mario ureña - gestión de riesgos con iso31000

Regional Business Forum BSI

Título: Gestión de Riesgos con ISO 31000

Por Mario Ureña Cuate, BSICISSP, CISA, CISM, CGEIT, BS25999LA, ISO27001LA

08 de Abril 2011

INTRODUCCIÓN

Introducción

San Juan Ixhuatepec. 1984

México, D.F. 19 de Septiembre de 1985

México, D.F. 06 de Octubre de 2008

Empresa que cotiza en bolsa, 10 de Octubre de 2008

Inundación en Veracruz. 1999

Huracán Nora, Acapulco. 1997

New York, USA. 11 de Septiembre de 2001

Bomba, México, D.F. 15 de Febrero de 2008 México, D.F. 04 de Noviembre de 2008

Fuente: SecureInformationTechnologies

Introducción

Seguridad de la Información - Amenazas

Insuficiencia de infraestructura

Spyware / Adware

Phishing / Engaños intencionales

Agresores internos

Desconocimiento del usuario

Hackers y otros agresores

Virus

Informáticos

0 50 100 150 200 250 300 350 400 450

Hardware deficiente

Fallas de energía

Spam

Negligencia del usuario

Software deficiente

Insuficiencia de infraestructura No informáticos

Fuente: SecureInformationTechnologies – Estudio de Percepción 2010

Uso de banca electrónica

Extracción de información

Pérdida de información

Robo de identidad

Integridad / Confiabilidad

Privacidad / Confidencialidad

Informáticos

Seguridad de la Información - Preocupaciones

0 50 100 150 200 250 300

Accesos inalámbricos

Pirateria

Internet

Pornografía / Protección para …

Compras en línea

Uso de banca electrónica

No informáticos

Fuente: SecureInformationTechnologies – Estudio de Percepción 2010

Riesgos relacionados con desastres

The International Disaster Database

www.emdat.bewww.emdat.be

Desastres ocurridos desde 1900 a la fecha

An

gu

illa

An

tig

ua

an

d B

arb

ud

a

Arg

en

tin

a

Ba

ha

ma

s

Ba

rba

do

s

Be

lize

Be

rmu

da

Bo

livia

Bra

zil

Ca

ym

an

Isl

an

ds

Ch

ile

Co

lom

bia

Co

sta

Ric

a

Cu

ba

Do

min

ica

Do

min

ica

n R

ep

Ecu

ad

or

El S

alv

ad

or

Fre

nch

Gu

ian

a

Gre

na

da

Gu

ad

elo

up

e

Gu

ate

ma

la

Gu

ya

na

Ha

iti

Ho

nd

ura

s

Jam

aic

a

Ma

rtin

iqu

e

Me

xic

o

Mo

nts

err

at

Ne

the

rla

nd

s A

nti

lles

Nic

ara

gu

a

No

rth

ern

Ma

ria

na

Is

Pa

na

ma

Pa

rag

ua

y

Pe

ru

Pu

ert

o R

ico

St

Kit

ts a

nd

Ne

vis

St

Luci

a

St

Vin

cen

t a

nd

Th

e G

ren

ad

ine

s

Su

rin

am

e

Tri

nid

ad

an

d T

ob

ag

o

Tu

rks

an

d C

aic

os

Is

Uru

gu

ay

Ve

ne

zue

la

Vir

gin

Is

(UK

)

Vir

gin

Is

(US

)

Total

Desastres Complejos 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 2

Sequía 1 1 2 0 0 0 0 9 15 0 2 1 3 6 0 1 3 5 0 0 0 4 2 7 9 3 0 6 0 0 4 0 1 6 8 1 0 0 0 0 0 0 1 1 0 0 116

Actividad sísmica 0 0 5 0 1 0 0 3 2 0 27 23 13 2 1 2 16 10 0 0 1 12 0 1 6 1 1 27 0 0 9 0 4 0 39 1 0 1 0 0 1 0 0 8 0 0 257Actividad sísmica 0 0 5 0 1 0 0 3 2 0 27 23 13 2 1 2 16 10 0 0 1 12 0 1 6 1 1 27 0 0 9 0 4 0 39 1 0 1 0 0 1 0 0 8 0 0 257

