Gestión de Riesgos
-
Upload
conferencias-fist -
Category
Documents
-
view
203 -
download
2
description
Transcript of Gestión de Riesgos
1
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Reflexión Inicial
“Cuanto más se dividen los obstáculos,
son más fáciles de vencer”
Concepción Arenal; (1820-1893) Escritora
2
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
1. Conceptos Básicos
2. Gestión del Riesgo
3. Proceso de Gestión de Riesgos
4. Controles
5. Metodologías
Contenido
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
1.- Conceptos Básicos
Objeto de la presentación
Dar a conocer los conceptos básicos de Gestión del Riesgo
Identificar los objetivos y fases de la Gestión de Riesgos
3
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
PRIMER PASO ENTENDER LOS CONCEPTOS BÁSICOS
FUNDAMENTO DE LA GESTIÓN DE RIESGOS
ACTIVO
Todos aquellos componentes o recursos de la organización, tanto físicos
(tangibles) como lógicos (intangibles) que constituyen:
La infraestructura
Patrimonio
Conocimiento
Reputación en el mercado
1.- Conceptos Básicos
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
VULNERABILIDAD
Toda aquella circunstancia o característica de un activo que permite la
consecución de ataques que comprometan la confidencialidad,
integridad o disponibilidad de ese mismo activo o de otros activos de la
organización
1.- Conceptos Básicos
4
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Ejemplos de vulnerabilidades
Factores de riesgo que causan las amenazas
Falta de conocimientos del usuario
Falta de funcionalidad de la seguridad
Configuración inadecuada del cortafuegos
Elección deficiente de contraseñas
Tecnología no probada
Transmisión por comunicaciones no protegidas
1.- Conceptos Básicos
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
AMENAZA
Es un evento o incidente provocado por una entidad hostil a la
organización (humana, natural o artificial) que aprovecha una o varias
vulnerabilidades de un activo con el fin de agredir la confidencialidad,
integridad o disponibilidad de ese mismo activo o de otros activos de la
organización (se dice que la amenaza “explota” la vulnerabilidad del
activo)
1.- Conceptos Básicos
5
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Tipos de amenaza
Pueden ser:
externas o internas a la organización
deliberadas o accidentales
(por ejemplo en el caso de desastres naturales o negligencia sin intención dedaño por parte de personal de la organización)
1.- Conceptos Básicos
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Ejemplos de amenaza
Errores
Daño intencional / ataque
Fraude
Robo
Falla de equipo / software
Desastres naturales
1.- Conceptos Básicos
6
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
IMPACTO
Magnitud de las consecuencias que tiene para el negocio el hecho de queuno o varios activos hayan visto comprometida su confidencialidad,integridad o disponibilidad debido a que una o varias amenazas hayanexplotado las vulnerabilidades de estos u otros activos.
Al estimar un determinado nivel de impacto es necesario considerar lacriticidad de los activos afectados
1.- Conceptos Básicos
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Ejemplos de impacto en una organización: pérdida (directa o indirecta)
Pérdida económica directa
Sanción por incumplimiento de legislación
Pérdida de imagen / reputación
Poner en peligro al personal o a los clientes
Violación de confianza
Pérdida de oportunidad de negocio
Reducción de la eficiencia /desempeño operativo
Interrupción de la actividad de negocio
1.- Conceptos Básicos
7
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
RIESGO
Se define como la probabilidad de que la organización se vea sometida a undeterminado nivel de impacto (determinado a su vez por las consecuenciasde la agresión)
1.- Conceptos Básicos
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Estimación de riesgo
Se basa en la combinación de dos factores:
La frecuencia con la que las amenazas consideradas podrían materializarse
(estimando la probabilidad de que las amenazas consideradas puedan
explotar las vulnerabilidades de los activos)
Nivel de impacto causado en el negocio en caso de que las amenazas
consideradas se hagan efectivas
1.- Conceptos Básicos
8
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Los conceptos explicados anteriormente se relacionan de la siguiente manera:
Los activos tienen o pueden tener vulnerabilidades
Las amenazas aprovechan vulnerabilidades de los activos para materializarsu daño
La materialización de una amenaza sobre un activo tiene un impacto
La probabilidad de que la organización se vea sometida a un cierto nivel deimpacto es el riesgo
1.- Conceptos Básicos
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
2.- Gestión del Riesgo
Datos estadísticos e importancia
• El 80% de los administradores de mercado de capitales pagan en promedio
un 11% más por acciones de empresas con demostración efectiva de
manejo de riesgos.
[Fuente: Asset Managers paymore for Well Governed Companies – KPMG –
Reino Unido 2002]
• Porque el resultado final de una compañía se construye por su habilidad
para lograr los objetivos y evitar los riesgos.
9
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
2.- Gestión del Riesgo
Introducción a la Gestión del Riesgo
Definición de Riesgo [Fuente: ISO]
Probabilidad de que una amenaza se materialice, utilizando vulnerabilidades
existentes de un activo o grupo de activos, generando pérdidas o daño.
Definición de Gestión del Riesgo [Fuente: isaca.org]
Aplicación sistemática de:
Políticas, prácticas y procedimientos de administración
A las tareas de:
Identificar, analizar, evaluar, tratar y monitorizar el riesgo
Con el objeto de:
Ayudar a la compañía a alcanzar sus objetivos de negocio.
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Introducción a la Gestión de Riesgo
Engloba al Análisis del Riesgo:
Proceso mediante el cual se identifican las amenazas y las vulnerabilidades en unaorganización, se valora su impacto y la probabilidad de que ocurran.[Fuente: UNE/ISO/IEC27000]
Proceso sistemático para estimar la magnitud de los riesgos a que está
expuesta una Organización.
[Fuente: MAGERIT]
2.- Gestión del Riesgo
10
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Tarea del Analista de riesgos
El Analista de Riesgos debe utilizar el Análisis de Riesgos para:
Preguntarse no si nuestra organización está expuesta a riesgos sino
a qué riesgos está expuesta
Preguntarse no si alguna vez estos riesgos se harán efectivos sino
cuándo lo harán y asesorar para la toma de medidas preventivas y
correctoras para cuando suceda
2.- Gestión del Riesgo
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Procedimiento de decisión
Un procedimiento de Gestión de Riesgos ayuda a la decisión.
Resultados: Guía para que la organización tome decisiones sobre:
implantar nuevos mecanismos de seguridad
qué controles o procesos de seguridad serán los más adecuados
2.- Gestión del Riesgo
11
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Procedimiento de decisión
En función de los resultados y de los riesgos identificados la organización
puede:
Decidir qué medidas tomar dependiendo de una serie de factores:
COSTES DERIVADOS DE LAS CONSECUENCIAS DE LA
MATERIALIZACIÓN DE ESTOS RIESGOS
COSTES DE LA IMPLANTACIÓN DE CONTROLES QUE REDUZCAN LOS
RIESGOS
VS
2.- Gestión del Riesgo
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Implantar y mantener controles de seguridad que minimicen estos riesgos y
los mantengan a un nivel aceptable (lo cual implica inversiones económicas)
Asumir ciertos riesgos a los que está expuesta la organización ya que las
consecuencias acarrean un coste económico y estratégico menor que el coste
que sería necesario aportar para reducir dichos riesgos
Procedimiento de decisión
2.- Gestión del Riesgo
12
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
El nivel de riesgo al que está sometido una organización nunca puede erradicarsetotalmente.
Se trata de buscar un equilibrio entre :
el nivel de recursos y mecanismos que es preciso dedicar para minimizarestos riesgos
un cierto nivel de confianza que se puede considerar suficiente (nivel deriesgo aceptable)
2.- Gestión del Riesgo
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Es un procedimiento sistemático que necesita realizar determinadas tareas y
estimaciones de forma totalmente imparcial y objetiva:
Identificar las vulnerabilidades presentes en los activos
Estimación de la probabilidad con la que las amenazas pueden explotar las
vulnerabilidades de los activos
Estimación del impacto en el negocio en caso de que ciertas amenazas se
hagan efectivas
Estimación de si se puede asumir el riesgo o es necesario invertir en la
implantación o actualización de controles de seguridad
2.- Gestión del Riesgo
13
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Si estos factores no se evalúan con total imparcialidad y objetividad, la Gestión
de Riesgos no podrá cumplir su función con garantías, que es:
Ayudarnos a tomar decisiones sobre cómo proteger nuestros activos: papel del
auditor como agente independiente que reporta a la Dirección General
2.- Gestión del Riesgo
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Fases detalladas
Fases
A) Identificación de activos y procesos
B) Evaluación del riesgo de los activos y procesos.
C) Evaluación de las medidas.
D) Análisis de la brecha de riesgos.
E) Inversión e implantación de las medidas.
F) Construir la sostenibilidad del método.
3.- Proceso de Gestión del Riesgo
14
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Fases detalladas
a) IDENTIFICACIÓN DE ACTIVOS Y PROCESOS
Subtarea Objetivo o resultado
Inventario de procesos Procesos de negocio
Criticidad y prioridad objetivas para cada
proceso.
Fuente: usuarios clave de negocio.
Inventario de activos Catálogo de activos.
Posibles fuentes: inventario, software de
descubrimiento, inmovilizado, administración de
personal, gestión de roles, sistemas de
asignación de recursos.
Agrupación/Categorización de activos por la
dupla (naturaleza, proceso de negocio que
soporta).
Creación de un universo de activos más
manejable, más orientado a los procesos que
sustentan que a su propia naturaleza
tecnológica.
3.- Proceso de Gestión del Riesgo
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Fases detalladas
b) EVALUACIÓN DEL RIESGO DE ACTIVOS Y PROCESOS
Subtarea Objetivo o resultado
Análisis de las vulnerabilidades y las amenazas por
categoría de activo.
Conjunto de vulnerabilidades asociadas a los
activos.
Conjunto de amenazas asociadas a las
vulnerabilidades.
Estimación de la probabilidad de ocurrencia. Estimación de la probabilidad de impacto de las
amenazas en las vulnerabilidades:
- Estadísticas públicas o privadas.
- Datos históricos.
- Experiencia.
Estimación del riesgo. Estimación del impacto de cada ocurrencia.
Valoración (cuantitativa/cualitativa).
3.- Proceso de Gestión del Riesgo
15
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Fases detalladas
c) EVALUACIÓN DE LAS MEDIDAS
Subtarea Objetivo o resultado
Selección de objetivos de control para cada riesgo a
mitigar.
Relación de objetivos de control a perseguir, para
impedir el impacto de las amenazas en las
vulnerabilidades.
Selección de controles para cada objetivo de control. Para cada objetivo de control, se establece qué
medidas de carácter técnico u organizativo son
procedentes.
Estimación de costes. Estimación del coste de la implantación de cada
contramedida.
Este paso permite establecer la RAZONABILIDAD
de los controles de seguridad.
3.- Proceso de Gestión del Riesgo
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Fases detalladas
d) ANÁLISIS DE LA BRECHA
Subtarea Objetivo o resultado
Construcción de la matriz de riesgos. Obtener información sobre qué impacto en
el nivel de riesgo tiene la inversión en
medidas teniendo en cuenta:
• Riesgos que mitigan.
• En muchos activos, los riesgos se mitigan
sólo parcialmente.
• Dependencias entre activos.
• Ajuste de estrategias.
Selección de riesgos a mitigar en función del
coste del control y del valor final del riesgo
del activo.
Reordenado de la matriz de riesgos para
formalizar qué riesgos se asumen,
transfieren o mitigan.
Escenario #1
Medidas #1
Inversión € #1
Escenario #2
Medidas #2
Inversión € #2
3.- Proceso de Gestión del Riesgo
16
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Fases detalladas
e) SELECCIÓN DE LAS MEDIDAS, INVERSIÓN E IMPLANTACIÓN
Escenario #1
Medidas #1
Inversión € #1
Escenario #2
Medidas #2
Inversión € #2
Selección de
escenario deseado
Aceptación formal del
nivel de riesgo
residual
Proyecto de
implantaciónProvisión económica
3.- Proceso de Gestión del Riesgo
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Fases detalladas f) CONSTRUCCIÓN DE LA SOSTENIBILIDADSubtarea Objetivo o resultado
Implicación de la Alta Dirección.
Aprobación expresa.
Recursos económicos.
Creación de un Comité de Riesgos.
Evaluación de los controles
implantados.
Efectividad y eficiencia.
Impacto real en el nivel de riesgo.
Inclusión de la Administración del
Riesgo en la toma de decisiones a
todos los niveles.
Informes sobre asunción de riesgos
en la toma de decisiones tanto a nivel
estratégico, como táctico u operativo.
Revisión periódica de los escenarios
de riesgo ante cambios relacionados
con:
• Contexto legislativo
• Contexto económico
• Nuevos productos
• Nuevos nichos
Asesoría de qué riesgos ocultos y
costes adicionales suponen los
cambios en el contexto interno y/o
externo.
Auditoría externa periódica
¿Lo hacemos bien?
¿En qué podemos mejorar?
¿Cómo impactaría dicha mejora?
Formación y concienciaciónEvitar resistencias, asegurar la
efectividad.
3.- Proceso de Gestión del Riesgo
17
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Una adecuada administración del riesgo permite:
• Mejor visión desde las TI de qué es y qué no es relevante para
el negocio.
• Detección objetiva de áreas de mejora.
• Mejor estrategia de inversiones en TI.
• Aumento de la confianza en las TI.
- Nuevos productos.
- Nuevas oportunidades.
• Aumento de la visibilidad estratégica de las TI.
En resumen
3.- Proceso de Gestión del Riesgo
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
4.- Controles
Políticas, procedimientos, prácticas y estructuras organizativas puestas para:
Reducir las vulnerabilidades de los activos
Reducir la probabilidad de que las amenazas puedan explotar
vulnerabilidades
Reducir el impacto producido en el negocio por la materialización
de amenazas
Controles internos
18
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
4.- Controles
¿Cómo se miden?
Coste de adquisición
Dificultad de implantación
Controles internos
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
4.- Controles
Clasificación de los Controles internos
a) Detectivos
Cuando detectan que ha ocurrido un error, una omisión o un acto malicioso y
lo reportan
Ejemplos
Puntos de verificación en los trabajos de producción
Función de auditoría interna
Registro de logs
Controles de eco en las telecomunicaciones
Verificación de datos dobles en los cálculos
Hash totals
19
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
4.- Controles
Clasificación de los Controles internos
b) Correctivos
Cuando contribuyen a eliminar o reducir el impacto negativo de la
materialización de una amenaza. Corrigen o remedian problemas
descubiertos por los controles detectivos o los errores que surjan de un
problema.
Ejemplos
Copias de respaldo (back-ups)
Plan de contingencias y continuidad de negocio
Procedimientos de nueva ejecución de programa
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
4.- Controles
Clasificación de los Controles internos
c) Preventivos
Previenen de incidentes
Ejemplos:
Política de seguridad
Formación del usuario
Controles de acceso
Proveedores de seguridad gestionada
Segregación de tareas
Correcto diseño de documentos
Procedimientos de autorización de transacciones
20
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
5.- Metodologías
ESTÁNDARES DE MERCADO
ISO27001
Contiene los requisitos para establecer, implantar, documentar y evaluar un sistema de
gestión de seguridad de la información (SGSI)
ISO 27002
Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005 Es una guía de
buenas prácticas que describe los objetivos de control y controles recomendables en
cuanto a seguridad de la información.
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
5.- Metodología
ESTÁNDARES DE MERCADO
COBIT (ISACA)
En TODAS las áreas de gestión y control se contempla los aspectos básicos para la
protección, integridad y confidencialidad de la información
21
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM
Reflexión Final
“El que ha comenzado bien,
está a la mitad de la obra”
Horacio, Quintus Horatius Flaccus (65- a.C.) poeta
Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM