Taller de Gestión de Riesgos - gobiernodigital.gob.pe · Ing. CIP Maurice Frayssinet Delgado LI...

Ing. CIP Maurice Frayssinet Delgado LI 27001, LA 27001 Oficina Nacional de Gobierno Electrónico e Informática

Taller de Gestión de Riesgos

ONGEI - Seguridad de la Información

Agenda www.ongei.gob.pe

Introducción

Definiciones

Enfoque a procesos

¿Que son los riesgos?

Gestión del Riesgo

Gestión de riesgos de seguridad de

la información

Norma ISO/IEC 27005

Norma ISO/IEC 31000

Metodología de Gestión de Riesgos

Taller practico

Introducción


• La gestión de riesgos (traducción del inglés Risk management)

es un enfoque estructurado para manejar la incertidumbre relativa

a una amenaza, a través de una secuencia de actividades.

• Las estrategias incluyen transferir el riesgo a otra parte, evadir el

riesgo, reducir los efectos negativos del riesgo y aceptar algunas

o todas las consecuencias de un riesgo particular.

• Algunas veces, el manejo de riesgos se centra en la contención

de riesgo por causas físicas o legales (por ejemplo, desastres

naturales o incendios, accidentes, muerte o demandas).

• Por otra parte, la gestión de riesgo financiero se enfoca en los

riesgos que pueden ser manejados usando instrumentos

financieros y comerciales

La gestión del Riesgo

Introducción www.ongei.gob.pe

Definiciones


Riesgo:

Efecto de la incertidumbre sobre la

consecución de los objetivos.

NOTA 1 Un efecto es una desviación, positiva y/o negativa,

respecto a lo previsto.

NOTA 2 Los objetivos pueden tener diferentes aspectos

(tales como financieros, de salud y seguridad, o ambientales)

y se pueden aplicar a diferentes niveles (tales como, nivel

estratégico, nivel de un proyecto, de un producto, de un

proceso o de una organización completa).

NOTA 3 Con frecuencia, el riesgo se caracteriza por

referencia a sucesos potenciales y a sus consecuencias , o a

una combinación de ambos.

NOTA 4 Con frecuencia, el riesgo se expresa en términos de

combinación de las consecuencias de un suceso (incluyendo

los cambios en las circunstancias) y de su probabilidad

(3.6.1.1).

NOTA 5 La incertidumbre es el estado, incluso parcial, de

deficiencia en la información relativa a la comprensión o al

conocimiento de un suceso, de sus consecuencias o de su

probabilidad.

Definiciones ISO/IEC GUÍA 73:2009 (1.1)


Gestión del riesgo:

Actividades coordinadas para dirigir y

controlar una organización en lo relativo

al riesgo.



Marco de trabajo de la gestión del riesgo:

Conjunto de elementos que proporcionan los

fundamentos y las disposiciones de la

organización para el diseño, la implantación, el

seguimiento, la revisión y la mejora continua de

la gestión del riesgo en toda la organización.

Política de gestión del riesgo:

Declaración de las intenciones y orientaciones

generales de una organización en relación con la

gestión del riesgo.

Plan de gestión del riesgo:

Esquema incluido en el marco de trabajo de la

gestión del riesgo que especifica el enfoque, los

componentes de gestión y los recursos a aplicar

para la gestión del riesgo).

Definiciones ISO/IEC GUÍA 73:2009 (2.1.1, 2.1.2, 2.1.3))


Proceso de gestión del riesgo:

Aplicación sistemática de políticas,

procedimientos y prácticas de gestión a las

actividades de comunicación, consulta,

establecimiento del contexto, e

identificación, análisis, evaluación,

tratamiento, seguimiento y revisión del

riesgo.



Análisis del riesgo:

Proceso que permite comprender la naturaleza

del riesgo y determinar el nivel de riesgo).

Probabilidad (likehood):

Posibilidad de que algún hecho se produzca.

Exposición:

Grado al que se somete una organización y/o

una parte interesada en caso de un suceso.

Consecuencia:

Resultado de un suceso que afecta a los

objetivos.

Frecuencia:

Número de sucesos o de efectos en una unidad

de tiempo definida.

Definiciones ISO/IEC GUÍA 73:2009 (3.6.1, 3.6.1.1,3.6.1.2,3.6.1.5)


Definiciones ISO/IEC GUÍA 73:2009 (3.6.1.6,3.6.1.7,3.6.1.8)

Vulnerabilidad:

Propiedades intrínsecas de que algo

produzca como resultado una sensibilidad

a una fuente de riesgo que puede

conducir a un suceso con una

consecuencia .

Matriz de riesgo:

Herramienta que permite clasificar y

visualizar los riesgos , mediante la

definición de categorías de

consecuencias y de su probabilidad.

Nivel de riesgo:

Magnitud de un riesgo o combinación de

riesgos, expresados en términos de la

combinación de las consecuencias y de

su probabilidad.


Evaluación del riesgo:

Proceso de comparación de los resultados

del análisis del riesgo con los criterios

de riesgo para determinar si el riesgo y/o

su magnitud son aceptables o tolerables.

Actitud ante el riesgo:

Enfoque de la organización para apreciar

un riesgo y eventualmente buscarlo,

retenerlo, tomarlo o rechazarlo.

Apetito por el riesgo:

Cantidad y tipo de riesgo que una

organización está preparada para buscar o

retener.

Definiciones ISO/IEC GUÍA 73:2009 (3.7.1,3.7.1.1,3.7.1.2)


Tolerancia al riesgo:

Disponibilidad de una organización o de las

partes interesadas para soportar el riesgo

después del tratamiento del riesgo con objeto

de conseguir sus objetivos.

Aversión al riesgo:

Actitud de rechazar el riesgo

Agregación de riesgos:

Combinación de un número de riesgos en un

solo riesgo para desarrollar una comprensión

más completa del riesgo general.

Aceptación del riesgo:

Decisión informada en favor de tomar un

riesgo particular.

Definiciones ISO/IEC GUÍA 73:2009 (3.7.1.3,3.7.1.4,3.7.1.5,3.7.1.6)

Enfoque a Procesos


Enfoque a procesos ISO 9000 (2.4)

Cualquier actividad, o conjunto de

actividades, que utiliza recursos para

transformar elementos de entrada en

resultados puede considerarse como un

proceso.

Para que las organizaciones operen de

manera eficaz, tienen que identificar y

gestionar numerosos procesos

interrelacionados y que interactúan. A

menudo el resultado de un proceso

constituye directamente el

elemento de entrada del siguiente proceso.

La identificación y gestión sistemática de

los procesos empleados

en la organización y en particular las

interacciones entre tales procesos se

conoce como "enfoque basado en

procesos".


Enfoque a procesos ¿Qué es un proceso?

Un proceso es un conjunto de actividades recurrentes mediante

las cuales se transforma un grupo de entradas en un grupo de

salidas valiosas para un cliente (interno o externo)


Enfoque a procesos Ejemplo de procesos

• Ventas

• Compras

• Producción

• Presupuesto

• Cierre Contable


Enfoque a procesos Detalle de procesos

MacroProcesos Gestión Logística


Enfoque a procesos

Ejemplo 1: Proceso Comercial (simple)

Estudiante que compra cuadernos en una librería

• Identificación del Cliente

• Identificación de las entradas del Proceso

• Identificación de las actividades principales del proceso

• Identificación de las salidas/resultados del proceso


Enfoque a procesos Ejemplo 1: Proceso Comercial (simple)


Enfoque a procesos

Ejemplo 1: Proceso Comercial (simple)


Enfoque a procesos Ejemplo 2: Proceso Abastecimiento

Requerimiento de compra de papel para fabricar Cuadernos

Trabajo individual 5 minutos


Enfoque a procesos Ejemplo 2: Proceso Abastecimiento


Enfoque a procesos Procesos y estructura

Los procesos atraviesan áreas o unidades (departamentos) dentro de una

empresa. Varias áreas o unidades de una empresa pueden realizar

actividades de un mismo proceso. Los procesos son anónimos.


Enfoque a procesos Elementos de un Proceso

En todos los casos debemos:

1. Identificar el objetivo del proceso

2. Identificar el “cliente” (interno o externo)

3. Identificar el desde y el hasta (alcance)

4. Identificar las entradas

5. Definir los sub procesos, actividades, etapas,

etc. (Niveles de detalle)

6. Describirlos (presentando las interrelaciones)

7. Identificar las salidas


Enfoque a procesos Ejemplo de elementos de un Proceso de compras

Objetivo: Gestionar las compras de insumos y materiales necesarios para

realizar las actividades de la empresa, en tiempo y forma, cumpliendo además

con las especificaciones de calidad, precios, fecha y lugar de entrega.

