La Gestión de los Riesgos Tecnológicos y los

Desafíos de la Privacidad de la Información.

La Gestión de los Riesgos Tecnológicos y los

Desafíos de la Privacidad de la Información.

Marcelo Hector Gonzalez, CISA, CRISC

La tecnología en la empresa y el hogar

El riesgo de la tecnología y la privacidad

Hablemos - Preguntas

Conocer, accionar, controlar

¿Conocemos el alcance de los que hacemos?

Evolución de la tecnología

1985 1990 1995 2000 20….

COMPUTACION

COMUNICACIONES

CONVERGENCIA

Un mundo pequeño – Todos con todos

Gestión de la privacidad e identidad digital

• Cada vez que publicamos algo en una

red social perdemos el control sobre

ese contenido. !!Aunque lo

borremos!!.

• Perdemos control de los que otros

publican de nosotros.

• Ser conscientes de la “identidad

digital”.

• Que información colectan las redes

sociales de nosotros y comparten con

otros. ¿Sabemos?

• Permisos en las aplicaciones.

• ¿Por que los móviles cada vez mas no

se les puede remover la batería?.

Derecho de Protección de Datos Personales en el Mundo

• Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal:

• Autoridad independiente: Agencia Española de Protección de Datos.

� Tiene leyes de protección de datos personales a nivel federal y

provincial.

� Tiene regulaciones sectoriales “Privacy Act” (safe harbour), pero no

reconoce el derecho como tal, ni cuenta con una autoridad

independiente en la materia.

� Los países latinoamericanos con reconocimiento en sede

constitucional del derecho a la protección de datos personales: Perú,

Venezuela, Argentina, Brasil, Colombia, Ecuador, Guatemala,

Nicaragua y México.

Un mundo pequeño – Todos con todos

• Globalidad y jurisdicción

• Cambio de rol de los usuarios

• Poca madurez digital!

• Aparición de nuevos dispositivos

• Cambio en las prácticas de las organizaciones

• Cambio en las prácticas de los individuos

• Big data

• Internet de las cosas.

• Trazabilidad de movimientos-> Geolocalización

• Nueva tipología de delitos (phising)

El contexto, internet y el desarrollo de las redes sociales están

cambiando la importancia del marco legal en el que se desarrollan las

comunicaciones.

Algunas organizaciones fallarán,

otras sobrevivirán, y otras

evolucionarán.

¿Cómo evoluciona el comportamiento de las

empresas y de sus clientes?

Las tecnologías emergentes cambian todo,como trabajamos, como vivimos, como noscomunicamos

“Internet of Things”

Los consumidores ahora controlan cosas

como cerraduras de las puertas,

termostatos y dispositivos de

acondicionamiento físico a través de los

sensores y las redes que conectan a casi

cualquier cosa a un teléfono inteligente.

¿Se quedarán fuera los bancos?.

Los clientes realizarán sus

transacciones financieras desde

cualquier dispositivo de su hogar.

Es más un segmento de ellos ya

intentan realizarlas.

“Internet of Things”

Amenazas en el Internet of Things

Entorno “algo” controlado

“Organization of Things”

Entorno casi incontrolado

La constante innovación tecnología produce una

constante introducción de nuevos riesgos.

Nos siempre nos adaptamos al ritmo necesario

Siempre con nuevas amenazas

Siempre con nuevas amenazas

Riesgos del Social Networking

Fan, Friend or Foe?

Amenazas de punta

• Virus,

• Worm,

• Trojan Horse,

• Bombas lógicas,

• Ingeniería social,

• Phishing = email falsos,

• Pharming = Web falsas,

• Rootkits,

• Botnets / Zombies, etc., etc., …

Facilitadores

• Internet permite atacar desde cualquier parte del planeta.

• De acuerdo a www.SANS.org, las principales causas de

vulnerabilidades para el fraude informático y cyber crimen,

son:

– Problemas en Web Browser,

– Clientes de IM (Instant Messaging),

– Aplicaciones Web,

– Excesivos derechos de usuarios.

