Gestión de Riesgos - isaca.org · PDF fileGestión de Riesgos 1 1 Mario...

Gestión de Riesgos

www.isaca.org 11

Mario Ureña Cuate, CISA, CISM, CGEIT, CISSPAuditor Líder BS25999, ISO27001

[email protected]

Pag.1

Agenda• Introducción• Gestión de riesgos• Marcos de referencia para la gestión de riesgos• Principios de la gestión de riesgos• ISO 31000 – Gestión de Riesgos – Principios y guías (DRAFT)• BS 31100 – Gestión de Riesgos – Código de práctica

www.isaca.org 22Pag.2

• BS 31100 – Gestión de Riesgos – Código de práctica• ISO 27005 – Gestión de Riesgos de Seguridad de la Información• Risk IT Framework• Ejemplos• Opciones de tratamiento de riesgos• Conclusiones


Introducción

Introducción

• En la actualidad, son cada vez más las organizacionesque dedican recursos de personal, tiempo y dinero parala gestión de riesgos de TI, pero con tantos modelos,metodologías y técnicas disponibles:


• ¿Por dónde empezar?• ¿Cuál de ellas es mejor?• ¿Debo utilizar un enfoque cualitativo o cuantitativo?• ¿Quién lo debe ejecutar?• ¿Con qué granularidad?• ¿Cómo tratar el riesgo?

Introducción

• … ¿Cuáles son los riesgos de los cuales me tengo queproteger?…

• … ¿Cuál es el nivel de riesgo que debo tomar paramaximizar mis ganancias?


maximizar mis ganancias?

• … ¿Eso es un riesgo o es una amenaza?

• … ¿El control lo aplico a la vulnerabilidad, a la amenazao a los dos?

Introducción

• Diferentes tipos de riesgos:

– Riesgo de TI– Riesgo de Seguridad de la Información– Riesgo Operativo


– Riesgo Operativo– Riesgo de Continuidad del Negocio– Riesgo de Proyecto– Riesgo Financiero– Riesgo de Auditoría– Etc.

Introducción

Nivel de granularidad:

• Empresa A: Total de escenarios de riesgos: 50

• Empresa B: Total de escenarios de riesgos: >5,000,000


• Empresa B: Total de escenarios de riesgos: >5,000,000

Introducción

Hay de escenarios a ESCENARIOS:

escenario:


Epidemia de influenza - Abril 2009

Introducción

Hay de escenarios a ESCENARIOS:

ESCENARIO:


Epidemia de influenza + Sismo 5.7 grados 27 de abril 2009

Introducción

Escenario:Epidemia

Estrategia:

Parte del personal laborando en oficinas

Escenario:Sismo

Estrategia:

Desalojo y concentración en puntos de reunión

Posible Contagio


Epidemia

Estrategia:

Parte del personal laborando desde casa

comunicándose vía Internet y teléfono

Escenario:Saturación de líneas

telefónicas

Escenario:Perdida de

comunicaciones Interrupción de la continuidad del

negocio

Introducción

El caso de mi amigo.


Proveedor de servicios de hospedaje y respaldo.

Introducción

ESCENARIO-TOTE (Por ponerle un nombre)


Hackeo de página web + Pérdida de respaldos+

Epidemia de Influenza + Sismo 5.7 grados +

Pérdida de comunicaciones + Fallas de Energía = ?

Introducción

“… Solamente miré hacia el cielo, esperando ver pasar a los cuatro


pasar a los cuatro jinetes...”

Mi amigo

Abril 27, 2009

Introducción

¿Cómo evitar que ocurran eventos no deseados?


Y en caso de que ocurran…

¿Cómo disminuir su impacto en la organización?

