Está en la página 1de 77

Taller de Gestión de Riesgos

Ing. CIP Maurice Frayssinet Delgado
LI 27001, LA 27001
Oficina Nacional de Gobierno Electrónico e Informática

Agenda
www.ongei.gob.pe
 Introducción
 Definiciones
 Enfoque a procesos
 ¿Que son los riesgos?
 Gestión del Riesgo
 Gestión de riesgos de seguridad de
la información
 Norma ISO/IEC 27005
 Norma ISO/IEC 31000
 Metodología de Gestión de Riesgos
 Taller practico

ONGEI - Seguridad de la Información

Introducción

Introducción www. • Por otra parte.ongei. • Las estrategias incluyen transferir el riesgo a otra parte. muerte o demandas).pe La gestión del Riesgo • La gestión de riesgos (traducción del inglés Risk management) es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza. desastres naturales o incendios.Seguridad de la Información . accidentes. el manejo de riesgos se centra en la contención de riesgo por causas físicas o legales (por ejemplo. reducir los efectos negativos del riesgo y aceptar algunas o todas las consecuencias de un riesgo particular. a través de una secuencia de actividades. • Algunas veces. la gestión de riesgo financiero se enfoca en los riesgos que pueden ser manejados usando instrumentos financieros y comerciales ONGEI .gob. evadir el riesgo.

Definiciones .

6. NOTA 2 Los objetivos pueden tener diferentes aspectos (tales como financieros. NOTA 3 Con frecuencia. ONGEI . NOTA 5 La incertidumbre es el estado. o ambientales) y se pueden aplicar a diferentes niveles (tales como.Definiciones ISO/IEC GUÍA 73:2009 (1. nivel estratégico. de deficiencia en la información relativa a la comprensión o al conocimiento de un suceso. incluso parcial. de salud y seguridad. el riesgo se expresa en términos de combinación de las consecuencias de un suceso (incluyendo los cambios en las circunstancias) y de su probabilidad (3. NOTA 4 Con frecuencia.1). de sus consecuencias o de su probabilidad. nivel de un proyecto.1) Riesgo: Efecto de la incertidumbre sobre la consecución de los objetivos. NOTA 1 Un efecto es una desviación.1. de un proceso o de una organización completa). de un producto. respecto a lo previsto. el riesgo se caracteriza por referencia a sucesos potenciales y a sus consecuencias . positiva y/o negativa.Seguridad de la Información . o a una combinación de ambos.

ONGEI .1) Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización en lo relativo al riesgo.Definiciones ISO/IEC GUÍA 73:2009 (2.Seguridad de la Información .

3)) Marco de trabajo de la gestión del riesgo: Conjunto de elementos que proporcionan los fundamentos y las disposiciones de la organización para el diseño. 2. Plan de gestión del riesgo: Esquema incluido en el marco de trabajo de la gestión del riesgo que especifica el enfoque.1. la revisión y la mejora continua de la gestión del riesgo en toda la organización.Seguridad de la Información . 2.Definiciones ISO/IEC GUÍA 73:2009 (2. el seguimiento.1.2. los componentes de gestión y los recursos a aplicar para la gestión del riesgo).1. ONGEI . Política de gestión del riesgo: Declaración de las intenciones y orientaciones generales de una organización en relación con la gestión del riesgo.1. la implantación.

1) Proceso de gestión del riesgo: Aplicación sistemática de políticas. establecimiento del contexto. procedimientos y prácticas de gestión a las actividades de comunicación. consulta. e identificación. evaluación. seguimiento y revisión del riesgo. ONGEI . análisis. tratamiento.Definiciones ISO/IEC GUÍA 73:2009 (3.Seguridad de la Información .

