plenaria: - riesgos tecnolÓgicos...
TRANSCRIPT
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducciónRIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL
PLENARIA:- RIESGOS TECNOLÓGICOS INTEGRADOS A LA
GESTIÓN DEL RIESGO OPERACIONAL. -
Lima, Perú 19 de Agosto 2016.
Presentado en el 5o. Seminario Internacional de Riesgo Operacional 2016 organizado por la Asociación de Bancos del Perú.
Maricarmen García de UreñaMASTI, LA ISO27001, LA BS25999, LA ISO22301
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Maricarmen García de Ureña, es socio fundador de la firma de
consultoría Secure Information Technologies, es empresaria,
catedrático y consultor especialista en temas de Gestión de
Riesgos, Continuidad del Negocio, Seguridad de la Información y
Servicios de Tecnología de Información, así como auditora
especialista en control de TI. Es instructor oficial del BSI (British
Standards Institucion).
www.secureit.com.mx
Maricarmen García de Ureña
Director General
Secure Information Technologies
Instructor certificado de bsi
CBCP, ISO 22301 LA, ISO 27001 LA
México
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Agenda• Introducción• Relación entre estándares ISO• Principales definiciones• Estándares y buenas prácticas relacionados con la gestión de riesgos• Principios de la Gestión de Riesgos• Marco de referencia para la Gestión de Riesgos• Establecimiento del contexto• Identificación de riesgos• Análisis de riesgos• Evaluación de riesgos• Tratamiento de riesgos• Comunicación de riesgos• Revisión de riesgos• Conclusiones
3
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducciónRIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL
INTRODUCCIÓN
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
RIESGOS TECNOLÓGICOS
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción 6
Evento
Incidente
Incidente disruptivo
Desastre
Crisis
Interrupción
Contingencia
Emergencia
RIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción 7
Eventos
TécnicoOpera-cional
TácticoEstraté-
gico
RIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción 8
Eventos(Ejemplo)
Falla en Sistema crítico
No es posible realizar transac-ciones
Se inte-rrumpeproceso
Incumpli-miento
regulato-rio
RIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Componentes de riesgos de TI
Fuente: SecureInformationTechnologies
9
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Más componentes de riesgos
Fuente: ISACA – Risk IT
10
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Principales amenazas en Iberoamérica.
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Insuficiencia de infraestructura tecnológica y de…
Desastres naturales: Terremotos / Sismos / Temblores
Fallas de energía eléctrica
Fallas en telecomunicaciones
Fallas tecnológicas
28%
29%
60%
75%
90%
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
– Amenazas Persistentes Avanzadas = APTs
– Un adversario que posee niveles de experiencia
sofisticados y recursos significativos que le permiten crear
oportunidades para lograr sus objetivos al utilizar múltiples
vectores de ataque.
Principales riesgos tecnológicos
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Estos objetivos incluyen tipicamente el acceso a la infraestructura de
tecnología de información de las organizaciones objetivo con el propósito de
extraer información, deteriorar o impedir aspectos críticos de una misión,
programa, u organización; o bien, posicionarse para realizar estas actividades
en el futuro.
La Amenaza Persistente Avanzada:
1. Persigue sus objetivos repetidamente durante un periodo extendido de tiempo.
2. Se adapta a los esfuerzos de resistencia de quienes defienden.
3. Está determinada a mantener el nivel de interacción necesaro para ejecutar sus
objetivos.
