charla baitec - riesgos

1

LOS RIESGOS DE LAS TECNOLOGIAS DE LA INFORMACIÓN

2

Qué es la Gestión de Riesgos

Primera parte

3

Una definición genérica:

El grado de incerteza respecto de la aparición de un evento y sus consecuencias (positivas o negativas).

Participan los conceptos de:

Amenaza

� Es el evento que origina el Riesgo

� Terremoto; Fallo de Hardware; Error Humano…

¿Qué es un Riesgo?

Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.

� Terremoto; Fallo de Hardware; Error Humano…

Probabilidad

� Un suceso o condición segura NO es un Riesgo

Vulnerabilidad

� Debilidad de un Activo o Recurso que puede ser explotado por una o más amenazas

4

PROBABILIDAD

Diagrama de Riesgos

CONTRAMEDIDAS

Vulnerabilidad

Vulnerabilidad

Recurso / Activo

Recurso / Activo

Recurso / Activo

Impacto

ImpactoAmenaza

Amenaza


Vulnerabilidad

Vulnerabilidad

Activo

Recurso / Activo

Recurso / Activo

Recurso / Activo

Impacto

Impacto

Amenaza

Amenaza

Amenaza

Impacto

5

Según su Tipo de Impacto:

Riesgos Positivos

También llamados “Oportunidades”

Deben potenciarse y aprovecharse

Riesgos Negativos

Son los Riesgos “por antonomasia”

Deben tomarse medidas para:

Clasificación de Riesgos


Deben tomarse medidas para:

� Reducir o Eliminar la Probabilidad de que sucedan

- Gestionar las Amenazas; Vulnerabilidades y/o Activos, p.e.- Planes de Pruebas; Reducción de Puntos Únicos de Falla; Campañas de

Entrenamiento y/o Concientización, etc.

� Mitigar su Impacto, p.e.

- Políticas de Respaldo y Recuperación y Planes de Contingencia- Tercerizaciones

6

Según el Área primaria impactada:

Riesgos propios de Negocio:

Difícilmente transferibles

� Mercados de Bienes y Financieros

� Competencia

� Leyes y Regulaciones, etc.

Riesgos no específicos

Clasificación de Riesgos


Riesgos no específicos

SIEMPRE impactan finalmente en el Negocio

Riesgos Tecnológicos

� No informáticos

� Informáticos

Otros Riesgos

� Recursos humanos

� Ambientales, etc.

7

Son un tipo específico de Riesgo Tecnológico

Se definen como:

Riesgos Informáticos

Los riesgos asociados al Uso, Propiedad, Operación, Involucramiento, Influencia y

Adopción de las TI dentro de una OrganizaciónISACA – The RiskIT Framework – 2009


Son un componente inseparable de los Riesgos de Negocios

Pueden clasificarse en:

Asociados a la Pérdida de Beneficios o Valor

Asociados a los Proyectos

Asociados a la Entrega y Soporte de un Servicio Informático

8

Riesgos Informáticos – 3 Visiones

Riesgos Estratégicos

RIESGOS CORPORATIVOS

Riesgos Ambientales

Riesgos de Mercado

Riesgos Crediticios

Riesgos Operativos

Riesgos Industriales

Riesgos de TI




Riesgos Ambientales

Riesgos de Mercado

Riesgos Crediticios

Riesgos Operativos


Riesgos de TI

Riesgos de TI



Riesgos Ambientales

Riesgos de Mercado

Riesgos Crediticios

Riesgos Operativos


9

Beneficios directos:

Reduce el impacto en los ingresos y/o beneficios

Protege las inversiones de los efectos negativos

Prepara la organización para enfrentar a las amenazas

Facilita la toma de acciones tempranas

“Resolver los problemas pequeños cuando aún son pequeños”

Gestión de Riesgos Informáticos


Además:

Facilita las Comunicaciones entre TI y el Negocio

Incrementa la confianza en la Gestión

Facilita la implantación de medidas reactivas

Versus “Gestión por Crisis”

Compensa actitudes imprudentes o poco realistas

10

Falta de inclusión en las Políticas de las Organizaciones

Carencia de una Metodología

RiskIT® (ISACA® - ITGI®); M_o_R®: OGC®; ISO 31000:2009, etc.

Procesos subjetivos para la Toma de Decisiones

� “Gestión por Extrapolación”

Inexistente o frágil justificación financiera

Desafíos


Inexistente o frágil justificación financiera

Falta de Información

� ¿Costo de la Indisponibilidad?

� Impactos no financieros (Imagen)

Limitación de recursos (Financieros, Humanos, Tiempo, etc.)

Integrar la Gestión de Riesgos a la Cultura Organizacional

“Gestión por Esperanza”

11

La Gestión del Riesgo debe:

Crear Valor para la organización

Ser parte integral de los Procesos organizacionales y de Toma de Decisiones

Manejar apropiadamente los niveles de incerteza

Basarse en la mejor información disponible

Principios Generales (*)


Ajustarse a los Objetivos y Necesidades del Negocio

Considerar los factores humanos

Ser transparente e inclusiva

Ser dinámica, iterativa y susceptible a los cambios

Someterse a un proceso de Mejora Continua

(*) ISO 31000 – Risk Management –Principles & Guidelines

12

Apetito por el Riesgo

“Risk Appetite”

Es el Nivel de Riesgo que una Organización está dispuesta a aceptar al perseguir sus Objetivos

Organizaciones “Cautelosas” o “Temerarias”

Suele seguir pautas históricas

Tolerancia ante el Riesgo

Posicionamiento


Tolerancia ante el Riesgo

“Risk Tolerance”

Es la Variación respecto del logro de los Objetivos que una Organización está dispuesta a aceptar

Suele estar definida o condicionada por el Tipo de Negocio; el Mercado o Regulaciones

P.E: ¿Cuántos clientes estamos dispuestos a perder en caso de (…)?

