riesgos Pueden identificarse: Implementar las respuestas definidas GESTIÓN DE RIESGOS Pueden combinarse Asegurar su efectividad Análisis de Monitoreo de Riesgos Riesgos Análisis de la Efectividad y Eficiencia Mejora y Revisión Mejora continua Gestión de Riesgos Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 15
Segunda parte Riesgos asociados al “Cloud Computing” 16
Principales Amenazas Según Gartner Group (1/2): Gartner Group – “Assessing the Security Risks of Cloud Computing” – June 2008 Acceso a la Información http://tinyurl.com/GartnerCloud2008 Grado de robustez que tienen los controles del Proveedor respecto de la información de sus clientes Cumplimiento Regulatorio La responsabilidad de Cliente NO es transferible al proveedor Auditorías y controles externos Ubicación de los Datos ¿Dónde está físicamente la información? Regulaciones Regionales exigibles por los Clientes Segregación de Datos Los esquemas de Encriptamiento incluyen sus propios riesgos y problemas Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 17
Principales Amenazas Según Gartner Group (2/2): Recuperación Planes de Respaldo y Recuperación y Planes de Contingencia Detección y Control de Actividades ilegales/deshonestas Por parte del Proveedor, su personal, sus proveedores o entidades externas (“hackers”) Long-term viability Compras o uniones (“merging”) Protección de datos (Disponibilidad, Integridad, Confidencialidad) Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 18
Principales Amenazas Según ENISA(*) – Resumen (1/2): ENISA – “Benefits, risks and recommendations for information Riesgos Organizacionales y Políticos security” – November 2009 http://tinyurl.com/ENISACloud2009 Pérdida o limitaciones de Gobierno Limitaciones en la Portabilidad (“Lock-in”) Cumplimiento de Regulaciones Por parte del “Cloud Provider” Por parte del Cliente (Auditorías) Riesgos Técnicos Debilidades en la Separación de la información (“Isolating”) Riesgo Personales Débil definición de Roles Borrado inseguro o incompleto de datos Fallos en las interfaces de acceso (“Web browsers”) (*) European Network and Information Security Agency http://www.enisa.europa.eu/ Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 19
Principales Amenazas Según ENISA – Resumen (2/2): Riesgos Legales Protección de los Datos Integridad, Confidencialidad, Disponibilidad, etc. Inespecíficos (no relacionados al “Cloud Computing”) Fallos en las redes Desempeño Disponibilidad Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 20
Evaluación de Riesgos Según CSA(*) pueden identificarse 6 etapas: Etapa 1: Identificar el tipo de Activo impactado por la decisión: Datos Aplicaciones; Funciones; Procesos CSA – “Security Guidance for Critical Areas of Focus in Cloud Computing” December 2009 Etapa 2: http://tinyurl.com/CSASecGuide2009 Para cada activo, evaluar las amenazas asociadas con: Su divulgación pública El acceso del personal del proveedor Su manipulación por parte del proveedor El fallo en el logro de sus objetivos Su indisponibilidad (*) Cloud Security Alliance https://cloudsecurityalliance.org/ Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 21
Evaluación de Riesgos Etapa 3: Una vez establecida la importancia del Activo, definir el Modelo potencialmente más adecuado: Nube Pública, Privada, Hibrida, etc. Etapa 4: Evaluar las contramedidas viables: Para cada proveedor Para cada capa Etapa 5: Analizar el flujo de datos Cómo se “mueven” los datos dentro de la interface Cliente- Proveedor Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 22
Evaluación de Riesgos Etapa 6: Sacar las conclusiones, considerando principalmente: Arquitecturas potencialmente viables Tolerancia y Apetito ante el riesgo Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 23
¿Qué les preocupa a las PYME’s? Según ENISA: Privacidad Aspectos Regulatorios Disponibilidad Claridad en las tarifas Datos y/o Servicios Costos variables fuera Integridad de control Datos y/o Servicios Costos y Dificultades asociadas a la Confidencialidad Migración No-Repudio Migraciones intra-nube Pérdida del Control ("lock-in) Manejo de Incidentes ENISA – “An SME perspective en Cloud Computing” – November 2009 http://tinyurl.com/ENISASurvey2009 Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 24
MUCHAS GRACIAS LOS RIESGOS DE LAS TECNOLOGIAS DE LA INFORMACIÓN 25

Recommended

iw.kc. El Impacto de las Tecnologías de Información en la Gestión Educativa E...
iw.kc. El Impacto de las Tecnologías de Información en la Gestión Educativa E...iw.kc. El Impacto de las Tecnologías de Información en la Gestión Educativa E...
iw.kc. El Impacto de las Tecnologías de Información en la Gestión Educativa E...Integralware Company
 
La sociedad de la información y las nuevas
La sociedad de la información y las nuevasLa sociedad de la información y las nuevas
La sociedad de la información y las nuevasjeivyalvarez
 
Power Burbules N.
Power Burbules N.Power Burbules N.
Power Burbules N.KarlaGri
 
Contenidos curso sgsi
Contenidos curso sgsiContenidos curso sgsi
Contenidos curso sgsijennycala
 
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...xavazquez
 
TIC gestion de riesgos laborales.
TIC gestion de riesgos laborales.TIC gestion de riesgos laborales.
TIC gestion de riesgos laborales.Milena Mesa Forero
 
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas pocketbox
 
ITIL: Cómo asegurar éxito al integrar TI con la estrategia de Negocio, por Pa...
ITIL: Cómo asegurar éxito al integrar TI con la estrategia de Negocio, por Pa...ITIL: Cómo asegurar éxito al integrar TI con la estrategia de Negocio, por Pa...
ITIL: Cómo asegurar éxito al integrar TI con la estrategia de Negocio, por Pa...Foro Global Crossing
 

