Regional Business Forum BSI
Título: Gestión de Riesgos con ISO 31000
Por Mario Ureña Cuate, BSICISSP, CISA, CISM, CGEIT, BS25999LA, ISO27001LA
08 de Abril 2011
INTRODUCCIÓN
Introducción
San Juan Ixhuatepec. 1984
México, D.F. 19 de Septiembre de 1985
México, D.F. 06 de Octubre de 2008
Empresa que cotiza en bolsa, 10 de Octubre de 2008
Inundación en Veracruz. 1999
Huracán Nora, Acapulco. 1997
New York, USA. 11 de Septiembre de 2001
Bomba, México, D.F. 15 de Febrero de 2008 México, D.F. 04 de Noviembre de 2008
Fuente: SecureInformationTechnologies
Introducción
Introducción
Introducción
Seguridad de la Información - Amenazas
Insuficiencia de infraestructura
Spyware / Adware
Phishing / Engaños intencionales
Agresores internos
Desconocimiento del usuario
Hackers y otros agresores
Virus
Informáticos
0 50 100 150 200 250 300 350 400 450
Hardware deficiente
Fallas de energía
Spam
Negligencia del usuario
Software deficiente
Insuficiencia de infraestructura No informáticos
Fuente: SecureInformationTechnologies – Estudio de Percepción 2010
Uso de banca electrónica
Extracción de información
Pérdida de información
Robo de identidad
Integridad / Confiabilidad
Privacidad / Confidencialidad
Informáticos
Seguridad de la Información - Preocupaciones
0 50 100 150 200 250 300
Accesos inalámbricos
Pirateria
Internet
Pornografía / Protección para …
Compras en línea
Uso de banca electrónica
No informáticos
Fuente: SecureInformationTechnologies – Estudio de Percepción 2010
Riesgos relacionados con desastres
The International Disaster Database
www.emdat.bewww.emdat.be
Desastres ocurridos desde 1900 a la fecha
An
gu
illa
An
tig
ua
an
d B
arb
ud
a
Arg
en
tin
a
Ba
ha
ma
s
Ba
rba
do
s
Be
lize
Be
rmu
da
Bo
livia
Bra
zil
Ca
ym
an
Isl
an
ds
Ch
ile
Co
lom
bia
Co
sta
Ric
a
Cu
ba
Do
min
ica
Do
min
ica
n R
ep
Ecu
ad
or
El S
alv
ad
or
Fre
nch
Gu
ian
a
Gre
na
da
Gu
ad
elo
up
e
Gu
ate
ma
la
Gu
ya
na
Ha
iti
Ho
nd
ura
s
Jam
aic
a
Ma
rtin
iqu
e
Me
xic
o
Mo
nts
err
at
Ne
the
rla
nd
s A
nti
lles
Nic
ara
gu
a
No
rth
ern
Ma
ria
na
Is
Pa
na
ma
Pa
rag
ua
y
Pe
ru
Pu
ert
o R
ico
St
Kit
ts a
nd
Ne
vis
St
Luci
a
St
Vin
cen
t a
nd
Th
e G
ren
ad
ine
s
Su
rin
am
e
Tri
nid
ad
