CISObeat | Lecciones Aprendidas Sobre la Gestión de Riesgos (ISACA Lima Chapter)

POSTMODERNIDAD APLICADA: LECCIONES SOBRE LA GESTIÓN DE RIESGOS Y LA TECNOLOGÍA EN NUESTRO TIEMPO
EMPEZAMOS EN
UNOS MINUTOS!

Prof. Daniel Santos Llanos
CISA CSX LA27001
Auditor de Tecnologías de Información
Banco Central de Reserva del Perú (BCRP)

Certificaciones
SOBRE EL PRESENTADOR
Daniel Santos Llanos
Ingeniero Informático – PUCP
CIP205017
linkedin.com/in/danielsantosl
Experiencia
• 2011 - 2012. Auditoría Externa
• 2012 - 2017. Consultoría
• 2017 - 2019. Auditoría Interna
Ponencias

SOBRE EL AUDITORIO
Especialistas
• Seguridad de la Información
• Seguridad Informática
• Infraestructura TI
• Continuidad de
Negocio
• Forense
• Auditoría
• Gobierno de TI
• Cumplimiento
• Sistemas de
Gestión
• Desarrollo
• Calidad

POSTMODERNIDAD APLICADA
Lecciones sobre la Gestión de Riesgos
y la Tecnología en nuestro tiempo
POSTMODERNIDAD
Gestión de
RiesgosTecnología
Filosofía Historia
Sociedad
Evolución
Objetividad
Multidisciplinaridad
MetodologíaEficacia
Seguridad

I. FUNDAMENTOS

TECNOLOGÍA
Inteligencia Artificial
Comandos de voz
Entorno
tecnológico
Criptomonedas
Delivery Drone
(Unmanned Aerial Vehicle - UAV)
Transformación Digital
Webinars
Bring Your Own Device (BYOD)
Blockchain
Big Data
Cloud Computing
Bots
Realidad Aumentada
Internet Of Things (IOT)
Domótica
5G
Community ManagerImpresión 3D
Vigilancia Masiva
Robótica
Nanotecnología
Redes Sociales
Massive Online Open Courses
(MOOC)
Machine Learning

TECNOLOGÍA
5g
Impresión 3D
Inteligencia
Artificial
Drones
BYOD

TECNOLOGÍA
Entorno de
riesgos TI
Hacktivismo
Trolls Insiders
Ransomware
Shadow IT
Ciberataques
(-espionaje)
(-terrorismo)
(-guerra)
(-crimen)
Dilemas
transhumanistas
Emulación de
identidad
(-imagen)
(-voz)
(-biometría)
Usurpación de
identidad
Hacking as
a service
(HaaS)
Virus
Metamórficos
(2020)

GESTIÓN DE RIESGOS
ISO27001
¿Gobernar los riesgos de estas
“nuevas” tecnologías?
Sistema de Gestión de
Seguridad de Información

GESTIÓN DE RIESGOS
27001:2008 27001:2013
Punto de partida:
Inventario de Activos
Punto de partida:
Establecer el Contexto
27005:2008
El cambio de paradigma de la ISO 27001
Guía para la Gestión de
Riesgos en seguridad de
información
(Propietarios de Activos)
31000:2018
Seguridad de Información -
Requisitos
Seguridad de Información -
Requisitos
Guía para la Gestión de
Riesgos
(Propietarios de Riesgos)
?

GESTIÓN DE RIESGOS
ISO31000:2018 - 5.4.1
Entendiendo la organización y su contexto
El examen del contexto externo de la organización puede incluir, entre otros:
- los factores sociales, culturales, políticos, legales, regulatorios, financieros, tecnológicos, económicos y ambientales, ya
sean internacionales, nacionales, regionales o locales;
- impulsores clave y tendencias que afectan los objetivos de la organización;
- relaciones, percepciones, valores, necesidades y expectativas de las partes interesadas externas;
- relaciones contractuales y compromisos;
- la complejidad de redes y dependencias.
El examen del contexto interno de la organización puede incluir, entre otros:
- visión, misión y valores;
- gobierno, estructura organizacional, roles y responsabilidades;
- estrategia, objetivos y políticas;
- la cultura de la organización;
- normas, directrices y modelos adoptados por la organización;
- capacidades, entendidas en términos de recursos y conocimiento (por ejemplo, capital, tiempo, personas, propiedad
intelectual, procesos, sistemas y tecnologías);
- datos, sistemas de información y flujos de información;
- relaciones con los interesados internos, teniendo en cuenta sus percepciones y valores;
- relaciones contractuales y compromisos;
- interdependencias e interconexiones.
“Factores sociales, culturales,
políticos, legales, regulatorios,
financieros, tecnológicos, económicos
y ambientales…”
“Relaciones con los interesados
internos, teniendo en cuenta sus
percepciones y valores.”
Al diseñar el marco para gestionar el riesgo, la organización
debe examinar y comprender su contexto externo e interno.

