Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2

Control de Acceso y Seguridad Desarrollo
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Sesión 05
Gestión de riesgos

2
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Bibliografía
 avantium.es
 ISO 31000:2009
 sistemasdecalidad.com
 Maxitana Cevallos, Jennifer Dennise. Administración de Riesgos de Tecnología
de Información de una Empresa del Sector Informático. 2005.
 Del Carpio Gallegos, Javier. Análisis del riesgo en la administración de
proyectos de tecnología de información. 2006.
 Jack Daniel Cáceres Meza, Iván Cárdenas, Alex Chávez, Bayron Chávez. Panel de
administración de riesgos. Maestría UTP. 2011.
 http://biblio.juridicas.unam.mx/libros/2/909/5.pdf
 www.cisco.com/en/US/solutions/collateral/ns170/ns896/ns895/white_paper_
c11-499060.html
 http://www.mailxmail.com/curso-delitos-informaticos/accesos-no-autorizados

3
Recordemos el entorno complejo en que nos desenvolvemos
 Seguridad de mis clientes o socios
 Seguridad en mi red
 Quién accede a mis aplicaciones
 Configuraciones de seguridad que tengo que actualmente
 Respuesta a incidentes
Vídeo: Análisis y gestión de riesgos
(https://www.youtube.com/watch?v=EgiYIIJ8WnU)

4
Procesos de Gestión de los riesgos

5
Gestión Tradicional Gestión Eficiente
Improvisación Estrategias y Procesos
Unipersonal / Autoritario Equipos Comprometidos
Comunicación Informal Comunicación Efectiva
Cierre – Memoria Lecciones aprendidas
Duplicación / Omisión Distribución Efectiva
Fuera de Plazo Plazos Predecibles
Fuera de Presupuesto Control Presupuestal
Riesgos de Alto Impacto Gestión de Riesgos
Alto Desgaste Calidad de Vida
Gestión Tradicional vs Gestión Eficiente

6
Controlar riesgos hoy implica controlar pérdidas mañana
 La Tecnología de Información (TI) se ha convertido en el corazón
de las operaciones de cualquier organización.
 Existe una creciente necesidad entre los usuarios de los
servicios de Tecnología de Información de implementar
estándares y herramientas para ayudar a mitigar el riesgo.

7
Principales riesgos informáticos de los negocios
 Riesgos de Integridad
 Interface del usuario
 Procesamiento
 Procesamiento de errores
 Interface
 Administración de cambios
 Información
 Riesgos de relación
 Riesgos de acceso
 Procesos de negocio
 Aplicación
 Administración de la información
 Entorno de procesamiento
 Redes
 Nivel físico
 Riesgos en la infraestructura
 Planeación organizacional
 Definición de las aplicaciones
 Administración de seguridad
 Operaciones de red y
computacionales
 Administración de sistemas de
bases de datos
 Información / Negocio
 Riesgos de seguridad general
 Riesgos de choque de eléctrico
 Riesgos de incendio
 Riesgos de niveles inadecuados
de energía eléctrica
 Riesgos de radiaciones
 Riesgos mecánicos

8
Riesgos
 Las organizaciones, no importa cual sea su actividad y tamaño, afrontan una
serie de riesgos que pueden afectar a la consecución de sus objetivos.
 Todas las actividades de una organización están sometidas de forma
permanente a una serie de amenazas, lo cual las hace altamente vulnerables,
comprometiendo su estabilidad. Accidentes operacionales, enfermedades,
incendios u otras catástrofes naturales, son una muestra de este panorama, sin
olvidar las amenazas propias del negocio.
 Tradicionalmente, las organizaciones han tratado estos riesgos mediantes
estrategias de reacción y soluciones puntuales. No obstante, la experiencia ha
demostrado que los elementos que conforman los riesgos y los factores que
determinan el impacto de sus consecuencias sobre un sistema, son los mismos
que intervienen para todos los riesgos en una organización. Por ello, la
tendencia moderna es utilizar un enfoque integral de manejo de los mismos
conocido como “Enterprise Risk Management” (ERM), con el fin de evaluar,
administrar y comunicar estos riesgos de una manera integral, basados en los
objetivos estratégicos de la organización.
avantium.es