an
d T
ob
ag
o
Tu
rks
an
d C
aic
os
Is
Uru
gu
ay
Ve
ne
zue
la
Vir
gin
Is
(UK
)
Vir
gin
Is
(US
)
Total
Desastres Complejos 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 2
Sequía 1 1 2 0 0 0 0 9 15 0 2 1 3 6 0 1 3 5 0 0 0 4 2 7 9 3 0 6 0 0 4 0 1 6 8 1 0 0 0 0 0 0 1 1 0 0 116
Actividad sísmica 0 0 5 0 1 0 0 3 2 0 27 23 13 2 1 2 16 10 0 0 1 12 0 1 6 1 1 27 0 0 9 0 4 0 39 1 0 1 0 0 1 0 0 8 0 0 257Actividad sísmica 0 0 5 0 1 0 0 3 2 0 27 23 13 2 1 2 16 10 0 0 1 12 0 1 6 1 1 27 0 0 9 0 4 0 39 1 0 1 0 0 1 0 0 8 0 0 257
Epidemia 5 0 2 0 0 0 0 11 15 0 1 2 1 2 0 5 11 9 0 0 0 7 0 2 7 5 0 3 0 0 10 0 5 6 11 0 0 0 0 0 0 0 0 6 0 0 138
Temperaturas Extremas 0 0 7 0 0 1 0 3 7 0 5 0 0 0 0 0 0 1 0 0 0 2 0 0 0 0 0 16 0 0 0 0 0 2 6 0 0 0 0 0 0 0 3 0 0 0 88
Inundación 1 0 46 1 2 4 0 32 104 0 26 61 23 21 0 17 24 14 1 1 1 18 6 40 25 13 0 55 0 0 14 0 27 15 38 6 1 0 4 3 2 0 12 24 0 0 867
Accidente Industrial 0 0 3 0 0 0 0 1 13 0 3 11 1 2 0 0 5 2 0 0 0 1 1 1 2 2 0 33 0 0 2 0 0 0 4 2 0 0 0 0 1 0 0 5 0 0 184
Infestación (Insectos) 0 0 0 0 0 0 0 0 1 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 3
Deslave (Seco) 0 0 0 0 0 0 0 0 0 0 0 3 0 0 0 0 1 0 0 0 0 2 0 0 1 1 0 0 0 0 0 0 0 0 2 0 0 0 0 0 0 0 0 0 0 0 18
Deslave (Mojado) 0 0 3 0 0 0 0 5 23 0 4 35 1 0 0 0 11 2 0 0 0 6 1 2 1 1 0 10 0 0 1 0 0 0 30 2 0 1 0 0 1 0 0 4 0 0 148
Accidentes Miscelaneos 0 0 6 0 1 1 0 0 22 0 5 10 2 1 0 2 4 3 0 1 0 5 4 13 5 1 0 14 0 0 2 0 6 1 10 2 0 0 0 0 2 0 0 7 0 0 228
Tormenta 6 10 17 20 6 13 6 2 18 7 13 7 8 38 12 25 0 11 0 6 12 8 0 33 19 27 13 75 4 4 18 1 4 4 3 16 8 13 8 0 7 6 6 3 2 6 1062
Accidente de transporte 1 0 19 3 0 1 2 27 99 0 10 45 2 20 1 12 20 6 0 0 2 24 0 29 8 1 0 72 0 1 3 0 8 2 104 7 0 0 0 3 0 2 5 29 0 0 788
Actividad volcánica 0 0 2 0 0 0 0 0 0 0 6 11 6 0 0 0 10 1 0 0 1 11 0 0 0 0 1 10 4 0 5 0 0 0 2 0 0 0 3 0 1 0 0 0 0 0 76
Incendios Forestales 0 0 5 0 0 0 0 3 3 0 6 2 2 2 0 3 2 0 0 0 0 2 0 0 1 0 0 3 0 0 3 0 1 1 1 0 0 0 0 0 0 0 0 0 0 0 118
Total 14 11 117 24 10 20 8 96 322 7 108 212 62 94 14 67 107 64 1 8 17 102 14 128 84 55 15 324 8 5 72 1 57 37 259 37 9 15 15 6 15 8 27 87 2 6 4093
Arg
en
tin
a
Bra
zil
Co
lom
bia
Co
sta
Ric
a
Re
pu
blic
a D
om
.
