1. Regional Business Forum BSI
Título: Gestión de Riesgos con ISO 31000
Por Mario Ureña Cuate, BSI 08 de Abril 2011
CISSP, CISA, CISM, CGEIT, BS25999LA, ISO27001LA
3. Introducción
México, D.F. 06 de Octubre de 2008
Empresa que cotiza en bolsa,
10 de Octubre de 2008
San Juan Ixhuatepec. 1984
México, D.F. 19 de Septiembre de 1985
Huracán Nora, Acapulco. 1997
Bomba, México, D.F. 15 de Febrero de 2008 México, D.F. 04 de Noviembre de 2008
Fuente: SecureInformationTechnologies
New York, USA. 11 de Septiembre de 2001
Inundación en Veracruz. 1999
7. Seguridad de la Información - Amenazas
Virus
Hackers y otros agresores
Desconocimiento del usuario
Agresores internos
Phishing / Engaños intencionales
Spyware / Adware
Informáticos
Insuficiencia de infraestructura No informáticos
Software deficiente
Negligencia del usuario
Spam
Fallas de energía
Hardware deficiente
0 50 100 150 200 250 300 350 400 450
Fuente: SecureInformationTechnologies – Estudio de Percepción 2010
8. Seguridad de la Información - Preocupaciones
Privacidad / Confidencialidad
Integridad / Confiabilidad
Robo de identidad
Pérdida de información
Extracción de información
Uso de banca electrónica Informáticos
No informáticos
Compras en línea
Pornografía / Protección para …
Internet
Pirateria
Accesos inalámbricos
0 50 100 150 200 250 300
Fuente: SecureInformationTechnologies – Estudio de Percepción 2010
14. Relaciones entre tipos de riesgos
Riesgo de
Riesgo de Riesgo de Continuidad
Seguridad TI del Negocio
de la
Información
Riesgo
Riesgo de Riesgo Financiero
Proceso Operacional
15. Relaciones entre tipos de riesgos
Riesgo de
Riesgo de Continuidad
Riesgo de Tsunami del Negocio
Terremoto
Riesgo de
Riesgo de Riesgo de
daño a la
Fallas en Emisiones salud de la
Infraestructu Radioactivas población
ra Nuclear
17. Oferta de estándares y marcos de referencia
Nota: Solo como referencia y no deberá considerarse como exhaustivo.
Fuente: Secure Information Technologies
18. Oferta de estándares y marcos de referencia
Directamente relacionados
con la Gestión de Riesgos
Nota: Solo como referencia y no deberá considerarse como exhaustivo.
Fuente: Secure Information Technologies
19. Oferta de estándares y marcos de referencia
Requieren o se relacionan
con la Gestión de Riesgos
Nota: Solo como referencia y no deberá considerarse como exhaustivo.
Fuente: Secure Information Technologies
20. Oferta de estándares y marcos de referencia
Nota: Solo como referencia y no deberá considerarse como exhaustivo.
Fuente: Secure Information Technologies
22. Guía 73:2009
Áreas cubiertas:
- Términos relacionados con riesgo (1)
- Términos relacionados con gestión de riesgos (4)
- Términos relacionados con el proceso de gestión de riesgos (1)
- Términos relacionados con la comunicación y consulta (3)
- Términos relacionados con el contexto (4)
- Términos relacionados con la evaluación de riesgos (assessment) (1)
- Términos relacionados con la identificación de riesgos (6)
- Términos relacionados con el análisis de riesgos (9)
- Términos relacionados con la evaluación de riesgos (evaluation) (7)
- Términos relacionados con el tratamiento de riesgos (8)
- Términos relacionados con el monitoreo y medición (6)
24. ISO 31000
Gestión de Riesgos – Principios y Guías
Estándar internacional
Primera edición – 15 de Noviembre de 2009
Para organizaciones de cualquier tipo y tamaño
25. ISO 31000
Puede ser aplicado a toda la organización, así
como a funciones, proyectos y actividades
específicas.
Cada sector específico debe tomar en cuenta
necesidades individuales, audiencias,
percepciones y criterios.
26. ISO 31000
Provee principios y guías genéricas para la gestión de
riesgos.
Puede ser aplicado a cualquier tipo de riesgo,
cualquiera que sea su naturaleza, ya sea que tenga
consecuencias positivas o negativas.