GESTIÓN DE RIESGOS
El contexto del riesgo según la ISO 31000
Sociales
Percepciones y valores (partes interesadas)
Ambientales
Económicos
Tecnológicos
FinancierosRegulatorios
Legales
Políticos
Culturales

POSTMODERNIDAD

POSTMODERNIDAD
Edad Clásica
1492
Comercio
Navegación
Ciudades
Burguesía
Renacimiento
Edad Moderna
Arte
Ciencia
Patrias
“Mi-Dios”
Ideologías
Grandes Relatos:
(Futuros de plenitud)
• Religioso (Bondad)
• Iluminista (Ilustración)
• Capitalista (Superación)
• Comunista (Igualdad)
Siglo XIX

POSTMODERNIDAD
Edad Moderna
Guerras mundiales
Armas nucleares
Guerra fría
Fin de los grandes relatos
Edad Post - Moderna
¿Cómo es el mundo postmoderno?
1945
Nuevas tecnologías
Siglo XX Siglo XXI
19911914

POSTMODERNIDAD
Tecnología
• Cambio acelerado
• Obsolescencia programada
• Integración creciente con lo “social”
• Información voluminosa
Jean-François
Lyotard
Sociedad
• Opinión por encima de “la
verdad” (Democracia?)
• Inclusiva
• Relativista
• Anti-jerárquica
• Anti-regulatoria (Libertad?)
• Narcisista
• Consumista
• Ultra-sensible
Personas
• Individualista
• Ansioso
• No-comprometido
• Anti-censura
• Tolerancia al fracaso
• Afín a la tecnología
Tendencias crecientes

II. EL CONTEXTO
POSTMODERNO

Posverdad: Hechos vs. Opiniones
Oxford Dictionaries: la palabra del año
[2016] es…
Posverdad: “Cuando los hechos objetivos
tienen menos influencia en definir la
opinión pública que los que apelan a la
emoción y a las creencias personales”.
[Atentado incendario de indígenas
mapuches]
[Incendio originado por comunidades
originarias]
Ejemplo: Redactar la amenaza de un riesgo en el sur de Chile
SOCIEDAD

El tribunal de las redes sociales
Actualmente, los riesgos materializados como
incidentes generan un impacto extra (incluso
superior al del evento en sí), al publicarse en
redes sociales, usualmente, sin sustento.
Ejemplo: Caso 34 Chifa Asia - Carne de perro
SOCIEDAD

¿Qué tienen en común?
• Los responsables de las comunicaciones al exterior tienen gran
influencia en el impacto final del incidente.
• Dependiendo del tamaño de la organización podría ser un área de
comunicaciones o un community manager.
• Caso 17 Arthur Andersen - Auditores del Fraude
• Caso 22 Uber - Hackeo encubierto
• Caso 31 Sony Pictures - La entrevista
• Caso 37 Volkswagen - Emisiones ilegales
• Caso 46 Samsung - Celular explosivo
• Caso 49 GitLab - Data eliminada
SOCIEDAD
Otros casos significativos

TECNOLOGÍA
Carrera armamentística de
seguridad informática
• Grandes gastos en
infraestructura durante
breves periodos de tiempo.
• Mantenimientos y mejoras
para estar “a la par” de los
atacantes.
Obsolescencia programada
• Equipos informáticos diseñados
para tiempos de vida muy cortos.
• Planeado para alimentar la cuota
de ventas del mercado.

Fuente: https://academiaplay.es/que-generacion-perteneces/
PERSONAS

Fuente: ISACA LATINCACS 2018
PERSONAS
María Cristina Borrazás
Uruguay
Pista Gobierno y
Gestión de Riesgos

Fuente: ISACA LATINCACS 2018
PERSONAS
Baby Boomers
(1946-1964)
Generación X
(1965 – 1985)
Generación Y
(1986 – 2000)
Modos de
Organización
• Es la forma en que
conciben la organización
• Estrictamente verticalista
• Reconocen la jerarquías y se
ocupan en ascenderlas
• Verticalista con reconocimiento
de actores transversales
• Jerarquías planas
• Les gusta aprender y
emprender y participar en
la toma de decisiones
Actitud frente
al Trabajo
• El trabajo es de gran
importancia
• Fieles a su vida
profesional
• Saben trabajar en equipo
• Fomentan las relaciones
laborales de confianza
• Buscan el balance entre lo
personal y lo profesional
• Trabajan en forma
distribuida y
deslocalizada
• Buscan la libertad
Lealtades
• Acostumbrados a
trabajar durante muchos
años en la misma
empresa
• Desean desarrollo profesional
dentro de la empresa y
reflexionan antes de dar un
cambio
• En tanto en sintonías con
sus aspiraciones
• No les asusta cambiar de
trabajo
Comunicación
• Puntual
• Escasa
• Segmentada
• Reconocimiento de la
importancia
• Planificada, jerarquizada y
controlada
• Intensa a través de varios
canales
• Con redes externas a la
organización
Éxito/Fracaso • El éxito es de pocos
• Carrera por el éxito con poca
tolerancia al fracaso
• Mayor tolerancia al
fracaso
Tecnología • En desarrollo incipiente
• Sinónimo de poder
• No es de todos
• No conciben la vida sin
tecnología
• Se adaptan a los cambios
Generación Z
(2001 – …)
• Personalista, desea
destacar
individualmente
• Impaciente, no desea
detenerse a evaluar o
replantear
• Existen otras
prioridades antes que el
trabajo
• Volátil, empleabilidad de
plazos cortos
• Relacionado a la
“comodidad”
• Multicanal
• Prefieren la no verbal
• Censura mínima
• Indiferencia al fracaso
• Nativos, no manejan
contingencias sin
tecnologías
Operador del plan de
continuidad de negocio
Administrador de
plataformas críticas
Oficial de seguridad
de información
Responsables?

