gestiÓn de riesgos

GESTIÓN DE RIESGOS

CONTENIDOS

• GRC • Riesgos • Riesgos y Oportunidades • Riesgos de TI • ¿Cómo controlar los riesgos? • Riesgos asociados al desarrollo de sistemas • Proceso de administración de riesgos • Audiencia del riesgo de TI

Las condiciones económicas han generado incertidumbre…

“Los negocios se manejan con un pie en el acelerador y el otro en el freno ”

¿Qué es GRC?

Enfoque GRC

“GRC” = Governance, Risk and Compliance por sus siglas en inglés que significa (Gobierno, Riesgo y Cumplimiento)GRC se orienta a integrar y transformar a las personas, procesos y tecnologías que apoyan a las siguientes áreas claves: – Gobierno: Estructuras, políticas, procesos y controles de la junta o consejo directivo y la administración, que están enfocados en el valor a largo plazo por medio de la operación ética, equitativa, eficiente y efectiva del negocio. – Administración de riesgos: Proceso sistemático de la compañía para identificar , evaluar, administrar y monitorear tanto el incremento como la disminución de los riesgos de la compañía.

Cumplimiento : Proceso de la compañía para demostrar que sus empleados y otros se adhieren a las políticas y procedimientos, leyes y regulaciones vigentes.

El propósito fundamental de GRC es la mejora organizacional

en términos de inteligencia de riesgos y toma de decisiones a

través de la transformación de los procesos y actividades de

gobierno, administración de riesgos y cumplimiento.

Enfoque GRC

¿Qué es Riesgo?

Enfoque GRC

CATEGORÍA DE RIESGOS

Riesgo de AuditoriaEl Riesgo en auditoria surge cuando el auditor expresa una opinión errada en su informe, debido a que la información suministrada a él estén afectados por una distorsión material o normativa. En auditoria se conocen tres tipos de riesgos:

•Inherente, •de Control y •de Detección.


a) Riesgo inherente, son errores que no se pueden prever.


Riesgo de Auditoria

b) El riesgo de control, los controles internos imperantes no

prevén o detectan fallas que se están dando en los sistemas.

c) El riesgo de detección, están relacionados con el trabajo

del auditor. Éste en la utilización de los procedimientos de

auditoría, no detecta errores en la información que le

suministran. Categoría de Riesgos: Riesgo de Auditoria

Riesgo de Auditoria


Enfoque GRC: ¿Qué es Riesgo?

Enfoque GRC: ¿Qué es Riesgo?

“La posibilidad de pérdida o daño – o disminución de la posibilidad de beneficios – causada por factores que pueden afectar adversamente la realización de objetivos de una organización”

El problema empieza en el consejo directivo y continúa en las unidades de negocio

¿En dónde esta la conexión?

¿Por qué es importante GRC?

1. Protege y maximiza el valor de la acción, confiabilidad y prestigio de la organización. 2. Minimiza probabilidades de fraudes, incumplimientos y multas. 3. Minimiza “sorpresas” negativas. Minimiza perdidas por estas “Sorpresas”. 4. Protección de la fidelidad de los accionistas, socios de negocio, dirección y empleados. 5. Maximización de la buena intención de los accionistas , socios de negocio, dirección y empleados para con la organización. 6. Mejora competitiva por la capacidad de toma de decisiones oportuna sustentada en información veraz. 7. Mejora en la velocidad y calidad de las transacciones de todos los involucrados para con la empresa, debido a factores clave: “confianza y buena voluntad”. 8. Salvaguarda de los activos de la empresa. 9. Protección y estabilidad de empleo para los directivos y empleados de la organización. 10.Promoción de un mejor ambiente, de confianza y responsabilidad civil y transparencia de la organización para con la sociedad. Lo cual conlleva a varios beneficios económicos encadenados

TI: Un mundo excéntrico

• Los “riesgos” de TI atienden fundamentalmente a sucesos de alto impacto y baja (e incierta probabilidad).

• Sucesos a priori poco importantes desencadenan efectos “aumentados” por la complejidad intrínseca de los procesos.

¿Dónde están los riesgos?

• Las amenaza se han incrementado.

