Mario Ureña - Gestión de Riesgos con ISO31000

2.971 visualizaciones

Publicado el

BSI - Regional Business Forum

Gestión de Riesgos utilizando ISO31000

Publicado en: Empresariales
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
2.971
En SlideShare
0
De insertados
0
Número de insertados
783
Acciones
Compartido
0
Descargas
206
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Mario Ureña - Gestión de Riesgos con ISO31000

  1. 1. Regional Business Forum BSITítulo: Gestión de Riesgos con ISO 31000Por Mario Ureña Cuate, BSI 08 de Abril 2011CISSP, CISA, CISM, CGEIT, BS25999LA, ISO27001LA
  2. 2. INTRODUCCIÓN
  3. 3. Introducción México, D.F. 06 de Octubre de 2008 Empresa que cotiza en bolsa, 10 de Octubre de 2008 San Juan Ixhuatepec. 1984 México, D.F. 19 de Septiembre de 1985 Huracán Nora, Acapulco. 1997Bomba, México, D.F. 15 de Febrero de 2008 México, D.F. 04 de Noviembre de 2008 Fuente: SecureInformationTechnologies New York, USA. 11 de Septiembre de 2001 Inundación en Veracruz. 1999
  4. 4. Introducción
  5. 5. Introducción
  6. 6. Introducción
  7. 7. Seguridad de la Información - Amenazas Virus Hackers y otros agresores Desconocimiento del usuario Agresores internos Phishing / Engaños intencionales Spyware / Adware Informáticos Insuficiencia de infraestructura No informáticos Software deficiente Negligencia del usuario Spam Fallas de energía Hardware deficiente 0 50 100 150 200 250 300 350 400 450 Fuente: SecureInformationTechnologies – Estudio de Percepción 2010
  8. 8. Seguridad de la Información - Preocupaciones Privacidad / Confidencialidad Integridad / Confiabilidad Robo de identidad Pérdida de información Extracción de información Uso de banca electrónica Informáticos No informáticos Compras en línea Pornografía / Protección para … Internet Pirateria Accesos inalámbricos 0 50 100 150 200 250 300 Fuente: SecureInformationTechnologies – Estudio de Percepción 2010
  9. 9. Riesgos relacionados con desastresThe International Disaster Database www.emdat.be
  10. 10. Desastres ocurridos desde 1900 a la fecha St Vincent and The Grenadines Antigua and Barbuda Trinidad and Tobago Northern Mariana Is Netherlands Antilles Turks and Caicos Is St Kitts and Nevis Cayman Islands Dominican Rep French Guiana Virgin Is (UK) Virgin Is (US) Guadeloupe Montserrat Puerto Rico Martinique El Salvador Guatemala Venezuela Costa Rica Nicaragua Argentina Honduras Suriname Colombia Barbados Dominica Paraguay Bermuda Bahamas Uruguay Grenada Ecuador Panama Anguilla Jamaica Guyana St Lucia Mexico Bolivia Belize Brazil Cuba Total Chile Peru HaitiDesastres Complejos 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 2Sequía 1 1 2 0 0 0 0 9 15 0 2 1 3 6 0 1 3 5 0 0 0 4 2 7 9 3 0 6 0 0 4 0 1 6 8 1 0 0 0 0 0 0 1 1 0 0 116Actividad sísmica 0 0 5 0 1 0 0 3 2 0 27 23 13 2 1 2 16 10 0 0 1 12 0 1 6 1 1 27 0 0 9 0 4 0 39 1 0 1 0 0 1 0 0 8 0 0 257Epidemia 5 0 2 0 0 0 0 11 15 0 1 2 1 2 0 5 11 9 0 0 0 7 0 2 7 5 0 3 0 0 10 0 5 6 11 0 0 0 0 0 0 0 0 6 0 0 138Temperaturas Extremas 0 0 7 0 0 1 0 3 7 0 5 0 0 0 0 0 0 1 0 