9
Estadísticas
Riesgo Estadísticas
El uso de
aplicaciones no
autorizadas
78 por ciento de los empleados acceden a correo electrónico personal desde
computadoras de negocios.
63 por ciento de los empleados admite haber utilizado una computadora para uso
personal todos los días.
70 por ciento de los profesionales de TI creen que el uso de programas no autorizados
da como resultado al menos la mitad de los incidentes de sus empresas la pérdida de
datos.
El mal uso de los
ordenadores
corporativos
Pasar por alto las políticas corporativas de TI y la configuración de seguridad
-China: el 42 por ciento
-Brasil: el 26 por ciento
- India: 20 por ciento
Compartir información corporativa sensible fuera de la empresa
-Brasil: el 47 por ciento
-India: el 27 por ciento
-El Reino Unido: el 26 por ciento
- Italia: el 22 por ciento
- Alemania: el 24 por ciento
Comparten dispositivos de trabajo con los no empleados
-China: el 43 por ciento
-India: el 28 por ciento
- En general: 44 por ciento (32 por ciento de los encuestados compartieron dispositivos
con compañeros de trabajo, y el 19 por ciento compartió con los que no son empleados
de la familia y amigos)

10
Estadísticas
Acceso físico
no autorizado
y la Red
39 por ciento de los profesionales de TI, dijo que se han ocupado de
acceso a partes no autorizadas de la red de una empresa o
establecimiento.
El acceso no autorizado y físico a la red fue más frecuente entre las
empresas medianas (46 por ciento), pero las pequeñas empresas
también tienen frecuentes incidentes (32 por ciento).
22 por ciento de los empleados alemanes no permiten a los
empleados a dar vueltas por las oficinas de supervisión
Seguridad de
los
trabajadores a
distancia
46 por ciento de los empleados realizan transferencia de archivos
entre el trabajo y ordenadores personales cuando trabajan desde
casa.
Más del 75 por ciento de los empleados no usan un protector de
privacidad cuando se trabaja de forma remota en un lugar público.
68 por ciento de la gente no piensa acerca de hablar en voz baja en
el teléfono cuando están en lugares públicos fuera de la oficina.
13 por ciento de las personas que trabajan desde casa admiten que
no pueden conectarse a sus redes corporativas, por lo que enviar un
correo electrónico de negocio a los clientes, socios y compañeros de
trabajo a través de su correo electrónico personal.

11
Estadísticas
El mal uso de
contraseñas y
procedimientos
de conexión /
desconexión
28 por ciento de los empleados en China usan su contraseña de
cuentas financieras personales en sus dispositivos de trabajo.
18 por ciento de los empleados comparten sus contraseñas con
compañeros de trabajo,
10 por ciento de los empleados en la India, el Reino Unido, Italia y
apuntan por escrito la información de acceso y las contraseñas en
su escritorio de trabajo, dejando a los datos sensibles accesible si
la máquina es robada, incluso si el equipo está desconectado.
5 por ciento de los empleados en el Reino Unido y Francia deja las
contraseñas de las cuentas personales y financieras impresas en
su escritorio de trabajo.

12
Gestión de riesgos
 Risk Management es un mecanismo que ayuda a predecir y manejar
eventos que puedan evitar que el proyecto culmine en plazo.
 Entre las razones detectadas que contribuyen al fracaso de los
proyectos se encuentran la poca especificación del alcance en su
planteamiento, planificación poco realista en cuanto a plazo, costo y
calidad, contar con un equipo de trabajo inapropiado, no cumplir con
las expectativas del usuario, un mal manejo de los cambios requeridos
durante el desarrollo de la parada y/o carecer de una buena gestión y
dirección en la coordinación y manejo de eventos inciertos.
 La ISO publica la Guía ISO 73:2009, el vocabulario de gestión de
riesgos, que complementa la norma ISO 31000, proporcionando una
colección de términos y definiciones relativas a la gestión del riesgo

