La Gestión de Riesgos y Controles en Sistemas de Información (1)

Marlene Lucila Guerrero Julio, MSc

Profesor Asociado Universidad Pontificia Bolivariana

Luis Carlos Gómez Flórez, MSc

Profesor Titular Universidad Industrial de Santander

La Gestión de Riesgos y Controles en Sistemas de Información - GRCSI

Agenda

Acercamiento a la Situación de Interés

La Seguridad de la Información en el Marco de la GRCSI

Resultados de la Concepción del Modelo

Conclusiones

Referencias

1

2

3

4

5

Acercamiento a la Situación de Interés

Sistematización y Organización de la

Información

Laudon (2010) Pressman (2008) Sommerville (2007) Bennet (2008)

Apoyo

Aumento en la competitividad

Propician

Rapidez en la toma de decisiones acertadas

23% de los desarrollos de software fallan,

49% es cuestionado y 28% es satisfactorio

(Piattini, 2007) «La crisis en la Ingeniería del

software»

Sistemas de Información

•Incrementar el enfoque de protección de datos.

•Priorizar las investigaciones de seguridad basadas en riesgo.

•Fortalecer los programas de gestión de riesgos y controles de la compañía.

•Reducir, mitigar o transferir los principales riesgos.

•Reenfocar el núcleo de las estrategias existentes.

•Acelerar la adopción de tecnologías de automatización relacionadas con la seguridad para incrementar la eficiencia u reducir costos.

•Adoptar un reconocido marco de trabajo de seguridad como un medio para la preparación de próximos requerimientos regulatorios.

¿Qué esperan los Ejecutivos de la Seguridad de la Información”

• Cumplimiento regulatorio.

• Gestión de accesos e identidades.

• Protección de información y prevención de fugas.

• Mejoras en las infraestructuras de seguridad.

• Gobierno de la seguridad.

Informe Anual de Seguridad de la Información en las Instituciones Financieras

• Incrementar la Comunicación y Visibilidad de los Riesgos

• Definir Políticas y Procedimientos de Riesgos.

• Subcontratar la Gestión de Riesgos.

• Implementar la Tecnología Relevante parta el Gobierno de las Metas de los Procesos.

Managing Risk in the Current Climate

La Seguridad de la Información en el Marco de la GRCSI

Brenner (2009)

Deloitte (2009) Ernst & Young (2009)


Convenciones

1. Nivel de Riesgo Acceso. 2. Nivel de Riesgo de Ingreso de Información 3. Nivel de Riesgo Ítems

Rechazados o en Suspenso. 4. Nivel de Riesgo Procesamiento. 5. Nivel de Riesgo Estructura

Organizativa. 6. Nivel de Riesgo Cambio a los Programas

Guerrero y Gómez (2011)


Estándar

Actividad

ISO

27

00

5

OC

TA

VE

ISM

3

AS

/NZ

S

SP

80

0-3

0

SO

MA

P

MA

GU

ER

IT

ME

HA

RI

SP

80

0-3

9

A1. Establecer el contexto. Medir y caracterizar el estado actual

de la seguridad de los sistemas y la organización. Evaluar la

Exposición Inherente.

X X X X X X

A2. Identificar y valorar los activos críticos. X X

A3. Identificar las amenazas y las vulnerabilidades de la

organización.

X X X X

A4. Identificar los componentes claves y las vulnerabilidades

técnicas que ocasionan los riesgos.

X X X

A5. Evaluar el riesgo. Identificar el riesgo. Estimar el riesgo.

Valorar el riesgo

X X X X X X X

A6. Determinar y evaluar el Impacto. X X

A7. Evaluar la Gravedad del Escenario X

A8. Tratar el riesgo. Identificar las exigencias de seguridad y las

normas existentes. Desarrollar estrategias de protección basadas

en buenas prácticas. Implementar Protecciones.

X X X X X X X X

A9. Aceptar el riesgo. Dar prioridad a la inversión de los

procesos de seguridad.

