Post on 07-Jul-2016
description
GESTIÓN DE RIESGOS
CONTENIDOS
• GRC • Riesgos • Riesgos y Oportunidades • Riesgos de TI • ¿Cómo controlar los riesgos? • Riesgos asociados al desarrollo de sistemas • Proceso de administración de riesgos • Audiencia del riesgo de TI
Las condiciones económicas han generado incertidumbre…
“Los negocios se manejan con un pie en el acelerador y el otro en el freno ”
¿Qué es GRC?
Enfoque GRC
“GRC” = Governance, Risk and Compliance por sus siglas en inglés que significa (Gobierno, Riesgo y Cumplimiento)GRC se orienta a integrar y transformar a las personas, procesos y tecnologías que apoyan a las siguientes áreas claves: – Gobierno: Estructuras, políticas, procesos y controles de la junta o consejo directivo y la administración, que están enfocados en el valor a largo plazo por medio de la operación ética, equitativa, eficiente y efectiva del negocio. – Administración de riesgos: Proceso sistemático de la compañía para identificar , evaluar, administrar y monitorear tanto el incremento como la disminución de los riesgos de la compañía.
Cumplimiento : Proceso de la compañía para demostrar que sus empleados y otros se adhieren a las políticas y procedimientos, leyes y regulaciones vigentes.
El propósito fundamental de GRC es la mejora organizacional
en términos de inteligencia de riesgos y toma de decisiones a
través de la transformación de los procesos y actividades de
gobierno, administración de riesgos y cumplimiento.
Enfoque GRC
¿Qué es Riesgo?
Enfoque GRC
CATEGORÍA DE RIESGOS
Riesgo de AuditoriaEl Riesgo en auditoria surge cuando el auditor expresa una opinión errada en su informe, debido a que la información suministrada a él estén afectados por una distorsión material o normativa. En auditoria se conocen tres tipos de riesgos:
•Inherente, •de Control y •de Detección.
CATEGORÍA DE RIESGOS
a) Riesgo inherente, son errores que no se pueden prever.
CATEGORÍA DE RIESGOS
Riesgo de Auditoria
b) El riesgo de control, los controles internos imperantes no
prevén o detectan fallas que se están dando en los sistemas.
c) El riesgo de detección, están relacionados con el trabajo
del auditor. Éste en la utilización de los procedimientos de
auditoría, no detecta errores en la información que le
suministran. Categoría de Riesgos: Riesgo de Auditoria
Riesgo de Auditoria
CATEGORÍA DE RIESGOS
Enfoque GRC: ¿Qué es Riesgo?
Enfoque GRC: ¿Qué es Riesgo?
“La posibilidad de pérdida o daño – o disminución de la posibilidad de beneficios – causada por factores que pueden afectar adversamente la realización de objetivos de una organización”
El problema empieza en el consejo directivo y continúa en las unidades de negocio
¿En dónde esta la conexión?
¿En dónde esta la conexión?
¿Por qué es importante GRC?
1. Protege y maximiza el valor de la acción, confiabilidad y prestigio de la organización. 2. Minimiza probabilidades de fraudes, incumplimientos y multas. 3. Minimiza “sorpresas” negativas. Minimiza perdidas por estas “Sorpresas”. 4. Protección de la fidelidad de los accionistas, socios de negocio, dirección y empleados. 5. Maximización de la buena intención de los accionistas , socios de negocio, dirección y empleados para con la organización. 6. Mejora competitiva por la capacidad de toma de decisiones oportuna sustentada en información veraz. 7. Mejora en la velocidad y calidad de las transacciones de todos los involucrados para con la empresa, debido a factores clave: “confianza y buena voluntad”. 8. Salvaguarda de los activos de la empresa. 9. Protección y estabilidad de empleo para los directivos y empleados de la organización. 10.Promoción de un mejor ambiente, de confianza y responsabilidad civil y transparencia de la organización para con la sociedad. Lo cual conlleva a varios beneficios económicos encadenados
TI: Un mundo excéntrico
• Los “riesgos” de TI atienden fundamentalmente a sucesos de alto impacto y baja (e incierta probabilidad).
• Sucesos a priori poco importantes desencadenan efectos “aumentados” por la complejidad intrínseca de los procesos.
¿Dónde están los riesgos?
• Las amenaza se han incrementado.
“Debido a los gusanos y otras amenazas, no puedes dejar tus redes abiertas a dispositivos y usuarios no autorizados.”
RIESGO Y OPORTUNIDAD
DINÁMICA GRUPAL
Ejemplifique, considerando a las TI tanto como inhibidor como habilitador de valor para el negocio (considere 3 ejemplos como mínimo).
RIESGOS DE TI
Riesgo de negocio asociado con el uso, la propiedad, operación, participación, influencia y adopción de TI dentro de una empresa.
• Consiste en eventos relacionados con TI que pueden potencialmente impactar el negocio.
• Incluye tanto frecuencia y magnitud incierta.
• Crea retos en alcanzar los objetivos y metas estratégicas y en el aprovechamiento de las oportunidades.
Riesgo = • Activos de Información • Amenazas • Vulnerabilidad
RIESGOS DE TI
Riesgos de Seguridad en Aplicaciones WEB (OWASP)
¿Cómo controlar los riesgos? Modelo de seguridad del ciclo de vida de desarrollo de software CVDS(Verde a rojo incrementa el costo de remediación)
Riesgos Asociados al desarrollo de sistemas
• El nuevo sistema no satisfaga las necesidades del negocio, requerimientos y expectativas.
• Riesgos durante el desarrollo de sistemas: – Proyecto – Proveedores – Organización – Externos
DINAMICA GRUPAL
• CASO JETHRO 1. Identifique los Riesgos Asociados al desarrollo de
sistemas. 2. Identifique la situación mas riesgosa que se puede
desencadenar si el sistema se construye tal cual lo especifica Jethro.
3. Identifique controles que minimicen los riesgos de desarrollo.
EVALUACIÓN DE RIESGOS
IDENTIFICACIÓN DE RIESGOS
Identificar riesgos puede ser…
•Demasiada Data
•Bitácoras Complejas
•Informes misteriosos
Encontrar una aguja en un pajar
RISK ASSESSMENT (EVALUACIÓN DE RIESGOS)
ACTIVOS
•Son Activos, los recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección.
• El activo esencial es la información que maneja el sistema; o sea los datos. Y alrededor de estos datos se pueden identificar otros activos relevantes:
– Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos.
– Las aplicaciones informáticas (software) que permiten manejar los datos.
– Los equipos informáticos (hardware) que permiten hospedar datos, aplicaciones y servicios.
– Los soportes de información que son dispositivos de almacenamiento de datos.
– El equipamiento auxiliar que complementa el material informático.
– Las redes de comunicaciones que permiten intercambiar datos. – Las instalaciones que acogen equipos informáticos y de comunicaciones.
– Las personas que explotan u operan todos los elementos anteriormente citados.
ACTIVOS
CLASIFICACIÓN DE ACTIVOS En cada caso, hay que adaptarse a la Organización objeto del análisis. Con frecuencia se puede estructurar el conjunto de activos en capas, donde las capas superiores dependen de las inferiores:
Capa 5 • OTROS ACTIVOS Capa 4 • FUNCIONES DE LA ORGANIZACIÓN Capa 3 • INFORMACIÓN Capa 2 • SISTEMA DE INFORMACIÓN Capa 1 • ENTORNO
– Capa 1: el entorno: activos que se precisan para garantizar las siguientes capas:
• Equipamiento y suministros: energía, climatización, comunicaciones • Personal: de dirección, de operación, de desarrollo, etc. • Otros: edificios, mobiliario, etc.
– Capa 2: el sistema de información propiamente dicho.
• Equipos informáticos (hardware) • Aplicaciones (software) • Comunicaciones • Soportes de información: discos, cintas, etc.
CLASIFICACIÓN DE ACTIVOS
– Capa 3: la información
• Datos • Meta-datos: estructuras, índices, claves de cifra, etc.
– Capa 4: las funciones de la Organización, que justifican la existencia del sistema de información y le dan finalidad.
• Objetivos y misión • Bienes y servicios producidos
CLASIFICACIÓN DE ACTIVOS
– Capa 5: Otros Activos
• Credibilidad o buena imagen • Conocimiento acumulado • Independencia de criterio o actuación • Intimidad de las personas • Integridad física de las personas
CLASIFICACIÓN DE ACTIVOS
Considerando la NTP 17799:2007 • La clasificación se realiza mediante el proceso siguiente:
– Por Naturaleza – Por Ponderación
Clasificar
– Por Naturaleza
• Se determina la clase de Activo a la que pertenece: Tangible, Intangible o Servicios de TI. Esta clasificación permite:
• Identificar la cantidad de activos que posee la empresa. • Identificar cuál es la clase de activo más importante de la empresa.
CLASIFICACIÓN DE ACTIVOS
– Por Ponderación
• La clasificación por Ponderación es la continuación de la Clasificación por Naturaleza, ya que una vez identificado que clase de activos posee la empresa, debemos hacer una ponderación de qué clase de activo es la más importante.
CLASIFICACIÓN DE ACTIVOS
CLASIFICACIÓN DE ACTIVOS
DINÁMICA GRUPAL
• Organice los Activos de TI, según las capas sugeridas para el caso planteado: “ Los Informales SAC hacen uso extensivo de transacciones comerciales por internet. Sus aplicaciones y datos están alojadas en servidores remotos que son administrados por un proveedor. Los equipos de computo son principalmente usados para ejecutar las aplicaciones alojadas en el proveedor de servicios. También cuentan con equipos de impresión que son compartidos por los miembros de cada área, enlazados por una red local. Como ya se mencionó, el proveedor de servicios, garantiza tiempos de respuesta adecuados para la performance del software comercial. La administración y control de accesos del software, es responsabilidad del proveedor. El proveedor de servicios da de alta y baja a los usuarios. Se estableció un tiempo promedio de 3 días tanto para las altas como las bajas. La conexión de los usuarios a las instalaciones del proveedor de servicios será usando el servicio IPVPN. Como medio redundante, se cuenta con conexión RDSI. Esto con la finalidad de mantener la continuidad de las operaciones y no afectar la imagen de la empresa. Como información sensible se esta considerando los datos del cliente (Ventas, línea de crédito entre otros).”
DINAMICA GRUPAL
VULNERABILIDAD
– Debilidad de un activo o grupo de activos que pueden ser explotados por una o más amenazas (NTP-ISO/IEC 17799).
– Potencialidad o posibilidad de ocurrencia de una amenaza sobre un activo.
VULNERABILIDAD DEL ACTIVO
AMENAZA
– Causa potencial de un incidente no deseado que puede resultar en daño al sistema u organización (NTP-ISO/IEC 17799). – Eventos que pueden desencadenar un incidente en la Organización, produciendo daños materiales o pérdidas inmateriales en sus activos.
– Condición del entorno del sistema de información que, dada una oportunidad, podría dar lugar a que se produjese una violación de la seguridad.
– Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño. – No todas las amenazas afectan a todos los activos, sino que hay una cierta relación entre el tipo de activo y lo que le podría ocurrir.
AMENAZA
NIVEL DE PROBABILIDAD
DINÁMICA GRUPAL
• Para el caso planteado identifique: – Vulnerabilidades – Amenazas • Relacione Activos, Amenazas vs Vulnerabilidades
NIVEL DE RIESGO
PROCESO DE ADMINISTRACIÓN DE RIESGOS
PROCESO DE ADMINISTRACIÓN DE RIESGOS
• Identificación y clasificación de los activos o recursos de información que necesitan protección.
• Evaluar amenazas, vulnerabilidades y la probabilidad de ocurrencia.
• Luego de establecer los elementos de riesgo, éstos son evaluados en conjunto para definir un panorama general del riesgo.
• El riesgo es proporcional al valor de la pérdida o daño y a la frecuencia estimada de la amenaza.
PROCESO DE ADMINISTRACIÓN DE RIESGOS
• Una vez que los riesgos han sido identificados, pueden evaluarse los controles existentes o los nuevos controles para reducir la vulnerabilidad a un nivel aceptable de riesgo.
• El nivel remanente de riesgo, luego de aplicarse los controles, es denominado “riesgo residual” y puede ser utilizado por la gerencia para identificar aquellas áreas en las que se requiere mayor control para reducir aún mas los riesgos.
PROCESO DE ADMINISTRACIÓN DE RIESGOS
PROCESO DE MITIGACIÓN
Una vez que se desarrolló la valoración de los riesgos lo que queda por hacer es un proceso de mitigación de los riesgos encontrados teniendo como prioridad los que sean de mayor valoración.
Proceso de Mitigación
Audiencia del Framework de Riesgos de TI
Gracias