Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gestión de Riesgos PDF
Gestión de Riesgos PDF
mario.urena@secureit.com.mx
www.mariourenacuate.com
Pag.1 1
www.isaca.org 1
Agenda
Introduccin
Gestin de riesgos
Marcos de referencia para la gestin de riesgos
Principios de la gestin de riesgos
ISO 31000 Gestin de Riesgos Principios y guas (DRAFT)
BS 31100 Gestin de Riesgos Cdigo de prctica
ISO 27005 Gestin de Riesgos de Seguridad de la Informacin
Risk IT Framework
Ejemplos
Opciones de tratamiento de riesgos
Conclusiones
Pag.2 2
www.isaca.org 2
Introduccin
Pag.3 3
www.isaca.org 3
Introduccin
Pag.5 5
www.isaca.org 5
Introduccin
Riesgo de TI
Riesgo de Seguridad de la Informacin
Riesgo Operativo
Riesgo de Continuidad del Negocio
Riesgo de Proyecto
Riesgo Financiero
Riesgo de Auditora
Etc.
Pag.6 6
www.isaca.org 6
Introduccin
Nivel de granularidad:
Pag.7 7
www.isaca.org 7
Introduccin
escenario:
ESCENARIO:
Escenario:
Estrategia: Perdida de
comunicaciones Interrupcin de la
Parte del personal
laborando desde casa continuidad del
comunicndose Escenario: negocio
va Internet Saturacin de lneas
y telfono telefnicas
Pag.10 10
www.isaca.org 10
Introduccin
El caso de mi amigo.
Pag.12 12
www.isaca.org 12
Introduccin
Mi amigo
Abril 27, 2009
Pag.13 13
www.isaca.org 13
Introduccin
Pag.14 14
www.isaca.org 14
Gestin de riesgos
Pag.15 15
www.isaca.org 15
Marcos de referencia
Pag.16 16
www.isaca.org 16
Marcos de referencia
Pag.17 17
www.isaca.org 17
ISACA - Guas relacionadas
Pag.18 18
www.isaca.org 18
Principios de la gestin de riesgos
Pag.21 21
www.isaca.org 21
ISO DIS / 31000
Propsito:
Pag.22 22
www.isaca.org 22
ISO DIS / 31000
Es genrico y no es especfico de alguna industria o sector.
Pag.23 23
www.isaca.org 23
ISO DIS / 31000
ste estndar intenta armonizar los procesos de gestin de riesgos
en estndares existentes y futuros.
Pag.24 24
www.isaca.org 24
ISO DIS / 31000
Componentes Compromiso de la
gerencia
Implementar la
Mejora continua
gestin de riesgos
Monitorear y revisar
Pag.25 25
www.isaca.org 25
ISO DIS / 31000
Compromiso de la
Componentes gerencia
Monitorear y revisar
Pag.26 26
www.isaca.org 26
ISO DIS / 31000
Inicio
Proceso
Establecer el contexto
Comunicacin y consulta
Identificacin riesgos
Monitoreo y revisin
Anlisis de riesgos
Evaluacin de riesgos
Tratamiento de riesgos
Pag.27 27
www.isaca.org 27
BS 31100
Propsito:
Pag.28 28
www.isaca.org 28
BS 31100
Pag.29 29
www.isaca.org 29
BS 31100
Componentes
Mandato y
compromiso
Diseo del
Mantenimiento
marco de
y mejora
referencia
Implementar la
Monitorear y
gestin de
revisar
riesgos
Pag.30 30
www.isaca.org 30
BS 31100
Proceso
Pag.31 31
www.isaca.org 31
ISO 27005
Publicado en Junio 2008.