Entradas: Pedido de insumos de las distintas áreas de

la empresa

Actividades principales:

– Solicitar cotizaciones

– Seleccionar proveedor

– Recepcionar y controlar insumos

– Entregar insumos al Area solicitante de la empresa

– Pagar al Proveedor


Tareas de “Solicitar una cotización”:

– Buscar datos de los proveedores

– Completar el formulario de pedido de cotización

– Enviar por fax a cada proveedor

– Archivar el pedido de cotización

Pasos en la tarea de “Completar pedido de cotización”:

– Buscar la libreta de formularios de pedido de cotización

– Escribir la fecha

– Escribir el nombre del primer proveedor a consultar

– Especificar los datos de la mercadería

– Firmar el formulario

A diferencia de las tareas, los pasos no tienen resultados por sí mismos

Enfoque a procesos Ejemplo de elementos de un Proceso de compras


Enfoque a procesos Herramientas para la descripción de Procesos

Tabla de actividades por área interviniente


Se sugiere usar notación BPM


Representación gráfica (Flujograma)


Se sugiere usar notación BPM


Dibujogramas


Enfoque a procesos Categorías de Procesos


La CADENA de VALOR es una forma de representar al MODELO de PROCESOS

de la empresa

Enfoque a procesos Cadena de Valor


Enfoque a procesos Mapa de Procesos

¿Que son los

riesgos?


¿Qué son los riesgos? Riesgos Comunes


¿Qué son los riesgos? Peligro y Riesgo


• Riesgo se puede definir

como: “La exposición a las

consecuencias de la

incertidumbre”.

• La incertidumbre puede

originarse en factores

internos o externos.

• Riesgo es

la vulnerabilidad ante un

potencial perjuicio o daño

para las unidades,

personas, organizaciones o

entidades.

RIESGO = PROBABILIDAD X IMPACTO

¿Qué son los riesgos? Definición


¿Qué son los riesgos? Manera de expresar el riesgo


Probabilidad 1=Muy baja

2=Baja

3=Mediana

4=Alta

5=Muy Alta

Probabilidad Muy baja

Baja

Mediana

Alta

Muy Alta

Probabilidad 0.01 a 0.33 = Baja

0.34 a 0.66 = Media

0.67 a 1.00 = Alta

¿Qué son los riesgos? Peligro y Riesgo

¿Qué son los riesgos? Escalas

Gestión del

Riesgo


Gestión del Riesgo Definición

• Es un proceso de toma de decisiones.

• Enfrentar eventos que afectan los objetivos del negocio.

• Asegurar que las decisiones se implementan en forma de controles.


Gestión del Riesgo La gestión


• Estructura conceptual formada por diversos elementos (política, procesos, recursos, estructura organizacional, documentos).

• Los elementos están relacionados de tal manera que permiten: – Planificar

– Implementar

– Controlar y

– Tomar acción para la mejora continua.

Gestión del Riesgo Sistema de Gestión


• Instinto Natural.

• Gestión de Préstamos.

• Siglo 17: Primeros aseguradores, el riesgo como negocio.

• 1963: los profesores de la Universidad de Illinois, Robert Mehr and Bob

• Hedges, publican “Risk Management in the Business Enterprise”.

• Gestión de Riesgos = Gestión de Seguros (Riesgos Puros).

• 1970: riesgos financieros y de mercado. Enfoque de “silos”.

• 1980 y 1990: Gestión de riesgo parte de objetivos estratégicos y creación de valor para el accionista.

• 2000: grandes fraudes Enron, WorldCom.

• Mayor enfoque en control financiero y contable, Gobierno Corporativo, LeySabarnes-Oxley, COSO, FERMA, ANZI.

• Enfoque holístico, parte fundamental del planeamiento, estrategia y reporte de las empresas. Surge el concepto EWRM.

• 2009: aparece ISO 31000 como norma unificada.

Gestión del Riesgo Evolución


Gestión del Riesgo Tipos de análisis de riesgos

Gestión de riesgos de

seguridad de la

información


Porque el negocio se sustenta a partir de la información que maneja.