Recommended

iw.kc. El Impacto de las Tecnologías de Información en la Gestión Educativa E...
iw.kc. El Impacto de las Tecnologías de Información en la Gestión Educativa E...iw.kc. El Impacto de las Tecnologías de Información en la Gestión Educativa E...
iw.kc. El Impacto de las Tecnologías de Información en la Gestión Educativa E...Integralware Company
 
La sociedad de la información y las nuevas
La sociedad de la información y las nuevasLa sociedad de la información y las nuevas
La sociedad de la información y las nuevasjeivyalvarez
 
Power Burbules N.
Power Burbules N.Power Burbules N.
Power Burbules N.KarlaGri
 
Contenidos curso sgsi
Contenidos curso sgsiContenidos curso sgsi
Contenidos curso sgsijennycala
 
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...xavazquez
 
TIC gestion de riesgos laborales.
TIC gestion de riesgos laborales.TIC gestion de riesgos laborales.
TIC gestion de riesgos laborales.Milena Mesa Forero
 
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas pocketbox
 
ITIL: Cómo asegurar éxito al integrar TI con la estrategia de Negocio, por Pa...
ITIL: Cómo asegurar éxito al integrar TI con la estrategia de Negocio, por Pa...ITIL: Cómo asegurar éxito al integrar TI con la estrategia de Negocio, por Pa...
ITIL: Cómo asegurar éxito al integrar TI con la estrategia de Negocio, por Pa...Foro Global Crossing
 
La posición relacional de la tecnología
La posición relacional de la tecnologíaLa posición relacional de la tecnología
La posición relacional de la tecnologíapacoalba07
 
Sinergia Gestión De Riesgos
Sinergia Gestión De RiesgosSinergia Gestión De Riesgos
Sinergia Gestión De RiesgosIsrael Díaz Ramos
 
Guia avanzada de_gestion_de_riesgos
Guia avanzada de_gestion_de_riesgosGuia avanzada de_gestion_de_riesgos
Guia avanzada de_gestion_de_riesgosRebeca Fernández
 
Tecnologías de la Información en la Seguridad del Paciente
Tecnologías de la Información en la Seguridad del PacienteTecnologías de la Información en la Seguridad del Paciente
Tecnologías de la Información en la Seguridad del PacienteIñaki González Rodríguez
 
Información y Formación de la Certificación CRISC 2017
Información y Formación de la Certificación CRISC 2017Información y Formación de la Certificación CRISC 2017
Información y Formación de la Certificación CRISC 2017ISACA Madrid Chapter
 
Tic gestion de riesgos laborales
Tic gestion de riesgos laboralesTic gestion de riesgos laborales
Tic gestion de riesgos laboralesCarolina Lozada
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Raúl Díaz
 
Plan de contingencia
Plan de contingencia Plan de contingencia
Plan de contingencia Lichi Decoud
 
Analisis de riesgo informatico
Analisis de riesgo informaticoAnalisis de riesgo informatico
Analisis de riesgo informaticoJordy Luna Palacios
 
Presentacion area de sistemas
Presentacion area de sistemasPresentacion area de sistemas
Presentacion area de sistemasLuis Ricardo Tsuchiya Camargo
 
201305 Gestionando las TI_como_un_negocio_uso_de_kpis_en_las_grandes_empresas...
201305 Gestionando las TI_como_un_negocio_uso_de_kpis_en_las_grandes_empresas...201305 Gestionando las TI_como_un_negocio_uso_de_kpis_en_las_grandes_empresas...
201305 Gestionando las TI_como_un_negocio_uso_de_kpis_en_las_grandes_empresas...Francisco Calzado
 
Departamento o área de sistemas en las organizaciones
Departamento o área de sistemas en las organizacionesDepartamento o área de sistemas en las organizaciones
Departamento o área de sistemas en las organizacionesjefer
 
TESIS SOBRE NIVEL DE GESTIÓN DEL PROCESO DE PLANIFICACIÓN Y ORGANIZACIÓN DE L...
TESIS SOBRE NIVEL DE GESTIÓN DEL PROCESO DE PLANIFICACIÓN Y ORGANIZACIÓN DE L...TESIS SOBRE NIVEL DE GESTIÓN DEL PROCESO DE PLANIFICACIÓN Y ORGANIZACIÓN DE L...
TESIS SOBRE NIVEL DE GESTIÓN DEL PROCESO DE PLANIFICACIÓN Y ORGANIZACIÓN DE L...Jose Luis Torres Vigil
 
Importancia del departamento de sistemas
Importancia del departamento de sistemasImportancia del departamento de sistemas
Importancia del departamento de sistemasGikaro Chacon
 
ITIL en pleno auge
ITIL en pleno augeITIL en pleno auge
ITIL en pleno augeITsencial
 
Gestionando las TI como un negocio. Uso de KPIs en grandes empresas españolas
Gestionando las TI como un negocio. Uso de KPIs en grandes empresas españolasGestionando las TI como un negocio. Uso de KPIs en grandes empresas españolas
Gestionando las TI como un negocio. Uso de KPIs en grandes empresas españolasGlobe Testing
 
Objetivos y relaciones empresariales del departamento de sistemas
Objetivos y relaciones empresariales del departamento de sistemasObjetivos y relaciones empresariales del departamento de sistemas
Objetivos y relaciones empresariales del departamento de sistemasjonaliz
 
