Sesión 4 Riesgo Tecnológico y

Sesión 4

Riesgo Tecnológico y Seguridad de la Información

Agenda1. Aspectos clave en la identificación y

evaluación de riesgos de TI. 2. Desarrollo y gestión de un programa de

Seguridad de la Información.3. Indicadores clave de desempeño (KPIs).4. Respuesta y mitigación de riesgos de TI e

incidentes de seguridad de la Información.5. Aspectos claves en Continuidad del

Negocio.

GESTIÓN DEL RIESGO DE TI

QUE ES EL RIESGO DE TI?

Pérdidas de derivadas de afectaciones a los componentes tecnológicos de los

sistemas de información de la Entidad.

1. En todos los componentes de los Sistemas de Información.

2. Procesos de tecnología.3. Personas que administran la tecnología.

DONDE SE IDENTIFICA

Riesgo de negocio asociado a:Uso, propiedad, operación, participación,

influencia y adopción de TI en la organización.

RIESGO DE TI

Riesgo relacionado con TI

5

RIESGO DE TI

Fuente: ISACA, org, manual de preparación CRISC 6ta edición

RIESGO DE LA ORGANIZACIÓN

Riesgo estratégico Riesgo ambiental Riesgo de

mercado Riesgo operativo Riesgo de crédito Riesgo de cumplimiento

Riesgo de facilitación de valor/beneficio de TI

Riesgo de entrega de proyectos y programas de TI

Riesgo de prestación de servicios y operaciones de

TI

6

MARCOS DE REFERENCIA

Fuente: ISACA,

• COBIT es un marco de gobierno de las tecnologías de información que proporciona una serie de herramientas para que la gerencia pueda conectar los requerimientos de control con los aspectos técnicos y los riesgos del negocio

• COBIT permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en toda la organización

(Control Objectives for Information and related Technology)

Cuestionario 1

La gestión del riesgo de TI...

A. Considera la tecnología y los presupuestos.B. Implementación de una estrategia que involucra cultura,

apetito y niveles de tolerancia en la organización.C. Todas las anteriores.

Cuestionario 1

La gestión del riesgo de TI

A. Considera la tecnología y los presupuestos.B. Implementación de una estrategia que involucra cultura,

apetito y niveles de tolerancia en la organización.C. Todas las anteriores. .

9

MARCOS DE REFERENCIA

• ITIL (Infraestructure library – librería infraestructura de TI)

• Mejores prácticas sobre la administración del ciclo de vida de servicios de TI

• Provee guía y prácticas sobre:- Estrategia del servicio.- Administración del portafolio de servicio.- Administración de la demanda.- Administración financiera.

Ejemplo de servicios de TI:

MACRO SERVICIO SERVICIO Servicios Básicos

Servicios a la

“Carta”

Servicios Bajo

Demanda

(B) (AC) (BD)

APLICACIONES DE APOYO AL NEGOCIO

1) Canales transaccionales x

USUARIO FINAL

1) Configuraciones PC-Laptop

x

1) Internet x

1) Correo electrónico x

1) Impresión x

COMUNICACIONES1) Telefonía x

1) Correo electrónico x

INFORMACIÓN

1) Respaldo y restauración de información

x

1) Elaboración de reportes x

10

MARCOS DE REFERENCIA• ISO 27005: gestión del riesgo de seguridad

de la información• ISO 27000 – 27001:

Mejores prácticas para preservar la integridad, confidencialidad y disponibilidad de la información.

Cuestionario 2

Un programa de gestión de riesgos de TI debería ser...

A. IntegralB. AuditableC. JustificableD. LegalE. MonitoreadoF. Todas las anteriores

Cuestionario 3

¿Cuáles son los principios de la seguridad de la información?

A. Integridad, confidencialidad y disponibilidad.B. Completitud y exactitud.C. Reserva y confidencialidad.D. No repudio y disponibilidad.E. Ninguna de las anteriores.