Porque no sólo es un tema “tecnológico”.

Porque la seguridad de la información tiene un costo, pero la inseguridad tiene un costo aún mayor.

Principales fallas de seguridad Violaciones de seguridad que involucra a terceros - 25 %

Errores de los empleados u omisiones - 20 %

Adaptación tardía a nuevas tecnologías - 18 %

Abuso del empleado de los sistemas e información de TI - 17 %

Otros - 20%

Informe TMT Predicciones 2012 de Deloitte

Gestión de Riesgo de la SI Seguridad de la información ¿Por qué?


Seguridad de la Información: conjunto de medidas para

salvaguardar la información preservando su confidencialidad,

integridad y disponibilidad.

Gestión de Riesgo de la SI Seguridad de la información ¿Por qué?

ONGEI - Seguridad de la Información White markers indicate position

of Deloitte Drawing Guides

7.40 cm

2.91 Inches

6.00 cm

2.36 Inches

8.00 cm

3.15 Inches

11.70 cm

4.61 inches

0.50 cm

0.2 inches

0.50 cm

0.2 inches

11.70 cm

4.61 inches

To view Deloitte drawing guides:

1. Right-click on slide and select

’Grid and Guides...’

2. Check ’Display drawing guides

on screen’

3. Select ’OK’

• Activo de información: Los activos de información generan,

procesan y/o almacenan la información necesaria para la

operación y el cumplimiento de los objetivos de la compañía

Tiene valor para la compañía.

• Existen varios tipos:

Procesos

Documentos físicos y electrónicos

Software

Hardware

Personas

Gestión de Riesgo de la SI Activo de Información



7.40 cm

2.91 Inches

6.00 cm

2.36 Inches

8.00 cm

3.15 Inches

11.70 cm

4.61 inches

0.50 cm

0.2 inches

0.50 cm

0.2 inches

11.70 cm

4.61 inches





on screen’

3. Select ’OK’

• Riesgo de Seguridad de la

Información: El potencial de que

una amenaza dada explote las

vulnerabilidades de un activo o

grupo de activos, causando

pérdida o daño a la organización

[ISO/IEC 27005:2008]

• Combinación de la probabilidad

de un evento y sus consecuencias

[ISO/IEC 27002:2005]

Gestión de Riesgo de la SI Riesgo de SI


Gestión de Riesgo de la SI Riesgo de SI



7.40 cm

2.91 Inches

6.00 cm

2.36 Inches

8.00 cm

3.15 Inches

11.70 cm

4.61 inches

0.50 cm

0.2 inches

0.50 cm

0.2 inches

11.70 cm

4.61 inches





on screen’

3. Select ’OK’

La siguientes son las atributos de seguridad

de la información:

• Confidencialidad: La información se revela

únicamente si así está estipulado, a

personas, procesos o entidades autorizadas

y en el momento autorizado.

• Integridad: La información es precisa,

coherente y completa desde su creación

hasta su destrucción.

• Disponibilidad: La información es accedida

por las personas o sistemas autorizados en

el momento y en el medio que se requiere.

DISPONIBILIDAD

INFORMACION

Gestión de Riesgo de la SI Principios o pilares de la SI

Norma

ISO/IEC 27005


• ISO/IEC 27005 es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información.

• La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001.

Norma ISO/IEC 27005 Definición


• ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización.

• No recomienda una metodología concreta, dependerá de una serie de factores, como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria.

Norma ISO/IEC 27005 Definición


Prefacio

Introducción Referencias normativas. Términos y definiciones. Estructura.Fondo. Descripción del proceso de ISRM. Establecimiento Contexto. Información sobre la evaluación de riesgos de seguridad (ISRA). Tratamiento de Riesgos Seguridad de la Información.

Admisión de Riesgos

Seguridad de la información.

Comunicación de riesgos de seguridad

de información.

Información de seguridad Seguimiento

de Riesgos y Revisión.

Anexo A: Definición del alcance del

proceso.

Anexo B: Valoración de activos y

evaluación de impacto.

Anexo C: Ejemplos de amenazas

típicas.

Anexo D: Las vulnerabilidades y

métodos de evaluación de la

vulnerabilidad.