APTs
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
APTs
Fuente:
ISACA - 2014
ADVANCED
PERSISTENT
THREAT
AWARENESS
STUDY RESULTS
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducciónRIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL
RELACIÓN DE RIESGOS TECNOLÓGICOS ENTRE
ESTÁNDARES ISO BASADOS EN RIESGOS
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Fuente: bsi PAS 99:2012
4
5
6
7
8
9
10
<
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Cláusulas relacionadas con riesgos para cada estándar
22301270019001
2230127001
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
• Cláusula 4 – Contexto de la organización• Cláusula 5 – Liderazgo• Cláusula 6 – Planeación• Cláusula 7 – Soporte• Cláusula 8 – Operación• Cláusula 9 – Evaluación del desempeño• Cláusula 10 – MejoraConsideraciones de Gestión de Riesgos
Relación entre estándares
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
ISO 22301:2012Sistema de Gestión de Continuidad del Negocio
• Cláusula 4 – Contexto de la organización
Relación entre estándares
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
ISO 22301:2012Sistema de Gestión de Continuidad del Negocio
• Cláusula 6 – Planeación
Relación entre estándares
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
ISO 22301:2012Sistema de Gestión de Continuidad del Negocio
• Cláusula 8 – Operación
Relación entre estándares
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
ISO 27001:2013Sistema de Gestión de Seguridad de la Información
• Cláusula 4 – Contexto de la organización
Relación entre estándares
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
ISO 27001:2013Sistema de Gestión de Seguridad de la Información
• Cláusula 6 – Planeación
Relación entre estándares
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
ISO 27001:2013Sistema de Gestión de Seguridad de la Información
• Cláusula 8 – Operación
Relación entre estándares
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
ISO 9001:2015Sistema de Gestión de Calidad
• Cláusula 4 – Contexto de la organización
Relación entre estándares
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
ISO 9001:2015Sistema de Gestión de Calidad
Cláusula 6 – Planeación
Relación entre estándares
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
OrganizaciónProveedores y
socios de negocio
Actividad
Productos y servicios
Actividades de soporte
Activos y recursos
Activos y recursos
Contextoexterno
Contextointerno
Producto / servicio Producto / servicio
Propósito de la organización
Clientes
ActividadActividadActividadActividadActividad
Dependencias y actividades de soporte
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducciónRIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL
PRINCIPALES DEFINICIONES
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Principales definiciones
¿Que es un Riesgo?
Efecto de la incertidumbre en los objetivos
ISO 31000:2009
29
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Principales definiciones
¿Que es un Riesgo de Seguridad de la Información?
Potencial de que cierta amenaza pueda explotarlas vulnerabilidades de un activo o grupo de
activos y causar daño a la organización
ISO 27005:2008
30
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Principales definiciones
¿Que NO es un Análisis de Riesgos?
Escaneo de vulnerabilidades
Pruebas de penetración
Hackeo ético
Auditoría de seguridad
Evaluación de controles
31
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducciónRIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL
ESTÁNDARES Y BUENAS PRÁCTICAS
RELACIONADOS CON LA GESTIÓN DE RIESGOS
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Guía 73:2009Áreas cubiertas:
- Términos relacionados con riesgo (1)
- Términos relacionados con gestión de riesgos (4)
- Términos relacionados con el proceso de gestión de riesgos (1)
- Términos relacionados con la comunicación y consulta (3)
- Términos relacionados con el contexto (4)
- Términos relacionados con la evaluación de riesgos (assessment) (1)
- Términos relacionados con la identificación de riesgos (6)
- Términos relacionados con el análisis de riesgos (9)
- Términos relacionados con la evaluación de riesgos (evaluation) (7)
- Términos relacionados con el tratamiento de riesgos (8)
- Términos relacionados con el monitoreo y medición (6)
33
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
ISO 31000:2009
Provee principios y guías genéricas para la gestión deriesgos.
Puede ser aplicado a cualquier tipo de riesgo, cualquieraque sea su naturaleza, ya sea que tenga consecuenciaspositivas o negativas.
No ha sido desarrollado con propósitos de certificación
34
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
ISO 31000:2009• Enfoque de
procesos
• Basado en
P-D-C-A
• Cualquier organización
• Cualquier tipo de riesgo
35
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
ISO 31010:2009
Técnicas de evaluación de riesgos
Incluye 31 técnicas que pueden ser utilizadas en lasdiferentes etapas de la evaluación de riesgos
Referencia a técnicas cualitativas y cuantitativas
36
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
ISO 27005:2008• Provee guías para la gestión de riesgos de seguridad de la información.
• Soporta los principales conceptos especificados en ISO/IEC 27001 y hasido diseñado para asistir en la implementación satisfactoria de seguridadde la información basada en un enfoque de gestión de riesgos.
• Para un entendimiento completo de éste estándar, se requiere elconocimiento de los conceptos, modelos, procesos y terminologíasdescritas en ISO/IEC 27001.
• Aplica a todo tipo de organización que intente gestionar riesgos quepudieran comprometer la seguridad de la información de la organización.
37
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Estándares relacionados
Guide 73 ISO 31000 ISO 31010 ISO 27005
38
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
ISO 31000:2009 e ISO 27005:2008Proceso ISO 31000 Proceso ISO 27005
39
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
ISO 31000:2009 e ISO 27005:2008Proceso ISO 27005
40
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
ISO 31000:2009 e ISO 27005:2008RISK ASSESSMENT
RISK ANALYSIS
Proceso general de análisis y
evaluación de r iesgos
Proceso para comprender la
naturaleza del r iesgo y
determinar el nivel de r iesgo
Proceso para encontrar ,
reconocer y descr ibir r iesgos
Proceso de comparar los
resultados del análisis de
r iesgos con el cr iter io de r iesgo y
determinar si es aceptable o no
RISK IDENTIFICATION
RISK ESTIMATION
RISK EVALUATION
Proceso para determinar el nivel
de r iesgo
41
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducciónRIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL
PRINCIPIOS DE LA GESTIÓN DE RIESGOS
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Principios de la Gestión de Riesgos
43
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Principios de la Gestión de Riesgosa) Crea valor
b) Parte integral de los procesos organizacionales
c) Parte de la toma de decisiones
d) Atiende explícitamente la incertidumbre
e) Sistemático, estructurado y oportuno
f) Basado en la mejor información disponible
g) Hecho a la medida
h) Toma en cuenta factores humanos y culturales
i) Transparente e inclusivo
j) Dinámico, iterativo y responde a cambios
k) Facilita la mejora continua de la organización
44
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducciónRIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL
MARCO DE REFERENCIA PARA LA GESTIÓN DE
RIESGOS
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Principios de la Gestión de Riesgos
46
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Principios de la Gestión de Riesgos
47
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducciónRIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL
ESTABLECIMIENTO DEL CONTEXTO
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Principios de la Gestión de Riesgos
49
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Principios de la Gestión de Riesgos
50
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Establecimiento del contexto
51
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducciónRIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL
VALORACIÓN DE RIESGOS
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Principios de la Gestión de Riesgos
53
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducciónRIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL
PRE-REQUISITOS DE INFORMACIÓN
PARA EVALUACIÓN DE RIESGOS TECNOLÓGICOS INTEGRADOS AL RIESGO
OPERACIONAL
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Pre-requisitos de información
Potencial de que cierta amenaza pueda explotar las
vulnerabilidades de un activoo grupo de activos y causar
daño a la organización
55
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Pre-requisitos de información
Potencial de que cierta amenaza pueda explotar las
vulnerabilidades de un activoo grupo de activos y causar
daño a la organización
56
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Pre-requisitos de informaciónPotencial de que cierta amenaza pueda
explotar las vulnerabilidades de un activo o grupo de activos y causar daño a la
organización
Potencial Amenaza Vulnerabilidad Activo Daño
Posibilidad Amenaza Vulnerabilidad Activo Impacto
57
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Pre-requisitos de información
LISTA DE RIESGOS,
MATRIZ DE RIESGOS,
TABLA DE RIESGOS,
REGISTRO DE RIESGOS,
ETC.
