Taller de Gestión de Riesgos, como parte de la seguridad de la información es importante gestionar adecuadamente los riesgos. En este taller veremos los conceptos y enfoques de riesgos para seguridad de la información
1. Ing. CIP Maurice Frayssinet Delgado
LI 27001, LA 27001
Oficina Nacional de Gobierno Electrónico e Informática
Taller de Gestión de Riesgos
2. ONGEI - Seguridad de la Información
Agenda
www.ongei.gob.pe
Introducción
Definiciones
Enfoque a procesos
¿Que son los riesgos?
Gestión del Riesgo
Gestión de riesgos de seguridad de la información
Norma ISO/IEC 27005
Norma ISO/IEC 31000
Metodología de Gestión de Riesgos
Taller practico
4. ONGEI - Seguridad de la Información
•La gestión de riesgos (traducción del inglés Risk management) es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza, a través de una secuencia de actividades.
•Las estrategias incluyen transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas las consecuencias de un riesgo particular.
•Algunas veces, el manejo de riesgos se centra en la contención de riesgo por causas físicas o legales (por ejemplo, desastres naturales o incendios, accidentes, muerte o demandas).
•Por otra parte, la gestión de riesgo financiero se enfoca en los riesgos que pueden ser manejados usando instrumentos financieros y comerciales
La gestión del Riesgo
Introducción
www.ongei.gob.pe
6. ONGEI - Seguridad de la Información
Riesgo:
Efecto de la incertidumbre sobre la consecución de los objetivos.
NOTA 1 Un efecto es una desviación, positiva y/o negativa, respecto a lo previsto.
NOTA 2 Los objetivos pueden tener diferentes aspectos (tales como financieros, de salud y seguridad, o ambientales) y se pueden aplicar a diferentes niveles (tales como, nivel estratégico, nivel de un proyecto, de un producto, de un proceso o de una organización completa).
NOTA 3 Con frecuencia, el riesgo se caracteriza por referencia a sucesos potenciales y a sus consecuencias , o a una combinación de ambos.
NOTA 4 Con frecuencia, el riesgo se expresa en términos de combinación de las consecuencias de un suceso (incluyendo los cambios en las circunstancias) y de su probabilidad (3.6.1.1).
NOTA 5 La incertidumbre es el estado, incluso parcial, de deficiencia en la información relativa a la comprensión o al conocimiento de un suceso, de sus consecuencias o de su probabilidad.
Definiciones ISO/IEC GUÍA 73:2009 (1.1)
7. ONGEI - Seguridad de la Información
Gestión del riesgo:
Actividades coordinadas para dirigir y controlar una organización en lo relativo al riesgo.
Definiciones ISO/IEC GUÍA 73:2009 (2.1)
8. ONGEI - Seguridad de la Información
Marco de trabajo de la gestión del riesgo: Conjunto de elementos que proporcionan los fundamentos y las disposiciones de la organización para el diseño, la implantación, el seguimiento, la revisión y la mejora continua de la gestión del riesgo en toda la organización. Política de gestión del riesgo: Declaración de las intenciones y orientaciones generales de una organización en relación con la gestión del riesgo. Plan de gestión del riesgo: Esquema incluido en el marco de trabajo de la gestión del riesgo que especifica el enfoque, los componentes de gestión y los recursos a aplicar para la gestión del riesgo).
Definiciones
ISO/IEC GUÍA 73:2009 (2.1.1, 2.1.2, 2.1.3))
9. ONGEI - Seguridad de la Información
Proceso de gestión del riesgo:
Aplicación sistemática de políticas, procedimientos y prácticas de gestión a las actividades de comunicación, consulta, establecimiento del contexto, e identificación, análisis, evaluación, tratamiento, seguimiento y revisión del riesgo.
Definiciones
ISO/IEC GUÍA 73:2009 (3.1)
10. ONGEI - Seguridad de la Información
Análisis del riesgo: Proceso que permite comprender la naturaleza del riesgo y determinar el nivel de riesgo). Probabilidad (likehood): Posibilidad de que algún hecho se produzca. Exposición: Grado al que se somete una organización y/o una parte interesada en caso de un suceso. Consecuencia: Resultado de un suceso que afecta a los objetivos. Frecuencia: Número de sucesos o de efectos en una unidad de tiempo definida.