6.3.5) Análisis del riesgo: Proceso que permite comprender la naturaleza del riesgo y determinar el nivel de riesgo). Frecuencia: Número de sucesos o de efectos en una unidad de tiempo definida.6.Seguridad de la Información .1.6. Probabilidad (likehood): Posibilidad de que algún hecho se produzca.1.6.1.1.Definiciones ISO/IEC GUÍA 73:2009 (3.1. ONGEI . Exposición: Grado al que se somete una organización y/o una parte interesada en caso de un suceso.2.3. Consecuencia: Resultado de un suceso que afecta a los objetivos. 3.

mediante la definición de categorías de consecuencias y de su probabilidad.6.6.3. Matriz de riesgo: Herramienta que permite clasificar y visualizar los riesgos . ONGEI .6. expresados en términos de la combinación de las consecuencias y de su probabilidad.Seguridad de la Información .1.1.7.6.1.8) Vulnerabilidad: Propiedades intrínsecas de que algo produzca como resultado una sensibilidad a una fuente de riesgo que puede conducir a un suceso con una consecuencia .Definiciones ISO/IEC GUÍA 73:2009 (3.3. Nivel de riesgo: Magnitud de un riesgo o combinación de riesgos.

ONGEI .2) Evaluación del riesgo: Proceso de comparación de los resultados del análisis del riesgo con los criterios de riesgo para determinar si el riesgo y/o su magnitud son aceptables o tolerables. Actitud ante el riesgo: Enfoque de la organización para apreciar un riesgo y eventualmente buscarlo.7.Seguridad de la Información . Apetito por el riesgo: Cantidad y tipo de riesgo que una organización está preparada para buscar o retener.7.3. tomarlo o rechazarlo. retenerlo.1.Definiciones ISO/IEC GUÍA 73:2009 (3.1.3.1.7.1.

3. Aversión al riesgo: Actitud de rechazar el riesgo Agregación de riesgos: Combinación de un número de riesgos en un solo riesgo para desarrollar una comprensión más completa del riesgo general.Definiciones ISO/IEC GUÍA 73:2009 (3. ONGEI .5.3.1.7.3.7.7.3.Seguridad de la Información .1.7.1.1.6) Tolerancia al riesgo: Disponibilidad de una organización o de las partes interesadas para soportar el riesgo después del tratamiento del riesgo con objeto de conseguir sus objetivos.4. Aceptación del riesgo: Decisión informada en favor de tomar un riesgo particular.

Enfoque a Procesos .

Enfoque a procesos ISO 9000 (2. A menudo el resultado de un proceso constituye directamente el elemento de entrada del siguiente proceso.4) Cualquier actividad. ONGEI . Para que las organizaciones operen de manera eficaz. tienen que identificar y gestionar numerosos procesos interrelacionados y que interactúan. La identificación y gestión sistemática de los procesos empleados en la organización y en particular las interacciones entre tales procesos se conoce como "enfoque basado en procesos". o conjunto de actividades.Seguridad de la Información . que utiliza recursos para transformar elementos de entrada en resultados puede considerarse como un proceso.

Enfoque a procesos ¿Qué es un proceso? Un proceso es un conjunto de actividades recurrentes mediante las cuales se transforma un grupo de entradas en un grupo de salidas valiosas para un cliente (interno o externo) ONGEI .Seguridad de la Información .

Enfoque a procesos Ejemplo de procesos • • • • • Ventas Compras Producción Presupuesto Cierre Contable ONGEI .Seguridad de la Información .

Enfoque a procesos Detalle de procesos MacroProcesos ONGEI .Seguridad de la Información Gestión Logística .

Seguridad de la Información .Enfoque a procesos Ejemplo 1: Proceso Comercial (simple) Estudiante que compra cuadernos en una librería • • • • Identificación del Cliente Identificación de las entradas del Proceso Identificación de las actividades principales del proceso Identificación de las salidas/resultados del proceso ONGEI .

Seguridad de la Información .Enfoque a procesos Ejemplo 1: Proceso Comercial (simple) ONGEI .

Seguridad de la Información .Enfoque a procesos Ejemplo 1: Proceso Comercial (simple) ONGEI .

Seguridad de la Información .Enfoque a procesos Ejemplo 2: Proceso Abastecimiento Requerimiento de compra de papel para fabricar Cuadernos Trabajo individual 5 minutos ONGEI .

Enfoque a procesos Ejemplo 2: Proceso Abastecimiento ONGEI .Seguridad de la Información .

Enfoque a procesos Ejemplo 2: Proceso Abastecimiento ONGEI .Seguridad de la Información .

Varias áreas o unidades de una empresa pueden realizar actividades de un mismo proceso.Enfoque a procesos Procesos y estructura Los procesos atraviesan áreas o unidades (departamentos) dentro de una empresa. Los procesos son anónimos.Seguridad de la Información . ONGEI .