Anexo E: Enfoques ISRA

Norma ISO/IEC 27005 Estructura


Norma ISO/IEC 27005 Procesos

Norma ISO/IEC 31000


• La ISO 31000 es una norma internacional que ofrece las directrices y principios para gestionar el riesgo de las organizaciones.

• Esta norma fue publicada en noviembre del 2009 por la Organización Internacional de Normalización (ISO) en colaboración con IEC, y tiene por objetivo que organizaciones de todos los tipos y tamaños puedan gestionar los riesgos en la empresa de forma efectiva, por lo que recomienda que las organizaciones desarrollen, implanten y mejoren continuamente un marco de trabajo cuyo objetivo es integrar el proceso de gestión de riesgos en cada una de sus

actividades.

Norma ISO/IEC 31000 Definiciones


1. Alcance

2. Términos y definiciones

3. Principios

4. Framework

5. Procesos

Norma ISO/IEC 31000 Estructura


Norma ISO/IEC 31000 Visión General


Norma ISO/IEC 31000 Procesos

Metodología de

Gestión de

Riesgos


Metodología de Gestión de Riesgo Octave

• OCTAVE (Operationally Critical Threat, Asset, and

Vulnerability Evaluation) se encuentra disponible

gratuitamente (en inglés) y es un conjunto de

herramientas, técnicas y métodos para desarrollar

análisis de riesgos basados en gestión y la planeación

estratégica de la organización.

• Son todas las acciones que necesitan ser llevadas a cabo

dentro de la organización para realizar la gestión de

activos, conocer posibles amenazas y evaluar

vulnerabilidades.

http://www.cert.org/resilience/products-services/octave/


Metodología de Gestión de Riesgo Magerit

MAGERIT es una metodología de Análisis

de Riesgos de carácter público elaborada

por el Ministerio de Administraciones

Públicas, siendo probablemente la

metodología más utilizada en España.

El nombre de MAGERIT responde a

"Metodología de Análisis y Gestión de

Riesgos de IT”, y es un método formal

orientado a activos, cuya misión es

descubrir los riesgos a los que se

encuentran expuestos nuestros sistemas

de información y recomendar las medidas

apropiadas que deberían adoptarse para

controlar estos riesgos.

https://www.ccn-cert.cni.es/publico/herramientas/pilar5/magerit/


COSO ERM, incluye los métodos y procesos

utilizados por las organizaciones para gestionar los

riesgos y aprovechar las oportunidades relacionadas

con el logro de sus objetivos.

Coso ERM proporciona un marco para la gestión de

riesgos , que generalmente implica la identificación

de eventos o circunstancias particulares pertinentes

a los objetivos de la organización (riesgos y

oportunidades), la evaluación en términos de

probabilidad y la magnitud del impacto, que

determinan una estrategia de respuesta, y el

monitoreo del progreso.

Metodología de Gestión de Riesgo Coso ERM

http://www.coso.org/-erm.htm


La norma ISO/IEC 27001, no especifica que se utilice una metodología de riesgos en particular, de hecho usted puede crear una propia, cumpliendo con lo estipulado

en la norma

Taller Practico


No olvide

Cuidado mucha información esta en nuestros equipos moviles ya mitigo este riesgo…

http://www.google.com.pe/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=necR_yyJkXIw4M&tbnid=PnpU0P2-kskE3M:&ved=0CAUQjRw&url=http%3A%2F%2Fandroiduiux.com%2F2012%2F12%2F06%2Foutlook-com-app-redesign-tablet-version%2F&ei=ZZ46Uo2YHITi8gTJvIH4BQ&bvm=bv.52288139,d.eWU&psig=AFQjCNHIT6Z237v-ONrQN6eZe3oMqCidpw&ust=1379659648509225

Contacto: Ing. CIP Maurice Frayssinet Delgado

[email protected] Teléfono rpm # 963-985-125

www.ongei.gob.pe

Muchas Gracias

mailto:[email protected]

http://www.ongei.gob.pe/

Taller de Gestión de Riesgos - gobiernodigital.gob.pe · Ing. CIP Maurice Frayssinet Delgado LI...

Documents

Transcript of Taller de Gestión de Riesgos - gobiernodigital.gob.pe · Ing. CIP Maurice Frayssinet Delgado LI...