15

MÉTODOS DE IDENTIFICACIÓN DE RIESGOS DE TIFACTORES DE RIESGO

Agentes de amenaza

Amenazas Vulnerabilidades

Riesgo

ACTIVOSAlgo de valor tangible o intangible que vale la pena proteger

• Información• Reputación• Marca• Propiedad intelectual• Instalaciones• Equipamiento• Recurso humano• Procesos de negocio

16

Valorar el activo conforme a:

• Sanciones

• Daños a la reputación

• Costos de reemplazo

• Efecto sobre terceros y contrapartes

• Incumplimientos

• Pérdidas de ventajas competitivas

• Costos legales

ACTIVOSAmenazas

EXTERNAS

• Espionaje

• Robo

• Terrorismo

• Actos criminales

• Enfermedades

• Actividad sísmica

• Errores hw, sw

• Fallas mecánicas

• Corrupción de datos

• Sobrecargas eléctricas

• Eventos naturales

INTERNAS

• Personal

• Empleados

MÉTODOS DE IDENTIFICACIÓN DE RIESGOS DE TI

Vulnerabilidades

Huecos o brechas de seguridad que generan oportunidad de amenaza o dan lugar a consecuencias que puedan tener impacto en el negocio.

• Vulnerabilidades de red

• Acceso físico

• Aplicaciones y servicios orientados a Web

• Suministros (servicios publicos)METODOLOGÍA OCTAVE

1. Crear perfiles de amenazas a los activos

2. Determinar las vulnerabilidades de la infraestructura

3. Elaborar estrategia de seguridad y planes de mitigación

17

ESCENARIOS DE RIESGO

Descripción de un posible evento cuya ocurrencia tendrá impacto incierto en el logro de los objetivos de la organización

Describir:

AgenteEventoActivo involucradoTiempo

EJEMPLO

Daños en el servidor del Core del negocio debido a fallas en el suministro

de energía

Cuestionario 4

Las contraseñas débiles y transmisión de información sensible sin debido cifrado son ejemplo de:

A. AmenazaB. VulnerabilidadC. ImpactoD. Activo

20

MITIGACIÓN Y RESPUESTA AL RIESGO

Evaluar Beneficio- Reducción de costos de eventos- Responsabilidades reducidas- Aumento de confianza de

clientes- Mejores relaciones- Recuperación rápida

Controles

Evaluar Costo- Costo de adquisición- Costo de mantenimiento- Costo de eliminación o

reemplazo

21

GESTIÓN DE PROYECTOS1. Implementar un comité de control de cambios2. Reorganizar recursos cuando se presenten cuellos de botella3. Reemplazar o complementar gerentes cuando se cumplen expectativas4. Reiniciar proyectos bajo escenarios más favorables5. Reemplazar proveedores o renegociar.6. Ejecutar por fases

Riesgos

Elaborar una matriz de riesgos desde el inicio del proyecto

Elaborar una matriz de comunicaciones

22

CICLO DE VIDA DE DESARROLLO DE SISTEMAS

Desarrollo Pruebas Producción

Establecer controles en cada uno de los ciclos de vida de la implementación de sistemas de información y cambios de hardware

23

PRUEBAS DE SOFTWARE

Buenas prácticas • Datos: Validez de los datos y

garantizar confidencialidad de los mismos

• Separación de ambientes• Control de versiones• Bloqueo de modificaciones sobre el

código• Pruebas unitarias• Pruebas de integración al sistema • Garantía de calidad

PLANES ALTERNATIVOS (ROLL BACK)Al implementar en producción un nueva versión de un aplicativo o sistema de información, configuración de equipo se recomienda tener un plan para volver a la configuración o versión anterior.

Cual es el riesgo?

???????

Cuestionario 5

Clasifique los siguientes controles1. Segregación de tareas.2. Políticas de seguridad de la

información.3. Pruebas de penetración a redes

(Ethical Hacking).4. Sistemas de detección de

incendios.5. Cifrado de información sensible a

asociados.6. Autenticación de dos factores.7. Plan alternativo (roll back) para

configuración del servidor principal.