III. GESTIONAR RIESGOS
(O INTENTARLO)

GESTIÓN DE RIESGOS TI
Modelo: Clásico vs. “Postmoderno”
Reunión de
ingenieros
Reunión de
propietarios del riesgo
Análisis de
vulnerabilidades
Gestión de
riesgos
<>
Multidisciplinariedad

Sistema X:
-Acceso no autorizado
-Cambios no autorizados
-Pérdida de servicio
Infraestructura TI:
-Deterioro
-Incendio/inundación
-Robo
Servicios TI (correo,
almacenamiento):
-Acceso no autorizado
-Pérdida de servicio
ISO 31000 – Términos y Definiciones
3.1 Riesgo. Efecto de la incertidumbre en
los objetivos
Nota 3: El riesgo generalmente se
expresa en términos de fuentes de
riesgo [amenazas], eventos potenciales
[incidente], sus consecuencias [impacto]
y su probabilidad [posibilidad].
Riesgo = [posibilidad] + [amenazas] + [incidente] + [impacto]
Redacción “estructurada”

Riesgo = “Un hackeo al sistema central”
Riesgo’ = [posibilidad] + [amenazas] + [incidente] + [impacto]
Ejemplo:
• [Difícilmente]
• [un hacker que se conecte a la red interna] podrá
• [realizar un ataque de denegación de servicio al sistema central] que
• [interrumpa la atención al público en todas las agencias de la organización]
[Menor subjetividad =
Debate más claro]
[Mantenible, incluso si los
involucrados se van]
Redacción “estructurada”

Romper la subjetividad: sustentar de la valoración del riesgo
Más allá de la Probabilidad y el Impacto
Muy alto Alto Medio Bajo Muy bajo
Muy alto
Alto
Medio
Bajo
Muy bajo

Fuente: https://nuclearsecrecy.com/nukemap/
Más allá de la Probabilidad y el impacto
Ejemplo: ¿Cómo valoran los
riesgos los chinos?

IV. CONCLUSIONES
Metodología
Relativismo
Redes sociales
Comunicación
Obsolescencia
Centennials
Redacción de riesgos
Análisis
Multidisciplinas
Casos de crisis
Impacto
Probabilidad
Cambio constante
Tratamiento
Evaluación

GESTIONAR RIESGOS DE TI, HOY
REDACCIÓN EFECTIVA
DEL RIESGO
Nota: Evaluar un riesgo no es igual
a analizar vulnerabilidades
EQUIPOS
MULTIDISCIPLINARIOS
DE RIESGOS
Riesgo = [posibilidad] + [amenazas]
+ [incidente] + [impacto]
[Valoración efectiva del riesgo]

PROSPECTIVA DE
RIESGOS TI COMO TAREA
RECURRENTE
https://www.bbc.com/mundo/noticias-america-latina-39938098
USAR OTRAS FUENTES
PARA PROFUNZIDAR EN LA
EVALUACIÓN DEL RIESGO
[Y no se trata solo de ver noticias] [Principio de mejora continua]
https://www.indeci.gob.pe/objetos/secciones/
Mg==/MzQ0/lista/OTk3/201711231521471.pdf

INVOLUCRAR AL ÁREA DE
COMUNICACIONES /
COMMUNNITY MANAGER
[Factor clave para el “tratamiento efectivo”]
AMPLIAR EL ABANICO
DE ALTERNATIVAS DE
TRATAMIENTO
[No todo se trata comprando TIC]

PREGUNTAS
Rubaiyat 23
“Los sabios de mayor renombre caminaron en
las tinieblas de la ignorancia; fueron, sin
embargo, las lumbreras de su tiempo. ¿Su obra?
Dijeron unas cuantas palabras confusas y se
quedaron, después, profundamente dormidos”.
Omar Khayyám
(1048-1131)

CISObeat | Lecciones Aprendidas Sobre la Gestión de Riesgos (ISACA Lima Chapter)

Recomendados

Recomendados

Más contenido relacionado

Similar a CISObeat | Lecciones Aprendidas Sobre la Gestión de Riesgos (ISACA Lima Chapter)

Similar a CISObeat | Lecciones Aprendidas Sobre la Gestión de Riesgos (ISACA Lima Chapter) (20)

Último

Último (20)

CISObeat | Lecciones Aprendidas Sobre la Gestión de Riesgos (ISACA Lima Chapter)