X X X X

A10. Comunicar el riesgo. X X

A11. Realizar seguimiento al riesgo. Establecer un plan de

reducción de los riesgos. Monitorear y Revisar.

X X X X X X X X X

A12. Documentar Resultados X X

Co

nv

en

cio

ne

s:

X –

Activid

ad

inclu

ida

en

el e

stá

nd

ar

Gu

erre

ro y

Gó

mez

(20

11)


A6. Documentar los

resultados y revisar casos

A7. Monitoreo

y Control

A1. Establecer el

contexto

organizacional

A2. Identificar los

activos críticos

A3. Identificar y evaluar

las amenazas y

vulnerabilidades de los

activos

A4.Diseñar escenarios de

riesgo vs impacto

organizacional

A5. Diseñar estrategias de

tratamiento y protección

Guerrero (2010)

Actividad A1. Establecer el Contexto Organizacional

Clarificar la Estrategia de

la Organización en

términos de los SI

• Entrevistar a los Jefes del Dpto. de Sistemas o

Administradores de TI.

• Revisar la documentación sobre las políticas

organizacionales de adquisición, implementación y uso de

los SI.

Especificar los SI que

apoyan los procesos de

negocio

Método

Especificar los roles de los

actores y sus

responsabilidades en los

riesgos asociados a los SI

• Determinar la dependencia de los procesos de negocio

respecto de los SI.

•Determinar los niveles de servicio de los SI.

• Revisar la documentación de los SI - diagramas de

casos de uso y especificaciones de los requisitos

funcionales del SI.

• Entrevistar a los actores de los SI sobre la conducta

ante riesgos.


Guerrero (2010)

Actividad A2. Identificar los Activos Críticos

Catalogar los activos

relacionados con los SI • Implantar un software de catalogación de activos o diccionario

de activos

Determinar la Información

Sensible y Crítica

Dimensionar los activos en

cuanto a los niveles de riesgos

y su relación con la

disponibilidad, autenticidad,

integridad y confidencialidad

Método

• Revisar las Bases de Datos y los Informes de los SI para

Detectar la Información Vulnerable

• Utilizar el esquema comparativo provisto por el modelos de

GRCSI


Guerrero (2010)

Actividad A3. Identificar y Evaluar las Amenazas y Vulnerabilidades de los Activos Críticos

Esquema de relación entre las amenazas y vulnerabilidades y como

estos están relacionados con los activos de los SI.


Guerrero (2010)

Actividad A4. Diseñar Escenarios de Riesgos con Respecto a su Impacto Organizacional

Crear una base especifica de

escenarios de riesgo.

• Utilizar la BD de escenarios genéricos propuesta por

MEHARI

• Identificar las causas y consecuencias de los escenarios de

riesgo específicos.

Derivar el impacto que los

escenarios de riesgo tienen

sobre la organización.

Método

• Relacionar por cada escenario de riesgo específico los activos

impactados en la organización


Guerrero (2010)

Actividad A5. Diseñar Estrategias de Tratamiento y Protección

Identificar las estrategias de mitigación candidatas.

• Asociar los escenarios con los niveles de riesgo

• Identificar los controles pertinentes de acuerdo con el nivel de

riesgo.

Seleccionar la alternativa más adecuada en términos de costo y recursos disponibles.

Elaborar e Implementar un plan para el tratamiento del

riesgo

Método

• Elaborar una matriz de relación control – costo – recursos

• Priorizar los riesgos

• Especificar el (los) responsables del tratamiento del riesgo

•Generar un calendario de implementación

• Evaluar los riesgos luego del tratamiento

• Evidenciar el seguimiento del riesgo


Guerrero (2010)

Actividad A6. Documentar los Resultados y Revisar Casos

Caso Presentado Frecuencia

de

Ocurrencia

Mecanismo (s)

de Mitigación

Resultados


Guerrero (2010)

Conclusiones

• La Gestión de riesgos y Controles en Sistemas de Información no debe verse divorciada de la calidad del software.

