Charla BAITEC - Riesgos
description
Transcript of Charla BAITEC - Riesgos
![Page 1: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/1.jpg)
1
LOS RIESGOS DE LAS TECNOLOGIAS DE LA INFORMACIÓN
![Page 2: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/2.jpg)
2
Qué es la Gestión de Riesgos
Primera parte
![Page 3: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/3.jpg)
3
Una definición genérica:
El grado de incerteza respecto de la aparición de un evento y sus consecuencias (positivas o negativas).
Participan los conceptos de:
Amenaza
� Es el evento que origina el Riesgo
� Terremoto; Fallo de Hardware; Error Humano…
¿Qué es un Riesgo?
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
� Terremoto; Fallo de Hardware; Error Humano…
Probabilidad
� Un suceso o condición segura NO es un Riesgo
Vulnerabilidad
� Debilidad de un Activo o Recurso que puede ser explotado por una o más amenazas
![Page 4: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/4.jpg)
4
PROBABILIDAD
Diagrama de Riesgos
CONTRAMEDIDAS
Vulnerabilidad
Vulnerabilidad
Recurso / Activo
Recurso / Activo
Recurso / Activo
Impacto
ImpactoAmenaza
Amenaza
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Vulnerabilidad
Vulnerabilidad
Activo
Recurso / Activo
Recurso / Activo
Recurso / Activo
Impacto
Impacto
Amenaza
Amenaza
Amenaza
Impacto
![Page 5: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/5.jpg)
5
Según su Tipo de Impacto:
Riesgos Positivos
También llamados “Oportunidades”
Deben potenciarse y aprovecharse
Riesgos Negativos
Son los Riesgos “por antonomasia”
Deben tomarse medidas para:
Clasificación de Riesgos
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Deben tomarse medidas para:
� Reducir o Eliminar la Probabilidad de que sucedan
- Gestionar las Amenazas; Vulnerabilidades y/o Activos, p.e.- Planes de Pruebas; Reducción de Puntos Únicos de Falla; Campañas de
Entrenamiento y/o Concientización, etc.
� Mitigar su Impacto, p.e.
- Políticas de Respaldo y Recuperación y Planes de Contingencia- Tercerizaciones
![Page 6: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/6.jpg)
6
Según el Área primaria impactada:
Riesgos propios de Negocio:
Difícilmente transferibles
� Mercados de Bienes y Financieros
� Competencia
� Leyes y Regulaciones, etc.
Riesgos no específicos
Clasificación de Riesgos
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Riesgos no específicos
SIEMPRE impactan finalmente en el Negocio
Riesgos Tecnológicos
� No informáticos
� Informáticos
Otros Riesgos
� Recursos humanos
� Ambientales, etc.
![Page 7: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/7.jpg)
7
Son un tipo específico de Riesgo Tecnológico
Se definen como:
Riesgos Informáticos
Los riesgos asociados al Uso, Propiedad, Operación, Involucramiento, Influencia y
Adopción de las TI dentro de una OrganizaciónISACA – The RiskIT Framework – 2009
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Son un componente inseparable de los Riesgos de Negocios
Pueden clasificarse en:
Asociados a la Pérdida de Beneficios o Valor
Asociados a los Proyectos
Asociados a la Entrega y Soporte de un Servicio Informático
![Page 8: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/8.jpg)
8
Riesgos Informáticos – 3 Visiones
Riesgos Estratégicos
RIESGOS CORPORATIVOS
Riesgos Ambientales
Riesgos de Mercado
Riesgos Crediticios
Riesgos Operativos
Riesgos Industriales
Riesgos de TI
RIESGOS CORPORATIVOS
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Riesgos Estratégicos
Riesgos Ambientales
Riesgos de Mercado
Riesgos Crediticios
Riesgos Operativos
Riesgos Industriales
Riesgos de TI
Riesgos de TI
Riesgos Estratégicos
RIESGOS CORPORATIVOS
Riesgos Ambientales
Riesgos de Mercado
Riesgos Crediticios
Riesgos Operativos
Riesgos Industriales
![Page 9: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/9.jpg)
9
Beneficios directos:
Reduce el impacto en los ingresos y/o beneficios
Protege las inversiones de los efectos negativos
Prepara la organización para enfrentar a las amenazas
Facilita la toma de acciones tempranas
“Resolver los problemas pequeños cuando aún son pequeños”
Gestión de Riesgos Informáticos
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Además:
Facilita las Comunicaciones entre TI y el Negocio
Incrementa la confianza en la Gestión
Facilita la implantación de medidas reactivas
Versus “Gestión por Crisis”
Compensa actitudes imprudentes o poco realistas
![Page 10: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/10.jpg)
10
Falta de inclusión en las Políticas de las Organizaciones
Carencia de una Metodología
RiskIT® (ISACA® - ITGI®); M_o_R®: OGC®; ISO 31000:2009, etc.