Definiciones
ISO/IEC GUÍA 73:2009 (3.6.1, 3.6.1.1,3.6.1.2,3.6.1.5)
11. ONGEI - Seguridad de la Información
Definiciones ISO/IEC GUÍA 73:2009 (3.6.1.6,3.6.1.7,3.6.1.8)
Vulnerabilidad: Propiedades intrínsecas de que algo produzca como resultado una sensibilidad a una fuente de riesgo que puede conducir a un suceso con una consecuencia . Matriz de riesgo: Herramienta que permite clasificar y visualizar los riesgos , mediante la definición de categorías de consecuencias y de su probabilidad. Nivel de riesgo: Magnitud de un riesgo o combinación de riesgos, expresados en términos de la combinación de las consecuencias y de su probabilidad.
12. ONGEI - Seguridad de la Información
Evaluación del riesgo:
Proceso de comparación de los resultados del análisis del riesgo con los criterios de riesgo para determinar si el riesgo y/o su magnitud son aceptables o tolerables.
Actitud ante el riesgo:
Enfoque de la organización para apreciar un riesgo y eventualmente buscarlo, retenerlo, tomarlo o rechazarlo.
Apetito por el riesgo:
Cantidad y tipo de riesgo que una organización está preparada para buscar o retener.
Definiciones
ISO/IEC GUÍA 73:2009 (3.7.1,3.7.1.1,3.7.1.2)
13. ONGEI - Seguridad de la Información
Tolerancia al riesgo:
Disponibilidad de una organización o de las partes interesadas para soportar el riesgo después del tratamiento del riesgo con objeto de conseguir sus objetivos.
Aversión al riesgo:
Actitud de rechazar el riesgo
Agregación de riesgos:
Combinación de un número de riesgos en un solo riesgo para desarrollar una comprensión más completa del riesgo general.
Aceptación del riesgo:
Decisión informada en favor de tomar un riesgo particular.
Definiciones ISO/IEC GUÍA 73:2009 (3.7.1.3,3.7.1.4,3.7.1.5,3.7.1.6)
15. ONGEI - Seguridad de la Información
Enfoque a procesos ISO 9000 (2.4)
Cualquier actividad, o conjunto de actividades, que utiliza recursos para transformar elementos de entrada en resultados puede considerarse como un proceso.
Para que las organizaciones operen de manera eficaz, tienen que identificar y gestionar numerosos procesos
interrelacionados y que interactúan. A menudo el resultado de un proceso constituye directamente el
elemento de entrada del siguiente proceso. La identificación y gestión sistemática de los procesos empleados
en la organización y en particular las interacciones entre tales procesos se conoce como "enfoque basado en
procesos".
16. ONGEI - Seguridad de la Información
Enfoque a procesos
¿Qué es un proceso?
Un proceso es un conjunto de actividades recurrentes mediante
las cuales se transforma un grupo de entradas en un grupo de
salidas valiosas para un cliente (interno o externo)
17. ONGEI - Seguridad de la Información
Enfoque a procesos Ejemplo de procesos
•Ventas
•Compras
•Producción
•Presupuesto
•Cierre Contable
18. ONGEI - Seguridad de la Información
Enfoque a procesos Detalle de procesos
MacroProcesos
Gestión Logística
19. ONGEI - Seguridad de la Información
Enfoque a procesos
Ejemplo 1: Proceso Comercial (simple)
Estudiante que compra cuadernos en una librería
•Identificación del Cliente
•Identificación de las entradas del Proceso
•Identificación de las actividades principales del proceso
•Identificación de las salidas/resultados del proceso
20. ONGEI - Seguridad de la Información
Enfoque a procesos Ejemplo 1: Proceso Comercial (simple)
21. ONGEI - Seguridad de la Información
Enfoque a procesos Ejemplo 1: Proceso Comercial (simple)
22. ONGEI - Seguridad de la Información
Enfoque a procesos Ejemplo 2: Proceso Abastecimiento
Requerimiento de compra de papel para fabricar Cuadernos
Trabajo individual
5 minutos
23. ONGEI - Seguridad de la Información
Enfoque a procesos
Ejemplo 2: Proceso Abastecimiento
24. ONGEI - Seguridad de la Información
Enfoque a procesos Ejemplo 2: Proceso Abastecimiento
25. ONGEI - Seguridad de la Información
Enfoque a procesos Procesos y estructura
Los procesos atraviesan áreas o unidades (departamentos) dentro de una empresa. Varias áreas o unidades de una empresa pueden realizar actividades de un mismo proceso. Los procesos son anónimos.