Identificar el “cliente” (interno o externo) 3. (Niveles de detalle) 6. etc. Identificar el objetivo del proceso 2.Seguridad de la Información .Enfoque a procesos Elementos de un Proceso En todos los casos debemos: 1. actividades. Identificar las entradas 5. etapas. Identificar el desde y el hasta (alcance) 4. Definir los sub procesos. Describirlos (presentando las interrelaciones) 7. Identificar las salidas ONGEI .

en tiempo y forma.Seguridad de la Información . precios. cumpliendo además con las especificaciones de calidad. Entradas: Pedido de insumos de las distintas áreas de la empresa Actividades principales: – Solicitar cotizaciones – Seleccionar proveedor – Recepcionar y controlar insumos – Entregar insumos al Area solicitante de la empresa – Pagar al Proveedor ONGEI . fecha y lugar de entrega.Enfoque a procesos Ejemplo de elementos de un Proceso de compras Objetivo: Gestionar las compras de insumos y materiales necesarios para realizar las actividades de la empresa.

Enfoque a procesos Ejemplo de elementos de un Proceso de compras Tareas de “Solicitar una cotización”: – Buscar datos de los proveedores – Completar el formulario de pedido de cotización – Enviar por fax a cada proveedor – Archivar el pedido de cotización Pasos en la tarea de “Completar pedido de cotización”: – Buscar la libreta de formularios de pedido de cotización – Escribir la fecha – Escribir el nombre del primer proveedor a consultar – Especificar los datos de la mercadería – Firmar el formulario A diferencia de las tareas.Seguridad de la Información . los pasos no tienen resultados por sí mismos ONGEI .

Seguridad de la Información .Enfoque a procesos Herramientas para la descripción de Procesos Tabla de actividades por área interviniente ONGEI .

Seguridad de la Información .Enfoque a procesos Herramientas para la descripción de Procesos Representación gráfica (Flujograma) Se sugiere usar notación BPM ONGEI .

Enfoque a procesos Herramientas para la descripción de Procesos Dibujogramas Se sugiere usar notación BPM ONGEI .Seguridad de la Información .

Seguridad de la Información .Enfoque a procesos Categorías de Procesos ONGEI .

Seguridad de la Información .Enfoque a procesos Cadena de Valor La CADENA de VALOR es una forma de representar al MODELO de PROCESOS de la empresa ONGEI .

Enfoque a procesos Mapa de Procesos ONGEI .Seguridad de la Información .

ONGEI .Seguridad de la Información .

Seguridad de la Información .ONGEI .

ONGEI .Seguridad de la Información .

Seguridad de la Información .ONGEI .

¿Que son los riesgos? .

¿Qué son los riesgos? Riesgos Comunes ONGEI .Seguridad de la Información .

¿Qué son los riesgos?
Peligro y Riesgo

ONGEI - Seguridad de la Información

¿Qué son los riesgos?
Definición
• Riesgo se puede definir
como: “La exposición a las
consecuencias de la
incertidumbre”.
• La incertidumbre puede
originarse en factores
internos o externos.
• Riesgo es
la vulnerabilidad ante un
potencial perjuicio o daño
para las unidades,
personas, organizaciones o
entidades.

RIESGO = PROBABILIDAD X IMPACTO
ONGEI - Seguridad de la Información

¿Qué son los riesgos?
Manera de expresar el riesgo

ONGEI - Seguridad de la Información

00 = Alta Probabilidad Peligro y Riesgo Muy baja Baja Mediana Alta Muy Alta .67 a 1.01 a 0.66 = Media 0.34 a 0.Seguridad de la Información ¿Qué son los riesgos? Probabilidad 0.¿Qué son los riesgos? Escalas Probabilidad 1=Muy baja 2=Baja 3=Mediana 4=Alta 5=Muy Alta ONGEI .33 = Baja 0.

Gestión del Riesgo .

Gestión del Riesgo Definición • Es un proceso de toma de decisiones. • Enfrentar eventos que afectan los objetivos del negocio.Seguridad de la Información . • Asegurar que las decisiones se implementan en forma de controles. ONGEI .

Gestión del Riesgo La gestión ONGEI .Seguridad de la Información .

