GESTIN DE RIESGOS

CONTENIDOS
GRC
Riesgos
Riesgos y Oportunidades
Riesgos de TI
Cmo controlar los riesgos?
Riesgos asociados al desarrollo de sistemas
Proceso de administracin de riesgos
Audiencia del riesgo de TI

Las condiciones econmicas han generado

incertidumbre

Los negocios se manejan con un pie

en el acelerador y el otro en el freno

Qu es
GRC?

Enfoque GRC
GRC = Governance, Risk and Compliance por sus siglas en ingls
que significa (Gobierno, Riesgo y Cumplimiento)
GRC se orienta a integrar y transformar a las personas, procesos y
tecnologas que apoyan a las siguientes reas claves:
Gobierno: Estructuras, polticas, procesos y controles de la junta o
consejo directivo y la administracin, que estn enfocados en el valor a
largo plazo por medio de la operacin tica, equitativa, eficiente y
efectiva del negocio.
Administracin de riesgos: Proceso sistemtico de la compaa
para identificar , evaluar, administrar y monitorear tanto el incremento
como la disminucin de los riesgos de la compaa.

Enfoque GRC
Cumplimiento : Proceso de la compaa para demostrar que
sus empleados y otros se adhieren a las polticas y
procedimientos, leyes y regulaciones vigentes.
El propsito fundamental de GRC es la mejora organizacional
en trminos de inteligencia de riesgos y toma de decisiones a
travs de la transformacin de los procesos y actividades de
gobierno, administracin de riesgos y cumplimiento.

Enfoque GRC
Qu es Riesgo?

CATEGORA DE RIESGOS

CATEGORA DE RIESGOS
Riesgo de
Auditoria
El Riesgo en auditoria surge cuando el auditor expresa una
opinin errada en su informe, debido a que la informacin
suministrada a l estn afectados por una distorsin material
o normativa. En auditoria se conocen tres tipos de riesgos:
Inherente,
de Control y
de Deteccin.

CATEGORA DE RIESGOS
Riesgo de
Auditoria
a) Riesgo inherente, son errores que no se pueden prever.

CATEGORA DE RIESGOS
Riesgo de
Auditoria
b) El riesgo de control, los controles internos imperantes no
prevn o detectan fallas que se estn dando en los sistemas.
c) El riesgo de deteccin, estn relacionados con el trabajo
del auditor. ste en la utilizacin de los procedimientos de
auditora, no detecta errores en la informacin que le
suministran. Categora de Riesgos: Riesgo de Auditoria

Enfoque GRC: Qu es Riesgo?

Enfoque GRC: Qu es Riesgo?

La posibilidad de prdida o dao o

disminucin de la posibilidad de
beneficios causada por factores que
pueden
afectar
adversamente
la
realizacin
de
objetivos
de
una
organizacin

El problema empieza en el consejo directivo y

contina en las unidades de negocio

En dnde esta la conexin?

En dnde esta la conexin?

Por qu es importante GRC?

1. Protege y maximiza el valor de la accin, confiabilidad y prestigio de la organizacin.
2. Minimiza probabilidades de fraudes, incumplimientos y multas.
3. Minimiza sorpresas negativas. Minimiza perdidas por estas Sorpresas.
4. Proteccin de la fidelidad de los accionistas, socios de negocio, direccin y empleados.
5. Maximizacin de la buena intencin de los accionistas , socios de negocio, direccin y
empleados para con la organizacin.
6. Mejora competitiva por la capacidad de toma de decisiones oportuna sustentada en
informacin veraz.
7. Mejora en la velocidad y calidad de las transacciones de todos los involucrados para con la
empresa, debido a factores clave: confianza y buena voluntad.
8. Salvaguarda de los activos de la empresa.
9. Proteccin y estabilidad de empleo para los directivos y empleados de la organizacin.
10.Promocin de un mejor ambiente, de confianza y responsabilidad civil y transparencia de la
organizacin para con la sociedad. Lo cual conlleva a varios beneficios econmicos
encadenados

TI: Un mundo excntrico

Los riesgos de TI atienden fundamentalmente a sucesos
de alto impacto y baja (e incierta probabilidad).
Sucesos a priori poco importantes desencadenan efectos
aumentados por la complejidad intrnseca de los procesos.

Dnde estn los riesgos?

Las amenaza se han incrementado.

Debido a los gusanos y

otras amenazas, no
puedes dejar tus redes
abiertas a dispositivos y
usuarios no autorizados.

