Download - Sesión 4 Riesgo Tecnológico y
Sesión 4
Riesgo Tecnológico y Seguridad de la Información
Agenda1. Aspectos clave en la identificación y
evaluación de riesgos de TI. 2. Desarrollo y gestión de un programa de
Seguridad de la Información.3. Indicadores clave de desempeño (KPIs).4. Respuesta y mitigación de riesgos de TI e
incidentes de seguridad de la Información.5. Aspectos claves en Continuidad del
Negocio.
GESTIÓN DEL RIESGO DE TI
QUE ES EL RIESGO DE TI?
Pérdidas de derivadas de afectaciones a los componentes tecnológicos de los
sistemas de información de la Entidad.
1. En todos los componentes de los Sistemas de Información.
2. Procesos de tecnología.3. Personas que administran la tecnología.
DONDE SE IDENTIFICA
Riesgo de negocio asociado a:Uso, propiedad, operación, participación,
influencia y adopción de TI en la organización.
RIESGO DE TI
Riesgo relacionado con TI
5
RIESGO DE TI
Fuente: ISACA, org, manual de preparación CRISC 6ta edición
RIESGO DE LA ORGANIZACIÓN
Riesgo estratégico Riesgo ambiental Riesgo de
mercado Riesgo operativo Riesgo de crédito Riesgo de cumplimiento
Riesgo de facilitación de valor/beneficio de TI
Riesgo de entrega de proyectos y programas de TI
Riesgo de prestación de servicios y operaciones de
TI
6
MARCOS DE REFERENCIA
Fuente: ISACA,
• COBIT es un marco de gobierno de las tecnologías de información que proporciona una serie de herramientas para que la gerencia pueda conectar los requerimientos de control con los aspectos técnicos y los riesgos del negocio
• COBIT permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en toda la organización
(Control Objectives for Information and related Technology)
Cuestionario 1
La gestión del riesgo de TI...
A. Considera la tecnología y los presupuestos.B. Implementación de una estrategia que involucra cultura,
apetito y niveles de tolerancia en la organización.C. Todas las anteriores.
Cuestionario 1
La gestión del riesgo de TI
A. Considera la tecnología y los presupuestos.B. Implementación de una estrategia que involucra cultura,
apetito y niveles de tolerancia en la organización.C. Todas las anteriores. .
9
MARCOS DE REFERENCIA
• ITIL (Infraestructure library – librería infraestructura de TI)
• Mejores prácticas sobre la administración del ciclo de vida de servicios de TI
• Provee guía y prácticas sobre:- Estrategia del servicio.- Administración del portafolio de servicio.- Administración de la demanda.- Administración financiera.
Ejemplo de servicios de TI:
MACRO SERVICIO SERVICIO Servicios Básicos
Servicios a la
“Carta”
Servicios Bajo
Demanda
(B) (AC) (BD)
APLICACIONES DE APOYO AL NEGOCIO
1) Canales transaccionales x
USUARIO FINAL
1) Configuraciones PC-Laptop
x
1) Internet x
1) Correo electrónico x
1) Impresión x
COMUNICACIONES1) Telefonía x
1) Correo electrónico x
INFORMACIÓN
1) Respaldo y restauración de información
x
1) Elaboración de reportes x
10
MARCOS DE REFERENCIA• ISO 27005: gestión del riesgo de seguridad
de la información• ISO 27000 – 27001:
Mejores prácticas para preservar la integridad, confidencialidad y disponibilidad de la información.
Cuestionario 2
Un programa de gestión de riesgos de TI debería ser...
A. IntegralB. AuditableC. JustificableD. LegalE. MonitoreadoF. Todas las anteriores
Cuestionario 2
Un programa de gestión de riesgos de TI debería ser...
A. IntegralB. AuditableC. JustificableD. LegalE. MonitoreadoF. Todas las anteriores
Cuestionario 3
¿Cuáles son los principios de la seguridad de la información?
A. Integridad, confidencialidad y disponibilidad.B. Completitud y exactitud.C. Reserva y confidencialidad.D. No repudio y disponibilidad.E. Ninguna de las anteriores.
Cuestionario 3
¿Cuáles son los principios de la seguridad de la información?
