plenaria: - riesgos tecnolÓgicos...

Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducciónRIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL

PLENARIA:- RIESGOS TECNOLÓGICOS INTEGRADOS A LA

GESTIÓN DEL RIESGO OPERACIONAL. -

Lima, Perú 19 de Agosto 2016.

Presentado en el 5o. Seminario Internacional de Riesgo Operacional 2016 organizado por la Asociación de Bancos del Perú.

Maricarmen García de UreñaMASTI, LA ISO27001, LA BS25999, LA ISO22301

Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción

Maricarmen García de Ureña, es socio fundador de la firma de

consultoría Secure Information Technologies, es empresaria,

catedrático y consultor especialista en temas de Gestión de

Riesgos, Continuidad del Negocio, Seguridad de la Información y

Servicios de Tecnología de Información, así como auditora

especialista en control de TI. Es instructor oficial del BSI (British

Standards Institucion).

[email protected]

www.secureit.com.mx

Maricarmen García de Ureña

Director General

Secure Information Technologies

Instructor certificado de bsi

CBCP, ISO 22301 LA, ISO 27001 LA

México

mailto:[email protected]


Agenda• Introducción• Relación entre estándares ISO• Principales definiciones• Estándares y buenas prácticas relacionados con la gestión de riesgos• Principios de la Gestión de Riesgos• Marco de referencia para la Gestión de Riesgos• Establecimiento del contexto• Identificación de riesgos• Análisis de riesgos• Evaluación de riesgos• Tratamiento de riesgos• Comunicación de riesgos• Revisión de riesgos• Conclusiones

3


INTRODUCCIÓN


RIESGOS TECNOLÓGICOS

Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción 6

Evento

Incidente

Incidente disruptivo

Desastre

Crisis

Interrupción

Contingencia

Emergencia

RIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL


Eventos

TécnicoOpera-cional

TácticoEstraté-

gico



Eventos(Ejemplo)

Falla en Sistema crítico

No es posible realizar transac-ciones

Se inte-rrumpeproceso

Incumpli-miento

regulato-rio



Componentes de riesgos de TI

Fuente: SecureInformationTechnologies

9


Más componentes de riesgos

Fuente: ISACA – Risk IT

10


Principales amenazas en Iberoamérica.

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Insuficiencia de infraestructura tecnológica y de…

Desastres naturales: Terremotos / Sismos / Temblores

Fallas de energía eléctrica

Fallas en telecomunicaciones

Fallas tecnológicas

28%

29%

60%

75%

90%


– Amenazas Persistentes Avanzadas = APTs

– Un adversario que posee niveles de experiencia

sofisticados y recursos significativos que le permiten crear

oportunidades para lograr sus objetivos al utilizar múltiples

vectores de ataque.

Principales riesgos tecnológicos


Estos objetivos incluyen tipicamente el acceso a la infraestructura de

tecnología de información de las organizaciones objetivo con el propósito de

extraer información, deteriorar o impedir aspectos críticos de una misión,

programa, u organización; o bien, posicionarse para realizar estas actividades

en el futuro.

La Amenaza Persistente Avanzada:

1. Persigue sus objetivos repetidamente durante un periodo extendido de tiempo.

2. Se adapta a los esfuerzos de resistencia de quienes defienden.

3. Está determinada a mantener el nivel de interacción necesaro para ejecutar sus

objetivos.

APTs


APTs

Fuente:

ISACA - 2014

ADVANCED

PERSISTENT

THREAT

AWARENESS

STUDY RESULTS


RELACIÓN DE RIESGOS TECNOLÓGICOS ENTRE

ESTÁNDARES ISO BASADOS EN RIESGOS


Fuente: bsi PAS 99:2012

4

5

6

7

8

9

10

<


Cláusulas relacionadas con riesgos para cada estándar

22301270019001

2230127001


• Cláusula 4 – Contexto de la organización• Cláusula 5 – Liderazgo• Cláusula 6 – Planeación• Cláusula 7 – Soporte• Cláusula 8 – Operación• Cláusula 9 – Evaluación del desempeño• Cláusula 10 – MejoraConsideraciones de Gestión de Riesgos

Relación entre estándares


ISO 22301:2012Sistema de Gestión de Continuidad del Negocio

• Cláusula 4 – Contexto de la organización




• Cláusula 6 – Planeación




• Cláusula 8 – Operación



ISO 27001:2013Sistema de Gestión de Seguridad de la Información





• Cláusula 6 – Planeación




• Cláusula 8 – Operación



ISO 9001:2015Sistema de Gestión de Calidad




ISO 9001:2015Sistema de Gestión de Calidad

Cláusula 6 – Planeación



OrganizaciónProveedores y

socios de negocio

Actividad

Productos y servicios

Actividades de soporte

Activos y recursos

Activos y recursos

Contextoexterno

Contextointerno

Producto / servicio Producto / servicio

Propósito de la organización

Clientes

ActividadActividadActividadActividadActividad

Dependencias y actividades de soporte


PRINCIPALES DEFINICIONES


Principales definiciones

¿Que es un Riesgo?

