Taller Gestion de Riesgos PDF

Taller de Gestión de Riesgos
Ing. CIP Maurice Frayssinet Delgado

LI 27001, LA 27001
Oficina Nacional de Gobierno Electrónico e Informática
Agenda
www.ongei.gob.pe
 Introducción
 Definiciones
 Enfoque a procesos
 ¿Que son los riesgos?
 Gestión del Riesgo
 Gestión de riesgos de seguridad de
la información
 Norma ISO/IEC 27005
 Norma ISO/IEC 31000
 Metodología de Gestión de Riesgos
 Taller practico
ONGEI - Seguridad de la Información

Introducción
Introducción
www.ongei.gob.pe
La gestión del Riesgo
• La gestión de riesgos (traducción del inglés Risk management)

es un enfoque estructurado para manejar la incertidumbre relativa
a una amenaza, a través de una secuencia de actividades.
• Las estrategias incluyen transferir el riesgo a otra parte, evadir el
riesgo, reducir los efectos negativos del riesgo y aceptar algunas
o todas las consecuencias de un riesgo particular.
• Algunas veces, el manejo de riesgos se centra en la contención
de riesgo por causas físicas o legales (por ejemplo, desastres
naturales o incendios, accidentes, muerte o demandas).
• Por otra parte, la gestión de riesgo financiero se enfoca en los
riesgos que pueden ser manejados usando instrumentos
financieros y comerciales

Definiciones
Definiciones
ISO/IEC GUÍA 73:2009 (1.1)
Riesgo:
Efecto de la incertidumbre sobre la
consecución de los objetivos.
NOTA 1 Un efecto es una desviación, positiva y/o negativa,
respecto a lo previsto.
NOTA 2 Los objetivos pueden tener diferentes aspectos

(tales como financieros, de salud y seguridad, o ambientales)
y se pueden aplicar a diferentes niveles (tales como, nivel
estratégico, nivel de un proyecto, de un producto, de un
proceso o de una organización completa).
NOTA 3 Con frecuencia, el riesgo se caracteriza por

referencia a sucesos potenciales y a sus consecuencias , o a
una combinación de ambos.
NOTA 4 Con frecuencia, el riesgo se expresa en términos de

combinación de las consecuencias de un suceso (incluyendo
los cambios en las circunstancias) y de su probabilidad
(3.6.1.1).
NOTA 5 La incertidumbre es el estado, incluso parcial, de

deficiencia en la información relativa a la comprensión o al
conocimiento de un suceso, de sus consecuencias o de su
probabilidad.

Definiciones
ISO/IEC GUÍA 73:2009 (2.1)
Gestión del riesgo:
Actividades coordinadas para dirigir y

controlar una organización en lo relativo
al riesgo.

Definiciones
ISO/IEC GUÍA 73:2009 (2.1.1, 2.1.2, 2.1.3))
Marco de trabajo de la gestión del riesgo:
Conjunto de elementos que proporcionan los
fundamentos y las disposiciones de la
organización para el diseño, la implantación, el
seguimiento, la revisión y la mejora continua de
la gestión del riesgo en toda la organización.
Política de gestión del riesgo:

Declaración de las intenciones y orientaciones
generales de una organización en relación con la
gestión del riesgo.
Plan de gestión del riesgo:

Esquema incluido en el marco de trabajo de la
gestión del riesgo que especifica el enfoque, los
componentes de gestión y los recursos a aplicar
para la gestión del riesgo).

Definiciones
ISO/IEC GUÍA 73:2009 (3.1)
Proceso de gestión del riesgo:

Aplicación sistemática de políticas,
procedimientos y prácticas de gestión a las
actividades de comunicación, consulta,
establecimiento del contexto, e
identificación, análisis, evaluación,
tratamiento, seguimiento y revisión del
riesgo.

Definiciones
ISO/IEC GUÍA 73:2009 (3.6.1, 3.6.1.1,3.6.1.2,3.6.1.5)
Análisis del riesgo:
Proceso que permite comprender la naturaleza
del riesgo y determinar el nivel de riesgo).
Probabilidad (likehood):
Posibilidad de que algún hecho se produzca.
Exposición:
Grado al que se somete una organización y/o
una parte interesada en caso de un suceso.
Consecuencia:
Resultado de un suceso que afecta a los
objetivos.
Frecuencia:
Número de sucesos o de efectos en una unidad
de tiempo definida.