• Los elementos están relacionados de tal manera que permiten: – – – – Planificar Implementar Controlar y Tomar acción para la mejora continua. procesos. recursos.Seguridad de la Información .Gestión del Riesgo Sistema de Gestión • Estructura conceptual formada por diversos elementos (política. documentos). ONGEI . estructura organizacional.

LeySabarnes-Oxley. estrategia y reporte de las empresas. publican “Risk Management in the Business Enterprise”.Gestión del Riesgo Evolución • • • • • • • • • • • • Instinto Natural. 2009: aparece ISO 31000 como norma unificada.Seguridad de la Información . 1963: los profesores de la Universidad de Illinois. COSO. Mayor enfoque en control financiero y contable. Enfoque de “silos”. Surge el concepto EWRM. ONGEI . 1980 y 1990: Gestión de riesgo parte de objetivos estratégicos y creación de valor para el accionista. 1970: riesgos financieros y de mercado. Enfoque holístico. Siglo 17: Primeros aseguradores. parte fundamental del planeamiento. 2000: grandes fraudes Enron. Gestión de Préstamos. Gestión de Riesgos = Gestión de Seguros (Riesgos Puros). Robert Mehr and Bob Hedges. Gobierno Corporativo. WorldCom. FERMA. el riesgo como negocio. ANZI.

Gestión del Riesgo Tipos de análisis de riesgos ONGEI .Seguridad de la Información .

Gestión del Riesgo Tipos de análisis de riesgos ONGEI .Seguridad de la Información .

Gestión de riesgos de seguridad de la información .

25 % Errores de los empleados u omisiones .  Porque la seguridad de la información tiene un costo.20% Informe TMT Predicciones 2012 de Deloitte ONGEI .17 % Otros .18 % Abuso del empleado de los sistemas e información de TI .  Porque no sólo es un tema “tecnológico”.20 % Adaptación tardía a nuevas tecnologías .Gestión de Riesgo de la SI Seguridad de la información ¿Por qué?  Porque el negocio se sustenta a partir de la información que maneja. pero la inseguridad tiene un costo aún mayor.  Principales fallas de seguridad      Violaciones de seguridad que involucra a terceros .Seguridad de la Información .

Seguridad de la Información .Gestión de Riesgo de la SI Seguridad de la información ¿Por qué? Seguridad de la Información: conjunto de medidas para salvaguardar la información preservando su confidencialidad. integridad y disponibilidad. ONGEI .

• Existen varios tipos:      Procesos Documentos físicos y electrónicos Software Hardware Personas ONGEI .Seguridad de la Información .Gestión de Riesgo de la SI Activo de Información • Activo de información: Los activos de información generan. procesan y/o almacenan la información necesaria para la operación y el cumplimiento de los objetivos de la compañía  Tiene valor para la compañía.

causando pérdida o daño a la organización [ISO/IEC 27005:2008] • Combinación de la probabilidad de un evento y sus consecuencias [ISO/IEC 27002:2005] ONGEI .Seguridad de la Información .Gestión de Riesgo de la SI Riesgo de SI • Riesgo de Seguridad de la Información: El potencial de que una amenaza dada explote las vulnerabilidades de un activo o grupo de activos.

Seguridad de la Información .Gestión de Riesgo de la SI Riesgo de SI ONGEI .

procesos o entidades autorizadas y en el momento autorizado.Gestión de Riesgo de la SI Principios o pilares de la SI La siguientes son las atributos de seguridad de la información: • Confidencialidad: La información se revela únicamente si así está estipulado. INFORMACION DISPONIBILIDAD ONGEI . • Integridad: La información es precisa. a personas. • Disponibilidad: La información es accedida por las personas o sistemas autorizados en el momento y en el medio que se requiere.Seguridad de la Información . coherente y completa desde su creación hasta su destrucción.

Norma ISO/IEC 27005 .

apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001.Norma ISO/IEC 27005 Definición • ISO/IEC 27005 es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. ONGEI . • La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa.Seguridad de la Información .

como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI). o el sector comercial de la propia industria.Seguridad de la Información . • No recomienda una metodología concreta. ONGEI . dependerá de una serie de factores.Norma ISO/IEC 27005 Definición • ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización.