Efecto de la incertidumbre en los objetivos

ISO 31000:2009

29



¿Que es un Riesgo de Seguridad de la Información?

Potencial de que cierta amenaza pueda explotarlas vulnerabilidades de un activo o grupo de

activos y causar daño a la organización

ISO 27005:2008

30



¿Que NO es un Análisis de Riesgos?

Escaneo de vulnerabilidades

Pruebas de penetración

Hackeo ético

Auditoría de seguridad

Evaluación de controles

31


ESTÁNDARES Y BUENAS PRÁCTICAS

RELACIONADOS CON LA GESTIÓN DE RIESGOS


Guía 73:2009Áreas cubiertas:

- Términos relacionados con riesgo (1)

- Términos relacionados con gestión de riesgos (4)

- Términos relacionados con el proceso de gestión de riesgos (1)

- Términos relacionados con la comunicación y consulta (3)

- Términos relacionados con el contexto (4)

- Términos relacionados con la evaluación de riesgos (assessment) (1)

- Términos relacionados con la identificación de riesgos (6)

- Términos relacionados con el análisis de riesgos (9)

- Términos relacionados con la evaluación de riesgos (evaluation) (7)

- Términos relacionados con el tratamiento de riesgos (8)

- Términos relacionados con el monitoreo y medición (6)

33


ISO 31000:2009

Provee principios y guías genéricas para la gestión deriesgos.

Puede ser aplicado a cualquier tipo de riesgo, cualquieraque sea su naturaleza, ya sea que tenga consecuenciaspositivas o negativas.

No ha sido desarrollado con propósitos de certificación

34


ISO 31000:2009• Enfoque de

procesos

• Basado en

P-D-C-A

• Cualquier organización

• Cualquier tipo de riesgo

35


ISO 31010:2009

Técnicas de evaluación de riesgos

Incluye 31 técnicas que pueden ser utilizadas en lasdiferentes etapas de la evaluación de riesgos

Referencia a técnicas cualitativas y cuantitativas

36


ISO 27005:2008• Provee guías para la gestión de riesgos de seguridad de la información.

• Soporta los principales conceptos especificados en ISO/IEC 27001 y hasido diseñado para asistir en la implementación satisfactoria de seguridadde la información basada en un enfoque de gestión de riesgos.

• Para un entendimiento completo de éste estándar, se requiere elconocimiento de los conceptos, modelos, procesos y terminologíasdescritas en ISO/IEC 27001.

• Aplica a todo tipo de organización que intente gestionar riesgos quepudieran comprometer la seguridad de la información de la organización.