A. Preventivo

B. Detectivo

C. Correctivo

D. Directivo

Cuestionario 5

Clasifique los siguientes controles

1. Segregación de tareas.2. Políticas de seguridad de la

información.3. Pruebas de penetración a redes

(Ethical Hacking).4. Sistemas de detección de

incendios.5. Cifrado de información sensible a

asociados.6. Autenticación de dos factores.7. Plan alternativo (roll back) para

configuración del servidor principal.

A. Preventivo

B. Detectivo

C. Correctivo

D. Directivo

26

SEGURIDAD DE LA INFORMACIÓN

EVALUACIÓN

DE CONTOLES

Activo

INFORMACIÓN

CONTROLES

Gobierno de la Seguridad de la

Información

Gestión de Riesgos de la

Seguridad de la Información

Programa de Seguridad de la

Información

Gestión de Incidentes de

Seguridad

Estándar ISO 27001; 27002

27

ESTRATEGIAS DE SEGURIDAD DE LA INFORMACIÓN

¿Cuál es la meta?

Proteger los activos de la información

1. ¿Cuáles son los activos de información de la organización?2. ¿Qué es proteger?

28

COMPONENTES CLAVES DE UN PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN

ESTRATEGIA DE SEGURIDAD DE LA INFORMACIÓN• Cuáles son los activos de

información de la organización?• Qué es proteger?

Evaluaciones clave...

• Evaluación de arquitectura• Evaluación del recurso humano • Evaluación de las tecnologías

29

Gobierno de SI- Establecer y definir responsable de la SI. - Determinar el estado actual. - Evaluar los riesgos de SI.- Determinar los controles y realizar evaluaciones técnicas.- Contar con el respaldo de la gerencia.- Evaluar y medir el desempeño.


30

Seguridad lógica Seguridad Física

¿Cómo te conectas a tu core de negocio?


Cuestionario 6

Si una organización necesita contratar un seguro contra la conducta deshonesta y fraudulenta de sus empleados. ¿Cuál de los siguientes tipo de cobertura requiere?

A. Fidelidad.B. Interrupción del servicio.C. Documentos y registros valiosos.D. Continuidad del negocio.

Cuestionario 4

Si una organización necesita contratar un seguro contra la conducta deshonesta y fraudulenta de sus empleados. ¿Cuál de los siguientes tipo de cobertura requiere?

A. Fidelidad.B. Interrupción del servicio.C. Documentos y registros valiosos.D. Continuidad del negocio.

33

INDICADORESItem Meta Cumplimiento

Mayo Observaciones

% Disponibilidad del portal transaccional del Fondo de Empleados 90% 89% Ninguna

% de incidentes resueltos en el primer nivel de atención a incidentes 80% 50% Ninguna

% Efectividad de los planes de Continuidad de Negocio 100% 100%

Tiempo promedio de implementación de parches a los aplicativos 25 dias 30 dias

% uso de disco duro del servidor de Core de negocio 60% 90% ??????

34

ISO 27002Cláusula

Política de Seguridad

Organización de Seguridad de Información

Adm. de Activos

Seguridad en Recursos Humanos

Seguridad física y ambiental

Adm. de Comunicaciones y Operaciones

Control de Acceso

Adq., Des. y Mant. de sistemas de información.

Adm. de Incidentes de Seguridad de Información

Adm. de Continuidad de Negocios

Conformidad

35

CALIFICAR Y PRIORIZAR

CONTROLES Y PROTECCIONES

EFECTIVIDAD DE CONTROLES

DOCUMENTACION Y PRESENTACIÓN

- Desarrollar método para evaluar las exposiciones y riesgos en términos de probabilidad y severidad.- Metodologías y herramientas de análisis de riesgos- Exposición de la pérdida anualizada -> Riesgo= frecuencia x exposición

- Costo de prevención= probabilidad del daño * Magnitud del daño ($)- Reducir pérdidas y mitigar amenazas- Seguridad física y lógica- Protección de la información, personas , lugares de trabajo y reputación

Evaluar la efectividad de controles, ANS con proveedores y establecer escenarios de desastre

Presentar hallazgos de la evaluación de riesgos y determinar los próximos pasos a seguir

• Frecuencia: 10 veces al año• Exposición: Departamento 1 tiene una pérdida de

$1.000 Departamento 2 tiene una pérdida de $20

Riesgo: (10 (F)*$1.000 (E))+(10 (F)*$200 (E))ALE: $12.000

CONTINUIDAD DEL NEGOCIO

36

Identificar funciones del negocio

Revisar los cronogramas

Trabajar con el patrocinador del

BIA

Determinar criterios de criticidad

Entrenar al personal

gerencial del área

Determinar el Impacto

Financiero

Cliente

Legal y regulatorio

Operacional

Pérdidas Financieras, aumentos primas de seguros, reducción flujo de efectivo, pérdida de clientes, gastos.