Descripción del proceso de ISRM. Información de seguridad Seguimiento de Riesgos y Revisión. Anexo B: Valoración de activos y evaluación de impacto. Anexo A: Definición del alcance del proceso. Establecimiento Contexto. Comunicación de riesgos de seguridad de información.Fondo. Términos y definiciones.Norma ISO/IEC 27005 Estructura Prefacio Introducción Referencias normativas. Información sobre la evaluación de riesgos de seguridad (ISRA). Anexo E: Enfoques ISRA . Tratamiento de Riesgos Seguridad de la Información.Seguridad de la Información Admisión de Riesgos Seguridad de la información. Estructura. Anexo C: Ejemplos de amenazas típicas. ONGEI . Anexo D: Las vulnerabilidades y métodos de evaluación de la vulnerabilidad.

Seguridad de la Información .Norma ISO/IEC 27005 Procesos ONGEI .

Norma ISO/IEC 31000 .

implanten y mejoren continuamente un marco de trabajo cuyo objetivo es integrar el proceso de gestión de riesgos en cada una de sus actividades. ONGEI .Norma ISO/IEC 31000 Definiciones • La ISO 31000 es una norma internacional que ofrece las directrices y principios para gestionar el riesgo de las organizaciones. y tiene por objetivo que organizaciones de todos los tipos y tamaños puedan gestionar los riesgos en la empresa de forma efectiva.Seguridad de la Información . por lo que recomienda que las organizaciones desarrollen. • Esta norma fue publicada en noviembre del 2009 por la Organización Internacional de Normalización (ISO) en colaboración con IEC.

4. 5. 3.Seguridad de la Información .Norma ISO/IEC 31000 Estructura 1. 2. Alcance Términos y definiciones Principios Framework Procesos ONGEI .

Seguridad de la Información .Norma ISO/IEC 31000 Visión General ONGEI .

Norma ISO/IEC 31000 Procesos ONGEI .Seguridad de la Información .

Metodología de Gestión de Riesgos .

técnicas y métodos para desarrollar análisis de riesgos basados en gestión y la planeación estratégica de la organización.Seguridad de la Información . Asset. • Son todas las acciones que necesitan ser llevadas a cabo dentro de la organización para realizar la gestión de activos.org/resilience/products-services/octave/ • OCTAVE (Operationally Critical Threat. conocer posibles amenazas y evaluar vulnerabilidades.Metodología de Gestión de Riesgo Octave http://www.cert. ONGEI . and Vulnerability Evaluation) se encuentra disponible gratuitamente (en inglés) y es un conjunto de herramientas.

y es un método formal orientado a activos. ONGEI . siendo probablemente la metodología más utilizada en España.es/publico/herramientas/pilar5/magerit/ MAGERIT es una metodología de Análisis de Riesgos de carácter público elaborada por el Ministerio de Administraciones Públicas.cni.ccn-cert.Seguridad de la Información . El nombre de MAGERIT responde a "Metodología de Análisis y Gestión de Riesgos de IT”.Metodología de Gestión de Riesgo Magerit https://www. cuya misión es descubrir los riesgos a los que se encuentran expuestos nuestros sistemas de información y recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos.

la evaluación en términos de probabilidad y la magnitud del impacto. que determinan una estrategia de respuesta.org/-erm.Seguridad de la Información .htm COSO ERM. Coso ERM proporciona un marco para la gestión de riesgos . ONGEI .coso. incluye los métodos y procesos utilizados por las organizaciones para gestionar los riesgos y aprovechar las oportunidades relacionadas con el logro de sus objetivos.Metodología de Gestión de Riesgo Coso ERM http://www. que generalmente implica la identificación de eventos o circunstancias particulares pertinentes a los objetivos de la organización (riesgos y oportunidades). y el monitoreo del progreso.

Seguridad de la Información .La norma ISO/IEC 27001. de hecho usted puede crear una propia. cumpliendo con lo estipulado en la norma ONGEI . no especifica que se utilice una metodología de riesgos en particular.

Taller Practico .

ONGEI .Seguridad de la Información .

No olvide Cuidado mucha información esta en nuestros equipos moviles ya mitigo este riesgo… ONGEI .Seguridad de la Información .

gob. CIP Maurice Frayssinet Delgado mfrayssinet@gmail.com Teléfono rpm # 963-985-125 www.pe .ongei.Muchas Gracias Contacto: Ing.