Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
1. Control de Acceso y Seguridad Desarrollo
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Sesión 04
Gestión de riesgos
2. 2
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Recordemos el entorno complejo en que nos
desenvolvemos
Seguridad de mis clientes o socios
Seguridad en mi red
Quién accede a mis aplicaciones
Configuraciones de seguridad que tengo que actualmente
Respuesta a incidentes
Vídeo: Las empresas apuestan por la gestión de riesgos
(https://www.youtube.com/watch?v=BhpyK0M5lq4)
4. 4
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Incidente de seguridad
Un Incidente de Seguridad de la Información es la violación o
amenaza inminente a la Política de Seguridad de la Información
implícita o explícita.
Según la norma ISO 27035, un Incidente de Seguridad de la
Información es indicado por un único o una serie de eventos
seguridad de la información indeseados o inesperados, que
tienen una probabilidad significativa de comprometer las
operaciones de negocio y de amenazar la seguridad de la
información.
Por lo tanto, un incidente de seguridad de la información se
define como un acceso, intento de acceso, uso, divulgación,
modificación o destrucción no autorizada de información; un
impedimento en la operación normal de las redes, sistemas o
recursos informáticos; o una violación a la Política de Seguridad
de la Información del organismo.
5. 5
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ejemplos de Incidentes de Seguridad
Un acceso no autorizado.
El robo de contraseñas.
Prácticas de Ingeniería Social.
La utilización de fallas en los procesos de autenticación para obtener accesos
indebidos.
El robo de información.
El borrado de información de terceros.
La alteración de la información de terceros.
El abuso y/o mal uso de los servicios informáticos internos o externos de una
organización.
La introducción de código malicioso en la infraestructura tecnológica de una
entidad (virus, troyanos, gusanos, malware en general).
La denegación del servicio o eventos que ocasionen pérdidas, tiempos de
respuesta no aceptables o no cumplimiento de Acuerdos de Niveles de Servicio
existentes de determinado servicio.
Situaciones externas que comprometan la seguridad de sistemas, como quiebra
de compañías de software, condiciones de salud de los administradores de
sistemas, entre otros.
6. 6
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Evento de seguridad
Según la norma ISO 27035 es:
Una ocurrencia identificada en el estado de un sistema, servicio o
red, indicando una posible violación de la seguridad de la
información, política o falla de los controles, o una situación
previamente desconocida que puede ser relevante para la
seguridad.
La falla de medidas de seguridad.
Una situación previamente desconocida que pueda ser relevante
para la seguridad.
7. 7
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ejemplos de eventos de seguridad
Un usuario que se conecta a un sistema.
Un intento fallido de un usuario para ingresar a una aplicación.
Un firewall que permite o bloquea un acceso.
Una notificación de cambio de contraseña de un usuario
privilegiado, etc.
Se debe destacar que un Evento de Seguridad Informática no es
necesariamente una ocurrencia maliciosa o adversa.
8. 8
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Procesos de Gestión de los riesgos
9. 9
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Proceso simplificado
10. 10
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Resultado de la Evaluación de Riesgo
Implantar
controles
sobre los
riesgos:
R15,R9,R8,R16,
R10,R6,R14,R4
R11, R2, R20,
R7 Y R17
11. 11
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Mejores prácticas en la gestión del riesgo de la
Información
BS 7799 Parte2:2002
COBIT: Control Objetives for Information and related Technology
Systems Security Engineering-Capabality Maturity Model (SSE-CMM) 3.0
Generally Accepted Information Security Principles (GAISP)
ISF-Standard of Good Practice for Information Security
ISO 13335 – Guidelines for Management of IT Security
ISO 13659:1997 – Banking and Related Financial Services
ISO 15408:1999 Security TechniquesEvaluation Criteria for IT Security
ISO 17799:2000
NFPA 75
ISO 27002
ITIL – Security Management
NIST 800-12 An Introduction to Computer Security
NIST 800-14 Generally Accepted Principles and Practices for Securing IT Systems
NIST 800-18 Guide for Developing Security Plans for Information Technology
NIST 800-53 Recommended Security Control for Federal IS
OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation
OEDC – Guidelines for Security of IS and Networks
Open Group’s Manager’s Guide to Information Security
BS 25999
12. 12
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Gestión de Riesgos
La Gestión de riesgos son las acciones que se realizan para
manejar la incertidumbre relativa a una amenaza, a través de
una secuencia de actividades que incluyen evaluación de riesgo,
estrategias de desarrollo para manejarlo y mitigación del riesgo
utilizando recursos gerenciales.