Propsito:
Pag.32 32
www.isaca.org 32
ISO 27005
Pag.33 33
www.isaca.org 33
ISO 27005
Integracin de ISO 27005 con otros estndares
ISO
ISO 31000 27005
ISO
27001
Otros
estndares y
prcticas de
gestin de
riesgos
Pag.34 34
www.isaca.org 34
www.isaca.org
Proceso
Inicio
Establecer el contexto
Vulnerabilidades
Identificacin riesgos
Consecuencias
Activos Amenazas
Controles
Estimacin de riesgos
Pag.35
Evaluacin de riesgos
ISO 27005
Aceptacin de riesgos
35
35
The Risk IT Framework
Desarrollado por el IT
Governance Institute
Iniciativa de Risk IT
Complementa a COBIT y
Val IT
Pag.36 36
www.isaca.org 36
The Risk IT Framework
Propsito:
Pag.37 37
www.isaca.org 37
The Risk IT Framework
Pag.38 38
www.isaca.org 38
The Risk IT Framework
El riesgo de TI puede categorizarse en:
No Ganar Ganar
Entrega de programas y
proyectos de TI
Entrega de operaciones y
servicios de TI
Perder Preservar
Pag.40 40
www.isaca.org 40
The Risk IT Framework
Componentes
Pag.41 41
www.isaca.org 41
The Risk IT Framework
Escenarios / Componentes
Pag.42 42
www.isaca.org 42
The Risk IT Framework
Impacto al negocio
4A (Westerman / Hunter)
Agility - Agilidad
Accuracy - Precisin
Access - Acceso
Availability - Disponibilidad
Pag.43 43
www.isaca.org 43
The Risk IT Framework
Impacto al negocio
Efectividad
Eficiencia
Confiabilidad
Integridad
Confidencialidad
Disponibilidad
Cumplimiento
Pag.44 44
www.isaca.org 44
The Risk IT Framework
Impacto al negocio
Perspectiva Financiera
Perspectiva del Cliente
Perspectiva Interna
Perspectiva de Aprendizaje y Crecimiento
Pag.45 45
www.isaca.org 45
The Risk IT Framework
Impacto al negocio
Valor de acciones
Cuota de mercado
Ingresos / Ganancias
Costo de capital
Satisfaccin del cliente
Impacto regulatorio
Recursos
Ventaja competitiva
Reputacin
Pag.46 46
www.isaca.org 46
The Risk IT Framework
Pag.47 47
www.isaca.org 47
The Risk IT Framework
Pag.48 48
www.isaca.org 48
The Risk IT Framework
Pag.49 49
www.isaca.org 49
Ejemplos
Pag.50 50
www.isaca.org 50
Ejemplo 1 - Identificacin
IDENTIFICADOR RIESGO
1 Uso no autorizado de equipos
2 Falla en equipos de telecomunicacin
3 Fallas de energa elctrica
4 Saturacin de Sistemas de Informacin
5 Infeccin por virus informtico
N Riesgo N
Pag.51 51
www.isaca.org 51
Ejemplo 1 - Identificacin
1. Fuego 26. Robo de equipo 49. Amenaza de bomba
2. Dao por agua 27. Recuperacin de medios reciclados 50. Bloqueo de instalaciones por
3. Contaminacin 28. Divulgacin de informacin manifestaciones pblicas
4. Accidentes graves 29. Recepcin de datos de fuentes no 51. Huelga
5. Destruccin de equipo o medios confiables 52. Impacto de aeronave
6. Terremoto /sismo /temblor 30. Manipulacin no autorizada de 53. Acciones de empleados
7. Deslave informacin descontentos contra la organizacin
8. Derrame qumico 31. Deteccin de ubicacin fsica 54. Infecciones por virus informtico y
9. Explosin 32. Falla de equipos cdigo malicioso
10. Incendio 33. Malfuncionamiento de equipos 55. Sabotaje
11. Epidemia 34. Saturacin de sistemas de 56. Hackers y otros agresores externos
12. Lluvias intensas informacin 57. Desconocimiento del usuario
13. Tormenta de Granizo 35. Malfuncionamiento de software 58. Agresores internos
14. Cicln tropical 36. Uso no autorizado de equipo 59. Phishing / Engaos intencionales
15. Inundacin 37. Copia fraudulenta de software 60. Spyware / Adware
16. Tormenta elctrica 38. Uso de software fraudulento 61. Insuficiencia de infraestructura de
17. Fallas en aire acondicionado 39. Corrupcin de datos seguridad
18. Fallas en provisin de agua 40. Procesamiento ilegal de datos 62. Software Deficiente
19. Fallas en equipos de 41. Errores humanos 63. Negligencia del usuario
telecomunicacin 42. Abuso de privilegios 64. Spam
20. Fallas de energa elctrica 43. Denegacin de acciones 65. Hardware Deficiente
