Gestión de riesgos informáticos

Unidad:
Introducción, conceptos generales y contexto global.

Docente: Mercedes Bustos Díaz

Logro
Al finalizar la unidad el estudiante:

- Comprende el alcance general de la gerencia de proyectos

hacia la gestión de riesgos, valorando la importancia y el
significado del contexto actual.
- Revisa y entiende conceptos claves sobre la gestión del riesgo,
su tratamiento y clasificación en base a la norma ISO 27005.

Importancia
La gestión de riesgos es vital en la seguridad de la información
al prever impactos futuros a las empresas.

La gestión de riesgos requiere las llamadas “best practices”, por

ello el uso del estándar de la norma ISO 27005, que respalda y
asegura el éxito de la gestión.
Contenido general
• Riesgo, amenaza y vulnerabilidad

• Activos, clasificación

• Desastres y mitigación de riesgos

• Gestión del riesgo del proyecto - PMBOK

• Necesidad de administrar los riesgos

• Fuentes de riesgos en ambientes de TI.

• Clasificación de riesgos, riesgo cuantificables y no

cuantificables

• ISO 27005
Definición de Riesgo, amenaza y vulnerabilidad
 ¿Requerimos un
adecuado nivel
Video de seguridad en
Imagen los sistemas y
servicios
docente informáticos?
 SEGURIDAD SEGURIDAD
Video Estar libre y TI
exento de Conseguir
Imagen todo peligro,
daño o riesgo.
sistemas TI
seguros y
docente (RAE) confiables.
 RIESGO RIESGO TI
Video En general es
una exposición
Es la
probabilidad
Imagen a la adversidad
del entorno
que ocurra un
incidente de
donde hay seguridad.
docente posibilidad de
pérdidas.
 Situaciones de riesgos

Fraudes

Video
Imagen Sabotajes Desastres

docente
Otros
riesgos
 Principales riesgos TI/1

Manejo de TI interno, sin subcontrataciones.

Video Asociaciones con contrapartes, proyecto conjunto

con una organización externa (competidor/socio)
Imagen
docente Subcontratación de servicios, proveedores
externos de servicios.

Riesgos cibernéticos a cadenas de suministro,

interrupciones con ataques cibernéticos.
 Principales riesgos TI/2

Tecnologías disruptivas. Las nuevas tecnologías,

como las redes inteligente (confidencialidad)

Video
Imagen Infraestructura. Las sociedades y economías son
sustentadas por infraestructuras informáticas
(sistemas de electricidad o telecomunicaciones)
docente
Crisis externas. Riesgos fuera del sistema (pandemia
de malware).

Fuente: Reporte de Seguridad Informática por Zurich, una de las aseguradoras globales más importantes en el mundo
(Junio2014)
 ¿Qué es una amenaza?
Es la existencia latente de un peligro o acción, causada por diversos
factores, que provocarían un efecto negativo (daño/pérdida) sobre
algún activo informático.

Video
Imagen
docente

http://seguridadelinformatico.blogspot.pe/
 ¿Cuál sería el efecto negativo?
No tener….

Integridad

Video
Imagen Sistema Confidenciali-
Disponibilidad
docente seguro dad

Irrefutabilidad
 Tipos de Amenaza por su origen

Accidentales
(Acciones naturales,
Video técnicas o humanas)

Imagen
docente
Intencionales
(Acción humana)
Ejemplos de amenaza

Fallas comunicación. Fallas en la energía. Errores de usuarios. Errores personal TI.

(A/I) (A/I) (A/I) (A/I)

Fallas internos tanto

Ataques de hackers. Otras fallas (agua,
del hardware o
(I) fuego) (A)
software.(A/I)
 ¿Qué es una vulnerabilidad?
Debilidad existente en los activos y/o servicios informáticos, que
permiten que el daño o amenaza se materialice, lo cual causará un
impacto (pérdida) a la organización.