La interpretación de los valores de impacto y riesgo residuales
Selección de salvaguardas
Tipos de salvaguardas
Salvaguardas técnicas
Salvaguardas físicas
Medidas de organización
Política de personal
Pérdidas y ganancias
La actitud de la Dirección
13. 13
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Gestión de Riesgos
Es el proceso por el cual se controlan, minimizan o eliminan los
riesgos que afecten a los activos de información del negocio
Estrategias posibles para el tratamiento de los riesgos a
través de la Gestión de Riesgos:
Evitar el riesgo
Transferir el riesgo
Mitigar el riesgo
Aceptar el riesgo
Después que se tomen las medidas para afrontar los riesgos
identificados se deben realizar un nuevo análisis de riesgo que
permita tener como resultado la exposición de los riesgos
residuales (riesgos aceptables)
Gestión = Administración = Planificar + Organizar + Dirigir + Controlar
Plan de Respuesta
14. 14
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Actitud frente al riesgo
La respuesta de una organización o individuo frente a un riesgo
potencial, depende de varios factores que conforman su actitud
frente al riesgo.
Entre los principales factores podemos mencionar:
Apetito: el grado de incertidumbre que estamos dispuestos a
aceptar para obtener una posible recompensa a futuro.
Tolerancia: qué cantidad de riesgo estamos dispuestos a enfrentar.
Respaldo financiero: organizaciones con gran respaldo financiero
podrían tolerar más riesgo que aquellas más pobres.
Diversificación: si tenemos los huevos en diferentes canastas,
podríamos aceptar más riesgo.
15. 15
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Probabilidad
Impacto
Bajo Medio Alto
BajoMedioAlto
Excediendo
el Apetito de
Riesgo
Dentro del
Apetito de
Riesgo
Meta Fijada
Tiempo
Estrategia de negocio
Límite de
tolerancia
Desempeño
Real
Variación
Inaceptable
Límite de
toleranciaVariación
Inaceptable
Fuente: Gestión Integral de Riesgos. PWC. 2009
Apetito por el riesgo
Tolerancia al riesgo
Apetito y tolerancia
16. 16
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Actitud frente al riesgo
Ejercicio:
a) Si compra un billete de lotería navideña por $20 cuyo premio
es de $5.000.000. ¿Cuántos billetes deberían venderse para que
sea un juego justo?
b) Si la empresa que administra la lotería decide vender 300.000
billetes y Ud. compra uno de ellos, ¿Cuál sería el valor
esperado? ¿Usted compraría ese billete? ¿Por qué?
17. 17
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Actitud frente al riesgo
Solución (a):
Para que sea un juego justo, el valor esperado debe ser igual al
precio que pagamos por ese juego. Es decir:
Probabilidad x Impacto = Valor esperado
X / billetes x $5.000.000 = $20
Billetes = 250.000
Si se venden 250.000 billetes a $20, sería un juego justo.
18. 18
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Actitud frente al riesgo
Solución (b):
Probabilidad x Impacto = Valor esperado
1 / 300.000 x $5.000.000 = $16,67
Si el precio del billete es de $20 no sería un juego justo.
Si compramos un billete en esta situación, tendríamos una actitud
de amantes al riesgo, porque estamos dispuestos a pagar por algo
aunque no sea justo.
19. 19
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Actitud frente al riesgo
Ejercicio:
Las estadísticas de incendios de fábricas, parecidas a su
empresa, indican que anualmente 1 de cada 200 fábricas
generalmente se incendian. Por otro lado, el analista de riesgo
estima que en caso que se incendie su fábrica esto ocasionará
daños estimados en $400.000. Si una compañía le ofrece un
seguro contra incendios por $3.000 anuales, ¿Ud. contrataría el
seguro? ¿Por qué?
Tiempo para resolver en grupos: 10 minutos
20. 20
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Tratar los riesgos
El tratamiento de los riesgos involucra identificar el rango de
opciones para tratar los riesgos, evaluar esas opciones, preparar
planes para tratamiento de los riesgos e implementarlos
Evaluar las opciones para tratar los riesgos
Preparar planes de tratamiento
Implementar planes de tratamiento
Vídeo: Gestión y Tratamiento de Riesgos
(https://www.youtube.com/watch?v=9T9X0q2y6vQ)
21. 21
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Tratar los riesgos
21
Aceptar el Riesgo
• Auto-asegurarse (Self-insuring)
contra pérdidas
• Aceptar los riesgos de acuerdo a
los niveles de tolerancia de riesgo
Compartir el Riesgo
• Compra de seguros contra pérdidas
inesperadas significativas
• Contratación de outsourcing para
procesos del negocio
• Compartir el riesgo con acuerdos
sindicales o contractuales con
clientes, proveedores u otros socios
de negocio
Mitigar el Riesgo
• Fortalecimiento del control interno
en los procesos del negocio
• Diversificación de productos
• Establecimiento de límites a las
operaciones y monitoreo
• Reasignación de capital entre
unidades operativas
Evitar el Riesgo
• Reducir la expansión de una línea
de productos a nuevos mercados
• Vender una división, unidad de
negocio o segmento geográfico
altamente riesgoso
• Dejar de producir un producto o
servicio altamente riesgoso
Aceptar el Riesgo
• Auto-asegurarse (Self-insuring)
contra pérdidas
• Aceptar los riesgos de acuerdo a
los niveles de tolerancia de riesgo
Compartir el Riesgo
• Compra de seguros contra pérdidas
inesperadas significativas
• Contratación de outsourcing para
procesos del negocio
• Compartir el riesgo con acuerdos
sindicales o contractuales con
clientes, proveedores u otros socios
de negocio
Mitigar el Riesgo
• Fortalecimiento del control interno
en los procesos del negocio
• Diversificación de productos
• Establecimiento de límites a las
operaciones y monitoreo
• Reasignación de capital entre
unidades operativas
Evitar el Riesgo
• Reducir la expansión de una línea
de productos a nuevos mercados
• Vender una división, unidad de
negocio o segmento geográfico
altamente riesgoso
• Dejar de producir un producto o
servicio altamente riesgoso
Fuente: Gestión Integral de Riesgos. PWC. 2009
22. 22
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Tratar los riesgos
22
Fuente: Administración de Riesgos. AS/NZS 4360:1999, página 17.