0 0 2 0 0 0 0 0 16 0 0 0 0 0 2 6 0 0 0 0 0 0 0 3 0 0 0 88Inundación 1 0 46 1 2 4 0 32 104 0 26 61 23 21 0 17 24 14 1 1 1 18 6 40 25 13 0 55 0 0 14 0 27 15 38 6 1 0 4 3 2 0 12 24 0 0 867Accidente Industrial 0 0 3 0 0 0 0 1 13 0 3 11 1 2 0 0 5 2 0 0 0 1 1 1 2 2 0 33 0 0 2 0 0 0 4 2 0 0 0 0 1 0 0 5 0 0 184Infestación (Insectos) 0 0 0 0 0 0 0 0 1 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 3Deslave (Seco) 0 0 0 0 0 0 0 0 0 0 0 3 0 0 0 0 1 0 0 0 0 2 0 0 1 1 0 0 0 0 0 0 0 0 2 0 0 0 0 0 0 0 0 0 0 0 18Deslave (Mojado) 0 0 3 0 0 0 0 5 23 0 4 35 1 0 0 0 11 2 0 0 0 6 1 2 1 1 0 10 0 0 1 0 0 0 30 2 0 1 0 0 1 0 0 4 0 0 148Accidentes Miscelaneos 0 0 6 0 1 1 0 0 22 0 5 10 2 1 0 2 4 3 0 1 0 5 4 13 5 1 0 14 0 0 2 0 6 1 10 2 0 0 0 0 2 0 0 7 0 0 228Tormenta 6 10 17 20 6 13 6 2 18 7 13 7 8 38 12 25 0 11 0 6 12 8 0 33 19 27 13 75 4 4 18 1 4 4 3 16 8 13 8 0 7 6 6 3 2 6 1062Accidente de transporte 1 0 19 3 0 1 2 27 99 0 10 45 2 20 1 12 20 6 0 0 2 24 0 29 8 1 0 72 0 1 3 0 8 2 104 7 0 0 0 3 0 2 5 29 0 0 788Actividad volcánica 0 0 2 0 0 0 0 0 0 0 6 11 6 0 0 0 10 1 0 0 1 11 0 0 0 0 1 10 4 0 5 0 0 0 2 0 0 0 3 0 1 0 0 0 0 0 76Incendios Forestales 0 0 5 0 0 0 0 3 3 0 6 2 2 2 0 3 2 0 0 0 0 2 0 0 1 0 0 3 0 0 3 0 1 1 1 0 0 0 0 0 0 0 0 0 0 0 118Total 14 11 117 24 10 20 8 96 322 7 108 212 62 94 14 67 107 64 1 8 17 102 14 128 84 55 15 324 8 5 72 1 57 37 259 37 9 15 15 6 15 8 27 87 2 6 4093
  11. 11. Republica Dom. El Salvador Costa Rica Argentina Honduras Colombia Uruguay Ecuador Panama Mexico Brazil PeruDesastres Complejos 0 0 0 0 0 0 0 0 0 1 0 0Sequía 2 15 1 3 1 3 5 9 6 1 8 1Actividad sísmica 5 2 23 13 2 16 10 6 27 4 39 0Epidemia 2 15 2 1 5 11 9 7 3 5 11 0Temperaturas Extremas 7 7 0 0 0 0 1 0 16 0 6 3Inundación 46 104 61 23 17 24 14 25 55 27 38 12Accidente Industrial 3 13 11 1 0 5 2 2 33 0 4 0Infestación (Insectos) 0 1 1 0 0 0 0 0 0 0 1 0Deslave (Seco) 0 0 3 0 0 1 0 1 0 0 2 0Deslave (Mojado) 3 23 35 1 0 11 2 1 10 0 30 0Accidentes Miscelaneos 6 22 10 2 2 4 3 5 14 6 10 0Tormenta 17 18 7 8 25 0 11 19 75 4 3 6Accidente de transporte 19 99 45 2 12 20 6 8 72 8 104 5Actividad volcánica 2 0 11 6 0 10 1 0 10 0 2 0Incendios Forestales 5 3 2 2 3 2 0 1 3 1 1 0
  12. 12. GESTIÓN DE RIESGOS EN LAS ORGANIZACIONES
  13. 13. Tipos de gestión de riesgos
  14. 14. Relaciones entre tipos de riesgos Riesgo de Riesgo de Riesgo de Continuidad Seguridad TI del Negocio de laInformación Riesgo Riesgo de Riesgo Financiero Proceso Operacional
  15. 15. Relaciones entre tipos de riesgos Riesgo de Riesgo de ContinuidadRiesgo de Tsunami del NegocioTerremoto Riesgo de Riesgo de Riesgo de daño a la Fallas en Emisiones salud de la Infraestructu Radioactivas población ra Nuclear
  16. 16. Análisis y evaluación de riesgosGranularidad:
  17. 17. Oferta de estándares y marcos de referenciaNota: Solo como referencia y no deberá considerarse como exhaustivo.Fuente: Secure Information Technologies
  18. 18. Oferta de estándares y marcos de referencia Directamente relacionados con la Gestión de RiesgosNota: Solo como referencia y no deberá considerarse como exhaustivo.Fuente: Secure Information Technologies