Procesos subjetivos para la Toma de Decisiones
� “Gestión por Extrapolación”
Inexistente o frágil justificación financiera
Desafíos
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Inexistente o frágil justificación financiera
Falta de Información
� ¿Costo de la Indisponibilidad?
� Impactos no financieros (Imagen)
Limitación de recursos (Financieros, Humanos, Tiempo, etc.)
Integrar la Gestión de Riesgos a la Cultura Organizacional
“Gestión por Esperanza”
![Page 11: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/11.jpg)
11
La Gestión del Riesgo debe:
Crear Valor para la organización
Ser parte integral de los Procesos organizacionales y de Toma de Decisiones
Manejar apropiadamente los niveles de incerteza
Basarse en la mejor información disponible
Principios Generales (*)
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Ajustarse a los Objetivos y Necesidades del Negocio
Considerar los factores humanos
Ser transparente e inclusiva
Ser dinámica, iterativa y susceptible a los cambios
Someterse a un proceso de Mejora Continua
(*) ISO 31000 – Risk Management –Principles & Guidelines
![Page 12: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/12.jpg)
12
Apetito por el Riesgo
“Risk Appetite”
Es el Nivel de Riesgo que una Organización está dispuesta a aceptar al perseguir sus Objetivos
Organizaciones “Cautelosas” o “Temerarias”
Suele seguir pautas históricas
Tolerancia ante el Riesgo
Posicionamiento
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Tolerancia ante el Riesgo
“Risk Tolerance”
Es la Variación respecto del logro de los Objetivos que una Organización está dispuesta a aceptar
Suele estar definida o condicionada por el Tipo de Negocio; el Mercado o Regulaciones
P.E: ¿Cuántos clientes estamos dispuestos a perder en caso de (…)?
![Page 13: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/13.jpg)
13
Por lo menos dos etapas bien diferenciadas:
Análisis de Riesgos
Recolección de Información
� Amenazas
� Vulnerabilidades
� Probabilidades, etc.
Permite la Toma de Decisiones
Análisis de Riesgos
Análisis de Riesgos
GESTIÓN DE RIESGOS
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Permite la Toma de Decisiones
Gestión de Riesgos
Pone en práctica Procesos y Actividades:
� Implementación de Contramedidas
� Monitoreo de Riesgos (Detección)
Gestión de Riesgos
![Page 14: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/14.jpg)
14
Pueden identificarse:
Identificación de los Riesgos
Análisis Cualitativo
Identificación de la Probabilidad e Impacto
Análisis Cuantitativo
Incluye el análisis de las Vulnerabilidades
Análisis de Riesgos
Análisis de Riesgos
GESTIÓN DE RIESGOS
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Definir los Niveles aceptables de Riesgo
Asociado al Apetito y Tolerancia al Riesgo
Toma la forma de Costo/Beneficio
Identificar las contramedidas
Evitar; Mitigar; Transferir o Aceptar
Toma la forma de Costo/Beneficio
Gestión de Riesgos
![Page 15: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/15.jpg)
15
Pueden identificarse:
Implementar las respuestas definidas
Pueden combinarse
Asegurar su efectividad
Monitoreo de Riesgos
Análisis de la Efectividad y Eficiencia
Gestión de Riesgos
Análisis de Riesgos
GESTIÓN DE RIESGOS
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Mejora y Revisión
Mejora continua
Gestión de Riesgos
![Page 16: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/16.jpg)
16
Riesgos asociados al “Cloud Computing”
Segunda parte
![Page 17: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/17.jpg)
17
Según Gartner Group (1/2):
Acceso a la Información
Grado de robustez que tienen los controles del Proveedor respecto de la información de sus clientes
Cumplimiento Regulatorio
La responsabilidad de Cliente NO es transferible al proveedor
Auditorías y controles externos
Principales AmenazasGartner Group – “Assessing the
Security Risks of Cloud Computing” –June 2008
http://tinyurl.com/GartnerCloud2008
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Auditorías y controles externos
Ubicación de los Datos
¿Dónde está físicamente la información?