Video
Imagen
docente

http://janerojas.blogspot.pe/2014/11/riesgos-de-una-computadora-riesgo-es-la.html
 Riesgo
Una
Amenaza
se
materialice

Video
Riesgo es la
Imagen Utilizando
una
Vulnerabili
dad
probabilidad
que…
docente
Generando
un
Impacto
(pérdidas y
daños$)

Fuente: Organización Internacional por la Normalización (ISO).

Activos y su clasificación
 Activos
Video Recursos que
pertenecen o están
Imagen relacionados a los
sistemas y servicios
docente informáticos.
 Clasificación de los Activos/1

Datos e información (BD). Tipos de datos: económicos,

tributarios, clientes, proveedores, personal .

Video
Software (sistema operativo y aplicaciones)
Imagen
docente Hardware (servidores, equipos informáticos
principalmente)

Redes de comunicación(propias o subcontratadas).

 Clasificación de los Activos/2

Soporte. Dónde y como se almacena la información por

períodos y de forma permanente.

Video
Servicios. Soportan los procesos de negocios.(clientes
Imagen externos o usuarios internos).

docente Instalaciones. Lugares: oficinas, locales, etc.

Personal. Tanto de TI como del negocio (interno/terceros).

 Activos

Video Deben ser protegidos,

para ello es conveniente
inventariarlos (código,
Imagen nombre, descripción,
responsable, valor
docente económico, valor
cualitativo, importancia e
impacto).
Desastres y mitigación de riesgos
 ¿Estamos
¿Qué podemos
expuestos a
hacer?
riesgos en TI?

Video NO
1.Controlar y
mitigar para
reducirlo

Imagen 2.Asumirlo y no

docente SI hacer nada

(económico)

3.Transferirlo
(seguro)
 Riesgos comunes en proyectos de
sistemas /1

Datos (BD). Tipos de datos: económicos, tributarios,

clientes, proveedores, personal .
Video
Software (sistema operativo y aplicaciones)
Imagen
docente Hardware (servidores, equipos informáticos
principalmente)

Redes (comunicación).
 Riesgos comunes en proyectos de
sistemas /2

Soporte. Dónde y como se almacena la información

por períodos y/o de forma permanente.
Video
Servicios. Para clientes o usuarios internos.
Imagen
docente Instalaciones. Lugares: oficinas, locales, etc.

Personal. Tanto de TI como del negocio.

Gestión del riesgo del proyecto - PMBOK
 PMBOK
Video La guía del PMBOK
es desarrollada
Imagen por el Project
docente Management
Institute (PMI)
 Grupos de procesos para el
proyecto:

1.Iniciación 2.Planificación

Video
Imagen 4.Monitoreo y
3.Ejecución
Control
docente
5.Cierre
10 Áreas de Conocimiento. Gestión de:

1.Integración 8.Riesgos 9.Adquisiciones

2.Alcance 7.Comunicaciones 10.Interesados

3.Tiempo 6.RRHH

4.Costos 5.Calidad
Grupos de procesos de Gestión de Riesgos

3y4.Análisis cuantitativo
y cualitativo de los
1. Desarrollar el Plan de 2. Identificación de los
riesgos (actualizar el
gestión de riesgos riesgos para su registro.
registro, impacto,
probabilidad, prioridad)

5. Planificación de
6.Monitoreo y control de
respuestas a los riesgos
riesgos (nuevos riesgos y
(estrategia, propietario,
efectividad del proceso
plan contingencia,
de GR)
riesgos residuales)
Necesidad de administrar los riesgos
 Seguridad.
Video ¿Qué pasa en
el mundo y en
Imagen el Perú?
docente
 Estudio: 73 principales empresas
peruanas

Robo de información

Video
Video especial Chroma
Emails falsos,
Imagen Sospechosos

docente Fraude

Mal uso de la
información
confidencial
 Activo más
importante...
Video
Imagen ¡INFORMACIÓN!