Gestión de riesgos


Gestión de riesgos

Marcos de referencia

• ISO/DIS 31000 (DRAFT)• IEC/DIS 31010• ISO/D Guide 73• BS 31100• ISO/IEC 27005

• CRAMM• MAGERIT• TRA Working Guide• Microsoft – SRMG• BS 7799-3


• ISO/IEC 27005• ITGI - The Risk IT Framework• Basilea II• OCTAVE• NIST SP800-30• AS/NZS 4360• M_o_R

• BS 7799-3• AIRMIC, ALARM, IRM –

ARMS• UNE 71504

ISACA - Guías relacionadas

– COBIT 4.1 – Process PO9– Assurance Guide– Control Objectives for Basel II– IT Governance Series – IT Risk Management


– IT Governance Series – IT Risk Management– Security Baseline– Control Objectives for Sarbanes Oxley

Principios de la gestión de riesgos

ISO/DIS 31000. La gestión de riesgos:a) crea valorb) es una parte integral de los procesos de la organizaciónc) forma parte de la toma de decisionesd) explícitamente atiende la incertidumbre


e) es sistemática, estructurada y oportunaf) está basada en la mejor información disponibleg) está adaptada a la organizaciónh) toma en cuenta factores humanos y culturalesi) es transparente e inclusivaj) es dinámica, iterativa y responde al cambiok) facilita la mejora continua


BS 31100. La gestión de riesgos:i) debe ser adaptada a la organizaciónii) debe tomar en cuenta la cultura organizacional, factores humanos

y comportamientoiii) debe ser sistemática y estructuradaiv) debe operar en un lenguaje común


iv) debe operar en un lenguaje comúnv) debe basarse en la mejor información disponiblevi) debe atender explícitamente la incertidumbrevii) debe ser parte de la toma de decisionesviii) debe proteger todo lo que sea valiosoix) debe ser transparente e inclusivax) debe ser dinámica, iterativa y responder a cambiosxi) debe considerar la revisión en la aplicación de los principios


Risk IT. La gestión de riesgos de TI:

• siempre está conectada a los objetivos del negocio• alinea la gestión de riesgos del negocio relacionados con TI con la

gestión de riesgos de toda la organización


• balancea los costos y beneficios de gestionar riesgos• promueve una comunicación de riesgos de TI justa y abierta• establece el tono adecuado desde arriba, mientras define y refuerza

la responsabilidad personal para operar con niveles de toleranciaaceptables y bien definidos

• es un proceso continuo y forma parte de las actividades diarias

ISO DIS / 31000

• Propósito:

• Proveer los principios y guías generales para laimplementación de la gestión de riesgos.


implementación de la gestión de riesgos.

• No es utilizado con propósitos de certificación.

ISO DIS / 31000

• Es genérico y no es específico de alguna industria o sector.

• Aún cuando el estándar provee guías generales no es su intenciónimponer uniformidad en las organizaciones, respecto a la gestión deriesgos.


• El diseño e implementación de la gestión de riesgos depende de lasnecesidades específicas de la organización, objetivos particulares,contexto, estructura, productos, servicios, proyectos, procesosoperativos y prácticas específicas empleadas.

ISO DIS / 31000

• Éste estándar intenta armonizar los procesos de gestión de riesgosen estándares existentes y futuros.

• Provee un enfoque común soportando estándares orientados ariesgos o sectores específicos.


• El ISO 31000 no pretende reemplazar los estándares ya existentes.

ISO DIS / 31000

• Componentes Compromiso de la gerencia

Diseño del marco de referencia


referencia

Implementar la gestión de riesgos

Monitorear y revisar

Mejora continua

ISO DIS / 31000

• ComponentesCompromiso de la

gerencia

Diseño del marco de referencia

- Entender a la organización y su contexto- Política de gestión de riesgos- Integración dentro de los procesos de la organización- Responsabilidad


- Responsabilidad- Recursos- Establecer mecanismos de comunicación y reporte interno- Establecer mecanismos de comunicación y reporte externo

Implementar la gestión de riesgos

- Implementar el marco de referencia- Implementar el proceso de gestión de riesgos


Mejora continua

ISO DIS / 31000

Establecer el contexto

Identificación riesgos

Com

unicación y consulta

Monitoreo y revisión

Inicio• Proceso


Análisis de riesgos

Evaluación de riesgos

Tratamiento de riesgos

Com

unicación y consulta

Monitoreo y revisión

BS 31100

• Publicado en Octubre 2008.