Definiciones
ISO/IEC GUÍA 73:2009 (3.6.1.6,3.6.1.7,3.6.1.8)
Vulnerabilidad:
Propiedades intrínsecas de que algo
produzca como resultado una sensibilidad
a una fuente de riesgo que puede
conducir a un suceso con una
consecuencia .
Matriz de riesgo:
Herramienta que permite clasificar y
visualizar los riesgos , mediante la
definición de categorías de
consecuencias y de su probabilidad.
Nivel de riesgo:
Magnitud de un riesgo o combinación de
riesgos, expresados en términos de la
combinación de las consecuencias y de
su probabilidad.
Definiciones
ISO/IEC GUÍA 73:2009 (3.7.1,3.7.1.1,3.7.1.2)
Evaluación del riesgo:
Proceso de comparación de los resultados
del análisis del riesgo con los criterios
de riesgo para determinar si el riesgo y/o
su magnitud son aceptables o tolerables.
Actitud ante el riesgo:

Enfoque de la organización para apreciar
un riesgo y eventualmente buscarlo,
retenerlo, tomarlo o rechazarlo.
Apetito por el riesgo:

Cantidad y tipo de riesgo que una
organización está preparada para buscar o
retener.

Definiciones
ISO/IEC GUÍA 73:2009 (3.7.1.3,3.7.1.4,3.7.1.5,3.7.1.6)
Tolerancia al riesgo:
Disponibilidad de una organización o de las
partes interesadas para soportar el riesgo
después del tratamiento del riesgo con objeto
de conseguir sus objetivos.
Aversión al riesgo:
Actitud de rechazar el riesgo
Agregación de riesgos:
Combinación de un número de riesgos en un
solo riesgo para desarrollar una comprensión
más completa del riesgo general.
Aceptación del riesgo:

Decisión informada en favor de tomar un
riesgo particular.

Enfoque a
Procesos
Enfoque a procesos
ISO 9000 (2.4)
Cualquier actividad, o conjunto de
actividades, que utiliza recursos para
transformar elementos de entrada en
resultados puede considerarse como un
proceso.
Para que las organizaciones operen de
manera eficaz, tienen que identificar y
gestionar numerosos procesos
interrelacionados y que interactúan. A
menudo el resultado de un proceso
constituye directamente el
elemento de entrada del siguiente proceso.
La identificación y gestión sistemática de
los procesos empleados
en la organización y en particular las
interacciones entre tales procesos se
conoce como "enfoque basado en
procesos".

Enfoque a procesos
¿Qué es un proceso?
Un proceso es un conjunto de actividades recurrentes mediante

las cuales se transforma un grupo de entradas en un grupo de
salidas valiosas para un cliente (interno o externo)

Enfoque a procesos
Ejemplo de procesos
• Ventas
• Compras
• Producción
• Presupuesto
• Cierre Contable

Enfoque a procesos
Detalle de procesos
Gestión
MacroProcesos Logística

Enfoque a procesos
Ejemplo 1: Proceso Comercial (simple)
Estudiante que compra cuadernos en una librería
• Identificación del Cliente

• Identificación de las entradas del Proceso
• Identificación de las actividades principales del proceso
• Identificación de las salidas/resultados del proceso

Enfoque a procesos

Enfoque a procesos

Enfoque a procesos
Ejemplo 2: Proceso Abastecimiento
Requerimiento de compra de papel

para fabricar Cuadernos
Trabajo individual
5 minutos

Enfoque a procesos

Enfoque a procesos

Enfoque a procesos
Procesos y estructura
Los procesos atraviesan áreas o unidades (departamentos) dentro de una

empresa. Varias áreas o unidades de una empresa pueden realizar
actividades de un mismo proceso. Los procesos son anónimos.

Enfoque a procesos
Elementos de un Proceso
En todos los casos debemos:
1. Identificar el objetivo del proceso

2. Identificar el “cliente” (interno o externo)
3. Identificar el desde y el hasta (alcance)
4. Identificar las entradas
5. Definir los sub procesos, actividades, etapas,
etc. (Niveles de detalle)
6. Describirlos (presentando las interrelaciones)
7. Identificar las salidas

Enfoque a procesos
Ejemplo de elementos de un Proceso de compras
Objetivo: Gestionar las compras de insumos y materiales necesarios para
realizar las actividades de la empresa, en tiempo y forma, cumpliendo además
con las especificaciones de calidad, precios, fecha y lugar de entrega.
Entradas: Pedido de insumos de las distintas áreas de

la empresa
Actividades principales:
– Solicitar cotizaciones
– Seleccionar proveedor
– Recepcionar y controlar insumos
– Entregar insumos al Area solicitante de la empresa
– Pagar al Proveedor

