Gestión de Riesgos

1

Madrid 27 Marzo 2008 Manuel Ballester, PhD IEEE, MBA, CISA, CISM


Reflexión Inicial

“Cuanto más se dividen los obstáculos,

son más fáciles de vencer”

Concepción Arenal; (1820-1893) Escritora

2


1. Conceptos Básicos

2. Gestión del Riesgo

3. Proceso de Gestión de Riesgos

4. Controles

5. Metodologías

Contenido


1.- Conceptos Básicos

Objeto de la presentación

Dar a conocer los conceptos básicos de Gestión del Riesgo

Identificar los objetivos y fases de la Gestión de Riesgos

3


PRIMER PASO ENTENDER LOS CONCEPTOS BÁSICOS

FUNDAMENTO DE LA GESTIÓN DE RIESGOS

ACTIVO

Todos aquellos componentes o recursos de la organización, tanto físicos

(tangibles) como lógicos (intangibles) que constituyen:

La infraestructura

Patrimonio

Conocimiento

Reputación en el mercado



VULNERABILIDAD

Toda aquella circunstancia o característica de un activo que permite la

consecución de ataques que comprometan la confidencialidad,

integridad o disponibilidad de ese mismo activo o de otros activos de la

organización


4


Ejemplos de vulnerabilidades

Factores de riesgo que causan las amenazas

Falta de conocimientos del usuario

Falta de funcionalidad de la seguridad

Configuración inadecuada del cortafuegos

Elección deficiente de contraseñas

Tecnología no probada

Transmisión por comunicaciones no protegidas



AMENAZA

Es un evento o incidente provocado por una entidad hostil a la

organización (humana, natural o artificial) que aprovecha una o varias

vulnerabilidades de un activo con el fin de agredir la confidencialidad,

integridad o disponibilidad de ese mismo activo o de otros activos de la

organización (se dice que la amenaza “explota” la vulnerabilidad del

activo)


5


Tipos de amenaza

Pueden ser:

externas o internas a la organización

deliberadas o accidentales

(por ejemplo en el caso de desastres naturales o negligencia sin intención dedaño por parte de personal de la organización)



Ejemplos de amenaza

Errores

Daño intencional / ataque

Fraude

Robo

Falla de equipo / software

Desastres naturales


6


IMPACTO

Magnitud de las consecuencias que tiene para el negocio el hecho de queuno o varios activos hayan visto comprometida su confidencialidad,integridad o disponibilidad debido a que una o varias amenazas hayanexplotado las vulnerabilidades de estos u otros activos.

Al estimar un determinado nivel de impacto es necesario considerar lacriticidad de los activos afectados



Ejemplos de impacto en una organización: pérdida (directa o indirecta)

Pérdida económica directa

Sanción por incumplimiento de legislación

Pérdida de imagen / reputación

Poner en peligro al personal o a los clientes

Violación de confianza

Pérdida de oportunidad de negocio

Reducción de la eficiencia /desempeño operativo

Interrupción de la actividad de negocio


7


RIESGO

Se define como la probabilidad de que la organización se vea sometida a undeterminado nivel de impacto (determinado a su vez por las consecuenciasde la agresión)



Estimación de riesgo

Se basa en la combinación de dos factores:

La frecuencia con la que las amenazas consideradas podrían materializarse

(estimando la probabilidad de que las amenazas consideradas puedan

explotar las vulnerabilidades de los activos)

Nivel de impacto causado en el negocio en caso de que las amenazas

consideradas se hagan efectivas


8


Los conceptos explicados anteriormente se relacionan de la siguiente manera:

Los activos tienen o pueden tener vulnerabilidades

Las amenazas aprovechan vulnerabilidades de los activos para materializarsu daño

La materialización de una amenaza sobre un activo tiene un impacto

La probabilidad de que la organización se vea sometida a un cierto nivel deimpacto es el riesgo



2.- Gestión del Riesgo

Datos estadísticos e importancia

• El 80% de los administradores de mercado de capitales pagan en promedio

un 11% más por acciones de empresas con demostración efectiva de

manejo de riesgos.

[Fuente: Asset Managers paymore for Well Governed Companies – KPMG –

Reino Unido 2002]

• Porque el resultado final de una compañía se construye por su habilidad

para lograr los objetivos y evitar los riesgos.

9



Introducción a la Gestión del Riesgo

Definición de Riesgo [Fuente: ISO]

Probabilidad de que una amenaza se materialice, utilizando vulnerabilidades

existentes de un activo o grupo de activos, generando pérdidas o daño.

Definición de Gestión del Riesgo [Fuente: isaca.org]

Aplicación sistemática de:

Políticas, prácticas y procedimientos de administración

A las tareas de:

Identificar, analizar, evaluar, tratar y monitorizar el riesgo

Con el objeto de:

Ayudar a la compañía a alcanzar sus objetivos de negocio.


