Analisis y Gestión de Riesgos de TI<br />Raul WexlerDirector<br />contacto@raulwexler.com.ar<br />
Desde 1970 hasta el 2010<br />G1 =Antes  Host (sistemamanejable, calidad era quefuncionara, y lasamenazaserannaturales). N...
Los sistemas de TI<br />Muchas veces los usuarios se quejan que los sistemas fallan<br />Cada falla va generando mas y mas...
Les tenemos una mala noticia<br />Los sistemas fallan, TODOS<br /><ul><li>Tambien el celular falla
Tambien el auto falla
Tambien  la TV falla
Tambien La energía eléctrica falla
Tambien los matrimonios fallan (son un sistema?)</li></li></ul><li>Entonces?<br />Se acepta convivir con sistemas que fall...
Escucho estas frases? Son síntomas<br />“¿Para que comprar un antivirus si con este gratuito no nos infectamos?”<br />“Per...
Que muestran estos síntomas?<br />Estrategia de seguridad informática deficiente o inexistente<br />Desconocimiento por pa...
Hablemos de seguridad<br />Los usuarios necesitan confiar en los sistemas<br />Que la informacion :<br />Este disponible c...
Sistemas de información<br />Antes: <br />Era cosa de unos pocos profesionales<br />Complejos y muy suyos<br />La segurida...
Objetivos de la seguridad<br />Mantener la disponibilidad de los datos<br />Contra la interrupción del servicio<br />Mante...
Asegurar todos los niveles<br />Información<br />Procesos<br />Aplicaciones<br />Sistema operativo<br />Hardware<br />Comu...
Madurez del manejo de SI<br />
Los jugadores<br />
Diferentes visiones<br />Los usuarios<br />Ven la seguridad como confianza<br />Los técnicos <br />Ven la seguridad como d...
Gestión de riesgos<br />
Análisis (potencial)<br />
Análisis (residual)<br />
El análisis de riesgos no es simple<br />Lleva tiempo…<br />Cuesta dinero…<br />No vale una vez y para siempre…<br />Mucho...
Porque una metodología?<br />La complejidad se ataca metódicamente<br />Una metodología es una aproximación sistemática<br...
Una vez realizado el análisis, que hacer con el riesgo?<br />Evitarlo<br />Si se puede, es lo ideal<br />Prescindir de act...
Toma de decisiones<br />
Aceptación del riesgo<br />Es una opción<br />Honrada y necesaria<br />Pero peligrosa<br />El análisis dirá cuan peligrosa...
Interés de un análisis de riesgos<br />Conciencia a los miembros de una organización<br />Dirección y Recursos Humanos<br ...
Ejemplos<br />
Análisis<br />Riesgo<br />Análisis de riesgos - Pasos<br />Determinar los activos relevantes para la Organización, sus dep...
D: Disponibilidad<br />I: Integridad<br />C: Continuidad<br />A: Autenticidad<br />T: Trazabilidad<br />Riesgo por dimensi...
Próxima SlideShare
Cargando en…5
×

Gestion de la Seguridad y Riesgo en Pymes

1.078 visualizaciones

Publicado el

Charla sobre la importancia para la gestion estrategica de Gestionar la Seguridad de la Informacion

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
1.078
En SlideShare
0
De insertados
0
Número de insertados
3
Acciones
Compartido
0
Descargas
52
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Gestion de la Seguridad y Riesgo en Pymes