13
 Objetivos de control interno y de gestión de riesgos (gobierno)
 Una declaración de la actitud de la organización para con los riesgos
(estrategia)
 Descripción de la cultura consciente de los riesgos o ambiente de
control
 Nivel y naturaleza del riesgo que es aceptable (apetito de riesgo)
 Organización de la gestión de riesgos y acuerdos (arquitectura)
 Detalle de los procedimientos para el reconocimiento de riesgos y su
priorización (evaluación de riesgos)
Una política de gestión de riesgos debería incluir:
Extraído de: A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000. The Public Risk
Management Association. 2010

14
 Lista de documentación para analizar y reportar riesgos (protocolos de
riesgo)
 Requerimientos de mitigación de riesgos y mecanismos de control
(respuesta al riesgo)
 Asignación de los roles de la administración y sus responsabilidades
 Prioridades y temas de entrenamiento en gestión de riesgos
 Criterios para efectuar el monitoreo y benchmarking de riesgos
 Asignación de los recursos apropiados para la gestión de riesgos
 Actividades y prioridades relacionadas a la gestión de riesgos para el
año venidero
Una política de gestión de riesgos debería incluir:
Extraído de: A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000. The Public Risk
Management Association. 2010

15
Implementar el Plan de Respuesta a Riesgos

16
Gestión de Riesgos – Enfoque PMI

17

18

19
Estados del monitoreo
Categoría Concepto
Implementadas
Las acciones del responsable han sido las
apropiadas en el tiempo comprometido
En proceso
Algunas acciones se encuentran
desfasadas o en proceso de
implementación
Pendientes
No se evidencias acciones en la gestión
del riesgo
Acciones de Monitoreo

20
Recordemos, sobre riesgos
 Control: cualquier medida que tome la dirección, el Consejo y otras
partes, para gestionar los riesgos y aumentar la probabilidad de
alcanzar los objetivos y metas establecidos. La dirección planifica,
organiza y dirige la realización de las acciones suficientes para
proporcionar una seguridad razonable de que se alcanzarán los
objetivos y metas.
 Inherente: es aquel que está directamente relacionado con la
naturaleza de los procesos desarrollados, en ausencia de controles.
 Residual es el riesgo subsistente una vez aplicados los controles.
Riesgo residual = Riesgo inherente - Control
Vídeo: Gestión de Riesgos Informáticos
(https://www.youtube.com/watch?v=K422L77h1kA)

21
Controlar los Riesgos
 Durante el control de los riesgos se recopila información y se documentan los avances y
evolución a través del tiempo. Este monitoreo brinda información actualizada acerca de:
 El estado de cada riesgo identificado
 La identificar riesgos nuevos,
 El estado de los riesgos residuales y secundarios
 Supervisar los cambios en el perfil de riesgos debido a factores exógenos o endógenos.
 Deberíamos comenzar con el seguimiento de aquellos riesgos prioritarios. Por ejemplo,
monitorear en forma periódica los retrasos en el cronograma y vigilar que los costos se
encuentren dentro de límites aceptables.
 Además, el control de los riesgos requiere:
 Implementar los planes de respuesta,
 Realizar acciones correctivas,
 Redefinir planes de respuesta o
 Modificar los objetivos del proyecto.