A. Integridad, confidencialidad y disponibilidad.B. Completitud y exactitud.C. Reserva y confidencialidad.D. No repudio y disponibilidad.E. Ninguna de las anteriores.
15
MÉTODOS DE IDENTIFICACIÓN DE RIESGOS DE TIFACTORES DE RIESGO
Agentes de amenaza
Amenazas Vulnerabilidades
Riesgo
ACTIVOSAlgo de valor tangible o intangible que vale la pena proteger
• Información• Reputación• Marca• Propiedad intelectual• Instalaciones• Equipamiento• Recurso humano• Procesos de negocio
16
Valorar el activo conforme a:
• Sanciones
• Daños a la reputación
• Costos de reemplazo
• Efecto sobre terceros y contrapartes
• Incumplimientos
• Pérdidas de ventajas competitivas
• Costos legales
ACTIVOSAmenazas
EXTERNAS
• Espionaje
• Robo
• Terrorismo
• Actos criminales
• Enfermedades
• Actividad sísmica
• Errores hw, sw
• Fallas mecánicas
• Corrupción de datos
• Sobrecargas eléctricas
• Eventos naturales
INTERNAS
• Personal
• Empleados
MÉTODOS DE IDENTIFICACIÓN DE RIESGOS DE TI
Vulnerabilidades
Huecos o brechas de seguridad que generan oportunidad de amenaza o dan lugar a consecuencias que puedan tener impacto en el negocio.
• Vulnerabilidades de red
• Acceso físico
• Aplicaciones y servicios orientados a Web
• Suministros (servicios publicos)METODOLOGÍA OCTAVE
1. Crear perfiles de amenazas a los activos
2. Determinar las vulnerabilidades de la infraestructura
3. Elaborar estrategia de seguridad y planes de mitigación
17
ESCENARIOS DE RIESGO
Descripción de un posible evento cuya ocurrencia tendrá impacto incierto en el logro de los objetivos de la organización
Describir:
AgenteEventoActivo involucradoTiempo
EJEMPLO
Daños en el servidor del Core del negocio debido a fallas en el suministro
de energía
Cuestionario 4
Las contraseñas débiles y transmisión de información sensible sin debido cifrado son ejemplo de:
A. AmenazaB. VulnerabilidadC. ImpactoD. Activo
Cuestionario 4
Las contraseñas débiles y transmisión de información sensible sin debido cifrado son ejemplo de:
A. AmenazaB. VulnerabilidadC. ImpactoD. Activo
20
MITIGACIÓN Y RESPUESTA AL RIESGO
Evaluar Beneficio- Reducción de costos de eventos- Responsabilidades reducidas- Aumento de confianza de
clientes- Mejores relaciones- Recuperación rápida
Controles
Evaluar Costo- Costo de adquisición- Costo de mantenimiento- Costo de eliminación o
reemplazo
21
GESTIÓN DE PROYECTOS1. Implementar un comité de control de cambios2. Reorganizar recursos cuando se presenten cuellos de botella3. Reemplazar o complementar gerentes cuando se cumplen expectativas4. Reiniciar proyectos bajo escenarios más favorables5. Reemplazar proveedores o renegociar.6. Ejecutar por fases
Riesgos
Elaborar una matriz de riesgos desde el inicio del proyecto
Elaborar una matriz de comunicaciones
22
CICLO DE VIDA DE DESARROLLO DE SISTEMAS
Desarrollo Pruebas Producción
Establecer controles en cada uno de los ciclos de vida de la implementación de sistemas de información y cambios de hardware
23
PRUEBAS DE SOFTWARE
Buenas prácticas • Datos: Validez de los datos y
garantizar confidencialidad de los mismos
• Separación de ambientes• Control de versiones• Bloqueo de modificaciones sobre el
código• Pruebas unitarias• Pruebas de integración al sistema • Garantía de calidad
PLANES ALTERNATIVOS (ROLL BACK)Al implementar en producción un nueva versión de un aplicativo o sistema de información, configuración de equipo se recomienda tener un plan para volver a la configuración o versión anterior.
Cual es el riesgo?
???????
Cuestionario 5
Clasifique los siguientes controles1. Segregación de tareas.2. Políticas de seguridad de la
información.3. Pruebas de penetración a redes
(Ethical Hacking).4. Sistemas de detección de
incendios.5. Cifrado de información sensible a
asociados.6. Autenticación de dos factores.7. Plan alternativo (roll back) para
configuración del servidor principal.