Perspectiva global

Pérdida de Privacidad

Lo peor, ya no sólo le pasa al otro

Más nocivas con mayor facilidad

Sofisticación de herramientas

Packet forging/ spoofing

20001980

Password guessing

Self replicating code

Password cracking

Back doors

Hijacking sessions

Sweepers

Sniffers

Stealth diagnostics

Conocimiento requerido

Alto

Bajo 20..

Exploiting known vulnerabilities

Disabling audits

Pérdida de Privacidad

Aquí hay info financiera

Denegación de Servicio

Les hago perder mucho con esta baja de servicio

Falsa Identidad

Soy el director de finanzas, hágame la

transferencia a la cuenta ahora.

Pérdida de Integridad

BancoCliente

Deposito $100 Deposito $ 1000

Y que nos puede pasar

Lo tradicional ya no sirve

Security Risk Management

• Riesgo = Función (Amenaza, Impacto)

• Gestión del Riesgo:

– Valoración del Riesgo.

• Calculo del riesgo.

– Manejo del riesgo:

• Mitigación, Aceptación, Transferencia, Ignorar.

– Tolerancia al riesgo.

• Implementar y mantener un conjunto de controles:

– Administrativos, técnicos y controles físicos.

26

NEGOCIO¿Cómo utilizar las modernas

tecnologías para obtener beneficios?

TECNOLOGIA¿Cómo establecer y mantener una infraestructura confiable y segura, acorde a estándares y

cumpliendo regulaciones?

¿Cual es el punto justo?

Hay un gran desafío

Y debemos gestionarlo

El gran reto es la complejidad delproblema que se enfrenta.

Hay muchos elementos que considerary si no se es muy riguroso, lasconclusiones serán de poca utilidad.

Conocer el riesgo al que están sometidos losrecursos de TI es imprescindible paragestionarlos y tomar acciones y decisionesacertadas

Análisis de Riesgo de TI

Negocios

Amenazas

Frecuencia

Riesgo

Impacto

Degradación

ValoraciónControles

Riesgo Acumulado

Riesgo Repercutido

Activos

Riesgo Residual

Probabilidad

OtrosRiesgos

• Riesgo de mercado

• Riesgo de crédito

• Riesgo de tasa de interés

• Riesgo de moneda

Riesgos

RiesgosNo de IT

• Procesos de negocio

• Personas y capacidades

• Medio ambiente

• Infraestructura física

Riesgo decumplimiento

Riesgo derecuperación

Riesgo deescalabilidad

Riesgo derendimiento

Riesgo dedisponibilidad

Riesgo deseguridad

• Cyber Crimen

• Fraude interno

• Cyber terrorismo

• Arq. distribuidas

• Picos de demanda

• Diversidad tecnológica

• Regulaciones

• Políticas corporativas

• Leyes

• Política interna

• Cambios de configuración

• Falta de redundancia

• Errores humanos

• Fallas de hardware y/o software

• Amenazas externas

• Desastres naturales

• Crecimiento del negocio

• Cuellos de botella

• Arquitecturas obsoletas

RiesgoOperacional

Riesgosde IT

Evaluar el mapa de riesgos

Gestión de los riesgos

Políticas de

control y

seguridad

Vulnerabilidades

Buena seguridad pues

prevenir algunos

ataques

Una pobre

política de

seguridad puede

permitir ataques

Sin políticas de seguridad podría

ser problemático

Amenazas

no nocivas

AC

TIV

OS

Amenaza + Motivo + Método + Vulnerabilidad = RIESGO

Amenazas

nocivas

Eventos

naturales

Motivos y

objetivos

Métodos y

herramientas

Métodos y

herramientas

Métodos y

herramientas

Elementos del riesgo

Riesgo

Seamos metódicos, y …

… gestionemos los riesgos

exponeincrementa

incrementa

Impacta contra

Cubierto por

indica

Protege contra

aprovecha

mitigaRiesgo

Demos definiciones

exponeincrementa

incrementa

Impacta contra

Cubierto por

indica

Protege contra

aprovecha

mitigaRiesgo

Preliminarmente debe considerarse como parteinicial, entre otros aspectos, la identificación delos activos relevantes y críticos, para los que dematerializarse un evento de riesgo, puedanalterar el normal funcionamiento, como asíatentar contra la integridad, confidencialidad ydisponibilidad de los datos relevantes de laorganización.