RIESGO Y OPORTUNIDAD

DINMICA GRUPAL

Ejemplifique, considerando a las TI tanto

como inhibidor como habilitador de valor
para el negocio (considere 3 ejemplos
como mnimo).

RIESGOS DE TI
Riesgo de negocio asociado con el uso, la propiedad,
operacin, participacin, influencia y adopcin de TI dentro
de una empresa.
Consiste en eventos relacionados con TI que pueden
potencialmente impactar el negocio.
Incluye tanto frecuencia y magnitud incierta.
Crea retos en alcanzar los objetivos y metas estratgicas
y en el aprovechamiento de las oportunidades.

RIESGOS DE TI

Riesgo =

Activos de
Informacin
Amenazas
Vulnerabilidad

Riesgos de Seguridad en Aplicaciones WEB

(OWASP)

Cmo controlar los riesgos?

Modelo de seguridad del ciclo de vida de desarrollo de software
CVDS(Verde a rojo incrementa el costo de remediacin)

Riesgos Asociados al desarrollo de

sistemas
El nuevo sistema no satisfaga las necesidades del
negocio, requerimientos y expectativas.
Riesgos durante el desarrollo de sistemas:
Proyecto
Proveedores
Organizacin
Externos

DINAMICA GRUPAL
CASO JETHRO
1. Identifique los Riesgos Asociados al desarrollo de
sistemas.
2. Identifique la situacin mas riesgosa que se puede
desencadenar si el sistema se construye tal cual lo
especifica Jethro.
3. Identifique controles que minimicen los riesgos de
desarrollo.

EVALUACIN DE RIESGOS

IDENTIFICACIN DE RIESGOS
Identificar riesgos puede ser
Demasiada Data
Bitcoras Complejas

Informes misteriosos

Encontrar una aguja en un pajar

RISK ASSESSMENT
(EVALUACIN DE RIESGOS)

ACTIVOS
Son Activos, los recursos del sistema de informacin o
relacionados con ste, necesarios para que la Organizacin
funcione correctamente y alcance los objetivos propuestos
por su direccin.
El activo esencial es la informacin que maneja el sistema;
o sea los datos. Y alrededor de estos datos se pueden
identificar otros activos relevantes:
Los servicios que se pueden prestar gracias a aquellos
datos, y los servicios que se necesitan para poder
gestionar dichos datos.
Las aplicaciones informticas (software) que permiten
manejar los datos.

ACTIVOS
Los equipos informticos (hardware) que permiten hospedar
datos, aplicaciones y servicios.
Los soportes de informacin que son dispositivos de
almacenamiento de datos.
El equipamiento auxiliar que complementa el material
informtico.
Las redes de comunicaciones que permiten intercambiar
datos.
Las instalaciones que acogen equipos informticos y de
comunicaciones.
Las personas que explotan u operan todos los elementos
anteriormente citados.

CLASIFICACIN DE ACTIVOS
En cada caso, hay que adaptarse a la Organizacin objeto del
anlisis. Con frecuencia se puede estructurar el conjunto de activos
en capas, donde las capas superiores dependen de las inferiores:
Capa 5
OTROS ACTIVOS
Capa 4
FUNCIONES DE LA ORGANIZACIN
Capa 3
INFORMACIN
Capa 2
SISTEMA DE INFORMACIN
Capa 1
ENTORNO

CLASIFICACIN DE ACTIVOS
Capa 1: el entorno: activos que se precisan para
garantizar las siguientes capas:
Equipamiento y suministros: energa, climatizacin,
comunicaciones
Personal: de direccin, de operacin, de desarrollo, etc.
Otros: edificios, mobiliario, etc.
Capa 2: el sistema de informacin propiamente dicho.

Equipos informticos (hardware)

Aplicaciones (software)
Comunicaciones
Soportes de informacin: discos, cintas, etc.

CLASIFICACIN DE ACTIVOS
Capa 3: la informacin
Datos
Meta-datos: estructuras, ndices, claves de cifra,
etc.
Capa 4: las funciones de la Organizacin, que
justifican la existencia del sistema de informacin
y le dan finalidad.
Objetivos y misin
Bienes y servicios producidos

CLASIFICACIN DE ACTIVOS
Capa 5: Otros Activos

Credibilidad o buena imagen

Conocimiento acumulado
Independencia de criterio o actuacin
Intimidad de las personas
Integridad fsica de las personas

Considerando la NTP 17799:2007

La clasificacin se realiza mediante el proceso siguiente:

Por Naturaleza
Por Ponderacin

CLASIFICACIN DE ACTIVOS

Clasificar
Por Naturaleza
Se determina la clase de Activo a la que pertenece:
Tangible, Intangible o Servicios de TI.
Esta clasificacin permite:
Identificar la cantidad de activos que posee la
empresa.
Identificar cul es la clase de activo ms importante
de la empresa.