Enfoque a procesos
Ejemplo de elementos de un Proceso de compras
Tareas de “Solicitar una cotización”:
– Buscar datos de los proveedores

– Completar el formulario de pedido de cotización
– Enviar por fax a cada proveedor
– Archivar el pedido de cotización
Pasos en la tarea de “Completar pedido de cotización”:
– Buscar la libreta de formularios de pedido de cotización

– Escribir la fecha
– Escribir el nombre del primer proveedor a consultar
– Especificar los datos de la mercadería
– Firmar el formulario
A diferencia de las tareas, los pasos no tienen resultados por sí mismos

Enfoque a procesos
Herramientas para la descripción de Procesos
Tabla de actividades por área interviniente

Enfoque a procesos
Representación gráfica (Flujograma)
Se sugiere usar notación BPM

Enfoque a procesos
Dibujogramas
Se sugiere usar notación BPM

Enfoque a procesos
Categorías de Procesos

Enfoque a procesos
Cadena de Valor
La CADENA de VALOR es una forma de representar al MODELO de PROCESOS
de la empresa

Enfoque a procesos
Mapa de Procesos

¿Que son los
riesgos?
¿Qué son los riesgos?
Riesgos Comunes

Peligro y Riesgo

Definición
• Riesgo se puede definir

como: “La exposición a las
consecuencias de la
incertidumbre”.
• La incertidumbre puede
originarse en factores
internos o externos.
• Riesgo es
la vulnerabilidad ante un
potencial perjuicio o daño
para las unidades,
personas, organizaciones o
entidades.
RIESGO = PROBABILIDAD X IMPACTO

Manera de expresar el riesgo

Escalas
Probabilidad Probabilidad Probabilidad
Peligro y Riesgo
1=Muy baja 0.01 a 0.33 = Baja Muy baja
2=Baja 0.34 a 0.66 = Media Baja
3=Mediana 0.67 a 1.00 = Alta Mediana
4=Alta Alta
5=Muy Alta Muy Alta

Gestión del
Riesgo
Gestión del Riesgo
Definición
• Es un proceso de toma de decisiones.

• Enfrentar eventos que afectan los objetivos
del negocio.
• Asegurar que las decisiones se implementan
en forma de controles.

Gestión del Riesgo
La gestión

Gestión del Riesgo
Sistema de Gestión
• Estructura conceptual formada por

diversos elementos (política,
procesos, recursos, estructura
organizacional, documentos).
• Los elementos están relacionados
de tal manera que permiten:
– Planificar
– Implementar
– Controlar y
– Tomar acción para la mejora continua.

Gestión del Riesgo
Evolución
• Instinto Natural.
• Gestión de Préstamos.
• Siglo 17: Primeros aseguradores, el riesgo como negocio.
• 1963: los profesores de la Universidad de Illinois, Robert Mehr and Bob
• Hedges, publican “Risk Management in the Business Enterprise”.
• Gestión de Riesgos = Gestión de Seguros (Riesgos Puros).
• 1970: riesgos financieros y de mercado. Enfoque de “silos”.
• 1980 y 1990: Gestión de riesgo parte de objetivos estratégicos y creación de valor
para el accionista.
• 2000: grandes fraudes Enron, WorldCom.
• Mayor enfoque en control financiero y contable, Gobierno Corporativo,
LeySabarnes-Oxley, COSO, FERMA, ANZI.
• Enfoque holístico, parte fundamental del planeamiento, estrategia y reporte de las
empresas. Surge el concepto EWRM.
• 2009: aparece ISO 31000 como norma unificada.

Gestión del Riesgo
Tipos de análisis de riesgos

Gestión del Riesgo
Tipos de análisis de riesgos

Gestión de riesgos de
seguridad de la
información
Gestión de Riesgo de la SI
Seguridad de la información ¿Por qué?
 Porque el negocio se sustenta a partir de la información que maneja.
 Porque no sólo es un tema “tecnológico”.
 Porque la seguridad de la información tiene un costo, pero la

inseguridad tiene un costo aún mayor.
 Principales fallas de seguridad

 Violaciones de seguridad que involucra a terceros - 25 %
 Errores de los empleados u omisiones - 20 %
 Adaptación tardía a nuevas tecnologías - 18 %
 Abuso del empleado de los sistemas e información de TI - 17 %
 Otros - 20%
Informe TMT Predicciones 2012 de Deloitte

Seguridad de la información ¿Por qué?
Seguridad de la Información: conjunto de medidas para

salvaguardar la información preservando su confidencialidad,
integridad y disponibilidad.

