La Nueva Iniciativa

de ASIS

Internacional

Fecha: 31/08/2018

Instructor: Ing. Alberto Friedmann R.

ESRMENTERPRISE SECURITY

RISK MANAGEMENT

En el año 2016, la Junta Directiva de ASISInternacional, determinó que la Gestión delRiesgo de Seguridad Empresarial (ESRM) seráuna fuerza y directriz en el plan estratégicointernacional y global de ASIS.

ESRM - LA INICIATIVA DE LA JUNTA DIRECTIVA

Objetivos:

• Hacer más efectivos a los miembros de ASIS, comoprofesionales de la seguridad para que puedan alcanzar unmejor y mayor valor en sus organizaciones.

• Habilitar a los miembros para identificar y gestionar demejor manera los diferentes aspectos de los riesgos deseguridad que enfrentan.

• Lograr una membresía emponderada, con organizacionesmás seguras, que tengan un enfoque más estratégico delriesgo y que puedan tener una función de seguridad másefectiva y rentable.

ESRM - LA INICIATIVA DE LA JUNTA DIRECTIVA

• El proyecto habilitará una visión estratégica pormedio de la integración sistemática en suscontenidos de los principios del ESRM, así como loselementos que comprenden la educación,capacitación, estándares, guías y directrices,marketing, comunicación, certificaciones yherramientas de soporte para los profesionales dela seguridad.

ESRM - LA INICIATIVA DE LA JUNTA DIRECTIVA

GESTIÓN DEL RIESGO DE SEGURIDAD EMPRESARIAL (ESRM-ENTERPRISE SECURITY RISK MANAGEMENT)

"Las grandes obras conllevan generalmente grandes riesgos en su

creación y su proceso "

Herodoto de Halicarnaso, 484 - 425 a. C.

Historiador y geógrafo griego, considerado como el padre de la Historia en el Mundo Occidental

DEFINICIONDE RIESGO(WIKIPEDIA)

RIESGO es una medida de la magnitud de posibles dañosfrente a situaciones de peligro.

Término proveniente del italiano “rishio”, que lo adoptódel vocablo armenio “rrizy (ռիսկը)” que significa “loque depara la providencia”. El término hace referencia ala proximidad o contingencia de un posible daño.

Informalmente se habla de riesgo para indicar laocurrencia ante un perjuicio o daño potencial. Cuantomayor es la vulnerabilidad mayor es el riesgo y encuanto más factible es el perjuicio o daño.

El riesgo se refiere sólo a la teórica "posibilidad dedaño", bajo determinadas circunstancias.

Actualmente cualquier riesgo es más complejo, las palabras deHerodoto engloban hoy un concepto que resulta vital para losnegocios.

• Todo riesgo debe ser entendido y conceptualizado siemprecon la finalidad de obtener ante todo, resultados positivos.

• Los riesgos traen oportunidades, así como llevan consigopeligros.

• La seguridad normalmente se ha enfocado en los peligros,mas nunca antes en las oportunidades.

TODOS LOS DERECHOS RESERVADOS – PROHIBIDA SU REPRODUCCIÓN 2018

PROTECCION DE ACTIVOS – POA …PROTECCION DE ACTIVOS DE INFORMACION - IAP• La información

• Sensible

• Patentada

• Tiene derechos de privacidad

• Propiedad intelectual y derechos de autor

• Está protegida por leyes

• Activos Intangibles

• Programas, sistemas, aplicativos y licencias

• Documentación digital

• Conocimientos científicos, tecnológicos, certificados y publicaciones

• Marcas y patentes

• Procesos

• Franquicias

• Reputación

¿ Son las noticias falsas un RIESGO ?

Es un proceso de gestión de lasvulnerabilidades de seguridad de los activos.

Se utiliza para administrar los riesgos en laempresa de una manera efectiva, tanto deforma predictiva y proactiva así como reactiva,con un concepto cíclico y que abarca todos losaspectos y áreas de la seguridad.