21. Intercepcin de informacin 44. Repudio de transacciones 66. Interrupcin del negocio de
22. Espionaje remoto 45. Indisponibilidad del personal proveedores
23. Espionaje 46. Secuestro de funcionarios 67. Cambios significativos en el entorno
24. Robo de documentos 47. Chantaje econmico
25. Robo de medios de informacin 48. Terrorismo
Pag.52 52
www.isaca.org 52
Ejemplo 1 - Anlisis
Posibilidad de Ocurrencia Valor
Casi cierto 5
Muy posible 4
Posible 3
Raro 2
Casi imposible 1
Impacto Valor
Catastrfico 5
Mayor 4
Medio 3
Menor 2
Insignificante 1
Pag.53 53
www.isaca.org 53
Ejemplo 1 - Anlisis
1 Casi imposible
Insignificante
POSIBILIDAD
Muy posible
Catastrfico
Casi cierto
IMPACTO
Posible
Menor
Mayor
Medio
Raro
2
3
4
5
1
2
3
4
5
ID Evento de amenaza (riesgo)
1 Uso no autorizado de equipos
2 Falla en equipos de telecomunicacin
3 Fallas de energa elctrica
4 Saturacin de sistemas de informacin
5 Infeccin por virus informtico
N Riesgo N
Pag.54 54
www.isaca.org 54
Ejemplo 1 - Evaluacin
ID RIESGO P I R (P x I)
1 Uso no autorizado de equipos 2 3 6
2 Falla en equipos de telecomunicacin 4 4 16
3 Fallas de energa elctrica 4 3 12
4 Saturacin de Sistemas de Informacin 3 2 6
5 Infeccin por virus informtico 4 3 12
N Riesgo N 1 1 1
Pag.55 55
www.isaca.org 55
Ejemplo 1 - Evaluacin
ID RIESGO P I R (P x I) Prioridad
1 Uso no autorizado de equipos 2 3 6 3
2 Falla en equipos de telecomunicacin 4 4 16 1
3 Fallas de energa elctrica 4 3 12 2
4 Saturacin de Sistemas de Informacin 3 2 6 3
5 Infeccin por virus informtico 4 3 12 2
N Riesgo N 1 1 1 N
Pag.56 56
www.isaca.org 56
EMPRESA ABC
Control de operaciones
Catastrfico 5 6 7 8 9
4 5 6 7 8
2
Mayor
3 4 5 6 7
IMPACTO
Medio
1 5 3
2 3 4 5 6
4
Menor
1 2 3 4 5
Insignificante
Pag.57 57
www.isaca.org POSIBILIDAD 57
Ejemplo 2 - Identificacin
RIESGO
Impactos
Eventos
Activo
Amenazas
Vulnerabilidades
Pag.58 58
www.isaca.org 58
Ejemplo 2 - Identificacin
ACTIVO
Pag.59 59
www.isaca.org 59
Ejemplo 2 - Identificacin
VULNERABILIDADES
Pag.60 60
www.isaca.org 60
Ejemplo 2 - Identificacin
AMENAZAS
AGENTE
Pag.61 61
www.isaca.org 61
Ejemplo 2 - Identificacin
AMENAZAS
EVENTO
Pag.62 62
www.isaca.org 62
Ejemplo 2 - Identificacin
IMPACTO
Pag.63 63
www.isaca.org 63
Ejemplo 2 - Identificacin
Ejemplos de activos:
Sistemas
Aplicaciones
Personas
Mobiliario
Equipos de cmputo
Instalaciones
Documentos
Registros
Manuales Servicios
Directorios
Telfono Otros
Fax
Pag.64 64
www.isaca.org 64
Ejemplo 2 - Identificacin
Gente / Entidades
Procesos
Plataformas / S.O.
Red / Comunicaciones
Fsica / Instalaciones
Pag.65 65
www.isaca.org 65
Ejemplo 2 - Identificacin
Identificar vulnerabilidades
Inherentes al activo.
Relacionadas con la falta, insuficiencia,
inefectividad o fallas de los controles sobre el
activo.
Pag.66 66
www.isaca.org 66
Ejemplo 2 - Identificacin
V=Inflamable.
V=Almacenamiento desprotegido.
V=Consumible.
Pag.67 67
www.isaca.org 67
Ejemplo 2 - Identificacin
Identificar amenazas:
Naturales.
No intencionales.
Intencionales fsicas.
Intencionales no fsicas.
Pag.68 68
www.isaca.org 68
Ejemplo 2 - Identificacin
Ejemplos de amenazas:
Pag.69 69
www.isaca.org 69
Ejemplo 2 - Identificacin
El CENAPRED* (Mxico) clasifica las amenazas naturales en las
siguientes categoras:
Geolgicas Hidrometeorolgicas
Terremoto / sismo / temblor Precipitacin pluvial
Maremoto / tsunami Tormenta de granizo
Volcn Tormenta de nieve
Deslave Heladas
Cicln tropical
Qumicas Escurrimiento
Derrame Inundacin
Fuga Sequa
Explosin Erosin
Fuego / Incendio Viento
Marea de tormenta
Temperatura extrema
Sanitarias Humedad extrema
Contaminacin
Huracn / Tifn
Desertificacin
Tormenta elctrica
Epidemias
Tormenta de arena
Tornado
Otras Lluvia acida
Partculas de polvo
Pag.71 71
www.isaca.org 71
Ejemplo 2 - Identificacin
E=Incendio A=Fuego
V=Inflamable.