13

Por lo menos dos etapas bien diferenciadas:

Análisis de Riesgos

Recolección de Información

� Amenazas

� Vulnerabilidades

� Probabilidades, etc.

Permite la Toma de Decisiones



GESTIÓN DE RIESGOS


Permite la Toma de Decisiones

Gestión de Riesgos

Pone en práctica Procesos y Actividades:

� Implementación de Contramedidas

� Monitoreo de Riesgos (Detección)

Gestión de Riesgos

14

Pueden identificarse:

Identificación de los Riesgos

Análisis Cualitativo

Identificación de la Probabilidad e Impacto

Análisis Cuantitativo

Incluye el análisis de las Vulnerabilidades



GESTIÓN DE RIESGOS


Definir los Niveles aceptables de Riesgo

Asociado al Apetito y Tolerancia al Riesgo

Toma la forma de Costo/Beneficio

Identificar las contramedidas

Evitar; Mitigar; Transferir o Aceptar

Toma la forma de Costo/Beneficio

Gestión de Riesgos

15

Pueden identificarse:

Implementar las respuestas definidas

Pueden combinarse

Asegurar su efectividad

Monitoreo de Riesgos

Análisis de la Efectividad y Eficiencia

Gestión de Riesgos


GESTIÓN DE RIESGOS


Mejora y Revisión

Mejora continua

Gestión de Riesgos

16

Riesgos asociados al “Cloud Computing”

Segunda parte

17

Según Gartner Group (1/2):

Acceso a la Información

Grado de robustez que tienen los controles del Proveedor respecto de la información de sus clientes

Cumplimiento Regulatorio

La responsabilidad de Cliente NO es transferible al proveedor

Auditorías y controles externos

Principales AmenazasGartner Group – “Assessing the

Security Risks of Cloud Computing” –June 2008

http://tinyurl.com/GartnerCloud2008


Auditorías y controles externos

Ubicación de los Datos

¿Dónde está físicamente la información?

Regulaciones Regionales exigibles por los Clientes

Segregación de Datos

Los esquemas de Encriptamiento incluyen sus propios riesgos y problemas

18

Según Gartner Group (2/2):

Recuperación

Planes de Respaldo y Recuperación y Planes de Contingencia

Detección y Control de Actividades ilegales/deshonestas

Por parte del Proveedor, su personal, sus proveedores o entidades externas (“hackers”)

Long-term viability

Principales Amenazas


Long-term viability

Compras o uniones (“merging”)

Protección de datos (Disponibilidad, Integridad, Confidencialidad)

19

Según ENISA(*) – Resumen (1/2):

Riesgos Organizacionales y Políticos

Pérdida o limitaciones de Gobierno

Limitaciones en la Portabilidad (“Lock-in”)

Cumplimiento de Regulaciones

� Por parte del “Cloud Provider”

� Por parte del Cliente (Auditorías)


ENISA – “Benefits, risks and recommendations for information

security” – November 2009http://tinyurl.com/ENISACloud2009


� Por parte del Cliente (Auditorías)

Riesgos Técnicos

Debilidades en la Separación de la información (“Isolating”)

Riesgo Personales

� Débil definición de Roles

Borrado inseguro o incompleto de datos

Fallos en las interfaces de acceso (“Web browsers”)(*) European Network and

Information Security Agencyhttp://www.enisa.europa.eu/

20

Según ENISA – Resumen (2/2):

Riesgos Legales

Protección de los Datos

� Integridad, Confidencialidad, Disponibilidad, etc.

Inespecíficos (no relacionados al “Cloud Computing”)

Fallos en las redes

Desempeño



� Desempeño

� Disponibilidad

21

Según CSA(*) pueden identificarse 6 etapas:

Etapa 1:

Identificar el tipo de Activo impactado por la decisión:

Datos

Aplicaciones; Funciones; Procesos

Etapa 2:

Evaluación de Riesgos

CSA – “Security Guidance for Critical

Areas of Focus in Cloud Computing” December 2009

http://tinyurl.com/CSASecGuide2009


Etapa 2:

Para cada activo, evaluar las amenazas asociadas con:

Su divulgación pública

El acceso del personal del proveedor

Su manipulación por parte del proveedor

El fallo en el logro de sus objetivos

Su indisponibilidad

(*) Cloud Security Alliance https://cloudsecurityalliance.org/

22

Etapa 3:

Una vez establecida la importancia del Activo, definir el Modelo potencialmente más adecuado:

Nube Pública, Privada, Hibrida, etc.

Etapa 4:

Evaluar las contramedidas viables:



Para cada proveedor

Para cada capa

Etapa 5:

Analizar el flujo de datos

Cómo se “mueven” los datos dentro de la interface Cliente-Proveedor

23

Etapa 6:

Sacar las conclusiones, considerando principalmente:

Arquitecturas potencialmente viables

Tolerancia y Apetito ante el riesgo



24

Aspectos Regulatorios

Claridad en las tarifas

Costos variables fuera de control

Costos y Dificultades

¿Qué les preocupa a las PYME’s?

Según ENISA:

Privacidad

Disponibilidad

Datos y/o Servicios

Integridad

Datos y/o Servicios


Costos y Dificultades asociadas a la Migración

Migraciones intra-nube ("lock-in)

Datos y/o Servicios

Confidencialidad

No-Repudio

Pérdida del Control

Manejo de Incidentes

ENISA – “An SME perspective en Cloud Computing” – November 2009http://tinyurl.com/ENISASurvey2009

25

LOS RIESGOS DE LAS TECNOLOGIAS DE LA INFORMACIÓN

MUCHAS GRACIAS

charla baitec - riesgos

Business