AUDITORIA DE SISTEMAS DE INFORMACION:

GESTION DE RIESGOS

MODULO

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

Contenido
1 2 Antecedentes

Concepto de GR Elementos de GR
Metodologas - Aplicacin Riesgo Aud Taller

3
4

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

Antecedentes : En Bolivia(SBEF:07/2001)

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

Antecedentes : En Bolivia(LPZ:02/2002 y 1/2003)

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

Antecedentes : En Bolivia(SCZ:07/2002)

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

Sept/2008:ENTEL - SC

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

OTROS CASOS

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

OBJETIVOS DE NEGOCIO
Crecimiento Institucional Rentabilidad

Calida d Productos o Servicios Productividad

PRENSA

Imagen

NEGOCIO

Posicionamiento competitivo

#1
Clientes Recursos humanos Impacto en la Comunidad

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

PRIMER PASO: ANALISIS RIESGO OPERATIVO - TECNOLOGICO

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

10

Riesgo Integrado en TI
Aplicaciones e-business - Seguridad aplicacin - Integridad interfases - Integridad informacin - Transmisin datos - Seguridad Web Aplicaciones - Control Acceso logico - Control ingreso y rechazo datos - Control transmisin datos - Control Interfaces

Aplicaciones Aplicaciones e-busines Infraestructura TI

Internet Intranet Extranet Ambiente de Riesgo - Riesgo organizacional - Riesgo Operacional (Normas COSO)

Procesos del Negocio - Controles de procesos - Planificacin de la continuidad del negocio

Procesos del Negocio

Infraestructura Tecnolgica - Autenticacin/encripcin Ambiente - Confianza en servicios de terceros de Riesgo - Estudios de Penetracin - Recuperacin de Datos - Acceso fsico - Polticas de Hugo seguridad de activos informacin Rosales Uriona de CPA, FCA, ASIC, CISO

11

Qu pretende el Anlisis de Riesgo?

El Anlisis de Riesgo intenta contestar las siguientes preguntas: Qu puede salir mal? (Identificacin de Peligros). Qu probabilidad hay de que algo salga mal? Cules pueden ser las consecuencias de que algo salga mal? (impacto) Cuanto cuesta el problema? Qu se puede hacer para reducir la probabilidad y las consecuencias de que algo salga mal?. (contramedidas) Quien es el responsable de corregirlo?
Hugo Rosales Uriona CPA, FCA, ASIC, CISO

12

INTRODUCCION. QUE ES RIESGO?

Evento incierto

Probabilidad

Amenaza
RIESGO vulnerabilidad Factor de riesgo Oportunidad

Consecuencia

Impacto FINOL

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

13

GESTION DE RIESGOS
Planificacin
Identificar

Ev. De controles

Anlisis de riesgo cualitativo

Gestin Riesgos Analizar

Anlisis de riesgo cuantitativo

Planificacin respuesta a riesgo

Responder

Monitoreo y control de riesgos

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

14

ELEMENTOS DE LA GESTION DE RIESGO

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

15

Amenaza
Es la probabilidad de ocurrencia de un suceso durante cierto tiempo y lugar. Por su origen:
Naturales: Ciclones, tormentas, inundaciones Del entorno: Falla en la infraestructura, falla en los servicios bsicos Humanas: Casuales: Olvido, descuido, desconocimiento, etc. Intencionadas: Robo, fraude, sabotaje, vandalismo, saqueo, etc.

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

16

PROBABILIDAD DE OCURRENCIA
Es la medida en la que esperamos la ocurrencia de un hecho incierto
Factores relacionados
Hechos histricos en corto, mediano y largo plazo Tendencia o pronostico futuro mediante estimacin matemtica o votacin de expertos

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

17

VULNERABILIDAD FACTORES DE RIESGO Tecnolgica: sistemas Obsoletos, sin mantenimiento, sin soporte Humana:
Destreza, conocimiento y habilidades insuficientes. Alta rotacin.

