SlideShare una empresa de Scribd logo

Rt impacto panama [modo de compatibilidad]

Saeta de Dios
Saeta de Dios

El documento presenta una introducción al riesgo tecnológico y su impacto en el negocio. Explica que el riesgo de TI debe ser gestionado como parte integral del riesgo corporativo para garantizar la continuidad del negocio. También describe el proceso de autoevaluación para medir la efectividad de los controles internos de TI y asegurar el cumplimiento de los objetivos empresariales.

1 de 34
Descargar para leer sin conexión
INTENDENCIA DE VALORES Riesgo Tecnológico, Impacto y Autoevaluación en el Negocioen el Negocio
Agenda • IntroducciónIntroducción • Impacto – (Gestión de Riesgo) • Del Riesgo TI al Riesgo Corporativo • Autoevaluación
Introducción Conocemos los riesgos a los que estamos expuestos?
Desafíos de TI E t l TI siempre Entregar valor TI siempre disponible Alinear TI con la institución Optimizar costosinstitución costos Mejores niveles de seguridad
Origen del Riesgo TI Riesgo Operacional “ El riesgo de pérdidas resultantes de procesos inadecuados o fallidos, personas y sistemas o de eventos externos que no, p y q están cubiertos por capital regulatorio…” BASILEA II Es “el efecto de la incertidumbre en la consecución de loss e e ecto de a ce t du b e e a co secuc ó de os objetivos” ISO 31000:2009
Riesgo TI El riesgo de TI es el riesgo asociado con el uso, propiedad, operación, involucramiento, influencia y adopción de la t l í d i f iótecnología de información en una empresa La pérdida ocasionada por interrupción, falla o daño que se derivan de los sistemas de información y plataformas tecnológicas que una organización dispone para prestar sus servicios ordinarios.
Riesgo TI • Riesgo en la entrega de servicios de TI – Son los riesgos asociados al desempeño y disponibilidad de los servicios de TI. – Estos riesgos pueden provocar una destrucción o reducción del valor en una empresa. • Riesgo en la entrega de la solución de TI – Son los riesgos asociados con la contribución de TI a las soluciones de negocio nuevas o mejoradas, usualmente ensoluciones de negocio nuevas o mejoradas, usualmente en forma de proyectos y/o programas • Riesgo en la realización de beneficios de TI S l i i d l é did d t id d d– Son los riesgos asociados con la pérdida de oportunidades de utilización de tecnología para mejorar la eficiencia o efectividad de los procesos de negocio o utilizar la tecnología como un habilitador de nuevas iniciativas de negociohabilitador de nuevas iniciativas de negocio
Riesgo TI Clasificación Descripción Seguridad y acceso Riesgo que la informaciónacceso información confidencial sea utilizada por personas no autorizadas Integridad Riesgo que la información no sea confiable, incompleta e inexacta Pertinente El riesgo asociado a nog tener la información adecuada en el tiempo preciso para los procesosprocesos
Riesgo TI Disponibilidad Riesgo de perdida de los servicios Infraestructura Riesgo de no contar con la infraestructura adecuada que soporteadecuada que soporte las necesidades actuales y futuras.
Riesgo TI Eventos relacionados a Riesgos de TI Fraude Interno Fraude Administración Externo Administración de procesos Clientes, productos y servicios Interrupciones del negocio Daños a activos físicos
Riesgos - TI AcciónAcción •• DivulgaciónDivulgación •• InterrupciónInterrupción •• ModificaciónModificación R bR b Activo / RecursoActivo / Recurso •• Gente y OrganizaciónGente y Organización •• ProcesosProcesos •• RoboRobo •• DestrucciónDestrucción •• DiseñoDiseño InefectivoInefectivo •• EjecuciónEjecución ActorActor •• InternosInternos •• ExternosExternos ProcesosProcesos •• Infraestructura (instalaciones,Infraestructura (instalaciones, infraestructura)infraestructura) •• Componentes de laComponentes de la Arquitectura de NegocioArquitectura de Negocio jj ineficienteineficiente •• RegulaciónRegulación •• Uso inapropiadoUso inapropiado (Competidores,(Competidores, Socios deSocios de negocio,negocio, Reguladores,Reguladores, Mercado etc )Mercado etc ) TiempoTiempo E iE i DuraciónDuración Tipo de AmenazaTipo de Amenaza Mercado, etc.)Mercado, etc.) •• MaliciosaMaliciosa ++ ++ ++ ++ EscenarioEscenario de Riesgode Riesgo •• DuraciónDuración •• Tiempo deTiempo de Ocurrencia (crítico,Ocurrencia (crítico, no critico)no critico) •• Tiempo de detecciónTiempo de detección •• AccidentalAccidental •• FallaFalla •• NaturalNatural
Impacto Los objetivos de la institución dependen de los procesos de negocios y estos de TI Aplicativo 1 Aplicativo 2 Proceso 1 2 Proceso 2 Sistemas de información 2 Soporte a toma de decisiones y desarrollo de actividades
Impacto Procesos deProcesos de negocio Aplicaciones y servicios Objetivos y Estrategias Infraestructura de TI (HW, SW, Datos, Instalaciones, personal, metodología, políticas y, p , g , p y procedimientos)
Impacto Como evitar que ocurran eventos no deseados? En el caso de ocurrir como disminuir su impacto?
Impacto - Gestión Gestionar los riesgos Es un proceso interactivo basado en el conocimiento, evaluación y manejo de los riesgos y sus impactos, con el propósito de mejorar lay p , p p j toma de decisiones organizacionales.