Ecu
ad
or
El S
alv
ad
or
Ho
nd
ura
s
Me
xic
o
Pa
na
ma
Pe
ru
Uru
gu
ay
Desastres Complejos 0 0 0 0 0 0 0 0 0 1 0 0
Sequía 2 15 1 3 1 3 5 9 6 1 8 1
Actividad sísmica 5 2 23 13 2 16 10 6 27 4 39 0
Epidemia 2 15 2 1 5 11 9 7 3 5 11 0
Temperaturas Extremas 7 7 0 0 0 0 1 0 16 0 6 3
Inundación 46 104 61 23 17 24 14 25 55 27 38 12
Accidente Industrial 3 13 11 1 0 5 2 2 33 0 4 0
Infestación (Insectos) 0 1 1 0 0 0 0 0 0 0 1 0
Deslave (Seco) 0 0 3 0 0 1 0 1 0 0 2 0
Deslave (Mojado) 3 23 35 1 0 11 2 1 10 0 30 0
Accidentes Miscelaneos 6 22 10 2 2 4 3 5 14 6 10 0
Tormenta 17 18 7 8 25 0 11 19 75 4 3 6
Accidente de transporte 19 99 45 2 12 20 6 8 72 8 104 5
Actividad volcánica 2 0 11 6 0 10 1 0 10 0 2 0
Incendios Forestales 5 3 2 2 3 2 0 1 3 1 1 0
GESTIÓN DE RIESGOS EN LAS ORGANIZACIONESLAS ORGANIZACIONES
Tipos de gestión de riesgos
Relaciones entre tipos de riesgos
Riesgo de Seguridad
de la Información
Riesgo de TI
Riesgo de Continuidad del Negocio
Riesgo de Proceso
Riesgo Operacional
Riesgo Financiero
Relaciones entre tipos de riesgos
Riesgo de Terremoto
Riesgo de Tsunami
Riesgo de Continuidad del Negocio
Riesgo de Fallas en
Infraestructura Nuclear
Riesgo de Emisiones
Radioactivas
Riesgo de daño a la
salud de la población
Análisis y evaluación de riesgos
Granularidad:
Oferta de estándares y marcos de referencia
Nota: Solo como referencia y no deberá considerarse como exhaustivo.Fuente: Secure Information Technologies
Oferta de estándares y marcos de referencia
Directamente relacionados con la Gestión de Riesgos
Nota: Solo como referencia y no deberá considerarse como exhaustivo.Fuente: Secure Information Technologies
Oferta de estándares y marcos de referencia
Requieren o se relacionan con la Gestión de Riesgos
Nota: Solo como referencia y no deberá considerarse como exhaustivo.Fuente: Secure Information Technologies
Oferta de estándares y marcos de referencia
Nota: Solo como referencia y no deberá considerarse como exhaustivo.Fuente: Secure Information Technologies
GUÍA 73
Guía 73:2009Áreas cubiertas:
- Términos relacionados con riesgo (1)
- Términos relacionados con gestión de riesgos (4)
- Términos relacionados con el proceso de gestión de riesgos (1)
- Términos relacionados con la comunicación y consulta (3)
- Términos relacionados con el contexto (4)- Términos relacionados con el contexto (4)
- Términos relacionados con la evaluación de riesgos (assessment) (1)
- Términos relacionados con la identificación de riesgos (6)
- Términos relacionados con el análisis de riesgos (9)
- Términos relacionados con la evaluación de riesgos (evaluation) (7)
- Términos relacionados con el tratamiento de riesgos (8)
- Términos relacionados con el monitoreo y medición (6)
ISO 31000
ISO 31000
Gestión de Riesgos – Principios y Guías
Estándar internacional
Primera edición – 15 de Noviembre de 2009
Para organizaciones de cualquier tipo y tamaño
ISO 31000
Puede ser aplicado a toda la organización, así
como a funciones, proyectos y actividades
específicas.
Cada sector específico debe tomar en cuenta
necesidades individuales, audiencias,
percepciones y criterios.
ISO 31000
Provee principios y guías genéricas para la gestión deriesgos.
Puede ser aplicado a cualquier tipo de riesgo,cualquiera que sea su naturaleza, ya sea que tengaconsecuencias positivas o negativas.
No ha sido desarrollado con propósitos de certificación
Riesgo
Efecto de la incertidumbre en los
objetivos de la organización
ISO 31000• Enfoque de
procesos
• Basado en
P-D-C-A
• Cualquier organización
• Cualquier tipo de riesgo
ISO 31000 - PRINCIPIOSISO 31000. La gestión de riesgos:
a) crea y protege valor
b) es una parte integral de los procesos de la organización
c) forma parte de la toma de decisiones
d) explícitamente atiende la incertidumbre
e) es sistemática, estructurada y oportunae) es sistemática, estructurada y oportuna
f) está basada en la mejor información disponible
g) está adaptada a la organización
h) toma en cuenta factores humanos y culturales
i) es transparente e inclusiva
j) es dinámica, iterativa y responde al cambio
k) facilita la mejora continua
ISO 31000 - COMPONENTES
Compromiso de la gerencia
Diseño del marco de referencia
Implementar la gestión de riesgos
Monitorear y revisar
Mejora continua
ISO 31000 - PROCESO
Establecer el contexto
Identificación riesgos
Com
unic
ació
n y
consulta
Monito
reo y
revis
ión
Inic
io
Análisis de riesgos
Evaluación de riesgos
Tratamiento de riesgos
Com
unic
ació
n y
consulta
Monito
reo y
revis
ión
ISO 31000 – Opciones de tratamiento
a) Evitar el riesgo al decidir no iniciar o continuar con la actividad
b) Tomar o incrementar el riesgo para perseguir una oportunidad
c) Remover la fuente del riesgo
d) Modificar la posibilidad
e) Modificar las consecuencias
f) Compartir el riesgo con otra parte
g) Retener el riesgo a través de una decisión informada
ISO 31000 – Estándares relacionados
ISO 31000 Guide 73 ISO 31010 ISO 27005
ISO 27005
ISO 27005• Provee guías para la gestión de riesgos de seguridad de la
información.