A. Preventivo
B. Detectivo
C. Correctivo
D. Directivo
Cuestionario 5
Clasifique los siguientes controles
1. Segregación de tareas.2. Políticas de seguridad de la
información.3. Pruebas de penetración a redes
(Ethical Hacking).4. Sistemas de detección de
incendios.5. Cifrado de información sensible a
asociados.6. Autenticación de dos factores.7. Plan alternativo (roll back) para
configuración del servidor principal.
A. Preventivo
B. Detectivo
C. Correctivo
D. Directivo
26
SEGURIDAD DE LA INFORMACIÓN
EVALUACIÓN
DE CONTOLES
Activo
INFORMACIÓN
CONTROLES
Gobierno de la Seguridad de la
Información
Gestión de Riesgos de la
Seguridad de la Información
Programa de Seguridad de la
Información
Gestión de Incidentes de
Seguridad
Estándar ISO 27001; 27002
27
ESTRATEGIAS DE SEGURIDAD DE LA INFORMACIÓN
¿Cuál es la meta?
Proteger los activos de la información
1. ¿Cuáles son los activos de información de la organización?2. ¿Qué es proteger?
28
COMPONENTES CLAVES DE UN PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN
ESTRATEGIA DE SEGURIDAD DE LA INFORMACIÓN• Cuáles son los activos de
información de la organización?• Qué es proteger?
Evaluaciones clave...
• Evaluación de arquitectura• Evaluación del recurso humano • Evaluación de las tecnologías
29
Gobierno de SI- Establecer y definir responsable de la SI. - Determinar el estado actual. - Evaluar los riesgos de SI.- Determinar los controles y realizar evaluaciones técnicas.- Contar con el respaldo de la gerencia.- Evaluar y medir el desempeño.
COMPONENTES CLAVES DE UN PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN
30
Seguridad lógica Seguridad Física
¿Cómo te conectas a tu core de negocio?
COMPONENTES CLAVES DE UN PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN
Cuestionario 6
Si una organización necesita contratar un seguro contra la conducta deshonesta y fraudulenta de sus empleados. ¿Cuál de los siguientes tipo de cobertura requiere?
A. Fidelidad.B. Interrupción del servicio.C. Documentos y registros valiosos.D. Continuidad del negocio.
Cuestionario 4
Si una organización necesita contratar un seguro contra la conducta deshonesta y fraudulenta de sus empleados. ¿Cuál de los siguientes tipo de cobertura requiere?
A. Fidelidad.B. Interrupción del servicio.C. Documentos y registros valiosos.D. Continuidad del negocio.
33
INDICADORESItem Meta Cumplimiento
Mayo Observaciones
% Disponibilidad del portal transaccional del Fondo de Empleados 90% 89% Ninguna
% de incidentes resueltos en el primer nivel de atención a incidentes 80% 50% Ninguna
% Efectividad de los planes de Continuidad de Negocio 100% 100%
Tiempo promedio de implementación de parches a los aplicativos 25 dias 30 dias
% uso de disco duro del servidor de Core de negocio 60% 90% ??????
34
ISO 27002Cláusula
Política de Seguridad
Organización de Seguridad de Información
Adm. de Activos
Seguridad en Recursos Humanos
Seguridad física y ambiental
Adm. de Comunicaciones y Operaciones
Control de Acceso
Adq., Des. y Mant. de sistemas de información.