QUÉ ES ESRM

Cuantifica amenazas, establece planesde mitigación, identifica prácticas deaceptación de riesgos, gestionaincidentes y guía a los propietarios deriesgos en el desarrollo de los esfuerzosde remediación.

Crea un enlace entre los objetivos delnegocio y la gestión del riesgo.

QUÉ ES ESRM

Es un enfoque estratégico para la gestión de losprogramas de seguridad.

Vincula la práctica de seguridad de la organización, ensu misión y objetivos de negocio, así como en lautilización de los principios de gestión de riesgosestablecidos y aceptados a nivel mundial.

QUÉ ES ESRM

QUÉ ES ESRM

• ESRM es un concepto estratégicoNO es táctico

• Crea un enlace entre losobjetivos del negocio y la gestióndel riesgo

• Comparte responsibilidad

• Decisión final = Negocio

• La seguridad se “gestiona” enasociación con el negocio

• Abarca todos los aspectos yáreas de la seguridad

• Es un concepto cíclico

14

Genera una evaluación continua del alcance de los riesgosrelacionados con la seguridad para una organización,siempre dentro de la cartera integral de activos de laempresa.

Mejora

Continua

Identificar

cuantifica y dar

prioridad a los

activos

Análisis de

causas raízRespuesta a

incidentes

Identificar,

cuantificar y

dar prioridad a

los riesgos

Evaluación

de riesgos

en marchaMitigación de

los riesgos

con prioridad

• Observa a la seguridad como un habilitador de negocios.

• Los propietarios de los riesgospodrán tomar mejores y másefectivas decisiones sobre losmismos, al identificar riesgos yayudar a lograr objetivos delnegocio.

VISIÓN DE NEGOCIO DEL ESRM

• Habilitar la seguridad, significaacumulación de la confianza.

• Proporciona rangos efectivos deservicios relacionados con laseguridad para los clientes yemplea la experiencia queproporcionan tanto elcumplimiento normativo como eldel ESRM, que están relacionadoscon la seguridad.

VISIÓN DE NEGOCIO DEL ESRM

• Las organizaciones tienen unavisión fundamentada en el riesgode la protección integral delnegocio, en sectores tales comocontinuidad comercial, riesgoscibernéticos e investigación delpersonal entre otros.

• Proporciona las estructuras deseguridad basadas en las mejoresprácticas, siempre que esténdebidamente sustentadas.

VISIÓN DE NEGOCIO DEL ESRM

QUE NO ES ESRM

• No es “convergencia”:• Convergencia integra TI

y seguridad físca en unmismo concepto

• El grado de integraciónidentifica el grado deconvergencia

• Los primeros esfuerzosse basan en lospresupuestos

• No es Gestión de Riesgo Empresarial (ERM):• ERM gestiona todos los

riesgos de la empresa

• ESRM es un componente de ERM

• ESRM emplea unafilosofía similar paraadministrar los riesgosde la seguridad

19

ESRM COMO RESPONSABLE DE LA SEGURIDAD

• Busca el conocimiento profundo de laorganización.

• Se comunica con los diversos interesadosorganizacionales y aprende cualesaspectos se consideran importantes paraellos y para sus grupos.

• Comprende los objetivos comerciales ylos del negocio para la organización.

• Identifica los riesgos y ayuda al negocio alograr los objectivos.

• Apoya las responsabilidades legales del negocio.

20

POR QUÉ ESRM

• Toma "consciencia " del rol en la organización:• Identifica los riesgos para todo ejecutivo en

particular

• Proporciona una perspectiva objetiva acerca delos riesgos

• Deja que el ejecutivo decida

• ¡Los riesgos No “se aceptan”; éstos no formanparte de nuestra operación!

• Identifica los riesgos y suministra expertos en lamateria durante el proceso de gestión de losmismos.

21

¿ PREGUNTAS ?

Gracias

Comité Ciber Seguridad – CITS ASIS México

afriedmann@procesos.com.mx

Ciudad de México, México31 de Agosto 2018

TODOS LOS DERECHOS RESERVADOS – PROHIBIDA SU REPRODUCCIÓN 2018