Activo de Información
• Activo de información: Los activos de información generan,

procesan y/o almacenan la información necesaria para la
operación y el cumplimiento de los objetivos de la compañía
 Tiene valor para la compañía.
• Existen varios tipos:
 Procesos
 Documentos físicos y electrónicos
 Software
 Hardware
 Personas

Riesgo de SI
• Riesgo de Seguridad de la
Información: El potencial de que
una amenaza dada explote las
vulnerabilidades de un activo o
grupo de activos, causando
pérdida o daño a la organización
[ISO/IEC 27005:2008]
• Combinación de la probabilidad
de un evento y sus consecuencias
[ISO/IEC 27002:2005]

Riesgo de SI

Principios o pilares de la SI
La siguientes son las atributos de seguridad
de la información:
• Confidencialidad: La información se revela

únicamente si así está estipulado, a
personas, procesos o entidades autorizadas
y en el momento autorizado.
• Integridad: La información es precisa,

coherente y completa desde su creación
INFORMACION hasta su destrucción.
DISPONIBILIDAD
• Disponibilidad: La información es accedida
por las personas o sistemas autorizados en
el momento y en el medio que se requiere.

Norma
ISO/IEC 27005
Norma ISO/IEC 27005
Definición
• ISO/IEC 27005 es el estándar internacional

que se ocupa de la gestión de riesgos de
seguridad de información.
• La norma suministra las directrices para la
gestión de riesgos de seguridad de la
información en una empresa, apoyando
particularmente los requisitos del sistema de
gestión de seguridad de la información
definidos en ISO 27001.
Norma ISO/IEC 27005
Definición
• ISO-27005 es aplicable a todo tipo de

organizaciones que tengan la intención de
gestionar los riesgos que puedan complicar la
seguridad de la información de su
organización.
• No recomienda una metodología concreta,
dependerá de una serie de factores, como el
alcance real del Sistema de Gestión de
Seguridad de la Información (SGSI), o el sector
comercial de la propia industria.
Norma ISO/IEC 27005
Estructura
Prefacio Admisión de Riesgos

Introducción Seguridad de la información.
Comunicación de riesgos de seguridad
Referencias normativas.
de información.
Términos y definiciones. Información de seguridad Seguimiento
Estructura.Fondo. de Riesgos y Revisión.
Descripción del proceso de ISRM. Anexo A: Definición del alcance del
Establecimiento Contexto. proceso.
Información sobre la evaluación de Anexo B: Valoración de activos y
riesgos de seguridad (ISRA). evaluación de impacto.
Tratamiento de Riesgos Seguridad de la Anexo C: Ejemplos de amenazas
Información. típicas.
Anexo D: Las vulnerabilidades y
métodos de evaluación de la
vulnerabilidad.
Anexo E: Enfoques ISRA

Norma ISO/IEC 27005
Procesos

Norma
ISO/IEC 31000
Norma ISO/IEC 31000
Definiciones
• La ISO 31000 es una norma internacional que ofrece las

directrices y principios para gestionar el riesgo de las
organizaciones.
• Esta norma fue publicada en noviembre del 2009 por la
Organización Internacional de Normalización (ISO) en
colaboración con IEC, y tiene por objetivo que organizaciones
de todos los tipos y tamaños puedan gestionar los riesgos en
la empresa de forma efectiva, por lo que recomienda que las
organizaciones desarrollen, implanten y mejoren
continuamente un marco de trabajo cuyo objetivo es integrar
el proceso de gestión de riesgos en cada una de sus
actividades.

Norma ISO/IEC 31000
Estructura
1. Alcance
2. Términos y definiciones
3. Principios
4. Framework
5. Procesos

Norma ISO/IEC 31000
Visión General

Norma ISO/IEC 31000
Procesos

Metodología de
Gestión de
Riesgos
Metodología de Gestión de Riesgo
Octave
http://www.cert.org/resilience/products-services/octave/
• OCTAVE (Operationally Critical Threat, Asset, and
Vulnerability Evaluation) se encuentra disponible
gratuitamente (en inglés) y es un conjunto de
herramientas, técnicas y métodos para desarrollar
análisis de riesgos basados en gestión y la planeación
estratégica de la organización.
• Son todas las acciones que necesitan ser llevadas a cabo
dentro de la organización para realizar la gestión de
activos, conocer posibles amenazas y evaluar
vulnerabilidades.

