Evaluación de riesgos - Business Institute of the...
-
Upload
truongnguyet -
Category
Documents
-
view
224 -
download
0
Transcript of Evaluación de riesgos - Business Institute of the...
© 2009 - 2011 RISCCO
El 77% de los 2,426 profesionales de TI sondeados, admitió que sus organizaciones habían sufrido pérdidas de datos durante el pasado año.
Ponemon Institute Junio 14, 2011
© 2009 - 2011 RISCCO
PCWorld Business Center Marzo 2011
Ex empleado borra más de 300GB en archivos de video, una temporada completa, del programa para niños "Zodiac Island".
© 2009 - 2011 RISCCO
En USA, el 75% de los fraudes bancarios a pequeñas y medianas empresas, ocurre vía la banca en línea.
Abril 2011
Estudio realizado por Guardian Analytics y Ponemon Institute.
© 2009 - 2011 RISCCO
Agenda
1. Riesgos tecnológicos a los que están expuestas las organizaciones hoy día
2. Impacto en nuestros clientes y socios
3. Administración de riesgos tecnológicos
4. Reflexiones finales
© 2009 - 2011 RISCCO
• Virus
• Spyware
• Spam
• Ataques a páginas Web
• Robo de equipo
• Imposibilidad de restablecer
las operaciones en el centro
de datos
Los visibles
• Fraude en línea
• Espionaje digital
• Privacidad y protección de
datos
• Robo de identidad
• Continuidad de operaciones
Los no tan visibles
© 2009 - 2011 RISCCO
Seguridad Física
Seguridad de información
Outsourcing Gestión de Activos
Gestión de Cambios
Continuidad de Negocios
Actualización de software
Gestión de Proyectos
Computación en la Nube
© 2009 - 2011 RISCCO
Impacto en nuestros clientes y socios
Imagen/Reputación
Incertidumbre
Insatisfacción
Pérdida de credibilidad
Buscan otras alternativas en el mercado
© 2009 - 2011 RISCCO
Si se desconocen los riesgos tecnológicos a los que la organización está expuesta:
Muy difícilmente se pueden implantar controles para mitigarlos.
Muy probablemente se opera en ambiente tecnológicamente inseguro.
© 2009 - 2011 RISCCO
La administración de riesgo es el proceso de identificar y evaluar el riesgo, reduciéndolo a un nivel aceptable, e implantar los mecanismos para mantenerlo a ese nivel.
CISSP, All in One, Shon Harris
© 2009 - 2011 RISCCO
¿Cómo se hace?
1. Valor de la información y activos de TI
2. Identificar amenazas
3. Análisis de riesgo cuantitativo/cualitativo
4. Mecanismos de protección
5. Riesgo total vs riesgo residual
6. Manejo del riesgo
© 2009 - 2011 RISCCO
¿Qué más se debe hacer?
1. Construir e implantar las políticas, estándares y procedimientos que soporten un modelo de seguridad de información en la organización.
2. Asignar la responsabilidad de un Gerente de Seguridad de Información.
© 2009 - 2011 RISCCO
Reflexiones finales
Algunas organizaciones piensan que son inmunes.
Las amenazas existen y son reales.
Existen y aparecerán más riesgos tecnológicos para pretender mitigarlos todos.
Cada día los entes reguladores y los clientes exigirán más que las organizaciones protejan sus datos personales.
Asignar recursos a tiempo completo, a velar por la seguridad de información no es opcional.