23. 23
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Gestión de Riesgos – Enfoque PMI
24. 24
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Gestión de Riesgos – Enfoque PMI
25. 25
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Categorías de Riesgos
Estratégico
La posibilidad de pérdidas por decisiones de alto nivel asociadas a la
creación de ventajas competitivas sostenibles. Se encuentra relacionado a
fallas o debilidades en el análisis del mercado, tendencias e incertidumbre
del entorno (riesgo político), competencias claves de la empresa y en el
proceso de generación e innovación de valor.
Operacional
La posibilidad de pérdidas debido a procesos inadecuados, fallas del
personal, de la tecnología de información, o eventos externos. Esta
definición incluye el riesgo legal y de cumplimiento.
Reputación
La posibilidad de pérdidas por la disminución en la confianza en la integridad
de la institución que surge cuando el buen nombre de la empresa es
afectado. El riesgo de reputación puede presentarse a partir de otros riesgos
inherentes en las actividades de una organización.
Financiero
Relacionados a inadecuado manejo financiero de la organización, sus
inversiones y activos (crediticio, tesorería, mercado)
Fuente: Resolución SBS N° 037-2008
Categorías de Riesgos
26. 26
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Evaluar los riesgos
La evaluación de riesgos involucra comparar el nivel de riesgo
detectado durante el proceso de análisis con criterios de riesgo
establecidos previamente
El propósito de la evaluación de riesgos es tomar decisiones
basadas en los resultados del análisis de riesgos (tratamiento de
riesgos y la prioridad)
27. 27
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Evaluar los riesgos
Nivel Descripción Nivel Descripción
1 Improbable 1 Insignificante
2
Poco probable /
Raro
2 M enor
3 Probable 3 M oderado
4 Potencial 4 M ayor
5 Casi cierto 5 Catastrofico
NIVEL DEPROBABILIDAD NIVEL DEIMPACTO
Concepto Concepto
Puede ocurrir en algún momento
El riesgo tiene un efecto nulo o pequeño, en el desarrollo
del proceso - baja perdida financiera
Se espera que ocurra en la mayoria de
circunstacias
El proceso es gravemente dañado - Enorme perdida
financiera
Puede ocurrir sólo en circunstancias
excepcionales
El desarrollo del proceso sufre un daño menor - Con
perdida financiera menor
Probablemente ocurriria en la
mayoria de circunstancias
El desarrollo del proceso sufre un deterioro, dificultando
o retrazando su cumplimiento - Con afectación financiera
Puede ocurrir en la mayoría de
circunstancias
El desarrollo del proceso es afectado significativamente -
Pérdida financiera mayor
28. 28
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Evaluar los riesgos
Catastrófico
Mayor
Moderado
Menor
Insignificante
Rara vez Ocasional
Poco
frecuente
Frecuente Muy frecuente
Extremo
Moderado Moderado Alto Extremo Extremo
IMPACTO
Moderado Alto Alto Extremo
Bajo Moderado Alto Alto Alto
FRECUENCIA
Bajo Moderado Moderado Moderado Alto
Bajo Bajo Bajo Moderado Moderado
Matriz de riesgos
29. 29
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Evaluar los riesgos
Análisis
Cualitativo
Análisis
Cuantitativo
Probabilidad
Impacto
Probable
Posible
Improbable
Leve
Moderado
Catastrófico
Probabilidad de
ocurrencia
Nivel Calificación
0 – 25 Improbable 1
26- 70 Posible 2
71- 100 Probable 3
Impacto Nivel Calificación
0 – 25 Leve 10
26- 70 Moderado 20
71- 100 Catastrófico 30
30. 30
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Evaluar los riesgos
Fuente: Introducción a la evaluación de riesgos. Gustavo Macagno
31. 31
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Evaluar los riesgos
Fuente: Introducción a la evaluación de riesgos. Gustavo Macagno
32. 32
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Evaluar los riesgos
Presentación KPMG Advisory
33. Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?