 Por Ponderacin
La clasificacin por Ponderacin es la continuacin de la
Clasificacin por Naturaleza, ya que una vez identificado
que clase de activos posee la empresa, debemos hacer una
ponderacin de qu clase de activo es la ms importante.

CLASIFICACIN DE ACTIVOS

CLASIFICACIN DE ACTIVOS

DINMICA GRUPAL

DINAMICA GRUPAL
Organice los Activos de TI, segn las capas sugeridas para el caso
planteado:
Los Informales SAC hacen uso extensivo de transacciones comerciales
por internet. Sus aplicaciones y datos estn alojadas en servidores remotos
que son administrados por un proveedor. Los equipos de computo son
principalmente usados para ejecutar las aplicaciones alojadas en el
proveedor de servicios. Tambin cuentan con equipos de impresin que
son compartidos por los miembros de cada rea, enlazados por una red
local. Como ya se mencion, el proveedor de servicios, garantiza tiempos
de respuesta adecuados para la performance del software comercial.
La administracin y control de accesos del software, es responsabilidad del
proveedor. El proveedor de servicios da de alta y baja a los usuarios. Se
estableci un tiempo promedio de 3 das tanto para las altas como las
bajas.
La conexin de los usuarios a las instalaciones del proveedor de servicios
ser usando el servicio IPVPN. Como medio redundante, se cuenta con
conexin RDSI. Esto con la finalidad de mantener la continuidad de las
operaciones y no afectar la imagen de la empresa.
Como informacin sensible se esta considerando los datos del cliente
(Ventas, lnea de crdito entre otros).

VULNERABILIDAD
Debilidad de un activo o grupo de activos que pueden ser
explotados por una o ms amenazas (NTP-ISO/IEC 17799).
Potencialidad o posibilidad de ocurrencia de una amenaza
sobre un activo.

VULNERABILIDAD DEL ACTIVO

AMENAZA
Causa potencial de un incidente no deseado que puede
resultar en dao al sistema u organizacin (NTP-ISO/IEC 17799).
Eventos que pueden desencadenar un incidente en la
Organizacin, produciendo daos materiales o prdidas
inmateriales en sus activos.
Condicin del entorno del sistema de informacin que, dada
una oportunidad, podra dar lugar a que se produjese una
violacin de la seguridad.

AMENAZA
Las amenazas son cosas que ocurren. Y, de todo lo que
puede ocurrir, interesa lo que puede pasarle a nuestros
activos y causar un dao.
No todas las amenazas afectan a todos los activos, sino que
hay una cierta relacin entre el tipo de activo y lo que le
podra ocurrir.

NIVEL DE PROBABILIDAD

DINMICA GRUPAL
Para el caso planteado identifique:
Vulnerabilidades
Amenazas
Relacione Activos, Amenazas vs Vulnerabilidades

NIVEL DE RIESGO

PROCESO DE ADMINISTRACIN DE RIESGOS

PROCESO DE ADMINISTRACIN DE RIESGOS

PROCESO DE ADMINISTRACIN DE RIESGOS

Identificacin y clasificacin de los activos o recursos
de informacin que necesitan proteccin.
Evaluar amenazas, vulnerabilidades y la probabilidad
de ocurrencia.
Luego de establecer los elementos de riesgo, stos
son evaluados en conjunto para definir un panorama
general del riesgo.
El riesgo es proporcional al valor de la prdida o dao
y a la frecuencia estimada de la amenaza.

PROCESO DE ADMINISTRACIN DE RIESGOS

Una vez que los riesgos han sido identificados, pueden
evaluarse los controles existentes o los nuevos controles
para reducir la vulnerabilidad a un nivel aceptable de
riesgo.
El nivel remanente de riesgo, luego de aplicarse los
controles, es denominado riesgo residual y puede ser
utilizado por la gerencia para identificar aquellas reas en
las que se requiere mayor control para reducir an mas
los riesgos.

PROCESO DE MITIGACIN

Una vez que se desarroll la valoracin de los riesgos lo

que queda por hacer es un proceso de mitigacin de los
riesgos encontrados teniendo como prioridad los que
sean de mayor valoracin.

Proceso de Mitigacin

Audiencia del Framework de Riesgos de TI

Gracias