docente
 ¿Qué es la
Video Seguridad de
la
Imagen información?
docente
 Son las medidas y best practices para
proteger la información

Integridad
(completa y
precisa)
Video
Imagen Disponibilidad
Sistema Confidenciali-
dad (personas
docente (uso) seguro autorizadas)

Irrefutabilidad
 ¿Es importante la
Seguridad de la
información?
Video Si, por ello es necesario
Imagen una adecuada
administración de sus
docente riesgos… y para ello
necesitamos….
 Una Política de
Seguridad de la
Video información(PSI), que
es el conjunto de
medidas, normas y
Imagen lineamientos y
controles para proteger
docente la información.
 PSI, es una buena practica y da
confianza a los…

Video Proveedores

Imagen
docente Clientes

Accionistas y
colaboradores
Fuentes de riesgos en ambientes de TI
 Fuentes de riesgo en TI /1

Cuentas y privilegios de
acceso (roles y
contraseñas compartidas)
Video Accesos físicos a los
Imagen
Video especial chroma ambientes

docente Ingeniería social (personal

de TI y usuarios)

Divulgación y mal uso de la

información confidencial
 Fuentes de riesgo en TI /2

Correo electrónico
(pishing, publicidad)

Video
Equipos móviles (wifi)
Imagen
Video especial chroma

docente Puertos y virus

informáticos

Internet (redes sociales,

troyanos,etc)
Clasificación de riesgos
 Tipos de Riesgo (PMBOK)

Riesgos
conocidos, son
Dar identificados y
respuesta y analizados para…
acciones

Video
Imagen Tipos de
riesgo
docente (PMBOK)

No se
gestionan Riesgos no
proactiva- conocidos, no
mente han podido ser
identificados….
 Otros tipos de riesgos (PMBOK)

Video
Riesgos positivos u Riesgos negativos o
Imagen oportunidades, hay amenazas, hay que
que explotarlas evitarlas
docente  aumentar su disminuir su
probabilidad probabilidad
 Clasificación de Riesgos/1

Riesgos Relación. Se
Riesgos de Integridad.
relacionan directamente a la
Video Autorización, completitud y
exactitud de la entrada,
procesamiento y reportes de
información de toma de
decisiones (Información y
datos correctos de una
Imagen las aplicaciones
aplicación)

docente Riesgos Accesos.

inapropiado acceso a
sistemas, datos e
información. (BD. App, redes,
física, etc)
 Clasificación de Riesgos/2

Riesgos en la infraestructura. No
existe una estructura tecnológica
efectiva (hardware, software, Riesgos de seguridad general.
Video redes, personas y procesos), para
soportar adecuadamente las
Riesgos de incendio, riesgos de
energía eléctrica, etc.
necesidades futuras y presentes
Imagen de los negocios.

docente Riesgos de utilidad.

Recuperación/restauración
usadas para minimizar la ruptura
de los sistemas. Backups y planes
de contingencia.
1.8 ISO 27005
 RIESGO
Fuente: Organización Internacional por la Normalización (ISO).

Una
Amenaza
se
materialice

Video
Imagen Utilizando
una
Vulnerabili
Riesgo es la
probabilidad
que…
docente
dad

Generando
un
Impacto
(pérdidas y
daños$)
 ISO 27000

Es un conjunto de estándares
desarrollados por ISO (International
Organization for Standardization) e IEC
Video (International
Electrotechnical Commission), que
Imagen proporcionan un marco de gestión de la
seguridad de la información utilizable
por cualquier tipo de organización.
docente Indica cómo puede una organización
implantar un sistema de gestión de
seguridad de la información (SGSI)
basado en ISO 27001.
 ISO 27000
27002.
27001. Guía que
Requisitos del sistema de describe los objetivos de
gestión de seguridad de la control en cuanto a
información seguridad
de la información.