Introducción a la Gestión de Riesgo

Engloba al Análisis del Riesgo:

Proceso mediante el cual se identifican las amenazas y las vulnerabilidades en unaorganización, se valora su impacto y la probabilidad de que ocurran.[Fuente: UNE/ISO/IEC27000]

Proceso sistemático para estimar la magnitud de los riesgos a que está

expuesta una Organización.

[Fuente: MAGERIT]


10


Tarea del Analista de riesgos

El Analista de Riesgos debe utilizar el Análisis de Riesgos para:

Preguntarse no si nuestra organización está expuesta a riesgos sino

a qué riesgos está expuesta

Preguntarse no si alguna vez estos riesgos se harán efectivos sino

cuándo lo harán y asesorar para la toma de medidas preventivas y

correctoras para cuando suceda



Procedimiento de decisión

Un procedimiento de Gestión de Riesgos ayuda a la decisión.

Resultados: Guía para que la organización tome decisiones sobre:

implantar nuevos mecanismos de seguridad

qué controles o procesos de seguridad serán los más adecuados


11



En función de los resultados y de los riesgos identificados la organización

puede:

Decidir qué medidas tomar dependiendo de una serie de factores:

COSTES DERIVADOS DE LAS CONSECUENCIAS DE LA

MATERIALIZACIÓN DE ESTOS RIESGOS

COSTES DE LA IMPLANTACIÓN DE CONTROLES QUE REDUZCAN LOS

RIESGOS

VS



Implantar y mantener controles de seguridad que minimicen estos riesgos y

los mantengan a un nivel aceptable (lo cual implica inversiones económicas)

Asumir ciertos riesgos a los que está expuesta la organización ya que las

consecuencias acarrean un coste económico y estratégico menor que el coste

que sería necesario aportar para reducir dichos riesgos



12


El nivel de riesgo al que está sometido una organización nunca puede erradicarsetotalmente.

Se trata de buscar un equilibrio entre :

el nivel de recursos y mecanismos que es preciso dedicar para minimizarestos riesgos

un cierto nivel de confianza que se puede considerar suficiente (nivel deriesgo aceptable)



Es un procedimiento sistemático que necesita realizar determinadas tareas y

estimaciones de forma totalmente imparcial y objetiva:

Identificar las vulnerabilidades presentes en los activos

Estimación de la probabilidad con la que las amenazas pueden explotar las

vulnerabilidades de los activos

Estimación del impacto en el negocio en caso de que ciertas amenazas se

hagan efectivas

Estimación de si se puede asumir el riesgo o es necesario invertir en la

implantación o actualización de controles de seguridad


13


Si estos factores no se evalúan con total imparcialidad y objetividad, la Gestión

de Riesgos no podrá cumplir su función con garantías, que es:

Ayudarnos a tomar decisiones sobre cómo proteger nuestros activos: papel del

auditor como agente independiente que reporta a la Dirección General



Fases detalladas

Fases

A) Identificación de activos y procesos

B) Evaluación del riesgo de los activos y procesos.

C) Evaluación de las medidas.

D) Análisis de la brecha de riesgos.

E) Inversión e implantación de las medidas.

F) Construir la sostenibilidad del método.

3.- Proceso de Gestión del Riesgo

14


Fases detalladas

a) IDENTIFICACIÓN DE ACTIVOS Y PROCESOS

Subtarea Objetivo o resultado

Inventario de procesos Procesos de negocio

Criticidad y prioridad objetivas para cada

proceso.

Fuente: usuarios clave de negocio.

Inventario de activos Catálogo de activos.

Posibles fuentes: inventario, software de

descubrimiento, inmovilizado, administración de

personal, gestión de roles, sistemas de

asignación de recursos.

Agrupación/Categorización de activos por la

dupla (naturaleza, proceso de negocio que

soporta).

Creación de un universo de activos más

manejable, más orientado a los procesos que

sustentan que a su propia naturaleza

tecnológica.



Fases detalladas

b) EVALUACIÓN DEL RIESGO DE ACTIVOS Y PROCESOS


Análisis de las vulnerabilidades y las amenazas por

categoría de activo.

Conjunto de vulnerabilidades asociadas a los

activos.

Conjunto de amenazas asociadas a las

vulnerabilidades.

Estimación de la probabilidad de ocurrencia. Estimación de la probabilidad de impacto de las

amenazas en las vulnerabilidades:

- Estadísticas públicas o privadas.

- Datos históricos.

- Experiencia.

Estimación del riesgo. Estimación del impacto de cada ocurrencia.

Valoración (cuantitativa/cualitativa).


15


Fases detalladas

c) EVALUACIÓN DE LAS MEDIDAS


Selección de objetivos de control para cada riesgo a

mitigar.

Relación de objetivos de control a perseguir, para

impedir el impacto de las amenazas en las

vulnerabilidades.

Selección de controles para cada objetivo de control. Para cada objetivo de control, se establece qué

medidas de carácter técnico u organizativo son

procedentes.

Estimación de costes. Estimación del coste de la implantación de cada

contramedida.