Potencial Amenaza Vulnerabilidad Activo Daño
Posibilidad Amenaza Vulnerabilidad Activo Impacto
58
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Pre-requisitos de información
Activo:Servidor XYZ
Evento:Acceso a información confidencial
Vulnerabilidad:Puerto 25 abierto
Impacto:Divulgación de información
Agente de amenaza:Hacker
59
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Pre-requisitos de información
Activo:Servidor XYZ
Evento:Acceso a información confidencial
Vulnerabilidad:Puerto 25 abierto
Impacto:Divulgación de información
Agente de amenaza:Hacker
Potencial Amenaza Vulnerabilidad Activo Daño
Posibilidad Amenaza Vulnerabilidad Activo Impacto
60
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Pre-requisitos de informaciónEl riesgo de que hackers tengan acceso a
información confidencial almacenada en el servidor XYZ, debido a que el puerto de
comunicaciones 25 se encuentra abierto, pudiendo causar divulgación no autorizada de información.
61
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Pre-requisitos de informaciónPosibilidad Amenaza Vulnerabilidad Activo Impacto
Hacker/ Acceso a información confidencial
Puerto 25 abierto Servidor XYZ Divulgación de Información
VirusInformático / Infección
Antivirus no actualizado Servidor de Correo Pérdida de datos
Virus Informático / Infección
Antivirus no actualizadoLaptop Director
GeneralPérdida de datos
Agua / Inundación Susceptible al agua Facturas Pérdida de legibilidad
Virus AH1N1 / Contagio
No vacunado contra AH1N1
Persona N No disponible
TerremotoSe encuentra en zona
altamente sísmicaCentro de Datos No disponible
62
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Pre-requisitos de información
El riesgo de que ocurra un terremoto que afecte el centro de datos, debido a que se encuentra en una
zona de actividad sísmica, pudiendo afectar la disponibilidad del mismo.
El riesgo de infección por virus informático en la laptop del Director General, debido a que su
antivirus no está actualizado, pudiendo generar pérdidas de datos.
63
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducciónRIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL
TRATAMIENTO DE RIESGOS
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducciónRIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL
Opciones de Tratamiento de Riesgos
Aceptar / RetenerTransferir / Compartir
Terminar / EvitarReducir* / Mitigar
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducciónRIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL
COMUNICACIÓN Y REVISIÓN DE RIESGOS
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Principios de la Gestión de Riesgos
67
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Factores a considerar
• Complejidad del problema y métodos necesarios paraanalizarlo.
• Naturaleza y grado de incertidumbre de la evaluación deriesgos basado en la cantidad de información disponible yobjetivos.
• Recursos necesarios (tiempo, nivel de experiencia, datos,costo).
• Necesidad y posibilidad de obtener una salida cuantitativa.
68
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
Factores críticos de éxito• Formalizar un método para la evaluación de riesgo tecnológico• Identificar a las audiencias involucradas• Involucrar a los propietarios de los activos de información• Definir el contexto del análisis de riesgos con alcance, objetivos,
tiempo, criterios de aceptación antes de iniciar• Seleccionar un método y técnica de estimación de riesgos de acuerdo
con las posibilidades y requerimientos de la organización• Definir la estructura y contenido del informe final antes de iniciar• Considerar procesos, información, personas e instalaciones• Gestionar expectativas de las partes interesadas
69
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducción
EventoRiesgo CrisisIncidente
ISO 22398 - Ejercicios y pruebas
ISO 22320 - Gestión de emergencias
ISO 27031 - IRBCBS 11200 - Gestión de crisis
ISO 27035 - Gestión de incidentes
ISO 31000 - Gestión de riesgos
ISO 22317 - BIA
BS 65000 - Resiliencia Organizacional
ISO 22301 – Sistema de Gestión de Continuidad del NegocioISO 22313 – Sistema de Gestión de Continuidad del Negocio
ISO 27037 – Evidencia digital
ISO 27001 – Sistema de Gestión de Seguridad de la Información
Fuente:
SecureInformationTechnologies,
2016
Kit de primeros auxilios para enfrentar el Riesgo Tecnológico en las Organizaciones:
Derechos reservados. Secure Information Technologies 2016. Prohibida su reproducciónRIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL
@besair
www.slideshare.net/besair
Preguntas y respuestas¡Gracias!