A=Facturas A=Empleado
V=Almacenamiento desprotegido. E=Robo
A=Visitantes
E=Uso A=Personal
V=Consumible.
A=Personal
V=Puede sufrir daos fsicos. E=Dao
A=Impresora
Pag.72 72
www.isaca.org 72
Ejemplo 2 - Anlisis
Valor de activo
Vulnerabilidad
Severidad
Exposicin
Amenaza (Agente y Evento)
Motivacin
Capacidad
Impacto
Posibilidad de Ocurrencia
Pag.73 73
www.isaca.org 73
Ejemplo 2 Anlisis (Vulnerabilidades)
Valor Severidad Exposicin
Severidad Menor: Se requiere una cantidad Exposicin Menor: Los efectos de la vulnerabilidad
significativa de recursos para explotar la son mnimos. No incrementa la probabilidad de que
1 vulnerabilidad y tiene poco potencial de prdida o vulnerabilidades adicionales sean explotadas.
dao en el activo.
Exposicin
Severidad
1 2 3
1 1 2 3
2 2 3 4
3 3 4 5
Pag.74 74
www.isaca.org 74
Ejemplo 2 Anlisis (Amenazas)
Valor Capacidad Motivacin
Motivacin
Capacidad
1 2 3
1 1 2 3
2 2 3 4
3 3 4 5
Pag.75 75
www.isaca.org 75
Ejemplo 2 Anlisis (Impacto)
Valor Descripcin
La brecha puede resultar en una prdida o dao serio, y los procesos del
3
negocio pueden verse afectados negativamente.
La brecha puede resultar en una prdida o dao serio, y los procesos del
4
negocio pueden fallar o interrumpirse.
Proceso Activo
Proceso 01 SISTEMA X
Proceso 28 RED
Facturacin FACTURAS
Pag.77 77
www.isaca.org 77
Ejemplo 2 - Anlisis
Proceso Activo
Proceso 01 SISTEMA X
Proceso 28 RED
Facturacin FACTURAS
Anlisis de vulnerabilidades
Vulnerabilidades Severidad Exposicin Valor3
V1-EXPOSICIN A VIRUS Y CDIGO MALICIOSO 3 3 5
V57-SUSCEPTIBILIDAD A FALLAS 2 3 4
V10 - ALMACENAMIENTO DESPROTEGIDO 2 3 4
Pag.78 78
www.isaca.org 78
Ejemplo 2 - Anlisis
Proceso Activo
Proceso 01 SISTEMA X
Proceso 28 RED
Facturacin FACTURAS
Anlisis de amenazas
Agentes de amenaza Eventos de amenaza Capacidad Motivacin Valor4
A1-VIRUS INFORMTICO E1-INFECCIN POR VIRUS INFORMTICO 3 3 5
A53-DISPERSORES DE AGUA E34-FALLA EN COMPONENTE DE TECNOLOGA 2 1 2
A3-VISITANTES E14 - ROBO 3 2 4
Pag.79 79
www.isaca.org 79
Ejemplo 2 - Anlisis
Proceso Activo
Proceso 01 SISTEMA X
Proceso 28 RED
Facturacin FACTURAS
Posibilidad
Pag.80 80
www.isaca.org 80
Ejemplo 2 - Evaluacin
Pag.81 81
www.isaca.org 81
Ejemplo 2 - Evaluacin
UMBRALES DE
LIMITE INFERIOR LMITE SUPERIOR
RIESGO
ALTO 751 1125
BAJO 1 375
Pag.82 82
www.isaca.org 82
Opciones de tratamiento
Fuente Opciones de tratamiento de riesgos de TI
Transferir
Risk IT Evitar Mitigar Aceptar ---
Compartir
Cambiar la
Evitar naturaleza y
magnitud de
Retener por Buscar una
ISO 31000 Remover la Compartir posibilidad
decisin oportunidad
fuente del
riesgo Cambiar las
consecuencias
Pag.83 83
www.isaca.org 83
Preguntas?
Pag.84 84
www.isaca.org 84
Gracias
mario.urena@secureit.com.mx
www.mariourenacuate.com
Pag.85 85
www.isaca.org 85
Bogot, Colombia
Marzo, 2010
Te esperamos!
86
www.isaca.org 86
International Conference 2010
Cancn,
Mxico
6 al 9 de Junio de 2010
Te esperamos!
87
www.isaca.org 87