26. ONGEI - Seguridad de la Información
Enfoque a procesos Elementos de un Proceso
En todos los casos debemos: 1. Identificar el objetivo del proceso 2. Identificar el “cliente” (interno o externo) 3. Identificar el desde y el hasta (alcance) 4. Identificar las entradas 5. Definir los sub procesos, actividades, etapas, etc. (Niveles de detalle) 6. Describirlos (presentando las interrelaciones) 7. Identificar las salidas
27. ONGEI - Seguridad de la Información
Enfoque a procesos
Ejemplo de elementos de un Proceso de compras
Objetivo: Gestionar las compras de insumos y materiales necesarios para realizar las actividades de la empresa, en tiempo y forma, cumpliendo además con las especificaciones de calidad, precios, fecha y lugar de entrega.
Entradas: Pedido de insumos de las distintas áreas de la empresa Actividades principales: – Solicitar cotizaciones – Seleccionar proveedor – Recepcionar y controlar insumos – Entregar insumos al Area solicitante de la empresa – Pagar al Proveedor
28. ONGEI - Seguridad de la Información
Tareas de “Solicitar una cotización”: – Buscar datos de los proveedores – Completar el formulario de pedido de cotización – Enviar por fax a cada proveedor – Archivar el pedido de cotización Pasos en la tarea de “Completar pedido de cotización”: – Buscar la libreta de formularios de pedido de cotización – Escribir la fecha – Escribir el nombre del primer proveedor a consultar – Especificar los datos de la mercadería – Firmar el formulario
A diferencia de las tareas, los pasos no tienen resultados por sí mismos
Enfoque a procesos Ejemplo de elementos de un Proceso de compras
29. ONGEI - Seguridad de la Información
Enfoque a procesos Herramientas para la descripción de Procesos
Tabla de actividades por área interviniente
30. ONGEI - Seguridad de la Información
Se sugiere usar notación BPM
Enfoque a procesos Herramientas para la descripción de Procesos
Representación gráfica (Flujograma)
31. ONGEI - Seguridad de la Información
Se sugiere usar notación BPM
Enfoque a procesos Herramientas para la descripción de Procesos
Dibujogramas
32. ONGEI - Seguridad de la Información
Enfoque a procesos
Categorías de Procesos
33. ONGEI - Seguridad de la Información
La CADENA de VALOR es una forma de representar al MODELO de PROCESOS de la empresa
Enfoque a procesos Cadena de Valor
34. ONGEI - Seguridad de la Información
Enfoque a procesos Mapa de Procesos
40. ONGEI - Seguridad de la Información
¿Qué son los riesgos? Riesgos Comunes
41. ONGEI - Seguridad de la Información
¿Qué son los riesgos? Peligro y Riesgo
42. ONGEI - Seguridad de la Información
•Riesgo se puede definir como: “La exposición a las consecuencias de la incertidumbre”.
•La incertidumbre puede originarse en factores internos o externos.
•Riesgo es la vulnerabilidad ante un potencial perjuicio o daño para las unidades, personas, organizaciones o entidades.
RIESGO = PROBABILIDAD X IMPACTO
¿Qué son los riesgos? Definición
43. ONGEI - Seguridad de la Información
¿Qué son los riesgos?
Manera de expresar el riesgo
44. ONGEI - Seguridad de la Información
Probabilidad
1=Muy baja
2=Baja
3=Mediana
4=Alta
5=Muy Alta
Probabilidad
Muy baja
Baja
Mediana
Alta
Muy Alta
Probabilidad
0.01 a 0.33 = Baja
0.34 a 0.66 = Media
0.67 a 1.00 = Alta
¿Qué son los riesgos?