  19. 19. Oferta de estándares y marcos de referencia Requieren o se relacionan con la Gestión de RiesgosNota: Solo como referencia y no deberá considerarse como exhaustivo.Fuente: Secure Information Technologies
  20. 20. Oferta de estándares y marcos de referenciaNota: Solo como referencia y no deberá considerarse como exhaustivo.Fuente: Secure Information Technologies
  21. 21. GUÍA 73
  22. 22. Guía 73:2009Áreas cubiertas:- Términos relacionados con riesgo (1)- Términos relacionados con gestión de riesgos (4)- Términos relacionados con el proceso de gestión de riesgos (1)- Términos relacionados con la comunicación y consulta (3)- Términos relacionados con el contexto (4)- Términos relacionados con la evaluación de riesgos (assessment) (1)- Términos relacionados con la identificación de riesgos (6)- Términos relacionados con el análisis de riesgos (9)- Términos relacionados con la evaluación de riesgos (evaluation) (7)- Términos relacionados con el tratamiento de riesgos (8)- Términos relacionados con el monitoreo y medición (6)
  23. 23. ISO 31000
  24. 24. ISO 31000Gestión de Riesgos – Principios y GuíasEstándar internacionalPrimera edición – 15 de Noviembre de 2009Para organizaciones de cualquier tipo y tamaño
  25. 25. ISO 31000Puede ser aplicado a toda la organización, asícomo a funciones, proyectos y actividadesespecíficas.Cada sector específico debe tomar en cuentanecesidades individuales, audiencias,percepciones y criterios.
  26. 26. ISO 31000Provee principios y guías genéricas para la gestión deriesgos.Puede ser aplicado a cualquier tipo de riesgo,cualquiera que sea su naturaleza, ya sea que tengaconsecuencias positivas o negativas.No ha sido desarrollado con propósitos de certificación
  27. 27. RiesgoEfecto de la incertidumbre en los objetivos de la organización
  28. 28. ISO 31000• Enfoque de procesos• Basado en P-D-C-A• Cualquier organización• Cualquier tipo de riesgo
  29. 29. ISO 31000 - PRINCIPIOSISO 31000. La gestión de riesgos:a) crea y protege valorb) es una parte integral de los procesos de la organizaciónc) forma parte de la toma de decisionesd) explícitamente atiende la incertidumbree) es sistemática, estructurada y oportunaf) está basada en la mejor información disponibleg) está adaptada a la organizaciónh) toma en cuenta factores humanos y culturalesi) es transparente e inclusivaj) es dinámica, iterativa y responde al cambiok) facilita la mejora continua
  30. 30. ISO 31000 - COMPONENTES Compromiso de la gerencia Diseño del marco de referencia Mejora continua Implementar la gestión de riesgos Monitorear y revisar
  31. 31. ISO 31000 - PROCESO Inicio Establecer el contexto Comunicación y consulta Comunicación y consulta Monitoreo y revisión Identificación riesgos Análisis de riesgos Evaluación de riesgos Tratamiento de riesgos
  32. 32. ISO 31000 – Opciones de tratamientoa) Evitar el riesgo al decidir no iniciar o continuar con la actividadb) Tomar o incrementar el riesgo para perseguir una oportunidadc) Remover la fuente del riesgod) Modificar la posibilidade) Modificar las consecuenciasf) Compartir el riesgo con otra parteg) Retener el riesgo a través de una decisión informada