• Propósito:

• Provee las bases para el entendimiento, desarrollo,


• Provee las bases para el entendimiento, desarrollo,implementación y mantenimiento de la gestión deriesgos.

BS 31100

• Ha sido preparado para ser consistente con el ISO31000 y también considera los siguientes documentos:

– HM Treasury’s Orange Book– OGC - M_o_R: Guidance for Practitioners


– OGC - M_o_R: Guidance for Practitioners– COSO – Enterprise Risk Management – Integrated Framework– IRM/AIRMIC/ALARM - Risk Management Standard

BS 31100

• ComponentesMandato y

compromiso

Diseño del marco de Mantenimiento


marco de referencia

Implementar la gestión de

riesgos


Mantenimiento y mejora

BS 31100

• Proceso


ISO 27005

• Publicado en Junio 2008.

• Propósito:

• Provee guías para la gestión de riesgos de seguridad de la


información.

• Soporta los principales conceptos especificados en ISO/IEC 27001y ha sido diseñado para asistir en la implementación satisfactoria deseguridad de la información basada en un enfoque de gestión deriesgos.

ISO 27005

• Para un entendimiento completo de éste estándar, serequiere el conocimiento de los conceptos, modelos,procesos y terminologías descritas en ISO/IEC 27001.

• Aplica a todo tipo de organización que intente gestionar


• Aplica a todo tipo de organización que intente gestionarriesgos que pudieran comprometer la seguridad de lainformación de la organización.

ISO 27005

ISO

• Integración de ISO 27005 con otros estándares


ISO 27005

ISO 27001

Otros estándares y prácticas de gestión de

riesgos

ISO

310

00

ISO 27005

• Proceso

Est

able

cer e

l con

text

o

Iden

tific

ació

n rie

sgos

Est

imac

ión

de r

iesg

os

Eva

luac

ión

de r

iesg

os

Trat

amie

nto

de r

iesg

os

Ace

ptac

ión

de r

iesg

os

Activos AmenazasVulnerabilidades Controles

Consecuencias

Red

ucir


Est

able

cer e

l con

text

o

Iden

tific

ació

n rie

sgos

Est

imac

ión

de r

iesg

os

Eva

luac

ión

de r

iesg

os

Trat

amie

nto

de r

iesg

os

Ace

ptac

ión

de r

iesg

os

Comunicación de riesgos

Monitoreo y revisión de riesgos

Inicio

Ret

ener

Evi

tar

Tra

nsf.

The Risk IT Framework

• Desarrollado por el IT Governance Institute


• Iniciativa de Risk IT

• Complementa a COBIT y Val IT


• Propósito:

• El marco de referencia de “Risk IT” explica el riesgo deTI y permitirá a los usuarios:– Integrar la gestión de riesgos de TI con la gestión de riesgos


– Integrar la gestión de riesgos de TI con la gestión de riesgosempresarial.

– Tomar decisiones bien informadas respecto a la extensión delriesgo, el apetito de riesgo y la tolerancia al riesgo de laorganización.

– Entender como responder al riesgo


• Definición de riesgo de TI:

• El riesgo de TI es riesgo del negocio – específicamente,el riesgo del negocio asociado con el uso, propiedad,operación, involucramiento, influencia y adopción de TI


operación, involucramiento, influencia y adopción de TIen la organización. Consiste de eventos relacionadoscon TI que potencialmente podrían impactar al negocio.Incluye frecuencia y magnitud, y crea retos para elcumplimiento de metas y objetivos estratégicos, asícomo incertidumbre en la búsqueda de oportunidades.


• El riesgo de TI puede categorizarse en:

• Riesgo en la entrega de servicios de TI, asociado con eldesempeño y disponibilidad de servicios de TI, y que puedeprovocar la destrucción o reducción del valor para la organización.


• Riesgo en la entrega de soluciones de TI / realización de beneficios,asociado con la contribución de TI a soluciones del negocio nuevaso mejoradas usualmente en la forma de proyectos y programas.

• Riesgo de realización de beneficios de TI, asociado con la perdidade oportunidades para usar la tecnología en la mejora de laeficiencia o efectividad de los procesos del negocio.


Habilitar beneficios / valor de TI

Entrega de programas y

Valor del negocioValor del negocio

No GanarNo Ganar GanarGanar


Entrega de programas y proyectos de TI

Entrega de operaciones y servicios de TI

Valor del negocioValor del negocio

PerderPerder PreservarPreservar


• Componentes



• Escenarios / Componentes



• Impacto al negocio

“4A” (Westerman / Hunter)


Agility - AgilidadAccuracy - Precisión

Access - AccesoAvailability - Disponibilidad



COBIT – Criterios de información

EfectividadEficiencia


EficienciaConfiabilidad

IntegridadConfidencialidad

DisponibilidadCumplimiento



BSC (COBIT – Objetivos del negocio)


Perspectiva FinancieraPerspectiva del Cliente

Perspectiva InternaPerspectiva de Aprendizaje y Crecimiento



BSC (Criterios de impacto extendidos)

Valor de accionesCuota de mercado


Cuota de mercadoIngresos / Ganancias

Costo de capitalSatisfacción del cliente

Impacto regulatorioRecursos

Ventaja competitivaReputación


COBIT + Val IT + Risk IT


Ejemplos


Ejemplos

Ejemplo 1 - Identificación

IDENTIFICADOR RIESGO

1 Uso no autorizado de equipos

2 Falla en equipos de telecomunicación

3 Fallas de energía eléctrica


4 Saturación de Sistemas de Información

5 Infección por virus informático

… …

N Riesgo N

Ejemplo 1 - Identificación1. Fuego2. Daño por agua3. Contaminación4. Accidentes graves5. Destrucción de equipo o medios6. Terremoto /sismo /temblor7. Deslave8. Derrame químico9. Explosión10. Incendio11.Epidemia12.Lluvias intensas

26.Robo de equipo27.Recuperación de medios reciclados28.Divulgación de información29.Recepción de datos de fuentes no

confiables30.Manipulación no autorizada de

información31.Detección de ubicación física32.Falla de equipos33.Malfuncionamiento de equipos34.Saturación de sistemas de

información

49.Amenaza de bomba50.Bloqueo de instalaciones por

manifestaciones públicas51.Huelga52. Impacto de aeronave53.Acciones de empleados

descontentos contra la organización54. Infecciones por virus informático y

código malicioso55.Sabotaje56.Hackers y otros agresores externos57.Desconocimiento del usuario


12.Lluvias intensas13.Tormenta de Granizo14.Ciclón tropical15. Inundación16.Tormenta eléctrica17.Fallas en aire acondicionado18.Fallas en provisión de agua19.Fallas en equipos de

telecomunicación20.Fallas de energía eléctrica21. Intercepción de información22.Espionaje remoto23.Espionaje24.Robo de documentos25.Robo de medios de información

información35.Malfuncionamiento de software36.Uso no autorizado de equipo37.Copia fraudulenta de software38.Uso de software fraudulento39.Corrupción de datos40.Procesamiento ilegal de datos41.Errores humanos42.Abuso de privilegios43.Denegación de acciones44.Repudio de transacciones45. Indisponibilidad del personal46.Secuestro de funcionarios47.Chantaje48.Terrorismo

57.Desconocimiento del usuario58.Agresores internos59.Phishing / Engaños intencionales60.Spyware / Adware61. Insuficiencia de infraestructura de

seguridad62.Software Deficiente63.Negligencia del usuario64.Spam65.Hardware Deficiente66. Interrupción del negocio de

proveedores67.Cambios significativos en el entorno

económico

Ejemplo 1 - Análisis

Posibilidad de Ocurrencia Valor

Casi cierto 5

Muy posible 4

Posible 3

Raro 2

Casi imposible 1


Casi imposible 1

Impacto Valor

Catastrófico 5

Mayor 4

Medio 3

Menor 2

Insignificante 1


ID Evento de amenaza (riesgo)