• El modelo brinda a las organizaciones una serie de actividades definidas y organizadas metodológicamente.

• La integración de las actividades relacionadas por los estándares, permitirán concretar futuras investigaciones.

• Para cada una de las actividades se propuso un conjunto de métodos, los cuales apoyan a los distintos involucrados en el “hacer” que conlleva la GRCSI.

Conclusiones

• El modelo centra la GRCSI en la concepción de niveles de riesgo.

• El modelo propuesto contribuye a la definición de medidas de mitigación asociadas a cada uno de los niveles de riesgo.

• El modelo diseñado no tiene la pretensión de convertirse en un patrón para todas las organizaciones

Referencias 1. M. Bennett y F. Bennett. “Object Oriented Systems Analysis and Design Using UML”,

McGraw Hill, 2005.

2. K.C. Laudon y J.P. Laudon. “Sistemas de Información Gerencial”, Prentice Hall, 2010.

3. R. Pressman. “Ingeniería del Software – Un enfoque práctico”. McGrawHill, 2008.

4. I. Sommerville. “Ingeniería del Software”. Prentice Hall, 2007.

5. M. Piattini. “Calidad de Sistemas de Información”, Alfa y Omega, 2007.

6. B. Brenner. “The Global State of Information Security”, www.pwc.com/gx/en/information-security-survey, 2009.

7. Deloitte. “Confianza y Garantía. Informe Anual de Seguridad de la Información en Instituciones Financieras”, Febrero 2009.

8. Ernst & Young. “Managing Risk in the Current Climate”. 2009.

9. Ministerio de Administraciones Públicas. “MAGUERIT - Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información”, 1997.

10. M. Guerrero y L. Gómez. “Gestión de riesgos y controles en Sistemas de Información”. Tesis de Maestría, 2010.

11. M. Guerrero y L. Gómez. “Revisión de estándares relevantes y literatura de gestión de riesgos y controles en Sistemas de Información”. Revista Estudios Gerenciales, Vol. 27, No. 120, 2011.

Referencias 12. C. Alberts. “Operationally Critical Threat, Asset, and Vulnerability Evaluation SM

(OCTAVESM) Framework, Version 1.0”. TECHNICAL REPORT. CMU/SEI-99-TR-017. ESC-TR-99-017, 1999.

13. ISM3 Consortium. “Information Security Managemente Maturity Model. Versión 2.0”, 2009.

14. AS/NZS. “Estándar Australiano. Administración de Riesgos”. Tercera edición, 2004.

15. G. Stonebumer. “Risk Management Guide for Information Technology Systems. Recommendations of the National Institute of Standards and Technology”. NIST, Special Publication 800-30, 2002.

16. SOMAP. Open Information Security Risk Management Handbook. Versión 1.0, 2006.

17. CLUSIF. “MEHARI 2007. Guide de l’analyse des risques”, http://www.clusif.asso.fr, 2007.

18. ISO Directory. “Introduction To ISO 27005 (ISO27005)”. ICONTEC, 2008.

19. R. Ross. “Managing Risk from Information Systems. Recommendations of the National Institute of Standards and Technology. Gaithersburg”, NIST Special Publication 800-39, 2008.

20. ISACA. “Documento S11”. http://www.isaca.org, 2002.

21. Ministerio de Administraciones Públicas. “Modelo Estándar de Control Interno – MECI”, Decreto 1599, 2005.

22. L. Elissondo. “Informática Aplicada a los Negocios - Seguridad en los Sistemas de Información”, 2008.

http://www.clusif.asso.fr/









http://www.isaca.org/







Contacto

Marlene Lucila Guerrero Julio [email protected]

Luís Carlos Gómez Flórez

[email protected]

mailto:[email protected]

mailto:[email protected]

La Gestión de Riesgos y Controles en Sistemas de Información (1)

Documents

Transcript of La Gestión de Riesgos y Controles en Sistemas de Información (1)