Infraestructura:
insuficiente, no ergonmica, no segura, desgastada
18

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

Ejemplo:AMENAZAS TI
INGENIERIA SOCIAL ESPIONAJE INDUSTRIAL

PHISHING

AMENAZAS

CRACKERS INTERNOS

DISPOSITIVOS DE ALMACENAMIENTO MOVIL

DISCONFORMIDAD
19

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

Ejemplo: VULNERABILIDADES TI
CONTRASEAS dbiles
ESCRITORIOS Y PANTALLAS LIMPIAS (incumplimien to)

CULTURA DE SEGURIDAD

VULNERABILIDADES

CORREO ELECTRONICO

USO DE INTERNET (Sin control)

CLASIFICACION INFORMACION
Hugo Rosales Uriona CPA, FCA, ASIC, CISO

20

Impacto (propsito primario BIA)

Efecto negativo de la materializacin de una amenaza
Tipos: FINOL
Financiero: Dao a los activos, sanciones, multas Cuanto perdemos o cuanto dejamos de ganar (lucro cesante) Imagen: Prestigio, reputacin, solvencia Normativo: Incumplimiento de PNPs Operativo: Efecto en los procesos internos. Baja de productividad Legal: Regulaciones, Acuerdos contractuales y garantas

ESTRATEGIA: CUMPLIMIENTO Y ARTE!!!

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

21

CONTROL DEL RIESGO TI

Tecnolgicos Administrativos A sumir = Implementar Controles Operacionales

ARTE

R edudir = Mitigar el Riesgo (BCP , DRR)

T ransferir = Seguros, Oursourcing (Condiciones!!!)

E liminar = Dar de baja (costo mayor al beneficio)

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

22

NIVEL DE RIESGO TI
?
Riesgo NIVEL
Riesgo Residual: Nivel de riesgo remanente despus de implementar los controles

$..
=
Valor Recurso IMPACTO
Valor del recurso para el negocio, en trminos de la confidencialidad, integridad y disponibilidad y otros

Vulnerabilidad

Amenazas

Controles

Puntos potenciales a ataquesdebilidades

Evento que podra explotar una vulnerabilidad.

Resguardos para reducir el riesgo. contramedidas

PROBABILIDAD

FINOL

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

23

CONTRAMEDIDAS
Reducen la amenaza o la vulnerabilidad de manera directa. Control con fortaleza inherente o de diseo. Controles de prevencin o de deteccin
Manuales Automatizados

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

24

RIESGO RESIDUAL
Permanecen despus de que se han diseado los controles y las contramedidas. Niveles de Riesgo Aceptable (Gerencia) Aceptacin de Riesgo Residual
Cumplimiento regulatorio Poltica organizacional Sensibilidad o criticidad de los activos involucrados Costo y efectividad de la implementacin.
Hugo Rosales Uriona CPA, FCA, ASIC, CISO

25

SUSTENTACION DEL ANALISIS DE RIESGO

Para su realizacin se requiere de la participacin de equipos multidisciplinarios, seleccionados por sus conocimientos especficos en el tema. En muchos casos se debe llamar expertos de fuera de la organizacin misma. El Anlisis de Riesgo debe PRECEDER a la decisin, en lugar de servir para sustentar una decisin ya tomada. Es por esto que la trasparencia es esencial en el anlisis.
Un buen Anlisis de Riesgo requiere TIEMPO y discusin.
Hugo Rosales Uriona CPA, FCA, ASIC, CISO

26

METODOLOGIAS GR

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

27

METODOLOGIA
Gestin TI
1. Seguimiento de los procesos 2. Evaluar lo adecuado del control Interno 3. Obtener aseguramiento independiente 4. Proveer una auditora independiente 1. Definir un plan estratgico de TI 2. Definir la arquitectura de informacin 3. Determinar la direccin tecnolgica 4. Definir la organizacin y relaciones de TI 5. Manejo de la inversin en TI 6. Comunicacin de la directrices Gerenciales 7. Administracin del Recurso Humano 8. Asegurar el cumplir requerimientos externos

CobiT

9. Evaluacin de Riesgos
10. Administracin de Proyectos 11. Administracin de Calidad

Monitoreo

Criterios:
Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad

Planeacin y Organizacin

1.Definicin del nivel de servicio 2.Administracin del servicio de terceros 3.Admon de la capacidad y el desempeo 4.Asegurar el servicio continuo 5.Garantizar la seguridad del sistema 6.Identificacin y asignacin de costos 7.Capacitacin de usuarios 8.Soporte a los clientes de TI 9.Administracin de la configuracin 10.Administracin de problemas e incidentes 11.Administracin de datos 12.Administracin de Instalaciones 13.Administracin de Operaciones

Recursos de TI
Datos, Aplicaciones infraestructura, Recurso Humano

Adquisicin e Implementacin

1. Identificacin de soluciones 2. Adquisicin y mantenimiento de SW aplicativo 3. Adquisicin y mantenimiento de arquitectura TI 4. Desarrollo y mantenimiento de Procedimientos de TI 5. Instalacin y Acreditacin de sistemas 28 6. Administracin de Cambios Hugo Rosales Uriona CPA, FCA, ASIC, CISO

