Marco Legal del BCRP

Gestin de riesgos y seguridad de la informacinMarcos Sotelo Bedn /msperu21Agosto de 2013

Clonacin de Tarjetas de Crdito2013: Robo de POS en establecimientos de Lima.

G. Riesgos vs. Seg. InformacinGRO TI3

Fuente. Seguridad en 9 pasos. Dejan Kosutic. 2012.RiesgoGRO TI4Un Riesgo es la estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos, causando un impacto negativo.

En el ejemplo, el objetivo principal es cruzar la calle, y los objetivos secundarios: 1) cruzar rpidamente, 2) no ser multadopor violar la ley, y 3) cruzar con seguridad. Hay muchos eventos que podran tener un impacto en estosobjetivos, tales como: congestionamiento de trfico, no ver al polica, estar distrado por estar hablando por elcelular, etc. Estos eventos tendrn niveles diferentes de impacto que variaran desde inconvenientes menoreshasta consecuencias graves, como pasar de un simple susto por no ver que vena otro carro, a causar unaccidente grave con heridos, o quizs muertos, en caso de presentarse un choque. La probabilidad de que losacontecimientos ocurran depender tambin de una serie de factores, incluyendo: el sitio, la hora y qu tanmal se espera cruzar la calle.4Tipos de Riesgo GRO TI5Estratgicos. No cumplir con los objetivos organizacionales.

Operativos. Incurrir en prdidas directas o indirectas producto de fallas en los procesos y controles internos, las personas, los sistemas de informacin, la tecnologa o los eventos externos (robos, secuestros, sabotajes, vandalismo y huelgas).

Financieros. Genera consecuencias financieras.

Es el riesgo de no cumplir con la visin, la misin y los objetivos estratgicos.4.1.1. Riesgo de ReputacinEs el riesgo de que un evento derivado de una operacin, prctica, decisino incumplimiento afecte la imagen y credibilidad del BCRP.4.1.2. Riesgo PolticoEs el riesgo de que un evento mine la autonoma del Banco limitando laconsecucin de sus objetivos.4.1.3. Riesgo MacroeconmicoEs el riesgo de que ocurran eventos adversos internos y externos queimpacten en la estabilidad monetaria.4.1.4. Riesgo de Estabilidad del Sistema Financiero y del Mercado deCapitalesEs el riesgo de que ocurran eventos adversos en el sistema financiero y elmercado de capitales que afecte la capacidad de gestin monetaria delBanco. Los eventos causales pueden estar relacionados a los riesgos deliquidez, solvencia, calce de activos y pasivos o de liquidacin en el Sistemade Pagos.5Factores de Riesgo OperacionalGRO TI6

Activos de Informacin

7GRO TIActivos de Informacin y TI*GRO TI8Una organizacin es representada por un conjunto de procesos

Los Procesos son, cada vez ms, asistidos por Servicios TI

Un Servicio TI es un conjunto integrado de Activos TI

Los Activos TI son de diversos tipos (Base de datos, equipos, software, locales, personas, etc.)

(*) Un activo de informacin, es la propia informacin o un activo involucrado en el tratamiento de esta. Un activo TI es un activo de informacin.

8Seguridad de la Informacin ConfidencialidadIntegridadDisponibilidadInformacin(Dimensiones)Prevenir Divulgacin no autorizadoPrevenir Cambios no autorizadosPrevenir para que pueda ser utilizada oportunamente

6+5 = 7x24x365Independiente de su forma, siempre debe ser protegida de manera apropiada, es decir, preservar sus atributos o dimensiones de valoracin [CID].9GRO TI99Propiedades de la informacin a proteger: Confidencialidad, Disponibilidad e IntegridadC= informacin protegida de difusin no autorizada segn clasificacin de Seguridad de InformacinI= Proteccin de informacin de alteraciones no autorizadas o modificaciones no intencionales (Ej. FECHAS INVERTIDAS)= ddmmaa aammdd CONSISTENCIAD= Informacin y servicios crticos disponibles cuando se necesiten y respondan necesidades de negocio. Datos puedan ser ecuperados en casode prdidas o errores en la operacinSistema de Gestin (SG)SGI10

SG para dirigir y controlar una organizacin con respecto a la calidad [ISO 9000:2005].Sistema Conjunto de elementos que relacionados entre s contribuyen a un determinado objetivo.Gestin Actividades coordinadas para dirigir y controlar una organizacin [ISO 9000:2005].