MODELOS COBIT Y ITIL (generalidades)
MODELOS COBIT Y ITIL (generalidades)MODELOS COBIT Y ITIL (generalidades)
MODELOS COBIT Y ITIL (generalidades)Jairo Márquez
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandarMaria Villalba
 
análisis y gestión del riesgo
análisis y gestión del riesgoanálisis y gestión del riesgo
análisis y gestión del riesgoSindi Santos Cardenas
 
Gestion de riesgos1
Gestion de riesgos1Gestion de riesgos1
Gestion de riesgos1sena
 
Expositor Jorge Dominguez-Perú
Expositor Jorge Dominguez-PerúExpositor Jorge Dominguez-Perú
Expositor Jorge Dominguez-Perúsuperbancosec
 

More Related Content

Viewers also liked

La posición relacional de la tecnología
La posición relacional de la tecnologíaLa posición relacional de la tecnología
La posición relacional de la tecnologíapacoalba07
 
Guia avanzada de_gestion_de_riesgos
Guia avanzada de_gestion_de_riesgosGuia avanzada de_gestion_de_riesgos
Guia avanzada de_gestion_de_riesgosRebeca Fernández
 
Tecnologías de la Información en la Seguridad del Paciente
Tecnologías de la Información en la Seguridad del PacienteTecnologías de la Información en la Seguridad del Paciente
Tecnologías de la Información en la Seguridad del PacienteIñaki González Rodríguez
 
Información y Formación de la Certificación CRISC 2017
Información y Formación de la Certificación CRISC 2017Información y Formación de la Certificación CRISC 2017
Información y Formación de la Certificación CRISC 2017ISACA Madrid Chapter
 
Tic gestion de riesgos laborales
Tic gestion de riesgos laboralesTic gestion de riesgos laborales
Tic gestion de riesgos laboralesCarolina Lozada
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Raúl Díaz
 
Plan de contingencia
Plan de contingencia Plan de contingencia
Plan de contingencia Lichi Decoud
 
201305 Gestionando las TI_como_un_negocio_uso_de_kpis_en_las_grandes_empresas...
201305 Gestionando las TI_como_un_negocio_uso_de_kpis_en_las_grandes_empresas...201305 Gestionando las TI_como_un_negocio_uso_de_kpis_en_las_grandes_empresas...
201305 Gestionando las TI_como_un_negocio_uso_de_kpis_en_las_grandes_empresas...Francisco Calzado
 
Departamento o área de sistemas en las organizaciones
Departamento o área de sistemas en las organizacionesDepartamento o área de sistemas en las organizaciones
Departamento o área de sistemas en las organizacionesjefer
 
TESIS SOBRE NIVEL DE GESTIÓN DEL PROCESO DE PLANIFICACIÓN Y ORGANIZACIÓN DE L...
TESIS SOBRE NIVEL DE GESTIÓN DEL PROCESO DE PLANIFICACIÓN Y ORGANIZACIÓN DE L...TESIS SOBRE NIVEL DE GESTIÓN DEL PROCESO DE PLANIFICACIÓN Y ORGANIZACIÓN DE L...
TESIS SOBRE NIVEL DE GESTIÓN DEL PROCESO DE PLANIFICACIÓN Y ORGANIZACIÓN DE L...Jose Luis Torres Vigil
 
Importancia del departamento de sistemas
Importancia del departamento de sistemasImportancia del departamento de sistemas
Importancia del departamento de sistemasGikaro Chacon
 
ITIL en pleno auge
ITIL en pleno augeITIL en pleno auge
ITIL en pleno augeITsencial
 
Gestionando las TI como un negocio. Uso de KPIs en grandes empresas españolas
Gestionando las TI como un negocio. Uso de KPIs en grandes empresas españolasGestionando las TI como un negocio. Uso de KPIs en grandes empresas españolas
Gestionando las TI como un negocio. Uso de KPIs en grandes empresas españolasGlobe Testing
 
Objetivos y relaciones empresariales del departamento de sistemas
Objetivos y relaciones empresariales del departamento de sistemasObjetivos y relaciones empresariales del departamento de sistemas
Objetivos y relaciones empresariales del departamento de sistemasjonaliz
 
MODELOS COBIT Y ITIL (generalidades)
MODELOS COBIT Y ITIL (generalidades)MODELOS COBIT Y ITIL (generalidades)
MODELOS COBIT Y ITIL (generalidades)Jairo Márquez
 

Viewers also liked (20)

La posición relacional de la tecnología
La posición relacional de la tecnologíaLa posición relacional de la tecnología
La posición relacional de la tecnología
 
Sinergia Gestión De Riesgos
Sinergia Gestión De RiesgosSinergia Gestión De Riesgos
Sinergia Gestión De Riesgos
 
Guia avanzada de_gestion_de_riesgos
Guia avanzada de_gestion_de_riesgosGuia avanzada de_gestion_de_riesgos
Guia avanzada de_gestion_de_riesgos
 
Tecnologías de la Información en la Seguridad del Paciente
Tecnologías de la Información en la Seguridad del PacienteTecnologías de la Información en la Seguridad del Paciente
Tecnologías de la Información en la Seguridad del Paciente
 
Información y Formación de la Certificación CRISC 2017
Información y Formación de la Certificación CRISC 2017Información y Formación de la Certificación CRISC 2017
Información y Formación de la Certificación CRISC 2017
 
Tic gestion de riesgos laborales
Tic gestion de riesgos laboralesTic gestion de riesgos laborales
Tic gestion de riesgos laborales
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
 
Plan de contingencia
Plan de contingencia Plan de contingencia
Plan de contingencia
 
Analisis de riesgo informatico
Analisis de riesgo informaticoAnalisis de riesgo informatico
Analisis de riesgo informatico
 
Presentacion area de sistemas
Presentacion area de sistemasPresentacion area de sistemas
Presentacion area de sistemas
 
201305 Gestionando las TI_como_un_negocio_uso_de_kpis_en_las_grandes_empresas...
201305 Gestionando las TI_como_un_negocio_uso_de_kpis_en_las_grandes_empresas...201305 Gestionando las TI_como_un_negocio_uso_de_kpis_en_las_grandes_empresas...
201305 Gestionando las TI_como_un_negocio_uso_de_kpis_en_las_grandes_empresas...
 