Entrega y Soporte

EVALUACION RIESGOS: COBIT

ACTIVIDADES:
Evaluacin Riesgo del Negocio Enfoque de evaluacin de Riesgo Identificacin del Riesgo Medicin del Riesgo Plan de accin contra el Riesgo Aceptacin de Riesgos Seleccin de Garantas o proteccin Compromiso con el Anlisis de Riesgo
Hugo Rosales Uriona CPA, FCA, ASIC, CISO

29

NIST 800/30 Risk Management Guide for Information Technology Systems

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

30

NIST 800-30

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

31

ISO 27005: GESTION DE RIESGO

Soporta los conceptos definidos en el iso 27001-2 Es una actualizacin de la ISO 13335 (partes 3 y 4). Pasa por 2 fases:
Anlisis de Riesgos
Determinacin de Activos, Amenazas Estimacin del Impacto, vulnerabilidad Calculo del Nivel de Riesgo

Gestin de Riesgos
Aceptacin del Riesgo Contramedidas Estimacin del Riesgo Residual
Hugo Rosales Uriona CPA, FCA, ASIC, CISO

32

METODOLOGIA DE ANALISIS Y GESTION DE RIESGOS DE TECNOLOGIA DE INFORMACION

ANLISIS y GESTIN

de RIESGOS MAGERIT

DETERMINACIN DE OBJETIVOS, ESTRATEGIA Y POLTICA DE SEGURIDAD DE LOS S.I.

ESTABLECIMIENTO de la PLANIFICACIN de la SEGURIDAD

de los Sistemas de Informacin

DETERMINACIN de la ORGANIZACIN de la SEGURIDAD

de los Sistemas de Informacin

Y2K

IMPLANTACIN de SALVAGUARDAS y otras MEDIDAS de SEGURIDAD

de los Sistemas de Informacin

CONCIENCIACIN de TODOS en la SEGURIDAD

de los Sistemas de Informacin

MONITORIZACIN, GESTIN de CONFIGURACIN y de CAMBIOS en la SEGURIDAD de los Sistemas de Informacin

REACCIN a cada evento, REGISTRO de incidencias y RECUPERACIN de estados de SEGURIDAD

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

33

MAGERIT

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

34

APLICACIN DE LA METODOLOGIA

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

35

METODO DE LAS TABLAS

INCIDENTE PROBABILIDAD IMPACTO DE O OCURRENCIA (subjetivo a AMENAZAS criterio) (subjetivo a
criterio)

NIVEL DE RIESGO

SIN LIMITE

ESCALA DE 3o5 NIVELES

ESCALA DE 3o5 NIVELES

PRODUCTO PxI

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

36

MATRIZ DE RIESGOS

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

37

MEDICIN POR DELPHI

Este mtodo sirve para calificar y categorizar riesgos, amenazas, perdidas esperadas y en general todos aquellos aspectos que presentan complejidad matemtica para su cuantificacin, en base a la opinin sistematizada de un grupo de expertos se compara conceptos de a pares en base a un criterio de juicio nico previamente fijado: lo mas probable, lo mas peligroso, etc.

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

38

Ejemplo: Por importancia

Acceso Acceso ilegal ilegal Fraude y Robo Violacion de la Privacidad Perdida de Informacion Fraude y Robo Violacion de la Privacidad Perdida de Informacion

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

39

Ejemplo: Mas mportante

Acceso ilegal Acceso ilegal 3 Fraude y Robo 3,5 5 0 1 3 2 Fraude y Robo 2 Violacion de la Privacidad 1,5 Perdida de Informacion 4

Violacion de la Privacidad 0 Perdida de 5 Informacion

Perdida de Informacion Fraude y Robo Acceso ilegal Violacion de la Privacidad

11 10 7,5 1,5
40

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

APLICACIN
La suma total de los votos ser igual al total de expertos multiplicado por la cantidad de comparaciones realizadas = 5 x 6 = 30 Si determinamos relacin porcentual tendremos
Perdida de Informacion Fraude y Robo Acceso ilegal Violacion de la Privacidad total 11 10 7,5 1,5 30 37% 33% 25% 5% 100%
41

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

EJEMPLO: APLICACION
Si tenemos presupuesto de seguridad igual a Bs. 60.000.-, podremos distribuir en relacin porcentual
Perdida de Informacion Fraude y Robo Acceso ilegal Violacion de la Privacidad total 11 10 7,5 1,5 30 37% 33% 25% 5% 100% 22200 19800 15000 3000 60000
42

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

 PREGUNTAS????

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

43

TALLER PRACTICO!!!!!!!!

Hugo Rosales Uriona CPA, FCA, ASIC, CISO

44