  1. 1. Analisis y Gestión de Riesgos de TI<br />Raul WexlerDirector<br />contacto@raulwexler.com.ar<br />
  2. 2. Desde 1970 hasta el 2010<br />G1 =Antes Host (sistemamanejable, calidad era quefuncionara, y lasamenazaserannaturales). No se dependia de los sistemasparagenerarriqueza en unaexplotacioncomercialpequeña, eranusadosparamanejargrandesvolumenes de datos.(1970-1990)<br />G2 = cliente /Servidor (sistemacomplejo, mas o menospredecible en sucomportamiento, generador de informacionestrategicaparagestionar, aquilasamenazaseransobretodoaccidentales). Usar un sistema era masbienunaventajacompetitiva. Se podia organizar y gestionarestrategicamente. Sin embargo laspequeñasorganizacionestodaviapodiangestionar sin ellos en forma manual.(1980-2010)<br />G3 = Red (sistemaincierto, la calidadequivale a controlar el sistema el objetivoes la productividad de los usuarios, la informaciones un recursomuyvaliosoque genera riqueza. Las amenazas son sobretodointencionales. El mundoestainterconectado a traves de Internet y casitodaslasaccionestienequever con la Red.Casitodosucede en Tiempo Real. No se puedetenerexitocomercial sin ser parte de ellos. (2000-2010)<br />
  3. 3. Los sistemas de TI<br />Muchas veces los usuarios se quejan que los sistemas fallan<br />Cada falla va generando mas y mas desconfianza hacia los sistemas<br />La gerencia muchas veces dice…“..porque justo en mi empresa se producen fallas?, algo estamos haciendo mal..”<br />Algo de razón tienen…o no?<br />
  4. 4. Les tenemos una mala noticia<br />Los sistemas fallan, TODOS<br /><ul><li>Tambien el celular falla
  5. 5. Tambien el auto falla
  6. 6. Tambien la TV falla
  7. 7. Tambien La energía eléctrica falla
  8. 8. Tambien los matrimonios fallan (son un sistema?)</li></li></ul><li>Entonces?<br />Se acepta convivir con sistemas que fallan. El asunto no es tanto la ausencia de incidentes como la confianza en que están bajo control: se sabe qué puede pasar y se sabe qué hacer cuando pasa.<br />El temor a lo desconocido es el principal origen de la desconfianza y, en consecuencia se propone conocer para confiar: conocer los riesgos para poder afrontarlos y controlarlos.<br />No tenga en cuenta esto en su Matrimonio que aunque haya llegado a la conclusion que tambien es un sistema, no podemos asegurar que esto es aplicable<br />
  9. 9. Escucho estas frases? Son síntomas<br />“¿Para que comprar un antivirus si con este gratuito no nos infectamos?”<br />“Pero si compramos un antivirus…como nos vamos a infectar!!”<br />“Necesito me informe las razones por las cuales la empresa estuvo parada 2 hs! (con cara de pocos amigos)”<br />“No hay presupuesto, sigamos así…”<br />Quien tiene la culpa???<br />
  10. 10. Que muestran estos síntomas?<br />Estrategia de seguridad informática deficiente o inexistente<br />Desconocimiento por parte de los niveles directivos de cómo manejar los riesgos del área TI y su impacto en los objetivos del negocio.<br />
  11. 11. Hablemos de seguridad<br />Los usuarios necesitan confiar en los sistemas<br />Que la informacion :<br />Este disponible cuando se necesite<br />No se modifique sin control.<br />Se mantenga reservada a quienes necesitan conocerla<br />…la seguridad aspira a dar confianza<br />..en que los sistemas estarán listos para usarse<br />..en las alteraciones son imposibles o se detectan<br /> que la informacion permanece confidencial<br />En la medida en que la seguridad genere confianza, los usuarios querrán seguridad<br />
  12. 12. Sistemas de información<br />Antes: <br />Era cosa de unos pocos profesionales<br />Complejos y muy suyos<br />La seguridad no era un problema<br />Internet<br />Cambia todo<br />No hay equipos aislados<br />Los malos saben lo mismo que los buenos<br />Ahora<br />Las amenazas incluyen la naturaleza, la industria y el hombre<br />Los sistemas son excesivamente complejos como para que alguien en singular comprenda todos los detalles<br />