Departamento o área de sistemas en las organizaciones
Departamento o área de sistemas en las organizacionesDepartamento o área de sistemas en las organizaciones
Departamento o área de sistemas en las organizaciones
 
TESIS SOBRE NIVEL DE GESTIÓN DEL PROCESO DE PLANIFICACIÓN Y ORGANIZACIÓN DE L...
TESIS SOBRE NIVEL DE GESTIÓN DEL PROCESO DE PLANIFICACIÓN Y ORGANIZACIÓN DE L...TESIS SOBRE NIVEL DE GESTIÓN DEL PROCESO DE PLANIFICACIÓN Y ORGANIZACIÓN DE L...
TESIS SOBRE NIVEL DE GESTIÓN DEL PROCESO DE PLANIFICACIÓN Y ORGANIZACIÓN DE L...
 
Importancia del departamento de sistemas
Importancia del departamento de sistemasImportancia del departamento de sistemas
Importancia del departamento de sistemas
 
ITIL en pleno auge
ITIL en pleno augeITIL en pleno auge
ITIL en pleno auge
 
Gestionando las TI como un negocio. Uso de KPIs en grandes empresas españolas
Gestionando las TI como un negocio. Uso de KPIs en grandes empresas españolasGestionando las TI como un negocio. Uso de KPIs en grandes empresas españolas
Gestionando las TI como un negocio. Uso de KPIs en grandes empresas españolas
 
Objetivos y relaciones empresariales del departamento de sistemas
Objetivos y relaciones empresariales del departamento de sistemasObjetivos y relaciones empresariales del departamento de sistemas
Objetivos y relaciones empresariales del departamento de sistemas
 
MODELOS COBIT Y ITIL (generalidades)
MODELOS COBIT Y ITIL (generalidades)MODELOS COBIT Y ITIL (generalidades)
MODELOS COBIT Y ITIL (generalidades)
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
análisis y gestión del riesgo
análisis y gestión del riesgoanálisis y gestión del riesgo
análisis y gestión del riesgo
 

Similar to Riesgos TI

Gestion de riesgos1
Gestion de riesgos1Gestion de riesgos1
Gestion de riesgos1sena
 
Expositor Jorge Dominguez-Perú
Expositor Jorge Dominguez-PerúExpositor Jorge Dominguez-Perú
Expositor Jorge Dominguez-Perúsuperbancosec
 
02 gestion del riesgo
02 gestion del riesgo02 gestion del riesgo
02 gestion del riesgooscareo79
 
Introducción si
Introducción siIntroducción si
Introducción siHayGomez
 
introduccion a la evaluacion y al analisis de riesgos (1)
introduccion a la evaluacion y al analisis de riesgos (1) introduccion a la evaluacion y al analisis de riesgos (1)
introduccion a la evaluacion y al analisis de riesgos (1)Luis CHambi
 
Seguridad Industrial y Análisis de Riesgos 19.03.10.ppt
Seguridad Industrial y Análisis de Riesgos 19.03.10.pptSeguridad Industrial y Análisis de Riesgos 19.03.10.ppt
Seguridad Industrial y Análisis de Riesgos 19.03.10.pptAugusto Hernández Franco
 
Procesos cognitivos en la toma de decisiones del consumidor ailyn g
Procesos cognitivos en la toma de decisiones del consumidor ailyn gProcesos cognitivos en la toma de decisiones del consumidor ailyn g
Procesos cognitivos en la toma de decisiones del consumidor ailyn ghechistar
 
Cesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos mageritCesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos mageritCesar Velez
 
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - BogotáGestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - BogotáGabriel Marcos
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosAlbert Mondr
 
Prevencion y control de riesgos
Prevencion y control de riesgosPrevencion y control de riesgos
Prevencion y control de riesgosCORINPROINCA GROUP
 
Cómo justificar las inversiones en Seguridad de la Información, por Franz Erni
Cómo justificar las inversiones en Seguridad de la Información, por Franz ErniCómo justificar las inversiones en Seguridad de la Información, por Franz Erni
Cómo justificar las inversiones en Seguridad de la Información, por Franz ErniForo Global Crossing
 

Similar to Riesgos TI (20)

Gestion de riesgos1
Gestion de riesgos1Gestion de riesgos1
Gestion de riesgos1
 
Expositor Jorge Dominguez-Perú
Expositor Jorge Dominguez-PerúExpositor Jorge Dominguez-Perú
Expositor Jorge Dominguez-Perú
 
02 gestion del riesgo
02 gestion del riesgo02 gestion del riesgo
02 gestion del riesgo
 
Introducción si
Introducción siIntroducción si
Introducción si
 
introduccion a la evaluacion y al analisis de riesgos (1)
introduccion a la evaluacion y al analisis de riesgos (1) introduccion a la evaluacion y al analisis de riesgos (1)
introduccion a la evaluacion y al analisis de riesgos (1)
 
22 29
22 2922 29
22 29
 
Seguridad Industrial y Análisis de Riesgos 19.03.10.ppt
Seguridad Industrial y Análisis de Riesgos 19.03.10.pptSeguridad Industrial y Análisis de Riesgos 19.03.10.ppt
Seguridad Industrial y Análisis de Riesgos 19.03.10.ppt
 