37


Estándares relacionados

Guide 73 ISO 31000 ISO 31010 ISO 27005

38


ISO 31000:2009 e ISO 27005:2008Proceso ISO 31000 Proceso ISO 27005

39


ISO 31000:2009 e ISO 27005:2008Proceso ISO 27005

40


ISO 31000:2009 e ISO 27005:2008RISK ASSESSMENT

RISK ANALYSIS

Proceso general de análisis y

evaluación de r iesgos

Proceso para comprender la

naturaleza del r iesgo y

determinar el nivel de r iesgo

Proceso para encontrar ,

reconocer y descr ibir r iesgos

Proceso de comparar los

resultados del análisis de

r iesgos con el cr iter io de r iesgo y

determinar si es aceptable o no

RISK IDENTIFICATION

RISK ESTIMATION

RISK EVALUATION

Proceso para determinar el nivel

de r iesgo

41


PRINCIPIOS DE LA GESTIÓN DE RIESGOS


Principios de la Gestión de Riesgos

43


Principios de la Gestión de Riesgosa) Crea valor

b) Parte integral de los procesos organizacionales

c) Parte de la toma de decisiones

d) Atiende explícitamente la incertidumbre

e) Sistemático, estructurado y oportuno

f) Basado en la mejor información disponible

g) Hecho a la medida

h) Toma en cuenta factores humanos y culturales

i) Transparente e inclusivo

j) Dinámico, iterativo y responde a cambios

k) Facilita la mejora continua de la organización

44


MARCO DE REFERENCIA PARA LA GESTIÓN DE

RIESGOS



46



47


ESTABLECIMIENTO DEL CONTEXTO



49



50


Establecimiento del contexto

51


VALORACIÓN DE RIESGOS



53


PRE-REQUISITOS DE INFORMACIÓN

PARA EVALUACIÓN DE RIESGOS TECNOLÓGICOS INTEGRADOS AL RIESGO

OPERACIONAL


Pre-requisitos de información

Potencial de que cierta amenaza pueda explotar las

vulnerabilidades de un activoo grupo de activos y causar

daño a la organización

55



Potencial de que cierta amenaza pueda explotar las

vulnerabilidades de un activoo grupo de activos y causar

daño a la organización

56


Pre-requisitos de informaciónPotencial de que cierta amenaza pueda

explotar las vulnerabilidades de un activo o grupo de activos y causar daño a la

organización

Potencial Amenaza Vulnerabilidad Activo Daño

Posibilidad Amenaza Vulnerabilidad Activo Impacto

57



LISTA DE RIESGOS,

MATRIZ DE RIESGOS,

TABLA DE RIESGOS,

REGISTRO DE RIESGOS,

ETC.



58



Activo:Servidor XYZ

Evento:Acceso a información confidencial

Vulnerabilidad:Puerto 25 abierto

Impacto:Divulgación de información

Agente de amenaza:Hacker

59



Activo:Servidor XYZ

Evento:Acceso a información confidencial

Vulnerabilidad:Puerto 25 abierto

Impacto:Divulgación de información

Agente de amenaza:Hacker



60


Pre-requisitos de informaciónEl riesgo de que hackers tengan acceso a

información confidencial almacenada en el servidor XYZ, debido a que el puerto de

comunicaciones 25 se encuentra abierto, pudiendo causar divulgación no autorizada de información.

61


Pre-requisitos de informaciónPosibilidad Amenaza Vulnerabilidad Activo Impacto

Hacker/ Acceso a información confidencial

Puerto 25 abierto Servidor XYZ Divulgación de Información

VirusInformático / Infección

Antivirus no actualizado Servidor de Correo Pérdida de datos

Virus Informático / Infección

Antivirus no actualizadoLaptop Director

GeneralPérdida de datos

Agua / Inundación Susceptible al agua Facturas Pérdida de legibilidad

Virus AH1N1 / Contagio

No vacunado contra AH1N1

Persona N No disponible

TerremotoSe encuentra en zona

altamente sísmicaCentro de Datos No disponible

62



El riesgo de que ocurra un terremoto que afecte el centro de datos, debido a que se encuentra en una

zona de actividad sísmica, pudiendo afectar la disponibilidad del mismo.

El riesgo de infección por virus informático en la laptop del Director General, debido a que su

antivirus no está actualizado, pudiendo generar pérdidas de datos.

63


TRATAMIENTO DE RIESGOS


Opciones de Tratamiento de Riesgos

Aceptar / RetenerTransferir / Compartir

Terminar / EvitarReducir* / Mitigar


COMUNICACIÓN Y REVISIÓN DE RIESGOS



67


Factores a considerar

• Complejidad del problema y métodos necesarios paraanalizarlo.

• Naturaleza y grado de incertidumbre de la evaluación deriesgos basado en la cantidad de información disponible yobjetivos.

• Recursos necesarios (tiempo, nivel de experiencia, datos,costo).

• Necesidad y posibilidad de obtener una salida cuantitativa.

68


Factores críticos de éxito• Formalizar un método para la evaluación de riesgo tecnológico• Identificar a las audiencias involucradas• Involucrar a los propietarios de los activos de información• Definir el contexto del análisis de riesgos con alcance, objetivos,

tiempo, criterios de aceptación antes de iniciar• Seleccionar un método y técnica de estimación de riesgos de acuerdo

con las posibilidades y requerimientos de la organización• Definir la estructura y contenido del informe final antes de iniciar• Considerar procesos, información, personas e instalaciones• Gestionar expectativas de las partes interesadas

69


EventoRiesgo CrisisIncidente

ISO 22398 - Ejercicios y pruebas

ISO 22320 - Gestión de emergencias

ISO 27031 - IRBCBS 11200 - Gestión de crisis

ISO 27035 - Gestión de incidentes

ISO 31000 - Gestión de riesgos

ISO 22317 - BIA

BS 65000 - Resiliencia Organizacional

ISO 22301 – Sistema de Gestión de Continuidad del NegocioISO 22313 – Sistema de Gestión de Continuidad del Negocio

ISO 27037 – Evidencia digital

ISO 27001 – Sistema de Gestión de Seguridad de la Información

Fuente:

SecureInformationTechnologies,

2016

Kit de primeros auxilios para enfrentar el Riesgo Tecnológico en las Organizaciones:


[email protected]

@besair

www.slideshare.net/besair

Preguntas y respuestas¡Gracias!

plenaria: - riesgos tecnolÓgicos...

Documents