22
Control
Riesgo
Administrado
Ineficacia por
exposición Ineficacia por
controles
Desinformado Gerenciado Obsesionado
- Controles +
Logro de
Objetivos
Alto
Bajo
Fuente: Introducción a la evaluación de riesgos. Gustavo Macagno

23
Monitoreo y revisión
 Es necesario monitorear los riesgos, la efectividad del plan de
tratamiento de los riesgos, las estrategias y el sistema de
administración que se establece para controlar la implementación.
 Los riesgos y la efectividad de las medidas de control necesitan ser
monitoreadas para asegurar que las circunstancias cambiantes no
alteren las prioridades de los riesgos

24
Comunicación y consulta
 La comunicación y consulta son una consideración importante en cada
paso del proceso de administración de riesgos
 Es importante la comunicación efectiva interna y externa para asegurar
que aquellos responsables por implementar la administración de
riesgos, y aquellos con intereses creados comprenden la base sobre la
cual se toman las decisiones y por qué se requieren ciertas acciones en
particular
 Dado que los interesados pueden tener un impacto significativo en las
decisiones tomadas, es importante que sus percepciones de los
riesgos, así como, sus percepciones de los beneficios, sean
identificadas y documentadas y las razones subyacentes para las
mismas comprendidas y tenidas en cuenta

25
Aspectos a tener en cuenta…
 Impulsar desde el más alto nivel la implementación del Sistema de Control
Interno (SCI)
 Realizar talleres de capacitación y aprestamiento sobre control interno y
gestión de riesgos
 Incorporar en los documentos de gestión la responsabilidad de cada trabajador
en el control interno y la gestión de riesgos
 Establecer progresivamente un lenguaje común respecto a la gestión de
riesgos (categorías, definiciones, políticas, responsabilidades, metas,
indicadores, normatividad, etc.)
 Identificar y adaptar una metodología a las necesidades de la organización
 Expresar y comunicar los objetivos de la organización, a través del uso de
indicadores de desempeño
 Identificar las amenazas potenciales para el logro de los objetivos

26
Aspectos a tener en cuenta…
 Seleccionar e implementar respuestas ante los riesgos
 Priorizar los riesgos
 Identificar nuevos riesgos y la efectividad de la respuesta a los ya existentes
periódicamente
 Comunicar la información sobre riesgos de manera coherente en todos los
niveles de la organización
 Supervisar, documentar y monitorear el proceso de gestión de riesgos y sus
resultados
 Determinar el grado de aceptación de riesgos de la organización
 Establecer un entorno interno adecuado, que incluya un enfoque de gestión de
riesgos.

27
Pasos sugeridos
 Capacitación en: control interno, riesgos, procesos, indicadores
 Identificar instrumentos para recolectar información
 Listar los objetivos institucionales, tomando en cuenta la misión
 Clasificar los procesos, actividades y las tareas
 Designar un responsable por proceso y progresivamente incorporar la
documentación y normatividad respectiva
 Identificar los riesgos y controles más importantes de la entidad
 Valorar los riesgos
 Cruzar los riesgos vs. procesos
 Elaborar planes de acción, responsables y metas
 Evaluar la eficacia y las brechas encontradas
 Mantener y actualizar

28
Pasos sugeridos
Seleccionar
procesos
clave
Comprender
los procesos
Fuente de
los riesgos
Documentar
controles
clave
Evaluar el
diseño
Efectividad
de los
controles
Reporte
• Seleccionar los procesos clave conforme a la importancia en el cumplimiento misional,
manejo de fondos y probabilidad de corrupción
• Considerar insumos de materialidad e importancia
• Comprender las actividades y los procedimientos
• Identificar reportes contables o de la gestión de
proyectos, a fin de establecer materialidad
• Cruzar riesgos vs. procesos
• Documentar controles a nivel entidad
• Documentar otros controles
• Documentar controles a nivel preventivo y detectivos en los procesos principales
• Evaluar la efectividad del diseño de los controles a nivel
entidad
• Tomar acciones de mejora sobre las deficiencias encontradas
• Evaluar la efectividad de los controles a
nivel entidad y de procesos
• Remediar deficiencias a través de la
implementación de recomendaciones
• Concluir
• Comunicar
• Reportar
• Cuáles son los riesgos a que se
encuentran expuestos los
procesos?
• En qué actividades se encuentran
los riesgos?
• Cuáles son los controles clave?
• Quién es propietario de los
controles clave?
• Cómo se encuentra el diseño de los
controles ?
• Cuáles son los riesgos de falla de
los controles?
• Cuál es el desempeño de los
controles?
• Existen debilidades materiales o de
cumplimiento?Fuente: Adaptación de un esquema de Protiviti
Objetivos institucionales