Procesos cognitivos en la toma de decisiones del consumidor ailyn g
Procesos cognitivos en la toma de decisiones del consumidor ailyn gProcesos cognitivos en la toma de decisiones del consumidor ailyn g
Procesos cognitivos en la toma de decisiones del consumidor ailyn g
 
Cesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos mageritCesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos magerit
 
Riegos
RiegosRiegos
Riegos
 
Prac n1
Prac n1Prac n1
Prac n1
 
05 marcado-ce gestion-de_riesgos
05 marcado-ce gestion-de_riesgos05 marcado-ce gestion-de_riesgos
05 marcado-ce gestion-de_riesgos
 
Cobit
CobitCobit
Cobit
 
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - BogotáGestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
 
Prevencion y control de riesgos
Prevencion y control de riesgosPrevencion y control de riesgos
Prevencion y control de riesgos
 
Ciberseguridad (deloitte)
Ciberseguridad (deloitte)Ciberseguridad (deloitte)
Ciberseguridad (deloitte)
 
Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgos
 
Cómo justificar las inversiones en Seguridad de la Información, por Franz Erni
Cómo justificar las inversiones en Seguridad de la Información, por Franz ErniCómo justificar las inversiones en Seguridad de la Información, por Franz Erni
Cómo justificar las inversiones en Seguridad de la Información, por Franz Erni
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgos
 

Recently uploaded

PLANILLA DE CONTROL LIMPIEZA TRAMPA DE GRASA
PLANILLA DE CONTROL LIMPIEZA TRAMPA DE GRASAPLANILLA DE CONTROL LIMPIEZA TRAMPA DE GRASA
PLANILLA DE CONTROL LIMPIEZA TRAMPA DE GRASAAlexandraSalgado28
 
El MCP abre convocatoria de Monitoreo Estratégico y apoyo técnico
El MCP abre convocatoria de Monitoreo Estratégico y apoyo técnicoEl MCP abre convocatoria de Monitoreo Estratégico y apoyo técnico
El MCP abre convocatoria de Monitoreo Estratégico y apoyo técnicoTe Cuidamos
 
estadistica basica ejercicios y ejemplos basicos
estadistica basica ejercicios y ejemplos basicosestadistica basica ejercicios y ejemplos basicos
estadistica basica ejercicios y ejemplos basicosVeritoIlma
 
VAMOS MANAOS, análisis e historia de la empresa Manaos
VAMOS MANAOS, análisis e historia de la empresa ManaosVAMOS MANAOS, análisis e historia de la empresa Manaos
VAMOS MANAOS, análisis e historia de la empresa Manaosmalenasilvaet7
 
La electrónica y electricidad finall.pdf
La electrónica y electricidad finall.pdfLa electrónica y electricidad finall.pdf
La electrónica y electricidad finall.pdfDiegomauricioMedinam
 
T.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptx
T.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptxT.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptx
T.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptxLizCarolAmasifuenIba
 
SISTEMA FINANCIERO PERÚ. Institución privada
SISTEMA FINANCIERO PERÚ. Institución privadaSISTEMA FINANCIERO PERÚ. Institución privada
SISTEMA FINANCIERO PERÚ. Institución privadaBetlellyArteagaAvila
 
¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?
¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?
¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?Michael Rada
 
20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdf
20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdf20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdf
20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdfRamon Costa i Pujol
 
PRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURA
PRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURAPRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURA
PRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURAgisellgarcia92
 
129813431-Diamantina-perforacion-ppt.pdf
129813431-Diamantina-perforacion-ppt.pdf129813431-Diamantina-perforacion-ppt.pdf
129813431-Diamantina-perforacion-ppt.pdfNahirleguizamon1
 
PRESENTACIÓN NOM-004-STPS-2020 SEGURIDAD EN MAQUINARIA
PRESENTACIÓN NOM-004-STPS-2020 SEGURIDAD EN MAQUINARIAPRESENTACIÓN NOM-004-STPS-2020 SEGURIDAD EN MAQUINARIA
PRESENTACIÓN NOM-004-STPS-2020 SEGURIDAD EN MAQUINARIAgisellgarcia92
 
Elección supervisor y comité SST 2020.pptx
Elección supervisor y comité SST 2020.pptxElección supervisor y comité SST 2020.pptx
Elección supervisor y comité SST 2020.pptxDiegoQuispeHuaman
 
Gastos que no forman parte del Valor en Aduana de la mercadería importada
Gastos que no forman parte del Valor en Aduana de la mercadería importadaGastos que no forman parte del Valor en Aduana de la mercadería importada
Gastos que no forman parte del Valor en Aduana de la mercadería importadaInstituto de Capacitacion Aduanera
 
CADENA DE SUMINISTROS DIAPOSITIVASS.pptx
CADENA DE SUMINISTROS DIAPOSITIVASS.pptxCADENA DE SUMINISTROS DIAPOSITIVASS.pptx
CADENA DE SUMINISTROS DIAPOSITIVASS.pptxYesseniaGuzman7
 
T.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdf
T.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdfT.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdf
T.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdfLizCarolAmasifuenIba
 
Habilidades de un ejecutivo y sus caracteristicas.pptx
Habilidades de un ejecutivo y sus caracteristicas.pptxHabilidades de un ejecutivo y sus caracteristicas.pptx
Habilidades de un ejecutivo y sus caracteristicas.pptxLUISALEJANDROPEREZCA1
 