“Debido a los gusanos y otras amenazas, no puedes dejar tus redes abiertas a dispositivos y usuarios no autorizados.”

RIESGO Y OPORTUNIDAD

DINÁMICA GRUPAL

Ejemplifique, considerando a las TI tanto como inhibidor como habilitador de valor para el negocio (considere 3 ejemplos como mínimo).

RIESGOS DE TI

Riesgo de negocio asociado con el uso, la propiedad, operación, participación, influencia y adopción de TI dentro de una empresa.

• Consiste en eventos relacionados con TI que pueden potencialmente impactar el negocio.

• Incluye tanto frecuencia y magnitud incierta.

• Crea retos en alcanzar los objetivos y metas estratégicas y en el aprovechamiento de las oportunidades.

Riesgo = • Activos de Información • Amenazas • Vulnerabilidad

RIESGOS DE TI

Riesgos de Seguridad en Aplicaciones WEB (OWASP)

¿Cómo controlar los riesgos? Modelo de seguridad del ciclo de vida de desarrollo de software CVDS(Verde a rojo incrementa el costo de remediación)

Riesgos Asociados al desarrollo de sistemas

• El nuevo sistema no satisfaga las necesidades del negocio, requerimientos y expectativas.

• Riesgos durante el desarrollo de sistemas: – Proyecto – Proveedores – Organización – Externos

DINAMICA GRUPAL

• CASO JETHRO 1. Identifique los Riesgos Asociados al desarrollo de

sistemas. 2. Identifique la situación mas riesgosa que se puede

desencadenar si el sistema se construye tal cual lo especifica Jethro.

3. Identifique controles que minimicen los riesgos de desarrollo.

EVALUACIÓN DE RIESGOS

IDENTIFICACIÓN DE RIESGOS

Identificar riesgos puede ser…

•Demasiada Data

•Bitácoras Complejas

•Informes misteriosos

Encontrar una aguja en un pajar

RISK ASSESSMENT (EVALUACIÓN DE RIESGOS)

ACTIVOS

•Son Activos, los recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección.

• El activo esencial es la información que maneja el sistema; o sea los datos. Y alrededor de estos datos se pueden identificar otros activos relevantes:

– Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos.

– Las aplicaciones informáticas (software) que permiten manejar los datos.

– Los equipos informáticos (hardware) que permiten hospedar datos, aplicaciones y servicios.

– Los soportes de información que son dispositivos de almacenamiento de datos.

– El equipamiento auxiliar que complementa el material informático.

– Las redes de comunicaciones que permiten intercambiar datos. – Las instalaciones que acogen equipos informáticos y de comunicaciones.

– Las personas que explotan u operan todos los elementos anteriormente citados.

ACTIVOS

CLASIFICACIÓN DE ACTIVOS En cada caso, hay que adaptarse a la Organización objeto del análisis. Con frecuencia se puede estructurar el conjunto de activos en capas, donde las capas superiores dependen de las inferiores:

Capa 5 • OTROS ACTIVOS Capa 4 • FUNCIONES DE LA ORGANIZACIÓN Capa 3 • INFORMACIÓN Capa 2 • SISTEMA DE INFORMACIÓN Capa 1 • ENTORNO

– Capa 1: el entorno: activos que se precisan para garantizar las siguientes capas:

• Equipamiento y suministros: energía, climatización, comunicaciones • Personal: de dirección, de operación, de desarrollo, etc. • Otros: edificios, mobiliario, etc.

– Capa 2: el sistema de información propiamente dicho.

• Equipos informáticos (hardware) • Aplicaciones (software) • Comunicaciones • Soportes de información: discos, cintas, etc.

CLASIFICACIÓN DE ACTIVOS

– Capa 3: la información

• Datos • Meta-datos: estructuras, índices, claves de cifra, etc.

– Capa 4: las funciones de la Organización, que justifican la existencia del sistema de información y le dan finalidad.