Adm. de Incidentes de Seguridad de Información
Adm. de Continuidad de Negocios
Conformidad
35
CALIFICAR Y PRIORIZAR
CONTROLES Y PROTECCIONES
EFECTIVIDAD DE CONTROLES
DOCUMENTACION Y PRESENTACIÓN
- Desarrollar método para evaluar las exposiciones y riesgos en términos de probabilidad y severidad.- Metodologías y herramientas de análisis de riesgos- Exposición de la pérdida anualizada -> Riesgo= frecuencia x exposición
- Costo de prevención= probabilidad del daño * Magnitud del daño ($)- Reducir pérdidas y mitigar amenazas- Seguridad física y lógica- Protección de la información, personas , lugares de trabajo y reputación
Evaluar la efectividad de controles, ANS con proveedores y establecer escenarios de desastre
Presentar hallazgos de la evaluación de riesgos y determinar los próximos pasos a seguir
• Frecuencia: 10 veces al año• Exposición: Departamento 1 tiene una pérdida de
$1.000 Departamento 2 tiene una pérdida de $20
Riesgo: (10 (F)*$1.000 (E))+(10 (F)*$200 (E))ALE: $12.000
CONTINUIDAD DEL NEGOCIO
36
Identificar funciones del negocio
Revisar los cronogramas
Trabajar con el patrocinador del
BIA
Determinar criterios de criticidad
Entrenar al personal
gerencial del área
Determinar el Impacto
Financiero
Cliente
Legal y regulatorio
Operacional
Pérdidas Financieras, aumentos primas de seguros, reducción flujo de efectivo, pérdida de clientes, gastos.
¿Puede cuantificar cuánto perdería en ingresos por cada hora fuera de operación?¿penalizaciones?¿multas? Etc.
¿Qué tan rápido se van a enterar los clientes? ¿Que tan preocupados van a estar? ¿Que impacto podría causarles?
¿Demandas grupales?¿se llevaran el negocio a otro proveedor? ¿Que tanto impacta en su reputación?
Estar operando en modo manual por un tiempo significativo, eficiencia se vea afectada, información afectada, etc.
Repercusiones legales con proveedores, clientes y distribuidores, penalizaciones, potenciales demandas.
¿Qué tipo de regulaciones hay? ¿Los reguladores se involucraron si usted tiene una interrupción? ¿Hay multas?
BIA Análisis de Impacto al Negocio
37
Exposición a la pérdida
Cuantitativa->BienesIngresosMultasFlujo de efectivoCuentas por cobrarResponsabilidad legalRecursos HumanosGastos/costos extra
Cualitativa->Conocimiento RHConfianza partes interesadasLegalImagen social/credibilidad
Tiempos de recuperación
RTO – Tiempo Objetivo de Recuperación
La cantidad de tiempo entre el momento del impacto y el momento en el que el proceso esta operando a un nivel mínimo aceptable
RPO – Punto Objetivo de Recuperación
El punto en el tiempo del ultimo respaldo de información bueno en el exterior al momento del desastre
Requerimientos
Cuestionarios de BIA
RTOs
Recursos (Capacidades
actuales)
Planes de recuperación de TI
Procesos manuales alternativos y
restauración de datos
Reubicación negocio
BIA Análisis de Impacto al Negocio
38
EJEMPLO ANÁLISIS DE IMPACTO AL NEGOCIO - BIA
Proceso Tx y Periodicidad de
ejecución
Operación normal
RTO RPO Aplicaciones
Pagos interbancarios automáticos
5000 transacciones diarias
2 – 4 horas 0 – 2 horas 30 minutos • Correo electrónico• Sistema CORE• Portal transaccional• ACH• Autorizador
Cuestionario 7
Qué frase describe mejor el RPO
a. Determinar el marco de tiempo en el que los procesos tienen que ser restaurados para prevenir un impacto inaceptable a la organización.
b. Determinar el nivel de riesgo y la pérdida potencial que la gerencia está dispuesta a aceptar.
c. Determinar el punto en el tiempo en el que las transacciones y los datos deben ser recuperados después de una interrupción.
d. Obtener un estimado cualitativo del impacto de la amenaza.
Cuestionario 7
Qué frase describe mejor el RPO
a. Determinar el marco de tiempo en el que los procesos tienen que ser restaurados para prevenir un impacto inaceptable a la organización.
b. Determinar el nivel de riesgo y la pérdida potencial que la gerencia esta dispuesta a aceptar.
c. Determinar el punto en el tiempo en el que las transacciones y los datos deben ser recuperados después de una interrupción.
d. Obtener un estimado cualitativo del impacto de la amenaza.
¡Gracias!Diana Marcela VargasCISA- ABC y ALMCt. 123 45 67m. +57 (314) 6300074
BIBLIOGRAFÍA
• IIA - DOCUMENTO DE CONSULTA DEL IIA Tres líneas de defensa• COSO ERM• ALARYS• ISACA org• ISO 31000• Operational risk management, ariane chapelle• Basilea• DRII