• Soporta los principales conceptos especificados en ISO/IEC 27001y ha sido diseñado para asistir en la implementación satisfactoria deseguridad de la información basada en un enfoque de gestión deriesgos.riesgos.
• Para un entendimiento completo de éste estándar, se requiere elconocimiento de los conceptos, modelos, procesos y terminologíasdescritas en ISO/IEC 27001.
• Aplica a todo tipo de organización que intente gestionar riesgos quepudieran comprometer la seguridad de la información de laorganización.
SISTEMAS DE GESTIÓN Y ESTÁNDARES ISOESTÁNDARES ISO
ISO
ISO 27001
ISO 9001BS 25999
ISO 14001
ISO 38500
ISO 20000
Motivadores
Gobiernocorporativo
Gobierno de TI
DesempeñoMetas del negocio
Cumplimiento
ISO 31000
COBIT / ISO 38500
BalancedScorecard
PM
BO
K /
PR
INC
E2
Val IT
LFPDPPP, SOX, BASILEAII,
PCI.
COSO
Estándares y mejores prácticas
Procesos y procedimientos
PM
BO
K /
PR
INC
E2
ISO 9001SGC
ISO 20000SGSTI ISO 27001
SGSI
Procedimientosde calidad ITIL
Principios de Seguridad
(OECD)
BS 25999 / BS 25777 /ISO 22301
SGCN
DRII
ISO 27005CMMI
Procedimientosde desarrollo ymantenimiento
SSE-CMM
Fuente: Mario Ureña – SecureInformationInformationInformationInformationTechnologies 2011. Draft
BS 10012SGIP
Practicas de protección
de datos
PA
S 9
9
OFERTA DE CAPACITACIÓN
Cursos BSI
• Interpretación
• Implementación
• Auditor Interno• Auditor Interno
• Auditor Líder*
*Con posibilidad de certificación
CAMINO A LA CERTIFICACIÓNCERTIFICACIÓN
Certificación
• Pre-auditoría (opcional)
• Revisión Documental
• Auditoría de Cumplimiento
Pre-certificación
Post-certificación• Auditorías de Seguimiento
• Auditorías cada tres años
El Organismo de Certificación emite el Certificado
43
Contáctenos
Nombre: Informes de Capacitación y Certificación
Dirección: Oficina Ciudad de México
Torre Mayor
Paseo de la Reforma No.505 Piso 41 Suite C
México, Distrito FederalMéxico, Distrito Federal
Teléfono: +52 (55) 5241 1370
Fax: +52 (55) 5241 1371
Email: [email protected]
Links: www.bsigroup.com.mx
44
Contáctenos
Nombre: Informes de Capacitación y Certificación BSI
Dirección: Oficina MonterreyTorre Capitel
Av. Lázaro Cárdenas No.1801 Piso 9 Suite 908
Monterrey, Nuevo LeónMonterrey, Nuevo León
Teléfono: +52 (81) 8155 6100
Fax: +52 (81) 8155 6105
Email: [email protected]
Links: www.bsigroup.com.mx
45
Contáctenos
Nombre:
Mario Ureña,
CISSP, CISA, CISM, CGEIT, BS25999LA, ISO27001LA
Posición: Presidente
Empresa: Secure Information Technologies
Miembro
Associated Consultant Program Empresa: Secure Information Technologies
Teléfono 1: (5255) 5524 8091 y 5524 7582
Celular: (5255) 1798-8155
Email: [email protected]
Web: www.secureit.com.mx
Blog: www.mariourenacuate.com
Associated Consultant Program
Fin de la Presentación