Peligro y Riesgo
¿Qué son los riesgos? Escalas
46. ONGEI - Seguridad de la Información
Gestión del Riesgo
Definición
•Es un proceso de toma de decisiones.
•Enfrentar eventos que afectan los objetivos del negocio.
•Asegurar que las decisiones se implementan en forma de controles.
48. ONGEI - Seguridad de la Información
•Estructura conceptual formada por diversos elementos (política, procesos, recursos, estructura organizacional, documentos).
•Los elementos están relacionados de tal manera que permiten:
–Planificar
–Implementar
–Controlar y
–Tomar acción para la mejora continua.
Gestión del Riesgo Sistema de Gestión
49. ONGEI - Seguridad de la Información
•Instinto Natural.
•Gestión de Préstamos.
•Siglo 17: Primeros aseguradores, el riesgo como negocio.
•1963: los profesores de la Universidad de Illinois, Robert Mehr and Bob
•Hedges, publican “Risk Management in the Business Enterprise”.
•Gestión de Riesgos = Gestión de Seguros (Riesgos Puros).
•1970: riesgos financieros y de mercado. Enfoque de “silos”.
•1980 y 1990: Gestión de riesgo parte de objetivos estratégicos y creación de valor para el accionista.
•2000: grandes fraudes Enron, WorldCom.
•Mayor enfoque en control financiero y contable, Gobierno Corporativo, LeySabarnes-Oxley, COSO, FERMA, ANZI.
•Enfoque holístico, parte fundamental del planeamiento, estrategia y reporte de las empresas. Surge el concepto EWRM.
•2009: aparece ISO 31000 como norma unificada.
Gestión del Riesgo
Evolución
50. ONGEI - Seguridad de la Información
Gestión del Riesgo Tipos de análisis de riesgos
51. ONGEI - Seguridad de la Información
Gestión del Riesgo
Tipos de análisis de riesgos
53. ONGEI - Seguridad de la Información
Porque el negocio se sustenta a partir de la información que maneja.
Porque no sólo es un tema “tecnológico”.
Porque la seguridad de la información tiene un costo, pero la inseguridad tiene un costo aún mayor.
Principales fallas de seguridad
Violaciones de seguridad que involucra a terceros - 25 %
Errores de los empleados u omisiones - 20 %
Adaptación tardía a nuevas tecnologías - 18 %
Abuso del empleado de los sistemas e información de TI - 17 %
Otros - 20%
Informe TMT Predicciones 2012 de Deloitte
Gestión de Riesgo de la SI Seguridad de la información ¿Por qué?
54. ONGEI - Seguridad de la Información
Seguridad de la Información: conjunto de medidas para salvaguardar la información preservando su confidencialidad, integridad y disponibilidad.
Gestión de Riesgo de la SI Seguridad de la información ¿Por qué?
55. ONGEI - Seguridad de la Información
•Activo de información: Los activos de información generan, procesan y/o almacenan la información necesaria para la operación y el cumplimiento de los objetivos de la compañía
Tiene valor para la compañía.
•Existen varios tipos:
Procesos
Documentos físicos y electrónicos
Software
Hardware
Personas
Gestión de Riesgo de la SI
Activo de Información
56. ONGEI - Seguridad de la Información
•Riesgo de Seguridad de la Información: El potencial de que una amenaza dada explote las vulnerabilidades de un activo o grupo de activos, causando pérdida o daño a la organización [ISO/IEC 27005:2008]
•Combinación de la probabilidad de un evento y sus consecuencias [ISO/IEC 27002:2005]
Gestión de Riesgo de la SI
Riesgo de SI
57. ONGEI - Seguridad de la Información
Gestión de Riesgo de la SI
Riesgo de SI
58. ONGEI - Seguridad de la Información
La siguientes son las atributos de seguridad de la información:
•Confidencialidad: La información se revela únicamente si así está estipulado, a personas, procesos o entidades autorizadas y en el momento autorizado.
•Integridad: La información es precisa, coherente y completa desde su creación hasta su destrucción.
•Disponibilidad: La información es accedida por las personas o sistemas autorizados en el momento y en el medio que se requiere.