Impacto - Gestión Gestionar los riesgos de TI • Parte de la gestión global del riesgo corporativo • Enfocado a un eficiente equilibrio entre oportunidades y didperdidas • Precisa de un análisis de riesgos combinado con un análisis de impacto en el negocio (BIA)
Impacto - Gestión Estándares ISO 31010• ISO 31010 • BS 31100 • ISO/IEC 27005 • ITGI – Risk IT Framework • NIST – SP800-30 • AS/NZS 4360AS/NZS 4360 • MAGERIT • CRAMM UNE 71504• UNE 71504
Impacto - Gestión ISO 31000
Impacto - Gestión Principios  Siempre esta conectada con los objetivos del negocio  Alinea la gestión de riesgos TI con la gestión de riesgos de toda la organización  Balancea costos  Promueve comunicación  Es un proceso continuo  Debe ser sistémica estr ct rada Debe ser sistémica y estructurada  Debe ser parte de la toma de decisiones  Dinámica, iterativa  Proteger todo lo que es valioso Proteger todo lo que es valioso  Adaptada a la organización
Impacto - Gestión Repuesta al riesgo Cambiar Controoles Seguros / Outsourcing
Impacto - Gestión Priorización de Respuesta a RespuestasPriorización de Respuesta a Riesgos Caso de Niv Logros Respuestas muy eficientes y eficaces a riesgos altos Respuestas mas caras o más difíciles a riesgos altos Caso de Negocio veldeRies Logros Rápidos R t altos Diferir goActual Oportunidad Respuestas costosas a riesgos bajosRespuestas eficientes y eficaces a riesgos b j Eficacia / Eficiencia bajos
Impacto - Gestión Nivel de Riesgo mpactoridaddeliSeve Probabilidad que ocurra
Impacto - Gestión Efecto esperado de las opciones de tratamiento riesgoeridaddelSeve Probabilidad que ocurra
Impacto - GestiónDetectar y resolver accesos no autorizados a la información Contro % Alta ProbabilidadSupervisión periódica Contro l Proceso: Garantizar Seguridad UsuariosUsuarios Definición inapropiada de permisos de acceso Definición inapropiada de permisos de acceso Causa Alta Media Baja Seguridad • Objetivo: Permitir el acceso a información crítica y sensible • Objetivo: Permitir el acceso a información crítica y sensible •Usuarios autorizados realizan actividades no permitidas •Usuarios autorizados realizan actividades no permitidas Evento / Escenario: Qué puede suceder para ocasionar Accesos excesivos y uso de capacidades de supervisión. Intención de Fraude Accesos excesivos y uso de capacidades de supervisión. Intención de Fraude y sólo a usuarios autorizados. y sólo a usuarios autorizados. la Falla Modificación de Información Modificación de Información Efecto Información. Transacciones no autorizadas Información. Transacciones no autorizadas $ Alto Medio Bajo ImpactoEjemplo
Del Riesgo TI al corporativo Requerimientos de Negocio efectividad eficiencia fid i lid d Información RecursosProcesos Informaciónconfidencialidad integridad disponibilidad cumplimiento fi bilid d Aplicación Infraestructura Personas PLANEACION Y ORGANIZACION confiabilidad ORGANIZACION ADQUISICION E MONITOREO Y EVALUACIÓN IMPLEMENTACION ENTREGA Y EVALUACIÓN ENTREGA Y SOPORTE
Del Riesgo TI al corporativo Debemos incluir la gestión del riesgo TI a la gestión del riesgo Corporativo? C l l i id d d t d l i d l G tióCual es la prioridad dentro del negocio de la Gestión del Riesgo TI? Como afecta la no gestión del Riesgo TI a la estrategiaComo afecta la no gestión del Riesgo TI a la estrategia y objetivos de TI?
Del Riesgo TI al corporativo • Al igual que otros riesgos que se gestionan, los riesgos de TI deben ser considerados • Darle prioridad alta • Conciencia y responsabilidad de la Directores • Inversión para gestionarles = continuidad, eficiencia yp g , y oportunidades Riesgo TI No operación, No continuidadg No gestióngestión
Del Riesgo TI al corporativo De lo anterior: El objetivo es si no solo es la gestión del riesgo TI, Sino garantizar la continuidad del negocio, tomando acciones para el tratamiento de los riesgos y de estap g y forma estar preparados antes los nuevos retos.
Autoevaluación Es un proceso a través del cual la efectividad de los controles internos es evaluada. Cuyo objetivo es proveer un aseguramiento razonable de que los objetivos del negocio se cumplirán.
Autoevaluación Como se hace: • Basado en objetivos • Basado en riesgos • Basado en controles • Basado en procesosp
Autoevaluación Basada en Riesgos
Autoevaluación Matriz de Autoevaluación de Riesgos Tipo Descripcion P I Nivel de Riesgo Control Valor del Control Resid uo Integridad Administración de problemas 3 1 3 Registro de incidencias 3 1Integridad problemas 3 1 3 Registro de incidencias 3 1 Infraestructu ra Respaldo y restauracion 5 3 15 Plan de contingencia 5 3 Disponibilid d Continuidad del i (TI) 4 3 12 Sitio alterno, procedimiento de ld 5 2 4ad negocio (TI) 4 3 12 respaldos 5 2.4 Plan de respaldo
Conclusiones El riesgo de TI impacta en el negocio de manera que se pueden detener las operaciones del mismo La gestión de riesgos de TI no es responsabilidad de la gerencia de TI, (Gobierno de TI) No solo vasta conocer los riesgos a los que nos enfrentamos (amenazas, vulnerabilidades), hay que gestionarlos y conocer su impactoimpacto La gestión de riesgos de TI = monitoreo, revisiones, actualizaciones, es decir es una practica de todos los diasactualizaciones, es decir es una practica de todos los dias
Gracias por su atención..p Lic. José Victor Valle Analista Inspector TIAnalista Inspector TI