29
Pasos sugeridos

30
Otros conceptos
 Gobierno
 La combinación de procesos y estructuras implantados por el Consejo de
Administración para informar, dirigir, gestionar y vigilar las actividades de
la organización con el fin de lograr sus objetivos.
 Control interno
 Concepto fundamental de la administración y control, aplicable en las
entidades del Estado para describir las acciones que corresponde adoptar
a sus titulares y funcionarios para preservar, evaluar y monitorear las
operaciones y la calidad del servicio.
 Conforme al COSO, es un proceso efectuado por el Directorio de una
organización, la gerencia y demás personal, diseñado para proveer
seguridad razonable respecto al logro de los objetivos relacionados con:
 Efectividad y eficiencia de las operaciones
 Confiabilidad de los reportes financieros
 Cumplimiento con leyes y regulaciones aplicables

31
Las organizaciones deberán considerar y usar una variedad de modelos, estándares
y mejores practicas de TI – por lo tanto asegúrese de que entiende esto con el fin de
considerar como pueden usarse juntos

32
Otros conceptos
 Committee of Sponsoring Organizations of the Treadway Commission
(COSO
 Estados Unidos, 1985, se forma una comisión patrocinada diversas
instituciones, con el objetivo de identificar las causas de la presentación
de información financiera en forma fraudulenta o falsificada.
 En 1987 emite un informe que contenía una serie de recomendaciones
en relación al control interno de cualquier empresa u organización.
 La comisión Treadway, debatió durante más de cinco años y finalmente
en 1992, se emite el informe COSO, el cual tuvo gran aceptación y
difusión en gran parte debido a la diversidad y autoridad que posee el
grupo que se hizo cargo de la elaboración del Informe.

33
COSO
Ambiente de Control
Operaciones
Reporte
Cumplimiento
UnidadA
UnidadB
Actividad1
Actividad2
Evaluación de Riesgos
Actividades de Control
Información y Comunicación
Monitoreo
COSO: Marco conceptual integrado, 1992
COSO ERM: Marco de Gestión Integral de Riesgo, 2004

34
Gobierno - Beneficios de la Gestión de Riesgos
 Colabora en la implementación del sistema de control interno (Resolución de
Contraloría General Nº 458-2008-CG)
 Mayor probabilidad del logro de los objetivos organizacionales
 Incrementa la confianza en la habilidad de una organización para anticipar,
priorizar y superar obstáculos para alcanzar sus metas
 Mayor comprensión de los riesgos clave y sus implicancias más amplias
 Identificación e intercambio de conocimientos sobre riesgos cruzados
 Mayor atención de la Alta Dirección a problemas realmente importantes
 Menos sorpresas o crisis, fomentando el cumplimiento de la legislación (Ley
N° 28716, Ley de Control Interno de las entidades del Estado y Ley N° 27785,
Ley Orgánica del Sistema Nacional de Control y de la Contraloría General de la
República)
 Mayor atención internamente para hacer lo correcto de la manera correcta

35
Gobierno - Beneficios de la Gestión de Riesgos
 Mayor probabilidad de que se logren las iniciativas de cambio
 Toma de decisiones más informadas, a nivel estratégico y operativo
 Coadyuva a la gestión de un presupuesto por resultados
 Fomenta el orden interno (gestión por procesos, establecimiento de
indicadores de desempeño, identificación de controles, desarrollo de
procedimientos, normatividad, etc.)
 Progresivamente la administración podrá asumir procesos de autoevaluación
de control
 Brinda transparencia a la gestión, interna y externamente
 Mejora en la gestión de proyectos y en la estructura de gobierno de la entidad
 Actualización de conocimientos de los profesionales en temas de: gestión por
procesos, control interno, indicadores, riesgos, etc.