• Objetivos y misión • Bienes y servicios producidos


– Capa 5: Otros Activos

• Credibilidad o buena imagen • Conocimiento acumulado • Independencia de criterio o actuación • Intimidad de las personas • Integridad física de las personas


Considerando la NTP 17799:2007 • La clasificación se realiza mediante el proceso siguiente:

– Por Naturaleza – Por Ponderación

Clasificar

– Por Naturaleza

• Se determina la clase de Activo a la que pertenece: Tangible, Intangible o Servicios de TI. Esta clasificación permite:

• Identificar la cantidad de activos que posee la empresa. • Identificar cuál es la clase de activo más importante de la empresa.


– Por Ponderación

• La clasificación por Ponderación es la continuación de la Clasificación por Naturaleza, ya que una vez identificado que clase de activos posee la empresa, debemos hacer una ponderación de qué clase de activo es la más importante.

DINÁMICA GRUPAL

• Organice los Activos de TI, según las capas sugeridas para el caso planteado: “ Los Informales SAC hacen uso extensivo de transacciones comerciales por internet. Sus aplicaciones y datos están alojadas en servidores remotos que son administrados por un proveedor. Los equipos de computo son principalmente usados para ejecutar las aplicaciones alojadas en el proveedor de servicios. También cuentan con equipos de impresión que son compartidos por los miembros de cada área, enlazados por una red local. Como ya se mencionó, el proveedor de servicios, garantiza tiempos de respuesta adecuados para la performance del software comercial. La administración y control de accesos del software, es responsabilidad del proveedor. El proveedor de servicios da de alta y baja a los usuarios. Se estableció un tiempo promedio de 3 días tanto para las altas como las bajas. La conexión de los usuarios a las instalaciones del proveedor de servicios será usando el servicio IPVPN. Como medio redundante, se cuenta con conexión RDSI. Esto con la finalidad de mantener la continuidad de las operaciones y no afectar la imagen de la empresa. Como información sensible se esta considerando los datos del cliente (Ventas, línea de crédito entre otros).”

DINAMICA GRUPAL

VULNERABILIDAD

– Debilidad de un activo o grupo de activos que pueden ser explotados por una o más amenazas (NTP-ISO/IEC 17799).

– Potencialidad o posibilidad de ocurrencia de una amenaza sobre un activo.

VULNERABILIDAD DEL ACTIVO

AMENAZA

– Causa potencial de un incidente no deseado que puede resultar en daño al sistema u organización (NTP-ISO/IEC 17799). – Eventos que pueden desencadenar un incidente en la Organización, produciendo daños materiales o pérdidas inmateriales en sus activos.

– Condición del entorno del sistema de información que, dada una oportunidad, podría dar lugar a que se produjese una violación de la seguridad.

– Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño. – No todas las amenazas afectan a todos los activos, sino que hay una cierta relación entre el tipo de activo y lo que le podría ocurrir.

AMENAZA

NIVEL DE PROBABILIDAD

DINÁMICA GRUPAL

• Para el caso planteado identifique: – Vulnerabilidades – Amenazas • Relacione Activos, Amenazas vs Vulnerabilidades

NIVEL DE RIESGO

PROCESO DE ADMINISTRACIÓN DE RIESGOS

• Identificación y clasificación de los activos o recursos de información que necesitan protección.

• Evaluar amenazas, vulnerabilidades y la probabilidad de ocurrencia.

• Luego de establecer los elementos de riesgo, éstos son evaluados en conjunto para definir un panorama general del riesgo.

• El riesgo es proporcional al valor de la pérdida o daño y a la frecuencia estimada de la amenaza.


• Una vez que los riesgos han sido identificados, pueden evaluarse los controles existentes o los nuevos controles para reducir la vulnerabilidad a un nivel aceptable de riesgo.

• El nivel remanente de riesgo, luego de aplicarse los controles, es denominado “riesgo residual” y puede ser utilizado por la gerencia para identificar aquellas áreas en las que se requiere mayor control para reducir aún mas los riesgos.


PROCESO DE MITIGACIÓN

Una vez que se desarrolló la valoración de los riesgos lo que queda por hacer es un proceso de mitigación de los riesgos encontrados teniendo como prioridad los que sean de mayor valoración.

Proceso de Mitigación

Audiencia del Framework de Riesgos de TI

Gracias

gestiÓn de riesgos

Documents