PO

SIB

ILID

AD

Ca

si i

mp

osi

ble

Ra

ro

Po

sib

le

Mu

y p

osi

ble

Ca

si c

iert

o

IMP

AC

TO

Insi

gn

ific

an

te

Me

no

r

Me

dio

Ma

yo

r

Ca

tast

rófi

co

1 2 3 4 5 1 2 3 4 5

1 Uso no autorizado de equipos � �


1 Uso no autorizado de equipos � �

2 Falla en equipos de telecomunicación � �

3 Fallas de energía eléctrica � �

4 Saturación de sistemas de información � �

5 Infección por virus informático � �

… …

N Riesgo N � �

Ejemplo 1 - Evaluación

ID RIESGO P I R (P x I)

1 Uso no autorizado de equipos 2 3 6

2 Falla en equipos de telecomunicación 4 4 16

3 Fallas de energía eléctrica 4 3 12

4 Saturación de Sistemas de Información 3 2 6


4 Saturación de Sistemas de Información 3 2 6

5 Infección por virus informático 4 3 12

… … … … …

N Riesgo N 1 1 1


ID RIESGO P I R (P x I) Prioridad

1 Uso no autorizado de equipos 2 3 6 3

2 Falla en equipos de telecomunicación 4 4 16 1

3 Fallas de energía eléctrica 4 3 12 2

4 Saturación de Sistemas de Información 3 2 6 3


4 Saturación de Sistemas de Información 3 2 6 3

5 Infección por virus informático 4 3 12 2

… … … … … …

N Riesgo N 1 1 1 N

Control de operaciones

IMP

AC

TO

Cat

astr

ófic

o5 6 7 8 9

May

or

4 5 6 7 8

Med

io

3 4 5 6 7

EMPRESA ABC

1

2

35


IMP

AC

TO

Men

or

2 3 4 5 6

Insi

gnifi

cant

e

1 2 3 4 5

Casi Imposible Raro Posible Muy Posible Casi Cierto

POSIBILIDAD

4

N


Impactos

RIESGO


Activo

Eventos

AmenazasVulnerabilidades


ACTIVOACTIVOACTIVOACTIVO




VULNERABILIDADESVULNERABILIDADESVULNERABILIDADESVULNERABILIDADES



AMENAZASAMENAZASAMENAZASAMENAZAS

AGENTEAGENTEAGENTEAGENTE



EVENTOEVENTOEVENTOEVENTO

AMENAZASAMENAZASAMENAZASAMENAZAS



IMPACTOIMPACTOIMPACTOIMPACTO


�� Personas

SistemasAplicaciones

Mobiliario

Ejemplos de activos:


Equipos de cómputo

DocumentosRegistrosManualesDirectorios

TeléfonoFax

Instalaciones

Servicios

Otros


Sistemas / Aplicaciones

Procesos

Gente / Entidades

Tec

nolo

gía

de In

form

ació

n


Física / Instalaciones

Red / Comunicaciones

Plataformas / S.O.

Información / Datos / Documentos

Tec

nolo

gía

de In

form

ació

n


• Identificar vulnerabilidades

– Inherentes al activo.– Relacionadas con la falta, insuficiencia,


– Relacionadas con la falta, insuficiencia, inefectividad o fallas de los controles sobre el activo.


V=Se encuentra en un área que se puede inundar.

V=Inflamable.

V=No se encuentran concentradas


V=No se encuentran concentradas en un mismo lugar.

V=Almacenamiento desprotegido.

V=Consumible.

V=Puede sufrir daños físicos.

A=Facturas


• Identificar amenazas:

– Naturales.– No intencionales.


– No intencionales.– Intencionales físicas.– Intencionales no físicas.


• Ejemplos de amenazas:

– Naturales: Terremotos, lluvia, inundaciones, incendios, ciclones, tsunamis, deslaves, nevadas, temperaturas extremas, polvo, erupción volcánica, granizo, tornado, lluvia acida, plagas, etc.


– No intencionales: Incendios, fugas, derrames, explosiones, apagones, falla de equipos, ruido, etc.

– Intencionales físicas: Explosiones, incendios, robo, manifestaciones, plantones, terrorismo, etc.

– Intencionales no físicas: Infección por virus, SPAM, hackeo, robo de información, espionaje industrial, ingeniería social, fraude, etc.

Ejemplo 2 - Identificación• El CENAPRED* (México) clasifica las amenazas naturales en las

siguientes categorías:

• Hidrometeorológicas– Precipitación pluvial– Tormenta de granizo– Tormenta de nieve– Heladas– Ciclón tropical

• Geológicas– Terremoto / sismo / temblor– Maremoto / tsunami– Volcán– Deslave


– Ciclón tropical– Escurrimiento– Inundación– Sequía– Erosión– Viento– Marea de tormenta– Temperatura extrema– Humedad extrema– Huracán / Tifón– Tormenta eléctrica– Tormenta de arena– Tornado– Lluvia acida

• Químicas– Derrame– Fuga– Explosión– Fuego / Incendio

• Sanitarias– Contaminación– Desertificación– Epidemias

• Otras– Partículas de polvo

* CENAPRED = Centro Nacional de Prevención de Desastres. www.cenapred.gob.mx


V=Se encuentra en un área que se puede inundar.

E=Inundación A=Agua

V=Inflamable. E=Incendio A=Fuego

V=No se encuentran concentradas en un mismo lugar.

E=Pérdida A=Empleado


en un mismo lugar.E=Pérdida

V=Almacenamiento desprotegido. E=RoboA=Empleado

A=Visitantes

V=Consumible. E=Uso A=Personal

V=Puede sufrir daños físicos. E=DañoA=Personal

A=Impresora

A=Facturas


• Valor de activo• Vulnerabilidad

• Severidad• Exposición

• Amenaza (Agente y Evento)


• Motivación• Capacidad

• Impacto• Posibilidad de Ocurrencia

Ejemplo 2 – Análisis (Vulnerabilidades)Valor Severidad Exposición

1

Severidad Menor: Se requiere una cantidad significativa de recursos para explotar la vulnerabilidad y tiene poco potencial de pérdida o daño en el activo.

Exposición Menor: Los efectos de la vulnerabilidadson mínimos. No incrementa la probabilidad de que vulnerabilidades adicionales sean explotadas.

2

Severidad Moderada: Se requiere una cantidad significativa de recursos para explotar la vulnerabilidad y tiene un potencial significativo de pérdida o daño en el activo; o se requieren pocos recursos para explotar la vulnerabilidad y tiene un

Exposición Moderada: La vulnerabilidad puede afectar a más de un elemento o componente del sistema. La explotación de la vulnerabilidad aumenta la probabilidad de explotar vulnerabilidades adicionales.


SeveridadExposición

1 2 3

1 1 2 3

2 2 3 4

3 3 4 5

recursos para explotar la vulnerabilidad y tiene un potencial moderado de pérdida o daño en el activo.

adicionales.

3

Severidad Alta: Se requieren pocos recursos para explotar la vulnerabilidad y tiene un potencial significativo de pérdida o daño en el activo.

Exposición Alta: La vulnerabilidad afecta a la mayoría de los componentes del sistema. La explotación de la vulnerabilidad aumenta significativamente la probabilidad de explotar vulnerabilidades adicionales.

Ejemplo 2 – Análisis (Amenazas)Valor Capacidad Motivación

1

Poca o nula capacidad de realizar el ataque.

Poca o nula motivación. No se estáinclinado a actuar.

2

Capacidad moderada. Se tiene el conocimiento y habilidades para realizar el ataque, pero pocos recursos. O, tiene suficientes recursos, pero conocimiento y

Nivel moderado de motivación. Se actuará si se le pide o provoca.


CapacidadMotivación

1 2 3

1 1 2 3

2 2 3 4

3 3 4 5

suficientes recursos, pero conocimiento y habilidades limitadas

3

Altamente capaz. Se tienen los conocimientos, habilidades y recursos necesarios para realizar un ataque

Altamente motivado. Casi seguro que intentará el ataque.

Ejemplo 2 – Análisis (Impacto)Valor Descripción

1 La brecha puede resultar en poca o nula pérdida o daño.

2 La brecha puede resultar en una pérdida o daño menor.

3La brecha puede resultar en una pérdida o daño serio, y los procesos del negocio pueden verse afectados negativamente.

4La brecha puede resultar en una pérdida o daño serio, y los procesos del negocio pueden fallar o interrumpirse.


negocio pueden fallar o interrumpirse.

5 La brecha puede resultar en altas pérdidas.

Rango (suma de valores por pérdida de confidencialidad, integridad y disponibilidad)

Valor Impacto

3-5 Bajo (1)

6-10 Medio (2)

11-15 Alto (3)

Confidencialidad

Integridad

Disponibilidad


Proceso ActivoProceso 01 SISTEMA XProceso 28 REDFacturación FACTURAS


Confidencialidad Integridad Disponibilidad Total1 Valor1 Valor25 3 3 11 Alto 34 3 4 11 Alto 34 5 4 13 Alto 3

Sensibilidad de los activos

…




…

Vulnerabilidades Severidad Exposición Valor3V1-EXPOSICIÓN A VIRUS Y CÓDIGO MALICIOSO 3 3 5V57-SUSCEPTIBILIDAD A FALLAS 2 3 4V10 - ALMACENAMIENTO DESPROTEGIDO 2 3 4

Análisis de vulnerabilidades



…


…

Agentes de amenaza Eventos de amenaza Capacidad Motivación Valor4A1-VIRUS INFORMÁTICO E1-INFECCIÓN POR VIRUS INFORMÁTICO 3 3 5A53-DISPERSORES DE AGUA E34-FALLA EN COMPONENTE DE TECNOLOGÍA 2 1 2A3-VISITANTES E14 - ROBO 3 2 4

Análisis de amenazas




…

Posibilidad

3

1

3


Amenaza Vulnerabilidad Probabilidad Impacto Riesgo Total5 5 3 11 8252 4 1 11 88

Riesgo = Amenaza x Vulnerabilidad x Probabilidad x ImpactoPosibilidad

Posibilidad


2 4 1 11 884 4 3 13 624


UMBRALES DE RIESGO

LIMITE INFERIOR LÍMITE SUPERIOR

ALTO 751 1125


MEDIO 376 750

BAJO 1 375

Opciones de tratamiento

Fuente Opciones de tratamiento de riesgos de TI

Risk IT EvitarTransferir

CompartirMitigar Aceptar ---

ISO 27005 Evitar Transferir Reducir Retener ---


BS 31100 Evitar Transferir Modificar Retener Buscar

ISO 31000

Evitar

Remover la fuente del

riesgo

Compartir

Cambiar la naturaleza y magnitud de posibilidad

Cambiar las consecuencias

Retener por decisión

Buscar una oportunidad

Preguntas?


2008 Santiago Chile

Gracias

Mario Ureña CuateCISA, CISM, CGEIT, CISSP


CISA, CISM, CGEIT, CISSPAuditor Líder BS25999, ISO27001

[email protected]

www.isaca.org 8686

Bogotá, ColombiaMarzo, 2010

Te esperamos!

International Conference 2010

Cancún,México

www.isaca.org 8787

México6 al 9 de Junio de 2010

Te esperamos!

Gestión de Riesgos - isaca.org · PDF fileGestión de Riesgos 1 1 Mario...

Documents

Transcript of Gestión de Riesgos - isaca.org · PDF fileGestión de Riesgos 1 1 Mario...