DISPONIBILIDAD
INFORMACION
Gestión de Riesgo de la SI
Principios o pilares de la SI
60. ONGEI - Seguridad de la Información
•ISO/IEC 27005 es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información.
•La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001.
Norma ISO/IEC 27005
Definición
61. ONGEI - Seguridad de la Información
•ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización.
•No recomienda una metodología concreta, dependerá de una serie de factores, como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria.
Norma ISO/IEC 27005
Definición
62. ONGEI - Seguridad de la Información
Prefacio
Introducción Referencias normativas. Términos y definiciones. Estructura.Fondo. Descripción del proceso de ISRM. Establecimiento Contexto. Información sobre la evaluación de riesgos de seguridad (ISRA). Tratamiento de Riesgos Seguridad de la Información.
Admisión de Riesgos Seguridad de la información. Comunicación de riesgos de seguridad de información. Información de seguridad Seguimiento de Riesgos y Revisión. Anexo A: Definición del alcance del proceso. Anexo B: Valoración de activos y evaluación de impacto. Anexo C: Ejemplos de amenazas típicas.
Anexo D: Las vulnerabilidades y métodos de evaluación de la vulnerabilidad.
Anexo E: Enfoques ISRA
Norma ISO/IEC 27005 Estructura
65. ONGEI - Seguridad de la Información
•La ISO 31000 es una norma internacional que ofrece las directrices y principios para gestionar el riesgo de las organizaciones.
•Esta norma fue publicada en noviembre del 2009 por la Organización Internacional de Normalización (ISO) en colaboración con IEC, y tiene por objetivo que organizaciones de todos los tipos y tamaños puedan gestionar los riesgos en la empresa de forma efectiva, por lo que recomienda que las organizaciones desarrollen, implanten y mejoren continuamente un marco de trabajo cuyo objetivo es integrar el proceso de gestión de riesgos en cada una de sus actividades.
Norma ISO/IEC 31000
Definiciones
66. ONGEI - Seguridad de la Información
1.Alcance
2.Términos y definiciones
3.Principios
4.Framework
5.Procesos
Norma ISO/IEC 31000
Estructura
67. ONGEI - Seguridad de la Información
Norma ISO/IEC 31000 Visión General
70. ONGEI - Seguridad de la Información
Metodología de Gestión de Riesgo Octave
•OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) se encuentra disponible gratuitamente (en inglés) y es un conjunto de herramientas, técnicas y métodos para desarrollar análisis de riesgos basados en gestión y la planeación estratégica de la organización.
•Son todas las acciones que necesitan ser llevadas a cabo dentro de la organización para realizar la gestión de activos, conocer posibles amenazas y evaluar vulnerabilidades.
http://www.cert.org/resilience/products-services/octave/
71. ONGEI - Seguridad de la Información
Metodología de Gestión de Riesgo Magerit
MAGERIT es una metodología de Análisis de Riesgos de carácter público elaborada por el Ministerio de Administraciones Públicas, siendo probablemente la metodología más utilizada en España. El nombre de MAGERIT responde a "Metodología de Análisis y Gestión de Riesgos de IT”, y es un método formal orientado a activos, cuya misión es descubrir los riesgos a los que se encuentran expuestos nuestros sistemas de información y recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos.
https://www.ccn-cert.cni.es/publico/herramientas/pilar5/magerit/
72. ONGEI - Seguridad de la Información
COSO ERM, incluye los métodos y procesos utilizados por las organizaciones para gestionar los riesgos y aprovechar las oportunidades relacionadas con el logro de sus objetivos.
Coso ERM proporciona un marco para la gestión de riesgos , que generalmente implica la identificación de eventos o circunstancias particulares pertinentes a los objetivos de la organización (riesgos y oportunidades), la evaluación en términos de probabilidad y la magnitud del impacto, que determinan una estrategia de respuesta, y el monitoreo del progreso.
Metodología de Gestión de Riesgo Coso ERM
http://www.coso.org/-erm.htm
73. ONGEI - Seguridad de la Información
La norma ISO/IEC 27001, no especifica que se utilice una metodología de riesgos en particular, de hecho usted puede crear una propia, cumpliendo con lo estipulado en la norma