10Gestin simultneaGestin integradaBSI PAS 99Sistemas de Gestin IntegradosSGI1111Riesgos en Seguridad de la InformacinGRO TI14El Riesgo de un activo se determina con base a la relacin entre el Impacto de prdida potencial con la Probabilidad de ocurrencia de un evento adverso.Riesgo = Impacto x Probabilidad

Indisponibilidad de los Sistemas de InformacinSabotaje

Virus Informtico

Activistas (Anonymus)

Robo de Informacin

Robo de Activos con Informacin Sensible

AmenazasOmisin o error humano.Espionaje o acceso no autorizado.Divulgacin de informacin.Extorsin.Sabotaje.Robo.Disminucin de la calidad del servicio.Software maliciosoDesastres o fuerzas de la naturaleza.Fallas tcnicas de hardware.Obsolescencia.

16

Sismo / Terremoto

Incendio

Terrorismo

Huelga / Vandalismo

Ingeniera Social

HackersAmenazasVulnerabilidadesGRO TI18

Vulnerabilidades: Debilidades en la tecnologa, infraestructura, recursos, personas o en los procesos de cada organizacin falta de proteccin. Las vulnerabilidades son explotadas por las amenazas.18Proceso de Gestin de Riesgos(ISO/IEC 31000:2008)GRO TI19

Metodologa de Gestin de RiesgosGRO TIPlanificacinEstablecimiento del contextoIdentificacin de riesgos y controlesAnlisis y valorizacinTratamiento de riesgosComunicacin y ConsultaMonitoreo y RevisinGR Operacional y TI: ISO 31000:2009 ISO 27005:2008 MAGERIT v3, 2012.RGG 068-2013-BCRP20Anlisis y Valoracin de Riesgos

Nivel deaceptacin / tolerancia al riesgo? 22GRO TIEjemplos de ImpactoGRO TI23IMPACTOImpacto FinancieroImpacto operativoImpacto en la imagenCatastrfico USD $25 000 en horas extras + sobre costos de operacinImpacta gravemente en la operatividad de los procesos del BCRP.Afecta gravemente la credibilidad e imagen de la institucin a nivel nacional o internacional.DesastrosoUSD $8 000 en horas extras + sobre costos de operacinImpacta fuertemente en la operatividad de los procesos del BCRP.Afecta fuertemente la credibilidad e imagen de la institucin.MayorUSD $15 00 en horas extras + sobre costos de operacinImpacta en la operatividad de los procesos del BCRP.Afecta fuertemente la credibilidad e imagen de la institucin en aspectos especficos.ModeradoUSD $5 00 en horas extras + sobre costos de operacinImpacta en la operatividad del macroproceso al cual pertenece el proceso bajo estudio.Afecta la credibilidad e imagen de la institucin en aspectos especficos.MenorUSD $5 0 en horas extrasImpacta en la operatividad del proceso bajo estudio.Efecto moderado en la credibilidad e imagen de la institucin.Mapa de RiesgosGRO TI24ImpactoFrecuencia/ ProbabilidadExtremoIntolerableTolerableAceptable

123451235824Evaluacin de RiesgosGRO TI25Si el riesgo es aceptable, finaliza el proceso.Caso contrario:Transferir (tomar un seguro),Evitar (retirar activo), oMitigar el riesgo, a travs de:Controles1 preventivos, oCorrectivos.

---[1] Salvaguardas o medidas de mitigacin.ProbabilidadImpactoTransferirEvitarAceptarMitigar25