GUIA DE ESTUDIOS DESARROLLO DE HABILIDADES DIRECTIVAS.pdf
GUIA DE ESTUDIOS DESARROLLO DE HABILIDADES DIRECTIVAS.pdfGUIA DE ESTUDIOS DESARROLLO DE HABILIDADES DIRECTIVAS.pdf
GUIA DE ESTUDIOS DESARROLLO DE HABILIDADES DIRECTIVAS.pdfRasecGAlavazOllirrac
 
PROCEDIMIENTO CONTENCIOSO TRIBUTARIO P.pdf
PROCEDIMIENTO CONTENCIOSO TRIBUTARIO P.pdfPROCEDIMIENTO CONTENCIOSO TRIBUTARIO P.pdf
PROCEDIMIENTO CONTENCIOSO TRIBUTARIO P.pdfjosesoclle855
 
PPT Planilla Foro logistica (1).pptDMEDMEOD
PPT Planilla Foro logistica (1).pptDMEDMEODPPT Planilla Foro logistica (1).pptDMEDMEOD
PPT Planilla Foro logistica (1).pptDMEDMEODferchuxdlinda
 

Recently uploaded (20)

PLANILLA DE CONTROL LIMPIEZA TRAMPA DE GRASA
PLANILLA DE CONTROL LIMPIEZA TRAMPA DE GRASAPLANILLA DE CONTROL LIMPIEZA TRAMPA DE GRASA
PLANILLA DE CONTROL LIMPIEZA TRAMPA DE GRASA
 
El MCP abre convocatoria de Monitoreo Estratégico y apoyo técnico
El MCP abre convocatoria de Monitoreo Estratégico y apoyo técnicoEl MCP abre convocatoria de Monitoreo Estratégico y apoyo técnico
El MCP abre convocatoria de Monitoreo Estratégico y apoyo técnico
 
estadistica basica ejercicios y ejemplos basicos
estadistica basica ejercicios y ejemplos basicosestadistica basica ejercicios y ejemplos basicos
estadistica basica ejercicios y ejemplos basicos
 
VAMOS MANAOS, análisis e historia de la empresa Manaos
VAMOS MANAOS, análisis e historia de la empresa ManaosVAMOS MANAOS, análisis e historia de la empresa Manaos
VAMOS MANAOS, análisis e historia de la empresa Manaos
 
La electrónica y electricidad finall.pdf
La electrónica y electricidad finall.pdfLa electrónica y electricidad finall.pdf
La electrónica y electricidad finall.pdf
 
T.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptx
T.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptxT.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptx
T.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptx
 
SISTEMA FINANCIERO PERÚ. Institución privada
SISTEMA FINANCIERO PERÚ. Institución privadaSISTEMA FINANCIERO PERÚ. Institución privada
SISTEMA FINANCIERO PERÚ. Institución privada
 
¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?
¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?
¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?
 
20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdf
20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdf20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdf
20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdf
 
PRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURA
PRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURAPRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURA
PRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURA
 
129813431-Diamantina-perforacion-ppt.pdf
129813431-Diamantina-perforacion-ppt.pdf129813431-Diamantina-perforacion-ppt.pdf
129813431-Diamantina-perforacion-ppt.pdf
 
PRESENTACIÓN NOM-004-STPS-2020 SEGURIDAD EN MAQUINARIA
PRESENTACIÓN NOM-004-STPS-2020 SEGURIDAD EN MAQUINARIAPRESENTACIÓN NOM-004-STPS-2020 SEGURIDAD EN MAQUINARIA
PRESENTACIÓN NOM-004-STPS-2020 SEGURIDAD EN MAQUINARIA
 
Elección supervisor y comité SST 2020.pptx
Elección supervisor y comité SST 2020.pptxElección supervisor y comité SST 2020.pptx
Elección supervisor y comité SST 2020.pptx
 
Gastos que no forman parte del Valor en Aduana de la mercadería importada
Gastos que no forman parte del Valor en Aduana de la mercadería importadaGastos que no forman parte del Valor en Aduana de la mercadería importada
Gastos que no forman parte del Valor en Aduana de la mercadería importada
 
CADENA DE SUMINISTROS DIAPOSITIVASS.pptx
CADENA DE SUMINISTROS DIAPOSITIVASS.pptxCADENA DE SUMINISTROS DIAPOSITIVASS.pptx
CADENA DE SUMINISTROS DIAPOSITIVASS.pptx
 
T.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdf
T.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdfT.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdf
T.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdf
 
Habilidades de un ejecutivo y sus caracteristicas.pptx
Habilidades de un ejecutivo y sus caracteristicas.pptxHabilidades de un ejecutivo y sus caracteristicas.pptx
Habilidades de un ejecutivo y sus caracteristicas.pptx
 
GUIA DE ESTUDIOS DESARROLLO DE HABILIDADES DIRECTIVAS.pdf
GUIA DE ESTUDIOS DESARROLLO DE HABILIDADES DIRECTIVAS.pdfGUIA DE ESTUDIOS DESARROLLO DE HABILIDADES DIRECTIVAS.pdf
GUIA DE ESTUDIOS DESARROLLO DE HABILIDADES DIRECTIVAS.pdf
 
PROCEDIMIENTO CONTENCIOSO TRIBUTARIO P.pdf
PROCEDIMIENTO CONTENCIOSO TRIBUTARIO P.pdfPROCEDIMIENTO CONTENCIOSO TRIBUTARIO P.pdf
PROCEDIMIENTO CONTENCIOSO TRIBUTARIO P.pdf
 
PPT Planilla Foro logistica (1).pptDMEDMEOD
PPT Planilla Foro logistica (1).pptDMEDMEODPPT Planilla Foro logistica (1).pptDMEDMEOD
PPT Planilla Foro logistica (1).pptDMEDMEOD
 

Riesgos TI

  • 1. LOS RIESGOS DE LAS TECNOLOGIAS DE LA INFORMACIÓN 1
  • 2. Primera parte Qué es la Gestión de Riesgos 2
  • 3. ¿Qué es un Riesgo? Una definición genérica: El grado de incerteza respecto de la aparición de un evento y sus consecuencias (positivas o negativas). Participan los conceptos de: Amenaza Es el evento que origina el Riesgo Terremoto; Fallo de Hardware; Error Humano… Probabilidad Un suceso o condición segura NO es un Riesgo Vulnerabilidad Debilidad de un Activo o Recurso que puede ser explotado por una o más amenazas Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 3
  • 4. Diagrama de Riesgos CONTRAMEDIDAS PROBABILIDAD Recurso / Amenaza Activo Impacto Vulnerabilidad Recurso / Activo Impacto Amenaza Vulnerabilidad Recurso / Activo Impacto Amenaza Recurso / Vulnerabilidad Activo Amenaza Impacto Recurso / Activo Vulnerabilidad Impacto Amenaza Recurso / Activo Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 4
  • 5. Clasificación de Riesgos Según su Tipo de Impacto: Riesgos Positivos También llamados “Oportunidades” Deben potenciarse y aprovecharse Riesgos Negativos Son los Riesgos “por antonomasia” Deben tomarse medidas para: Reducir o Eliminar la Probabilidad de que sucedan - Gestionar las Amenazas; Vulnerabilidades y/o Activos, p.e. - Planes de Pruebas; Reducción de Puntos Únicos de Falla; Campañas de Entrenamiento y/o Concientización, etc. Mitigar su Impacto, p.e. - Políticas de Respaldo y Recuperación y Planes de Contingencia - Tercerizaciones Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 5
  • 6. Clasificación de Riesgos Según el Área primaria impactada: Riesgos propios de Negocio: Difícilmente transferibles Mercados de Bienes y Financieros Competencia Leyes y Regulaciones, etc. Riesgos no específicos SIEMPRE impactan finalmente en el Negocio Riesgos Tecnológicos No informáticos Informáticos Otros Riesgos Recursos humanos Ambientales, etc. Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 6
  • 7. Riesgos Informáticos Son un tipo específico de Riesgo Tecnológico Se definen como: Los riesgos asociados al Uso, Propiedad, Operación, Involucramiento, Influencia y Adopción de las TI dentro de una Organización ISACA – The RiskIT Framework – 2009 Son un componente inseparable de los Riesgos de Negocios Pueden clasificarse en: Asociados a la Pérdida de Beneficios o Valor Asociados a los Proyectos Asociados a la Entrega y Soporte de un Servicio Informático Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 7
  • 8. Riesgos Informáticos – 3 Visiones RIESGOS CORPORATIVOS Riesgos Riesgos Riesgos de Riesgos Riesgos Riesgos Riesgos de Estratégicos Ambientales Mercado Crediticios Operativos Industriales TI RIESGOS CORPORATIVOS Riesgos Riesgos Riesgos de Riesgos Riesgos Riesgos Estratégicos Ambientales Mercado Crediticios Operativos Industriales Riesgos de TI RIESGOS CORPORATIVOS Riesgos Riesgos Riesgos de Riesgos Riesgos Riesgos Estratégicos Ambientales Mercado Crediticios Operativos Industriales Riesgos de TI Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 8
  • 9. Gestión de Riesgos Informáticos Beneficios directos: Reduce el impacto en los ingresos y/o beneficios Protege las inversiones de los efectos negativos Prepara la organización para enfrentar a las amenazas Facilita la toma de acciones tempranas “Resolver los problemas pequeños cuando aún son pequeños” Además: Facilita las Comunicaciones entre TI y el Negocio Incrementa la confianza en la Gestión Facilita la implantación de medidas reactivas Versus “Gestión por Crisis” Compensa actitudes imprudentes o poco realistas Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 9
  • 10. Desafíos Falta de inclusión en las Políticas de las Organizaciones Carencia de una Metodología RiskIT® (ISACA® - ITGI®); M_o_R®: OGC®; ISO 31000:2009, etc. Procesos subjetivos para la Toma de Decisiones “Gestión por Extrapolación” Inexistente o frágil justificación financiera Falta de Información ¿Costo de la Indisponibilidad? Impactos no financieros (Imagen) Limitación de recursos (Financieros, Humanos, Tiempo, etc.) Integrar la Gestión de Riesgos a la Cultura Organizacional “Gestión por Esperanza” Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 10
  • 11. Principios Generales (*) La Gestión del Riesgo debe: Crear Valor para la organización Ser parte integral de los Procesos organizacionales y de Toma de Decisiones Manejar apropiadamente los niveles de incerteza Basarse en la mejor información disponible Ajustarse a los Objetivos y Necesidades del Negocio Considerar los factores humanos Ser transparente e inclusiva Ser dinámica, iterativa y susceptible a los cambios Someterse a un proceso de Mejora Continua (*) ISO 31000 – Risk Management – Principles & Guidelines Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 11
  • 12. Posicionamiento Apetito por el Riesgo “Risk Appetite” Es el Nivel de Riesgo que una Organización está dispuesta a aceptar al perseguir sus Objetivos Organizaciones “Cautelosas” o “Temerarias” Suele seguir pautas históricas Tolerancia ante el Riesgo “Risk Tolerance” Es la Variación respecto del logro de los Objetivos que una Organización está dispuesta a aceptar Suele estar definida o condicionada por el Tipo de Negocio; el Mercado o Regulaciones P.E: ¿Cuántos clientes estamos dispuestos a perder en caso de (…)? Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 12