Magerit
https://www.ccn-cert.cni.es/publico/herramientas/pilar5/magerit/
MAGERIT es una metodología de Análisis
de Riesgos de carácter público elaborada
por el Ministerio de Administraciones
Públicas, siendo probablemente la
metodología más utilizada en España.
El nombre de MAGERIT responde a

"Metodología de Análisis y Gestión de
Riesgos de IT”, y es un método formal
orientado a activos, cuya misión es
descubrir los riesgos a los que se
encuentran expuestos nuestros sistemas
de información y recomendar las medidas
apropiadas que deberían adoptarse para
controlar estos riesgos.

Coso ERM
http://www.coso.org/-erm.htm
COSO ERM, incluye los métodos y procesos
utilizados por las organizaciones para gestionar los
riesgos y aprovechar las oportunidades relacionadas
con el logro de sus objetivos.
Coso ERM proporciona un marco para la gestión de
riesgos , que generalmente implica la identificación
de eventos o circunstancias particulares pertinentes
a los objetivos de la organización (riesgos y
oportunidades), la evaluación en términos de
probabilidad y la magnitud del impacto, que
determinan una estrategia de respuesta, y el
monitoreo del progreso.

La norma ISO/IEC 27001, no especifica
que se utilice una metodología de riesgos
en particular, de hecho usted puede crear
una propia, cumpliendo con lo estipulado
en la norma

Taller Practico
No olvide
Cuidado mucha información

esta en nuestros equipos
moviles ya mitigo este riesgo…

Muchas Gracias
Contacto:
Ing. CIP Maurice Frayssinet Delgado
mfrayssinet@gmail.com
Teléfono rpm # 963-985-125
www.ongei.gob.pe

Taller Gestion de Riesgos PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Taller Gestion de Riesgos PDF

Cargado por

Copyright:

Formatos disponibles

Taller de Gestión de Riesgos

Ing. CIP Maurice Frayssinet Delgado

ONGEI - Seguridad de la Información

La gestión del Riesgo

• La gestión de riesgos (traducción del inglés Risk management)

ONGEI - Seguridad de la Información

NOTA 2 Los objetivos pueden tener diferentes aspectos

NOTA 3 Con frecuencia, el riesgo se caracteriza por

NOTA 4 Con frecuencia, el riesgo se expresa en términos de

NOTA 5 La incertidumbre es el estado, incluso parcial, de

ONGEI - Seguridad de la Información

Gestión del riesgo:

Actividades coordinadas para dirigir y

ONGEI - Seguridad de la Información

Política de gestión del riesgo:

Plan de gestión del riesgo:

ONGEI - Seguridad de la Información

Proceso de gestión del riesgo:

ONGEI - Seguridad de la Información

ONGEI - Seguridad de la Información

Actitud ante el riesgo:

Apetito por el riesgo:

ONGEI - Seguridad de la Información

Aceptación del riesgo:

ONGEI - Seguridad de la Información

ONGEI - Seguridad de la Información

Un proceso es un conjunto de actividades recurrentes mediante

ONGEI - Seguridad de la Información

ONGEI - Seguridad de la Información

ONGEI - Seguridad de la Información

• Identificación del Cliente

ONGEI - Seguridad de la Información

ONGEI - Seguridad de la Información

ONGEI - Seguridad de la Información

Requerimiento de compra de papel

ONGEI - Seguridad de la Información

ONGEI - Seguridad de la Información

ONGEI - Seguridad de la Información

Los procesos atraviesan áreas o unidades (departamentos) dentro de una

ONGEI - Seguridad de la Información

En todos los casos debemos:

1. Identificar el objetivo del proceso

ONGEI - Seguridad de la Información

Entradas: Pedido de insumos de las distintas áreas de

ONGEI - Seguridad de la Información

Tareas de “Solicitar una cotización”:

– Buscar datos de los proveedores

Pasos en la tarea de “Completar pedido de cotización”:

– Buscar la libreta de formularios de pedido de cotización

A diferencia de las tareas, los pasos no tienen resultados por sí mismos

ONGEI - Seguridad de la Información

ONGEI - Seguridad de la Información

Se sugiere usar notación BPM

ONGEI - Seguridad de la Información

Se sugiere usar notación BPM

ONGEI - Seguridad de la Información

ONGEI - Seguridad de la Información

ONGEI - Seguridad de la Información

ONGEI - Seguridad de la Información

ONGEI - Seguridad de la Información

ONGEI - Seguridad de la Información

• Riesgo se puede definir

RIESGO = PROBABILIDAD X IMPACTO