36
ISO 31000 -Estructura de la norma
Relación entre los principios, estructura de soporte y gestión del riesgo
Proceso de gestión del riesgo
(cláusula 6)

37
ISO 31000 está diseñado para ayudar a las organizaciones:
 Fomentar una gestión proactiva
 Ser consciente de la necesidad de identificar y tratar los riesgos en
toda la organización
 Mejorar la identificación de las oportunidades y amenazas
 Cumplir con las exigencias legales y reglamentarias y las normas
internacionales
 Mejorar los informes financieros
 Mejorar la gobernanza
 Mejorar la confianza de los interesados y la confianza
 Establecer una base confiable para la toma de decisiones y la
planificación

38
ISO 31000 está diseñado para ayudar a las organizaciones:
 Mejorar los controles
 Efectivamente asignar y utilizar recursos para el tratamiento del riesgo
 Mejorar la eficacia y eficiencia operativa
 Mejorar la salud y de seguridad, así como la protección del medio
ambiente
 Mejorar la prevención de pérdidas y de manejo de incidentes
 Reduzca al mínimo las pérdidas
 Mejorar el aprendizaje organizacional
 Mejorar la capacidad de resistencia de la organización.

39
Riesgos
Legales
• Pérdida de gobernabilidad.
• Usurpación de datos.
• Titularidad de los derechos.
• Deslocalización de la
información.
• Dependencia en el
proveedor.
• Negativa del proveedor a ser
auditado.
Riesgos
Técnicos
• Comunicaciones inseguras.
• Abuso de privilegios.
• Compromiso de la interfaz de
gestión.
• Compartición de recursos.
• Denegación de servicio.
• Incompatibilidad para
migración.
• Sabotaje
• Desconocimiento
Controles y guías de buenas
prácticas de seguridad para
la Nube
• Ley de contrataciones.
• Proveedores sin experiencia.
• Personal técnico no especializado.
• Normativas internas.
• Integración débil.
• Inter operabilidad incompleta.
ISO: International Organization for Standardization
NIST: National Institute of Standards and Technology
COBIT:Control Objectives for Information and Related Technology
CSA: Cloud Security Alliance
ISO
NIST
COBIT CSA

40
Proceso de Funcionamiento de un Panel de
Administración de Riesgos
Procesos
Adquisición de Datos
Automatización
Valorización de
Datos
Corrección
Automatizada Correlación
de Datos
1 2
3
4
5

41
RED
SERVICIOS
EQUIPOS
REPOSITORIO DE
DATOS
GESTIÓN
DE
RIESGOS
GOVERNANCE,
RISK AND
COMPLIANCE
(GRC)
MANAGEMENT
SOLUTIONS
Evitar
Mitigar
Transferir
Aceptar
Nmap
Nessus
Ethereal
Snort
GFI
Iptraf
PRTG Network Monitor
Nagios
WhatsUp Gold
Tivoli
OpenView
Patrol
Magerit
COBIT
ISO27000
ISO31000
FISMA
(Federal Information Security
Management)
NIST 800-53A
(Guide for Assessing the
Security Controls in Federal
Information Systems)
…
P x I x R
ORCA
MODULO Risk Manager
Risk IT Framework
@RISK
Epicor
De lo manual a lo automatizado
PANEL DE
CONTROL
Controles
KPI

42
Definición de la herramienta GRC
Gobierno-Riesgo-Cumplimiento
El enfoque de una herramienta GRC es integrar los procesos de
Gobierno, Gestión de Riesgos y Cumplimiento, a lo largo de la
organización, estableciendo un modelo de datos, definiciones y
términos, estructuras de reporte, entre otros, para ser compartidos
por quienes participan en los tres procesos. Adicionalmente enlaza
estos procesos con la actividad de auditoría siendo esta última
pieza clave en todo el proceso de evaluación y controles.

Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?

Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (20)

Similar a Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2

Similar a Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2 (20)

Más de Jack Daniel Cáceres Meza

Más de Jack Daniel Cáceres Meza (20)

Último

Último (20)

Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2