  • 13. Análisis de Riesgos Por lo menos dos etapas bien diferenciadas: Análisis de Riesgos GESTIÓN DE RIESGOS Recolección de Información Amenazas Análisis de Vulnerabilidades Riesgos Probabilidades, etc. Permite la Toma de Decisiones Gestión de Riesgos Pone en práctica Procesos y Actividades: Implementación de Contramedidas Gestión de Monitoreo de Riesgos (Detección) Riesgos Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 13
  • 14. Análisis de Riesgos Pueden identificarse: Identificación de los Riesgos GESTIÓN DE RIESGOS Análisis Cualitativo Identificación de la Probabilidad e Impacto Análisis de Análisis Cuantitativo Riesgos Incluye el análisis de las Vulnerabilidades Definir los Niveles aceptables de Riesgo Asociado al Apetito y Tolerancia al Riesgo Toma la forma de Costo/Beneficio Gestión de Identificar las contramedidas Riesgos Evitar; Mitigar; Transferir o Aceptar Toma la forma de Costo/Beneficio Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 14
  • 15. Gestión de Riesgos Pueden identificarse: Implementar las respuestas definidas GESTIÓN DE RIESGOS Pueden combinarse Asegurar su efectividad Análisis de Monitoreo de Riesgos Riesgos Análisis de la Efectividad y Eficiencia Mejora y Revisión Mejora continua Gestión de Riesgos Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 15
  • 16. Segunda parte Riesgos asociados al “Cloud Computing” 16
  • 17. Principales Amenazas Según Gartner Group (1/2): Gartner Group – “Assessing the Security Risks of Cloud Computing” – June 2008 Acceso a la Información http://tinyurl.com/GartnerCloud2008 Grado de robustez que tienen los controles del Proveedor respecto de la información de sus clientes Cumplimiento Regulatorio La responsabilidad de Cliente NO es transferible al proveedor Auditorías y controles externos Ubicación de los Datos ¿Dónde está físicamente la información? Regulaciones Regionales exigibles por los Clientes Segregación de Datos Los esquemas de Encriptamiento incluyen sus propios riesgos y problemas Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 17
  • 18. Principales Amenazas Según Gartner Group (2/2): Recuperación Planes de Respaldo y Recuperación y Planes de Contingencia Detección y Control de Actividades ilegales/deshonestas Por parte del Proveedor, su personal, sus proveedores o entidades externas (“hackers”) Long-term viability Compras o uniones (“merging”) Protección de datos (Disponibilidad, Integridad, Confidencialidad) Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 18
  • 19. Principales Amenazas Según ENISA(*) – Resumen (1/2): ENISA – “Benefits, risks and recommendations for information Riesgos Organizacionales y Políticos security” – November 2009 http://tinyurl.com/ENISACloud2009 Pérdida o limitaciones de Gobierno Limitaciones en la Portabilidad (“Lock-in”) Cumplimiento de Regulaciones Por parte del “Cloud Provider” Por parte del Cliente (Auditorías) Riesgos Técnicos Debilidades en la Separación de la información (“Isolating”) Riesgo Personales Débil definición de Roles Borrado inseguro o incompleto de datos Fallos en las interfaces de acceso (“Web browsers”) (*) European Network and Information Security Agency http://www.enisa.europa.eu/ Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 19
  • 20. Principales Amenazas Según ENISA – Resumen (2/2): Riesgos Legales Protección de los Datos Integridad, Confidencialidad, Disponibilidad, etc. Inespecíficos (no relacionados al “Cloud Computing”) Fallos en las redes Desempeño Disponibilidad Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 20
  • 21. Evaluación de Riesgos Según CSA(*) pueden identificarse 6 etapas: Etapa 1: Identificar el tipo de Activo impactado por la decisión: Datos Aplicaciones; Funciones; Procesos CSA – “Security Guidance for Critical Areas of Focus in Cloud Computing” December 2009 Etapa 2: http://tinyurl.com/CSASecGuide2009 Para cada activo, evaluar las amenazas asociadas con: Su divulgación pública El acceso del personal del proveedor Su manipulación por parte del proveedor El fallo en el logro de sus objetivos Su indisponibilidad (*) Cloud Security Alliance https://cloudsecurityalliance.org/ Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 21
  • 22. Evaluación de Riesgos Etapa 3: Una vez establecida la importancia del Activo, definir el Modelo potencialmente más adecuado: Nube Pública, Privada, Hibrida, etc. Etapa 4: Evaluar las contramedidas viables: Para cada proveedor Para cada capa Etapa 5: Analizar el flujo de datos Cómo se “mueven” los datos dentro de la interface Cliente- Proveedor Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 22
  • 23. Evaluación de Riesgos Etapa 6: Sacar las conclusiones, considerando principalmente: Arquitecturas potencialmente viables Tolerancia y Apetito ante el riesgo Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 23
  • 24. ¿Qué les preocupa a las PYME’s? Según ENISA: Privacidad Aspectos Regulatorios Disponibilidad Claridad en las tarifas Datos y/o Servicios Costos variables fuera Integridad de control Datos y/o Servicios Costos y Dificultades asociadas a la Confidencialidad Migración No-Repudio Migraciones intra-nube Pérdida del Control ("lock-in) Manejo de Incidentes ENISA – “An SME perspective en Cloud Computing” – November 2009 http://tinyurl.com/ENISASurvey2009 Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A. 24
  • 25. MUCHAS GRACIAS LOS RIESGOS DE LAS TECNOLOGIAS DE LA INFORMACIÓN 25