GESTION DE RIESGOS
MODULO
Contenido
1 2 Antecedentes
Concepto de GR Elementos de GR
Metodologas - Aplicacin Riesgo Aud Taller
3
4
Antecedentes : En Bolivia(SBEF:07/2001)
Antecedentes : En Bolivia(SCZ:07/2002)
Sept/2008:ENTEL - SC
OTROS CASOS
OBJETIVOS DE NEGOCIO
Crecimiento Institucional Rentabilidad
PRENSA
Imagen
NEGOCIO
Posicionamiento competitivo
#1
Clientes Recursos humanos Impacto en la Comunidad
10
Riesgo Integrado en TI
Aplicaciones e-business - Seguridad aplicacin - Integridad interfases - Integridad informacin - Transmisin datos - Seguridad Web Aplicaciones - Control Acceso logico - Control ingreso y rechazo datos - Control transmisin datos - Control Interfaces
Internet Intranet Extranet Ambiente de Riesgo - Riesgo organizacional - Riesgo Operacional (Normas COSO)
Infraestructura Tecnolgica - Autenticacin/encripcin Ambiente - Confianza en servicios de terceros de Riesgo - Estudios de Penetracin - Recuperacin de Datos - Acceso fsico - Polticas de Hugo seguridad de activos informacin Rosales Uriona de CPA, FCA, ASIC, CISO
11
12
Evento incierto
Probabilidad
Amenaza
RIESGO vulnerabilidad Factor de riesgo Oportunidad
Consecuencia
Impacto FINOL
13
GESTION DE RIESGOS
Planificacin
Identificar
Ev. De controles
14
15
Amenaza
Es la probabilidad de ocurrencia de un suceso durante cierto tiempo y lugar. Por su origen:
Naturales: Ciclones, tormentas, inundaciones Del entorno: Falla en la infraestructura, falla en los servicios bsicos Humanas: Casuales: Olvido, descuido, desconocimiento, etc. Intencionadas: Robo, fraude, sabotaje, vandalismo, saqueo, etc.
16
PROBABILIDAD DE OCURRENCIA
Es la medida en la que esperamos la ocurrencia de un hecho incierto
Factores relacionados
Hechos histricos en corto, mediano y largo plazo Tendencia o pronostico futuro mediante estimacin matemtica o votacin de expertos
17
VULNERABILIDAD FACTORES DE RIESGO Tecnolgica: sistemas Obsoletos, sin mantenimiento, sin soporte Humana:
Destreza, conocimiento y habilidades insuficientes. Alta rotacin.
Infraestructura:
insuficiente, no ergonmica, no segura, desgastada
18
Ejemplo:AMENAZAS TI
INGENIERIA SOCIAL ESPIONAJE INDUSTRIAL
PHISHING
AMENAZAS
CRACKERS INTERNOS
DISCONFORMIDAD
19
Ejemplo: VULNERABILIDADES TI
CONTRASEAS dbiles
ESCRITORIOS Y PANTALLAS LIMPIAS (incumplimien to)
CULTURA DE SEGURIDAD
VULNERABILIDADES
CORREO ELECTRONICO
CLASIFICACION INFORMACION
Hugo Rosales Uriona CPA, FCA, ASIC, CISO
20
21
ARTE
22
NIVEL DE RIESGO TI
?
Riesgo NIVEL
Riesgo Residual: Nivel de riesgo remanente despus de implementar los controles
$..
=
Valor Recurso IMPACTO
Valor del recurso para el negocio, en trminos de la confidencialidad, integridad y disponibilidad y otros
Vulnerabilidad
Amenazas
Controles
PROBABILIDAD
FINOL
23
CONTRAMEDIDAS
Reducen la amenaza o la vulnerabilidad de manera directa. Control con fortaleza inherente o de diseo. Controles de prevencin o de deteccin
Manuales Automatizados
24
RIESGO RESIDUAL
Permanecen despus de que se han diseado los controles y las contramedidas. Niveles de Riesgo Aceptable (Gerencia) Aceptacin de Riesgo Residual
Cumplimiento regulatorio Poltica organizacional Sensibilidad o criticidad de los activos involucrados Costo y efectividad de la implementacin.
Hugo Rosales Uriona CPA, FCA, ASIC, CISO
25
26
METODOLOGIAS GR
27
METODOLOGIA
Gestin TI
1. Seguimiento de los procesos 2. Evaluar lo adecuado del control Interno 3. Obtener aseguramiento independiente 4. Proveer una auditora independiente 1. Definir un plan estratgico de TI 2. Definir la arquitectura de informacin 3. Determinar la direccin tecnolgica 4. Definir la organizacin y relaciones de TI 5. Manejo de la inversin en TI 6. Comunicacin de la directrices Gerenciales 7. Administracin del Recurso Humano 8. Asegurar el cumplir requerimientos externos
CobiT
9. Evaluacin de Riesgos
10. Administracin de Proyectos 11. Administracin de Calidad
Monitoreo
Criterios:
Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad
Planeacin y Organizacin
1.Definicin del nivel de servicio 2.Administracin del servicio de terceros 3.Admon de la capacidad y el desempeo 4.Asegurar el servicio continuo 5.Garantizar la seguridad del sistema 6.Identificacin y asignacin de costos 7.Capacitacin de usuarios 8.Soporte a los clientes de TI 9.Administracin de la configuracin 10.Administracin de problemas e incidentes 11.Administracin de datos 12.Administracin de Instalaciones 13.Administracin de Operaciones
Recursos de TI
Datos, Aplicaciones infraestructura, Recurso Humano
Adquisicin e Implementacin
1. Identificacin de soluciones 2. Adquisicin y mantenimiento de SW aplicativo 3. Adquisicin y mantenimiento de arquitectura TI 4. Desarrollo y mantenimiento de Procedimientos de TI 5. Instalacin y Acreditacin de sistemas 28 6. Administracin de Cambios Hugo Rosales Uriona CPA, FCA, ASIC, CISO
Entrega y Soporte
29
30
NIST 800-30
31
Gestin de Riesgos
Aceptacin del Riesgo Contramedidas Estimacin del Riesgo Residual
Hugo Rosales Uriona CPA, FCA, ASIC, CISO
32
de RIESGOS MAGERIT
Y2K
33
MAGERIT
34
APLICACIN DE LA METODOLOGIA
35
NIVEL DE RIESGO
SIN LIMITE
PRODUCTO PxI
36
MATRIZ DE RIESGOS
37
38
39
11 10 7,5 1,5
40
APLICACIN
La suma total de los votos ser igual al total de expertos multiplicado por la cantidad de comparaciones realizadas = 5 x 6 = 30 Si determinamos relacin porcentual tendremos
Perdida de Informacion Fraude y Robo Acceso ilegal Violacion de la Privacidad total 11 10 7,5 1,5 30 37% 33% 25% 5% 100%
41
EJEMPLO: APLICACION
Si tenemos presupuesto de seguridad igual a Bs. 60.000.-, podremos distribuir en relacin porcentual
Perdida de Informacion Fraude y Robo Acceso ilegal Violacion de la Privacidad total 11 10 7,5 1,5 30 37% 33% 25% 5% 100% 22200 19800 15000 3000 60000
42
PREGUNTAS????
43
TALLER PRACTICO!!!!!!!!
44