¿Puede cuantificar cuánto perdería en ingresos por cada hora fuera de operación?¿penalizaciones?¿multas? Etc.

¿Qué tan rápido se van a enterar los clientes? ¿Que tan preocupados van a estar? ¿Que impacto podría causarles?

¿Demandas grupales?¿se llevaran el negocio a otro proveedor? ¿Que tanto impacta en su reputación?

Estar operando en modo manual por un tiempo significativo, eficiencia se vea afectada, información afectada, etc.

Repercusiones legales con proveedores, clientes y distribuidores, penalizaciones, potenciales demandas.

¿Qué tipo de regulaciones hay? ¿Los reguladores se involucraron si usted tiene una interrupción? ¿Hay multas?

BIA Análisis de Impacto al Negocio

37

Exposición a la pérdida

Cuantitativa->BienesIngresosMultasFlujo de efectivoCuentas por cobrarResponsabilidad legalRecursos HumanosGastos/costos extra

Cualitativa->Conocimiento RHConfianza partes interesadasLegalImagen social/credibilidad

Tiempos de recuperación

RTO – Tiempo Objetivo de Recuperación

La cantidad de tiempo entre el momento del impacto y el momento en el que el proceso esta operando a un nivel mínimo aceptable

RPO – Punto Objetivo de Recuperación

El punto en el tiempo del ultimo respaldo de información bueno en el exterior al momento del desastre

Requerimientos

Cuestionarios de BIA

RTOs

Recursos (Capacidades

actuales)

Planes de recuperación de TI

Procesos manuales alternativos y

restauración de datos

Reubicación negocio

BIA Análisis de Impacto al Negocio

38

EJEMPLO ANÁLISIS DE IMPACTO AL NEGOCIO - BIA

Proceso Tx y Periodicidad de

ejecución

Operación normal

RTO RPO Aplicaciones

Pagos interbancarios automáticos

5000 transacciones diarias

2 – 4 horas 0 – 2 horas 30 minutos • Correo electrónico• Sistema CORE• Portal transaccional• ACH• Autorizador

Cuestionario 7

Qué frase describe mejor el RPO

a. Determinar el marco de tiempo en el que los procesos tienen que ser restaurados para prevenir un impacto inaceptable a la organización.

b. Determinar el nivel de riesgo y la pérdida potencial que la gerencia está dispuesta a aceptar.

c. Determinar el punto en el tiempo en el que las transacciones y los datos deben ser recuperados después de una interrupción.

d. Obtener un estimado cualitativo del impacto de la amenaza.

Cuestionario 7

Qué frase describe mejor el RPO

a. Determinar el marco de tiempo en el que los procesos tienen que ser restaurados para prevenir un impacto inaceptable a la organización.

b. Determinar el nivel de riesgo y la pérdida potencial que la gerencia esta dispuesta a aceptar.

c. Determinar el punto en el tiempo en el que las transacciones y los datos deben ser recuperados después de una interrupción.

d. Obtener un estimado cualitativo del impacto de la amenaza.

¡Gracias!Diana Marcela VargasCISA- ABC y ALMCt. 123 45 67m. +57 (314) 6300074

BIBLIOGRAFÍA

• IIA - DOCUMENTO DE CONSULTA DEL IIA Tres líneas de defensa• COSO ERM• ALARYS• ISACA org• ISO 31000• Operational risk management, ariane chapelle• Basilea• DRII

Sesión 4 Riesgo Tecnológico y

Documents

Transcript of Sesión 4 Riesgo Tecnológico y