Este paso permite establecer la RAZONABILIDAD

de los controles de seguridad.



Fases detalladas

d) ANÁLISIS DE LA BRECHA


Construcción de la matriz de riesgos. Obtener información sobre qué impacto en

el nivel de riesgo tiene la inversión en

medidas teniendo en cuenta:

• Riesgos que mitigan.

• En muchos activos, los riesgos se mitigan

sólo parcialmente.

• Dependencias entre activos.

• Ajuste de estrategias.

Selección de riesgos a mitigar en función del

coste del control y del valor final del riesgo

del activo.

Reordenado de la matriz de riesgos para

formalizar qué riesgos se asumen,

transfieren o mitigan.

Escenario #1

Medidas #1

Inversión € #1

Escenario #2

Medidas #2

Inversión € #2


16


Fases detalladas

e) SELECCIÓN DE LAS MEDIDAS, INVERSIÓN E IMPLANTACIÓN

Escenario #1

Medidas #1

Inversión € #1

Escenario #2

Medidas #2

Inversión € #2

Selección de

escenario deseado

Aceptación formal del

nivel de riesgo

residual

Proyecto de

implantaciónProvisión económica



Fases detalladas f) CONSTRUCCIÓN DE LA SOSTENIBILIDADSubtarea Objetivo o resultado

Implicación de la Alta Dirección.

Aprobación expresa.

Recursos económicos.

Creación de un Comité de Riesgos.

Evaluación de los controles

implantados.

Efectividad y eficiencia.

Impacto real en el nivel de riesgo.

Inclusión de la Administración del

Riesgo en la toma de decisiones a

todos los niveles.

Informes sobre asunción de riesgos

en la toma de decisiones tanto a nivel

estratégico, como táctico u operativo.

Revisión periódica de los escenarios

de riesgo ante cambios relacionados

con:

• Contexto legislativo

• Contexto económico

• Nuevos productos

• Nuevos nichos

Asesoría de qué riesgos ocultos y

costes adicionales suponen los

cambios en el contexto interno y/o

externo.

Auditoría externa periódica

¿Lo hacemos bien?

¿En qué podemos mejorar?

¿Cómo impactaría dicha mejora?

Formación y concienciaciónEvitar resistencias, asegurar la

efectividad.


17


Una adecuada administración del riesgo permite:

• Mejor visión desde las TI de qué es y qué no es relevante para

el negocio.

• Detección objetiva de áreas de mejora.

• Mejor estrategia de inversiones en TI.

• Aumento de la confianza en las TI.

- Nuevos productos.

- Nuevas oportunidades.

• Aumento de la visibilidad estratégica de las TI.

En resumen



4.- Controles

Políticas, procedimientos, prácticas y estructuras organizativas puestas para:

Reducir las vulnerabilidades de los activos

Reducir la probabilidad de que las amenazas puedan explotar

vulnerabilidades

Reducir el impacto producido en el negocio por la materialización

de amenazas

Controles internos

18


4.- Controles

¿Cómo se miden?

Coste de adquisición

Dificultad de implantación

Controles internos


4.- Controles

Clasificación de los Controles internos

a) Detectivos

Cuando detectan que ha ocurrido un error, una omisión o un acto malicioso y

lo reportan

Ejemplos

Puntos de verificación en los trabajos de producción

Función de auditoría interna

Registro de logs

Controles de eco en las telecomunicaciones

Verificación de datos dobles en los cálculos

Hash totals

19


4.- Controles


b) Correctivos

Cuando contribuyen a eliminar o reducir el impacto negativo de la

materialización de una amenaza. Corrigen o remedian problemas

descubiertos por los controles detectivos o los errores que surjan de un

problema.

Ejemplos

Copias de respaldo (back-ups)

Plan de contingencias y continuidad de negocio

Procedimientos de nueva ejecución de programa


4.- Controles


c) Preventivos

Previenen de incidentes

Ejemplos:

Política de seguridad

Formación del usuario

Controles de acceso

Proveedores de seguridad gestionada

Segregación de tareas

Correcto diseño de documentos

Procedimientos de autorización de transacciones

20


5.- Metodologías

ESTÁNDARES DE MERCADO

ISO27001

Contiene los requisitos para establecer, implantar, documentar y evaluar un sistema de

gestión de seguridad de la información (SGSI)

ISO 27002

Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005 Es una guía de

buenas prácticas que describe los objetivos de control y controles recomendables en

cuanto a seguridad de la información.


5.- Metodología

ESTÁNDARES DE MERCADO

COBIT (ISACA)

En TODAS las áreas de gestión y control se contempla los aspectos básicos para la

protección, integridad y confidencialidad de la información

21


Reflexión Final

“El que ha comenzado bien,

está a la mitad de la obra”

Horacio, Quintus Horatius Flaccus (65- a.C.) poeta


[email protected]

mailto:[email protected]

Gestión de Riesgos

Documents

Transcript of Gestión de Riesgos