Entre los activos a considerar:

� Aplicativos de negocio consideradosrelevantes (Aplicaciones);

� Estructura tecnológica que los soporta(Recursos de TI);

� Información que los mismos administran(Datos),

� Funciones de soporte.

¿Tienen valor las cosas o no?

Para ser más claros en el conceptode activo podemos mencionar que eltérmino proviene de la contabilidad,siendo algo que se posee y que tienevalor y que además puede generarvalor.

Este caso grafico, el computador esun activo, pero también lo es elsoftware que contiene, los datos queen el disco se almacenan, planillas,fotos, videos, y otros mas.

Estos activos enunciados, puedentener un valor de mercado, o un valorpero solo para el propietario.

Security OfficerWindowsOracle

CFO Windows 7End User

Departmentos

de ITFinanzas Registros

Requerimientos

Gestión de

Riesgos

Aspectos

Legales

Servicios

Al Cliente

Ingreso de

datos

Dar relevancia a los activos

Somos todos vulnerables

exponeincrementa

incrementa

Impacta contra

Cubierto por

indica

Protege contra

aprovecha

mitigaRiesgo

Debe analizarse la no existencia devulnerabilidades que expongan a los activosconsiderados como críticos o relevantes.

La mera existencia de una vulnerabilidad,no constituye una debilidad a no ser que lamisma exponga a niveles no aceptados deriesgo a los activos antes mencionados.

La detección de una vulnerabilidad debeacompañar un procesos de análisis delimpacto que puede ocasionar su existencia;si el daño potencia que puede causar, noimpacta en los activos críticos, la misma –inicialmente – no reviste un nivel dedebilidad importante.

Vulne que ???

Vulnerabilidad

Vulnerabilidad

Vulnerable a las amenazas !!!

exponeincrementa

incrementa

Impacta contra

Cubierto por

indica

Protege contra

aprovecha

mitigaRiesgo

En términos particulares, una amenaza estodo aquello que tenga una posibilidad oprobabilidad de ocurrir, como causante dedaño. Y el riesgo es el producto de laocurrencia de la amenaza y suconsecuencia. Sin la ocurrencia deamenazas el riesgo sería cero.

Desde un punto de vista probabilísticofrecuencial, una amenaza no puede serconsiderada un riesgo sin al menos unincidente específico donde la amenaza sehaya concretado.

No pasa nada … ¿o si?

Vulnerabilidad

Vulnerabilidad

Amenazas

Riesgo, riesgo …

exponeincrementa

incrementa

Impacta contra

Cubierto por

indica

Protege contra

aprovecha

mitigaRiesgo

Infraestructura

Seguridad TI/SI

Gestión/Control

Auditoría

Integridad

Continuidad

Proveedores

Riesgo es el dañopotencial que puede surgirpor un suceso presente osuceso futuro. Diariamenteen ocasiones se lo utilizacomo sinónimo deprobabilidad, pero el riesgocombina la probabilidad deque ocurra un eventonegativo con cuanto dañodicho evento causaría(impacto). Es decir, enpalabras claras, el riesgoes la posibilidad de que unpeligro pueda llegar amaterializarse.

Vulnerabilidad

Vulnerabilidad

Qué me va a pasar, si nunca paso nada

Amenazas

Medición de impacto

Medir el impacto de un riesgo.

Insignificante Bajo Serio Muy Serio Grave

IMPACTO

Mapeo de los riesgos

Posibilita que los riesgos sean ordenados para identificar las prioridades de acción

Matrices

Matriz de riesgo

Probabilidad

Alto

Medio

Bajo

Imp

acto

Remoto Posible Probable

Matriz de impacto /probabilidad

Nos centramos en los riesgos que tienen una alta probabilidad de ocurrencia y de alto impacto

Prestamos atención

sobre el diagonal.