  13. 13. Objetivos de la seguridad<br />Mantener la disponibilidad de los datos<br />Contra la interrupción del servicio<br />Mantener la integridad de los datos<br />Contra las manipulaciones<br />Mantener la confidencialidad de los datos almacenados, procesados y transmitidos<br />Contra las filtraciones<br />Asegurar la identidad de origen y destino (autenticidad)<br />Frente al engaño<br />Trazabilidad<br />Para poder analizar, entender y perseguir al culpable<br />
  14. 14. Asegurar todos los niveles<br />Información<br />Procesos<br />Aplicaciones<br />Sistema operativo<br />Hardware<br />Comunicaciones<br />Soporte de información<br />Instalaciones<br />Personal<br />
  15. 15. Madurez del manejo de SI<br />
  16. 16. Los jugadores<br />
  17. 17. Diferentes visiones<br />Los usuarios<br />Ven la seguridad como confianza<br />Los técnicos <br />Ven la seguridad como dispositivos, software<br />Los atacantes ven la seguridad como<br />Aquello que impide sus objetivos<br />Los gerentes ven la seguridad como<br />Gestión de Riesgos<br />
  18. 18. Gestión de riesgos<br />
  19. 19. Análisis (potencial)<br />
  20. 20. Análisis (residual)<br />
  21. 21. El análisis de riesgos no es simple<br />Lleva tiempo…<br />Cuesta dinero…<br />No vale una vez y para siempre…<br />Muchos activos<br />Los sistemas son complejos<br />Muchos tipos de activos<br />Información, servicios<br />Equipamiento: aplicaciones, equipos, comunicaciones<br />Locales: sucursales, edificios, aéreas, campo<br />Personas: usuarios, operadores, desarrolladores<br />Muchas amenazas<br />Y muchas formas de llevarlas a cabo<br />Muchísimas salvaguardas<br />Gestión, técnicas, seguridad física, rrhh<br />
  22. 22. Porque una metodología?<br />La complejidad se ataca metódicamente<br />Una metodología es una aproximación sistemática<br />Para cubrir la mayor parte de lo que puede ocurrir<br />Para olvidar lo menos posible<br />Para explicar:<br />A los gerentes que se necesita de ellos<br />A los técnicos que se espera de ellos <br />A los usuarios<br />Que es un uso decente del sistema<br />Que es una respuesta urgente<br />Como se gestionan los incidentes<br />Una metodología necesita modelos<br />Elementos: activos, amenazas, salvaguardas<br />Métricas: impacto y riesgo<br />
  23. 23. Una vez realizado el análisis, que hacer con el riesgo?<br />Evitarlo<br />Si se puede, es lo ideal<br />Prescindir de activos<br />Reducirlo/Mitigarlo<br />Ocurre menos<br />Impacto limitado<br />Transferirlo<br />Se lo pasa a otra organización<br />Ya no es “mi problema”<br />Asumirlo/aceptarlo <br />Pasa a contabilizarse como gasto operacional<br />
  24. 24. Toma de decisiones<br />
  25. 25.
  26. 26. Aceptación del riesgo<br />Es una opción<br />Honrada y necesaria<br />Pero peligrosa<br />El análisis dirá cuan peligrosa<br />Debe ser tomada EXPLICITAMENTE por la Dirección<br />Nunca puede ser una decisión técnica<br />
  27. 27. Interés de un análisis de riesgos<br />Conciencia a los miembros de una organización<br />Dirección y Recursos Humanos<br />Identifica activos, amenazas y controles<br />Modelo de valor de la organización<br />Mapa de riesgos<br />Estado de riesgo<br />Base razonada para tomar decisiones<br />Justificación del gasto en SI<br />
  28. 28. Ejemplos<br />
  29. 29. Análisis<br />Riesgo<br />Análisis de riesgos - Pasos<br />Determinar los activos relevantes para la Organización, sus dependencias y su valor, en el sentido de qué perjuicio (costo) supondría su degradación<br />Determinar a qué amenazas están expuestos aquellos activos<br />Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo<br />Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza<br />Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza<br />
  30. 30. D: Disponibilidad<br />I: Integridad<br />C: Continuidad<br />A: Autenticidad<br />T: Trazabilidad<br />Riesgo por dimensión<br />
  31. 31. D: Disponibilidad<br />I: Integridad<br />C: Continuidad<br />A: Autenticidad<br />T: Trazabilidad<br />Riesgo por activo critico<br />
  32. 32. Riesgo por activo de bajo nivel<br />
  33. 33. Preguntas?<br />MUCHAS GRACIAS..!<br />

×