Regulaciones Regionales exigibles por los Clientes
Segregación de Datos
Los esquemas de Encriptamiento incluyen sus propios riesgos y problemas
![Page 18: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/18.jpg)
18
Según Gartner Group (2/2):
Recuperación
Planes de Respaldo y Recuperación y Planes de Contingencia
Detección y Control de Actividades ilegales/deshonestas
Por parte del Proveedor, su personal, sus proveedores o entidades externas (“hackers”)
Long-term viability
Principales Amenazas
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Long-term viability
Compras o uniones (“merging”)
Protección de datos (Disponibilidad, Integridad, Confidencialidad)
![Page 19: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/19.jpg)
19
Según ENISA(*) – Resumen (1/2):
Riesgos Organizacionales y Políticos
Pérdida o limitaciones de Gobierno
Limitaciones en la Portabilidad (“Lock-in”)
Cumplimiento de Regulaciones
� Por parte del “Cloud Provider”
� Por parte del Cliente (Auditorías)
Principales Amenazas
ENISA – “Benefits, risks and recommendations for information
security” – November 2009http://tinyurl.com/ENISACloud2009
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
� Por parte del Cliente (Auditorías)
Riesgos Técnicos
Debilidades en la Separación de la información (“Isolating”)
Riesgo Personales
� Débil definición de Roles
Borrado inseguro o incompleto de datos
Fallos en las interfaces de acceso (“Web browsers”)(*) European Network and
Information Security Agencyhttp://www.enisa.europa.eu/
![Page 20: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/20.jpg)
20
Según ENISA – Resumen (2/2):
Riesgos Legales
Protección de los Datos
� Integridad, Confidencialidad, Disponibilidad, etc.
Inespecíficos (no relacionados al “Cloud Computing”)
Fallos en las redes
Desempeño
Principales Amenazas
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
� Desempeño
� Disponibilidad
![Page 21: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/21.jpg)
21
Según CSA(*) pueden identificarse 6 etapas:
Etapa 1:
Identificar el tipo de Activo impactado por la decisión:
Datos
Aplicaciones; Funciones; Procesos
Etapa 2:
Evaluación de Riesgos
CSA – “Security Guidance for Critical
Areas of Focus in Cloud Computing” December 2009
http://tinyurl.com/CSASecGuide2009
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Etapa 2:
Para cada activo, evaluar las amenazas asociadas con:
Su divulgación pública
El acceso del personal del proveedor
Su manipulación por parte del proveedor
El fallo en el logro de sus objetivos
Su indisponibilidad
(*) Cloud Security Alliance https://cloudsecurityalliance.org/
![Page 22: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/22.jpg)
22
Etapa 3:
Una vez establecida la importancia del Activo, definir el Modelo potencialmente más adecuado:
Nube Pública, Privada, Hibrida, etc.
Etapa 4:
Evaluar las contramedidas viables:
Evaluación de Riesgos
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Para cada proveedor
Para cada capa
Etapa 5:
Analizar el flujo de datos
Cómo se “mueven” los datos dentro de la interface Cliente-Proveedor
![Page 23: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/23.jpg)
23
Etapa 6:
Sacar las conclusiones, considerando principalmente:
Arquitecturas potencialmente viables
Tolerancia y Apetito ante el riesgo
Evaluación de Riesgos
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
![Page 24: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/24.jpg)
24
Aspectos Regulatorios
Claridad en las tarifas
Costos variables fuera de control
Costos y Dificultades
¿Qué les preocupa a las PYME’s?
Según ENISA:
Privacidad
Disponibilidad
Datos y/o Servicios
Integridad
Datos y/o Servicios
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Costos y Dificultades asociadas a la Migración
Migraciones intra-nube ("lock-in)
Datos y/o Servicios
Confidencialidad
No-Repudio
Pérdida del Control
Manejo de Incidentes
ENISA – “An SME perspective en Cloud Computing” – November 2009http://tinyurl.com/ENISASurvey2009
![Page 25: Charla BAITEC - Riesgos](https://reader034.fdocuments.es/reader034/viewer/2022052620/557b4c71d8b42a13388b5121/html5/thumbnails/25.jpg)
25
LOS RIESGOS DE LAS TECNOLOGIAS DE LA INFORMACIÓN
MUCHAS GRACIAS