Nuestra estrategia de

gestión de riesgos

conduce por debajo

de la diagonal.

• Control• ControlRiesgo

• Falta de criterios de control de acceso• Falta de criterios de control de accesoMuy Alto

• Pobre campaña de concienciación de seguridad

• Pobre campaña de concienciación de seguridadAlto

• Falta de dos factores para acceso al data center.

• Falta de dos factores para acceso al data center.Médio

• Longitud mínima de clave de 6 caracteres• Longitud mínima de clave de 6 caracteresBajo

• Ingresos BYOD• Ingresos BYODMuy Bajo

Apetito de riesgo

CONTROL

Mit

iga

rA

cep

tar

Priorizar esfuerzos de remediación

Metodologías aplicadas para medir

riesgos

Determinación exposición al riesgo

Gestión y categorización

de riesgos

Metodología cuantitativa

Metodología cualitativa

Integración de metodologías

Métodos de evaluación cualitativos

� Métodos de evaluación semi-cuantitativos.

� Diagramas de procesos.� Cuestionarios de Auto-

Evaluación.� VaR cualitativo.

� Indicadores (KRI, KPI, KGI).

Métodos de evaluación cuantitativos

� Básicos estándar, avanzado,otros.

� Identificación y recogida deeventos.

� Identificación / conciliacióncontable.

� VaR cuantitativo.

Dos métodos para gestionar el riesgo

• Los métodos cualitativos facilitan el anticiparse, es decir son un medio

de análisis del tipo Ex – Ante.

• Permiten gestionar el RO identificando factores de riesgo (sin que necesariamente se hayan producido eventos).

• Ejemplo: identificación del riesgo mediante cuestionarios (por ej. detectar que no tenemos plan de continuidad para una actividad concreta).

Cualitativos

• Los métodos cuantitativos se basan en la experiencia, en lo real. Son

un medio de medición e inferencia del tipo Ex – Post.

• Permiten gestionar el RO en base a los eventos ocurridos en el pasado.

• Ejemplo: la gestión del fraude en tarjetas de debito/crédito es ex-post.

Cuantitativos

Evaluación cualitativa de riesgos

Fase inicio

Modelos y diagramas

de procesos a alto nivel

Desarrollo de check-

list de auto-

evaluación

Calculo del VaR

cualitativo

Definición de

indicadores

KRIs y KPIs

Fase Sustentació

n

• Acuerdos internos para la aplicación de la metodología escogida

• Venta interna• Comunicación• Entrevistas

preliminares• Talleres de

preparación• Pre modelado

• Identificar y evaluar cuantitativamente los riesgos operacionales (personas, procesos, sistemas y sucesos externos).

• Determinar calidad de controles

• Determinar y acordar responsabilidades

• Determinar reporte de riesgos

• Determinar apetito el riesgo

• Modelos detallados de riesgos y controles según escenarios

• Desarrollo de soportes automatizados con herramientas de SW

• Auto evaluación de la línea

• Estimación cuantitativa de impacto y probabilidad

• Determinación de los valores máximos a riesgo (el peor escenario) e impacto medio

• VaR:Simulación de Montecarlo

• Frecuencia: Distribución de Poisson

• Impacto: Distribución Weibull

• Determinación de KPI, KGI, KRI

• CMM, CMMI, indicadores de gestión de proyectos.

• Paneles de control y Alertas

• Reporte• Monitoreo• Mejora continua de

procesos de evaluación y gestión de riesgos

• Mejora continua gestión flujos de trabajo

Evaluación cuantitativa de riesgos

Mappingriesgos x línea de negocios

Captura de datos y

conciliaciones

Modelamiento

frecuencias e

impactos

Cálculo de

VaRcuantitativ

o

Fase Sustentaci

ón

• Eventos de pérdida para cada riesgo por línea de negocio

• Capturas de datos de eventos de perdida a modelar

• Conciliación de series de datos con la contabilidad

• Posibilidad de incorporar series de datos externos

• Determinación de rangos y umbrales de datos

• Ajuste de la distribución de frecuencias (Poisson, Binomial BinomialNegativa)

• Ajuste de la distribución de severidades (Weibull, Lognormal, Exponencial, etc.)

• Consideración de distintas técnicas de mitigación de riesgos

• Strees testing• Back testing

• Cálculo de VaRCuantitativo (99,9% / 1 año) mediante de distribuciones utilizando simulaciones de tipo Monte Carlo

• Obtención de pérdidas esperadas e inesperadas

• KRIs

• Reporte• Monitoreo• Mejora continua

de procesos de evaluación y gestión de riesgos

• Mejora continua gestión flujos de trabajo

Evaluación cuantitativa de riesgos

El objetivo final de lagestión cuantitativa delriesgo operativo es laposibilidad de calcular elValor Económico enRiesgo a causa de loseventos de pérdida yconstituir reservas decapital para ello.

Media A Media B B Percentil 99o. A Percentil 99o.

Distrib de pérdidas de A

Distrib de pérdidas de B

Pérdida anual agregada($)

VaR A

VaR B

OpVaR_99.9ULEL

Planificación de la Gestión de Riesgos

Análisis Cualitativo

Análisis Cuantitativo

Planificación de Respuesta a los Riesgos

Seguimiento y control

Identificación de Riesgos

Gestionar el riesgo

Nos ponemos a controlar

exponeincrementa

incrementa

Impacta contra

Cubierto por

indica

Protege contra

aprovecha

mitigaRiesgo

Los controles deben limitar o mitigar losefectos que puedan materializarse a causade una vulnerabilidad existente.

Cuando se detecte una vulnerabilidad, queprimariamente se considera una debilidad,debe analizarse la existencia de controlesprogramados y documentados, que logrenmitigar a niveles aceptables el riesgopotencial.

Los controles, pueden ser de varias clasescomo se grafican en el próximo slide, yellos deben estar formalmentedocumentados y fácilmente evidenciables.

Mejor prever que curar

Vulnerabilidad

Vulnerabilidad

Amenazas

Comportamiento de los controles

Amenaza

Riesgo

ControlCorrectivo

Impacto

ControlDisuasivo

ControlPreventivo

VulnerabilidadControl

Detectivo

Reduce

probabilidad de

Crea

Explota

Disminuyen

Genera

Protege

Reduce

Alimenta

Descubre

Mejor nos ponemos a controlar

exponeincrementa

incrementa

Impacta contra

Cubierto por

indica

Protege contra

aprovecha

mitigaRiesgo

Los requerimientos de seguridad sonaquellas definiciones o políticas de altonivel, que apuntan a contar con controlesde distintas categorías, a efectos dedetectar, reducir y mitigar la ocurrenciamaterial de un evento de riesgo.

Los requerimientos de seguridad y control,deben haber surgido de análisis previos devulnerabilidades y eventos que potencien elriesgo, de lo contrario pueden ser muygenerales, “sub” o “sobre” dimensionados.

Acción de Contingencia

Acción deMitigación

Riesgo

Evento o condición incierta

Acciones se realizan una vez que el riesgo se materializó

Acciones que se planifican para abordar el riesgo

Si algo puede salir mal…saldrá mal

Ver Apuntar Decidir

Evitar Transferir

Mitigar

Aceptar

Perspectiva inicial

Verificación, Evaluación,

Seguimiento a la efectividad

de los Controles

Cumplimiento de las Políticas y controles de Seguridad de la

Información

Entrenamiento y

fortalecimiento del

conocimiento en Seguridad

de Información

Implementación de Controles de Seguridad

de Información

Análisis de Riesgos y Plan de

Tratamiento de Riesgos

Identificación y clasificación de Activos de Información

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Que hacer ¡¡¡

Sin cultura, el resto no importa

61

Y por último, frase para pensar

MOMENTO DE PREGUNTAS

MUCHAS GRACIAS