No ha sido desarrollado con propósitos de certificación
28. ISO 31000
• Enfoque de
procesos
• Basado en
P-D-C-A
• Cualquier
organización
• Cualquier tipo
de riesgo
29. ISO 31000 - PRINCIPIOS
ISO 31000. La gestión de riesgos:
a) crea y protege valor
b) es una parte integral de los procesos de la organización
c) forma parte de la toma de decisiones
d) explícitamente atiende la incertidumbre
e) es sistemática, estructurada y oportuna
f) está basada en la mejor información disponible
g) está adaptada a la organización
h) toma en cuenta factores humanos y culturales
i) es transparente e inclusiva
j) es dinámica, iterativa y responde al cambio
k) facilita la mejora continua
30. ISO 31000 - COMPONENTES
Compromiso de la
gerencia
Diseño del marco de
referencia
Mejora continua Implementar la
gestión de riesgos
Monitorear y revisar
31. ISO 31000 - PROCESO
Inicio
Establecer el contexto
Comunicación y consulta
Comunicación y consulta
Monitoreo y revisión
Identificación riesgos
Análisis de riesgos
Evaluación de riesgos
Tratamiento de riesgos
32. ISO 31000 – Opciones de tratamiento
a) Evitar el riesgo al decidir no iniciar o continuar con la actividad
b) Tomar o incrementar el riesgo para perseguir una oportunidad
c) Remover la fuente del riesgo
d) Modificar la posibilidad
e) Modificar las consecuencias
f) Compartir el riesgo con otra parte
g) Retener el riesgo a través de una decisión informada
33. ISO 31000 – Estándares relacionados
ISO 31000 Guide 73 ISO 31010 ISO 27005
35. ISO 27005
• Provee guías para la gestión de riesgos de seguridad de la
información.
• Soporta los principales conceptos especificados en ISO/IEC 27001
y ha sido diseñado para asistir en la implementación satisfactoria de
seguridad de la información basada en un enfoque de gestión de
riesgos.
• Para un entendimiento completo de éste estándar, se requiere el
conocimiento de los conceptos, modelos, procesos y terminologías
descritas en ISO/IEC 27001.
• Aplica a todo tipo de organización que intente gestionar riesgos que
pudieran comprometer la seguridad de la información de la
organización.
37. ISO
ISO 27001
BS 25999 ISO 9001
ISO 20000 ISO 14001
ISO 38500
38. LFPDPPP, SOX,
Motivadores
Desempeño Cumplimiento BASILEAII,
Metas del negocio PCI.
Gobierno Balanced ISO 31000
corporativo Scorecard Val IT COSO
PMBOK / PRINCE2
Gobierno de TI COBIT / ISO 38500
ISO 27005 BS 25999 /
PAS 99
CMMI
Estándares y ISO 9001 ISO 20000 BS 25777 / BS 10012
mejores prácticas SGC SGSTI ISO 27001 ISO 22301 SGIP
SSE-CMM
SGSI SGCN
Procedimientos Procedimientos Principios Practicas
Procesos y
procedimientos de desarrollo y de calidad ITIL de Seguridad DRII de protección
mantenimiento (OECD) de datos
InformationTechnologies 2011. Draft
Fuente: Mario Ureña – SecureInformation
Information
42. Certificación
• Pre-auditoría (opcional)
• Revisión Documental Pre-certificación
• Auditoría de Cumplimiento
El Organismo de Certificación emite el Certificado
• Auditorías de Seguimiento
Post-certificación
• Auditorías cada tres años
43. 43
Contáctenos
Nombre: Informes de Capacitación y Certificación
Dirección: Oficina Ciudad de México
Torre Mayor
Paseo de la Reforma No.505 Piso 41 Suite C
México, Distrito Federal
Teléfono: +52 (55) 5241 1370
Fax: +52 (55) 5241 1371
Email: informacion.msmexico@bsigroup.com
Links: www.bsigroup.com.mx
44. 44
Contáctenos
Nombre: Informes de Capacitación y Certificación BSI
Dirección: Oficina Monterrey
Torre Capitel
Av. Lázaro Cárdenas No.1801 Piso 9 Suite 908
Monterrey, Nuevo León
Teléfono: +52 (81) 8155 6100
Fax: +52 (81) 8155 6105
Email: informacion.msmexico@bsigroup.com
Links: www.bsigroup.com.mx
45. 45
Contáctenos
Miembro
Mario Ureña,
Nombre: CISSP, CISA, CISM, CGEIT, BS25999LA, ISO27001LA
Posición: Presidente
Associated Consultant Program Empresa: Secure Information Technologies
Teléfono 1: (5255) 5524 8091 y 5524 7582
Celular: (5255) 1798-8155
Email: mario.urena@secureit.com.mx
Web: www.secureit.com.mx
Blog: www.mariourenacuate.com