Video
Imagen 27004
Especifica las métricas y las
técnicas de medida para
determinar
27003
Guía de implementación de
SGSI con el uso del
modelo PDCA

docente
la eficacia de un SGSI

27005
Establece las directrices
para la
gestión del riesgo en la
seguridad de la información.
 ISO 27005

Establece las directrices para la gestión

del riesgo en la seguridad de la
información.
Video Está diseñada para ayudar a la aplicación
satisfactoria de la seguridad de la
Imagen información basada en un enfoque de
gestión de riesgos.

docente Es aplicable a todo tipo de

organizaciones (por ejemplo, empresas
comerciales, agencias gubernamentales,
organizaciones sin fines de lucro)
El original en inglés puede adquirirse en
ISO.org.
 ISO 27000 ISO 27005
Video Marco de
gestión de la
Proporciona las
directrices para
Imagen seguridad de la
información
la gestión del
riesgo en la
(SGSI) seguridad de la
docente información.
 Contenido - ISO 27005

• Fundamentos del proceso de

gestión de riesgos
• Cómo evaluar y tratar los riesgos de
Video seguridad de la información.
• Evaluación de riesgos

Imagen • Tratamiento de riesgos

• Aceptación del riesgo

docente • Comunicación del riesgo

• Monitorización y revisión del riesgo
 Conceptos – ISO 27005
Apetito del riesgo (4)
(cuanto está dispuesta la
organización a arriesgar)

Video Riesgo residual

Imagen Matriz del riesgo

(3) (probabilidad e Conceptos
(5)
(riesgo remanente
impacto) luego de aplicar un
docente control)

Tolerancia al riesgo (5)

(riesgo manejable luego
de aplicar el control)
 ¿Estamos
Medidas a aplicar
expuestos a
a los riesgos (5)
riesgos en TI?

Video NO
1.Controlar y
mitigar para

Imagen reducirlo

docente SI
2.Asumirlo y no
hacer nada
(económico)

3.Transferirlo
(seguro)
 Procesos soportados - ISO 27005

1.Establecer contexto 4.Evaluar los riesgos

(Cuantificar el apetito
(inventario activos) del riesgo)

Video
5.Tratar los riesgos
Imagen 2.Identificar los riesgos
(amenazas y
(actualización de
controles y medidas
vulnerabilidades) contra el riesgo)
docente
3.Analizar los riesgos
(controles existentes, 6. Monitorea e informar
probabilidad y su (stakeholder)
impacto)
 Beneficios del uso del ISO 27000

Establecimiento de directrices para la gestión de la

seguridad de forma clara y estructurada.

Video Reducción del riesgo de pérdida, robo o corrupción

de información.

Imagen
Los riesgos y sus controles son continuamente
docente revisados.

Confianza de clientes y socios estratégicos por la

garantía de calidad y confidencialidad comercial.
 Beneficios del uso del ISO 27000

Imagen de empresa a nivel internacional y elemento

diferenciador de la competencia.

Video Confianza y reglas claras para las personas de la

organización.

Imagen
Aumento de la motivación y satisfacción del
docente personal.

Aumento de la seguridad en base a la gestión de

riesgos.
 Conclusiones
La seguridad es inherente a los procesos de información y del
negocio.

La seguridad absoluta no existe, de lo que se trata es de reducir el

riesgo a niveles asumibles.

Riesgo es la probabilidad que ocurra un incidente de seguridad.

El riesgo se determina conociendo las amenazas y vulnerabilidades

de los activos TI.

Los riesgos no se eliminan se mitigan.

Es una buena practica usar la Gestión del riesgo del PMBOK, para
todo proyecto de TI.

El estándar ISO 27005 nos ayuda a la aplicación satisfactoria de la

seguridad de la información basada en un enfoque de gestión de
riesgos.

Es una necesidad prioritaria gestionar / administrar los riesgos en TI.

 GraciasMercedes Bustos Díaz
Docente: