Information Risk Management and Compliance Chapter 2

2.4 Visin general de la gestin de riesgos Desafos de la gestin de riesgosExiste un alto potencial de mal uso e interpretacin errnea de los trminos clave:RiesgoAmenazasVulnerabilidadesExisten diferentes tcnicas y enfoques:CualitativoCuantitativo: ALE / VARSemi-cuantitativo

1

Copyright 2013 ISACA. Todos los derechos reservados.Contenidos a Enfatizar: Acentuar que existen varias metodologas y herramientas para la evaluacin de riesgos. Trataremos de mantenernos enfocados en los conceptos y lograr entender la gestin del riesgo y la evaluacin del riesgo. No complicarse con las definiciones. El instructor proporcionar las definiciones elementales como base para el trabajo en clase.

Presentar los conceptos y la terminologa bsicas. Mayor informacin en las siguientes secciones de esta presentacin.

Riesgo: Potencialidad de un evento que puede impactar en un objetivo (probabilidad de que un evento ocasiones daos o prdidas financieras).Amenazas: Ejemplo: Incendios, huracanes, hackers, competidores (causa de un incidente no deseado que puede resultar en prdidas).Vulnerabilidades: Falta de detectores o supresores de fuego, conexin abierta de Internet protegida por un firewall incorrectamente configurado.Controles: Medidas implementadas para mitigar riesgos.

Estratagema que le permiti a los griegos tomar Troya luego de una guerra de diez aos.Dado el riesgo, un control pudo haber sido montar guardia permanente alrededor del caballo.Considerar mostrar CMM Risk como documentacin de apoyo.

Pginas de Referencia del Manual de Preparacin al Examen: 95-96.

Desafos de la gestin de riesgos Gestin de riesgos.2Significa diferentes cosas para diferentes unidades de negocios y personas en la organizacin.Necesita operar a mltiples niveles en una organizacin:Nivel estratgicoNivel gerencialNivel operativo

Copyright 2013 ISACA. Todos los derechos reservados.Pginas de Referencia del Manual de Preparacin al Examen: 952.4.1 Importancia de la gestin de riesgosLa gestin de riesgos es una funcin fundamental de la seguridad de la informacin:Proporciona la razn y la justificacin para casi todas las actividades relacionadas con la seguridad de la informacin.

Copyright 2013 ISACA. Todos los derechos reservados.3Directivas para el Instructor: La seguridad de informacin como disciplina existe para manejar riesgos de confidencialidad, integridad y disponibilidad. La seguridad de informacin habilita al negocio atenuando o manejando riesgos a niveles aceptables apropiados a la misin del negocio o de la organizacin. Sin la determinacin de los riesgos, no es posible determinar el costo potencial o impacto de una actividad particular.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 962.4.2 Resultados de la gestin de riesgosToma de decisiones informadas, basadas en la comprensin de:amenazas, vulnerabilidades y perfil de riesgo.exposicin al riesgo y las posibles consecuencias del compromiso.

Resulta en:Una estrategia organizacional de mitigacin de riesgos adecuada para obtener consecuencias aceptables.Aceptacin/Atencin organizacional con base en un entendimiento de las posibles consecuencias del riesgo residual.Evidencia cuantificable de que los recursos de la gerencia se utilizan de forma apropiada y con una adecuada relacin costo/efectividad.

Copyright 2013 ISACA. Todos los derechos reservados.4Pginas de Referencia del Manual de Preparacin al Examen: Pg. 962.5 Estrategia de gestin de riesgosUna estrategia de gestin de riesgos:Es un proceso de negocios integrado.Tiene objetivos definidos.Incorpora todos los procesos de gestin de riesgos, actividades, metodologas y polticas adoptadas y llevadas a cabo en una organizacin.

Copyright 2013 ISACA. Todos los derechos reservados.5Una estrategia de gestin de riesgos, para que sea efectiva, debe ser un proceso de negocio integrado con objetivos definidos que abarque todos los procesos, actividades, metodologas y polticas para la gestin de riesgos que adopta y lleva a cabo una organizacin. La estrategia de gestin de riesgos establece los parmetros y traza el curso del programa de gestin de riesgos de la organizacin. Debe ser consistente e integrado a la estrategia de gobierno de la seguridad general. La estrategia de seguridad de la informacin a su vez debe basarse en los objetivos generales de la organizacin y en la estrategia del negocio.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 972.6 Gestin eficaz de riesgos de seguridad de la informacinLas actividades relacionadas con una gestin eficaz de los riesgos de seguridad de la informacin deben contar con el respaldo continuo de la alta gerencia.Para alcanzar los objetivos del programa se requiere de una cultura de calidad integrada con el compromiso de la alta direccin.El personal debe: Entender sus responsabilidades.Estar entrenado en los procedimientos de control aplicables.Se debe probar y exigir el cumplimiento de los controles de seguridad de la informacin de manera continua.

Copyright 2013 ISACA. Todos los derechos reservados.6Directivas para el Instructor: Las actividades de gestin de seguridad alineadas con los objetivos de negocio deberan estar soportadas por un propsito definido seguido de la asignacin de responsabilidades para gestionar el plan.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 97

Los pasos bsicos para desarrollar un programa de gestin de riesgos son los siguientes:Contexto y propsito del programaAlcance y estatutosIdentificacin, clasificacin y propiedad de activosObjetivosLa metodologa que se utilizarEl equipo de implementacin2.6.1 Desarrollo de un Programa de Gestin de RiesgosCopyright 2013 ISACA. Todos los derechos reservados.7Contenidos a Enfatizar:

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 97

2.6.1 Desarrollo de un Programa de Gestin de RiesgosRequerimientos para desarrollar el programa:Establecer el contexto y propsito del programaDefinir el alcance y los estatutosIdentificacin, clasificacin y propiedad de activosDeterminar objetivosDeterminar la metodologa que se utilizarDesignar el equipo de desarrollo del programaCopyright 2013 ISACA. Todos los derechos reservados.8Contenidos a Enfatizar:

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 97

2.6.2 Roles y responsabilidadesLa gestin de los riesgos de seguridad de informacin es parte integral del gobierno de la seguridad:Es responsabilidad del consejo directivo o su equivalente, asegurar que tales esfuerzos sean efectivos.La gerencia debe participar y aprobar los niveles aceptables de riesgo, as como los objetivos de la gestin de riesgos.

Copyright 2013 ISACA. Todos los derechos reservados.9Contenidos a Enfatizar: Definir los niveles aceptables de riesgo y obtener el apoyo de la alta direccin es una condicin esencial para una gestin de riesgos efectiva.

Pginas de Referencia del Manual de Preparacin al Examen: Pgs. 99Un comit de direccin debe: Establecer las prioridades de la gestin de riesgos.Definir los objetivos de la gestin de riesgos a fin de respaldar la estrategia de negocios.El Gerente de Seguridad de Informacin es responsable de desarrollar, gestionar y contribuir con el programa de gestin de riesgos de seguridad de la informacin para alcanzar los objetivos definidos.2.6.2 Roles y responsabilidadesCopyright 2013 ISACA. Todos los derechos reservados.10Contenidos a Enfatizar: Definir los niveles aceptables de riesgo y obtener el apoyo de la alta direccin es una condicin esencial para una gestin de riesgos efectiva.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 99