  33. 33. ISO 31000 – Estándares relacionadosISO 31000 Guide 73 ISO 31010 ISO 27005
  34. 34. ISO 27005
  35. 35. ISO 27005• Provee guías para la gestión de riesgos de seguridad de la información.• Soporta los principales conceptos especificados en ISO/IEC 27001 y ha sido diseñado para asistir en la implementación satisfactoria de seguridad de la información basada en un enfoque de gestión de riesgos.• Para un entendimiento completo de éste estándar, se requiere el conocimiento de los conceptos, modelos, procesos y terminologías descritas en ISO/IEC 27001.• Aplica a todo tipo de organización que intente gestionar riesgos que pudieran comprometer la seguridad de la información de la organización.
  36. 36. SISTEMAS DE GESTIÓN Y ESTÁNDARES ISO
  37. 37. ISO ISO 27001 BS 25999 ISO 9001 ISO 20000 ISO 14001 ISO 38500
  38. 38. LFPDPPP, SOX, Motivadores Desempeño Cumplimiento BASILEAII, Metas del negocio PCI. Gobierno Balanced ISO 31000 corporativo Scorecard Val IT COSO PMBOK / PRINCE2 Gobierno de TI COBIT / ISO 38500 ISO 27005 BS 25999 / PAS 99 CMMI Estándares y ISO 9001 ISO 20000 BS 25777 / BS 10012 mejores prácticas SGC SGSTI ISO 27001 ISO 22301 SGIP SSE-CMM SGSI SGCN Procedimientos Procedimientos Principios Practicas Procesos y procedimientos de desarrollo y de calidad ITIL de Seguridad DRII de protección mantenimiento (OECD) de datos InformationTechnologies 2011. DraftFuente: Mario Ureña – SecureInformation Information
  39. 39. OFERTA DE CAPACITACIÓN
  40. 40. Cursos BSI• Interpretación• Implementación• Auditor Interno• Auditor Líder**Con posibilidad de certificación
  41. 41. CAMINO A LACERTIFICACIÓN
  42. 42. Certificación • Pre-auditoría (opcional) • Revisión Documental Pre-certificación • Auditoría de CumplimientoEl Organismo de Certificación emite el Certificado • Auditorías de Seguimiento Post-certificación • Auditorías cada tres años
  43. 43. 43Contáctenos Nombre: Informes de Capacitación y Certificación Dirección: Oficina Ciudad de México Torre Mayor Paseo de la Reforma No.505 Piso 41 Suite C México, Distrito Federal Teléfono: +52 (55) 5241 1370 Fax: +52 (55) 5241 1371 Email: informacion.msmexico@bsigroup.com Links: www.bsigroup.com.mx
  44. 44. 44Contáctenos Nombre: Informes de Capacitación y Certificación BSI Dirección: Oficina Monterrey Torre Capitel Av. Lázaro Cárdenas No.1801 Piso 9 Suite 908 Monterrey, Nuevo León Teléfono: +52 (81) 8155 6100 Fax: +52 (81) 8155 6105 Email: informacion.msmexico@bsigroup.com Links: www.bsigroup.com.mx
  45. 45. 45 ContáctenosMiembro Mario Ureña, Nombre: CISSP, CISA, CISM, CGEIT, BS25999LA, ISO27001LA Posición: PresidenteAssociated Consultant Program Empresa: Secure Information Technologies Teléfono 1: (5255) 5524 8091 y 5524 7582 Celular: (5255) 1798-8155 Email: mario.urena@secureit.com.mx Web: www.secureit.com.mx Blog: www.mariourenacuate.com
  46. 46. Fin de la Presentación

×