Epidemia 5 0 2 0 0 0 0 11 15 0 1 2 1 2 0 5 11 9 0 0 0 7 0 2 7 5 0 3 0 0 10 0 5 6 11 0 0 0 0 0 0 0 0 6 0 0 138

Temperaturas Extremas 0 0 7 0 0 1 0 3 7 0 5 0 0 0 0 0 0 1 0 0 0 2 0 0 0 0 0 16 0 0 0 0 0 2 6 0 0 0 0 0 0 0 3 0 0 0 88

Inundación 1 0 46 1 2 4 0 32 104 0 26 61 23 21 0 17 24 14 1 1 1 18 6 40 25 13 0 55 0 0 14 0 27 15 38 6 1 0 4 3 2 0 12 24 0 0 867

Accidente Industrial 0 0 3 0 0 0 0 1 13 0 3 11 1 2 0 0 5 2 0 0 0 1 1 1 2 2 0 33 0 0 2 0 0 0 4 2 0 0 0 0 1 0 0 5 0 0 184

Infestación (Insectos) 0 0 0 0 0 0 0 0 1 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 3

Deslave (Seco) 0 0 0 0 0 0 0 0 0 0 0 3 0 0 0 0 1 0 0 0 0 2 0 0 1 1 0 0 0 0 0 0 0 0 2 0 0 0 0 0 0 0 0 0 0 0 18

Deslave (Mojado) 0 0 3 0 0 0 0 5 23 0 4 35 1 0 0 0 11 2 0 0 0 6 1 2 1 1 0 10 0 0 1 0 0 0 30 2 0 1 0 0 1 0 0 4 0 0 148

Accidentes Miscelaneos 0 0 6 0 1 1 0 0 22 0 5 10 2 1 0 2 4 3 0 1 0 5 4 13 5 1 0 14 0 0 2 0 6 1 10 2 0 0 0 0 2 0 0 7 0 0 228

Tormenta 6 10 17 20 6 13 6 2 18 7 13 7 8 38 12 25 0 11 0 6 12 8 0 33 19 27 13 75 4 4 18 1 4 4 3 16 8 13 8 0 7 6 6 3 2 6 1062

Accidente de transporte 1 0 19 3 0 1 2 27 99 0 10 45 2 20 1 12 20 6 0 0 2 24 0 29 8 1 0 72 0 1 3 0 8 2 104 7 0 0 0 3 0 2 5 29 0 0 788

Actividad volcánica 0 0 2 0 0 0 0 0 0 0 6 11 6 0 0 0 10 1 0 0 1 11 0 0 0 0 1 10 4 0 5 0 0 0 2 0 0 0 3 0 1 0 0 0 0 0 76

Incendios Forestales 0 0 5 0 0 0 0 3 3 0 6 2 2 2 0 3 2 0 0 0 0 2 0 0 1 0 0 3 0 0 3 0 1 1 1 0 0 0 0 0 0 0 0 0 0 0 118

Total 14 11 117 24 10 20 8 96 322 7 108 212 62 94 14 67 107 64 1 8 17 102 14 128 84 55 15 324 8 5 72 1 57 37 259 37 9 15 15 6 15 8 27 87 2 6 4093

Arg

en

tin

a

Bra

zil

Co

lom

bia

Co

sta

Ric

a

Re

pu

blic

a D

om

.

Ecu

ad

or

El S

alv

ad

or

Ho

nd

ura

s

Me

xic

o

Pa

na

ma

Pe

ru

Uru

gu

ay

Desastres Complejos 0 0 0 0 0 0 0 0 0 1 0 0

Sequía 2 15 1 3 1 3 5 9 6 1 8 1

Actividad sísmica 5 2 23 13 2 16 10 6 27 4 39 0

Epidemia 2 15 2 1 5 11 9 7 3 5 11 0

Temperaturas Extremas 7 7 0 0 0 0 1 0 16 0 6 3

Inundación 46 104 61 23 17 24 14 25 55 27 38 12

Accidente Industrial 3 13 11 1 0 5 2 2 33 0 4 0

Infestación (Insectos) 0 1 1 0 0 0 0 0 0 0 1 0

Deslave (Seco) 0 0 3 0 0 1 0 1 0 0 2 0

Deslave (Mojado) 3 23 35 1 0 11 2 1 10 0 30 0

Accidentes Miscelaneos 6 22 10 2 2 4 3 5 14 6 10 0

Tormenta 17 18 7 8 25 0 11 19 75 4 3 6

Accidente de transporte 19 99 45 2 12 20 6 8 72 8 104 5

Actividad volcánica 2 0 11 6 0 10 1 0 10 0 2 0

Incendios Forestales 5 3 2 2 3 2 0 1 3 1 1 0

GESTIÓN DE RIESGOS EN LAS ORGANIZACIONESLAS ORGANIZACIONES

Tipos de gestión de riesgos

Relaciones entre tipos de riesgos

Riesgo de Seguridad

de la Información

Riesgo de TI

Riesgo de Continuidad del Negocio

Riesgo de Proceso

Riesgo Operacional

Riesgo Financiero

Relaciones entre tipos de riesgos

Riesgo de Terremoto

Riesgo de Tsunami

Riesgo de Continuidad del Negocio

Riesgo de Fallas en

Infraestructura Nuclear

Riesgo de Emisiones

Radioactivas

Riesgo de daño a la

salud de la población

Análisis y evaluación de riesgos

Granularidad:

Oferta de estándares y marcos de referencia

Nota: Solo como referencia y no deberá considerarse como exhaustivo.Fuente: Secure Information Technologies


Directamente relacionados con la Gestión de Riesgos



Requieren o se relacionan con la Gestión de Riesgos


GUÍA 73

Guía 73:2009Áreas cubiertas:

- Términos relacionados con riesgo (1)

- Términos relacionados con gestión de riesgos (4)

- Términos relacionados con el proceso de gestión de riesgos (1)

- Términos relacionados con la comunicación y consulta (3)

- Términos relacionados con el contexto (4)- Términos relacionados con el contexto (4)

- Términos relacionados con la evaluación de riesgos (assessment) (1)

- Términos relacionados con la identificación de riesgos (6)

- Términos relacionados con el análisis de riesgos (9)

- Términos relacionados con la evaluación de riesgos (evaluation) (7)

- Términos relacionados con el tratamiento de riesgos (8)

- Términos relacionados con el monitoreo y medición (6)

ISO 31000

ISO 31000

Gestión de Riesgos – Principios y Guías

Estándar internacional

Primera edición – 15 de Noviembre de 2009

Para organizaciones de cualquier tipo y tamaño

ISO 31000

Puede ser aplicado a toda la organización, así

como a funciones, proyectos y actividades

específicas.

Cada sector específico debe tomar en cuenta

necesidades individuales, audiencias,

percepciones y criterios.

ISO 31000

Provee principios y guías genéricas para la gestión deriesgos.

Puede ser aplicado a cualquier tipo de riesgo,cualquiera que sea su naturaleza, ya sea que tengaconsecuencias positivas o negativas.

No ha sido desarrollado con propósitos de certificación

Riesgo

Efecto de la incertidumbre en los

objetivos de la organización

ISO 31000• Enfoque de

procesos

• Basado en

P-D-C-A

• Cualquier organización

• Cualquier tipo de riesgo

ISO 31000 - PRINCIPIOSISO 31000. La gestión de riesgos:

a) crea y protege valor

b) es una parte integral de los procesos de la organización

c) forma parte de la toma de decisiones

d) explícitamente atiende la incertidumbre

e) es sistemática, estructurada y oportunae) es sistemática, estructurada y oportuna

f) está basada en la mejor información disponible

g) está adaptada a la organización

h) toma en cuenta factores humanos y culturales

i) es transparente e inclusiva

j) es dinámica, iterativa y responde al cambio

k) facilita la mejora continua

ISO 31000 - COMPONENTES

Compromiso de la gerencia

Diseño del marco de referencia

Implementar la gestión de riesgos

Monitorear y revisar

Mejora continua

ISO 31000 - PROCESO

Establecer el contexto

Identificación riesgos

Com

unic

ació

n y

consulta

Monito

reo y

revis

ión

Inic

io

Análisis de riesgos

Evaluación de riesgos

Tratamiento de riesgos

Com

unic

ació

n y

consulta

Monito

reo y

revis

ión

ISO 31000 – Opciones de tratamiento

a) Evitar el riesgo al decidir no iniciar o continuar con la actividad

b) Tomar o incrementar el riesgo para perseguir una oportunidad

c) Remover la fuente del riesgo

d) Modificar la posibilidad

e) Modificar las consecuencias

f) Compartir el riesgo con otra parte

g) Retener el riesgo a través de una decisión informada

ISO 31000 – Estándares relacionados

ISO 31000 Guide 73 ISO 31010 ISO 27005

ISO 27005

ISO 27005• Provee guías para la gestión de riesgos de seguridad de la

información.

• Soporta los principales conceptos especificados en ISO/IEC 27001y ha sido diseñado para asistir en la implementación satisfactoria deseguridad de la información basada en un enfoque de gestión deriesgos.riesgos.

• Para un entendimiento completo de éste estándar, se requiere elconocimiento de los conceptos, modelos, procesos y terminologíasdescritas en ISO/IEC 27001.

• Aplica a todo tipo de organización que intente gestionar riesgos quepudieran comprometer la seguridad de la información de laorganización.

SISTEMAS DE GESTIÓN Y ESTÁNDARES ISOESTÁNDARES ISO

ISO

ISO 27001

ISO 9001BS 25999

ISO 14001

ISO 38500

ISO 20000

Motivadores

Gobiernocorporativo

Gobierno de TI

DesempeñoMetas del negocio

Cumplimiento

ISO 31000

COBIT / ISO 38500

BalancedScorecard

PM

BO

K /

PR

INC

E2

Val IT

LFPDPPP, SOX, BASILEAII,

PCI.

COSO

Estándares y mejores prácticas

Procesos y procedimientos

PM

BO

K /

PR

INC

E2

ISO 9001SGC

ISO 20000SGSTI ISO 27001

SGSI

Procedimientosde calidad ITIL

Principios de Seguridad

(OECD)

BS 25999 / BS 25777 /ISO 22301

SGCN

DRII

ISO 27005CMMI

Procedimientosde desarrollo ymantenimiento

SSE-CMM

Fuente: Mario Ureña – SecureInformationInformationInformationInformationTechnologies 2011. Draft

BS 10012SGIP

Practicas de protección

de datos

PA

S 9

9

OFERTA DE CAPACITACIÓN

Cursos BSI

• Interpretación

• Implementación

• Auditor Interno• Auditor Interno

• Auditor Líder*

*Con posibilidad de certificación

CAMINO A LA CERTIFICACIÓNCERTIFICACIÓN

Certificación

• Pre-auditoría (opcional)

• Revisión Documental

• Auditoría de Cumplimiento

Pre-certificación

Post-certificación• Auditorías de Seguimiento

• Auditorías cada tres años

El Organismo de Certificación emite el Certificado

43

Contáctenos

Nombre: Informes de Capacitación y Certificación

Dirección: Oficina Ciudad de México

Torre Mayor

Paseo de la Reforma No.505 Piso 41 Suite C

México, Distrito FederalMéxico, Distrito Federal

Teléfono: +52 (55) 5241 1370

Fax: +52 (55) 5241 1371

Email: [email protected]

Links: www.bsigroup.com.mx

44

Contáctenos

Nombre: Informes de Capacitación y Certificación BSI

Dirección: Oficina MonterreyTorre Capitel

Av. Lázaro Cárdenas No.1801 Piso 9 Suite 908

Monterrey, Nuevo LeónMonterrey, Nuevo León

Teléfono: +52 (81) 8155 6100

Fax: +52 (81) 8155 6105


Links: www.bsigroup.com.mx

45

Contáctenos

Nombre:

Mario Ureña,

CISSP, CISA, CISM, CGEIT, BS25999LA, ISO27001LA

Posición: Presidente

Empresa: Secure Information Technologies

Miembro

Associated Consultant Program Empresa: Secure Information Technologies

Teléfono 1: (5255) 5524 8091 y 5524 7582

Celular: (5255) 1798-8155


Web: www.secureit.com.mx

Blog: www.mariourenacuate.com

Associated Consultant Program

Fin de la Presentación