Recomendados

21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Ciro Bonilla
 
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...Luis Fernando Aguas Bucheli
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de RiesgosConferencias FIST
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
 
Risk optimization management inside it governance
Risk optimization management inside it governanceRisk optimization management inside it governance
Risk optimization management inside it governanceRamiro Cid
 
Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgosUniversidad Tecnológica
 

Recomendados

21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Ciro Bonilla
 
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...Luis Fernando Aguas Bucheli
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de RiesgosConferencias FIST
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
 
Risk optimization management inside it governance
Risk optimization management inside it governanceRisk optimization management inside it governance
Risk optimization management inside it governanceRamiro Cid
 
Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgosUniversidad Tecnológica
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos IITensor
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Agile distributed Teams in Large Enterprises
Agile distributed Teams in Large EnterprisesAgile distributed Teams in Large Enterprises
Agile distributed Teams in Large EnterprisesUzi Mamani Fernández
 
Business Continuity Management - Que se vislumbra para 2016 ¿?
Business Continuity Management - Que se vislumbra para 2016 ¿?Business Continuity Management - Que se vislumbra para 2016 ¿?
Business Continuity Management - Que se vislumbra para 2016 ¿?Carlos R.
 
Análisis de riesgos aplicando la metodología OWASP
Análisis de riesgos aplicando la metodología OWASPAnálisis de riesgos aplicando la metodología OWASP
Análisis de riesgos aplicando la metodología OWASPAlvaro Machaca Tola
 
Como puede medirse la seguridad
Como puede medirse la seguridadComo puede medirse la seguridad
Como puede medirse la seguridadMario Cano Herrera
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgosKarlita G Martín
 
Conferencia red flags en molinos
Conferencia red flags en molinosConferencia red flags en molinos
Conferencia red flags en molinosGuillermo Paredes
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadEdmundo Diego Bonini ஃ
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacionmaxol03
 
1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacion1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacioncmardones
 
Centros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaCentros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaPribatua
 
Taller gestion de riesgos
Taller gestion de riesgosTaller gestion de riesgos
Taller gestion de riesgosMaurice Frayssinet
 
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformáticaAlexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformáticaUNIVERSIDAD TECNICA PARTICULAR DE LOJA
 
Continuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela NuñezContinuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela NuñezForo Global Crossing
 
Taller EFC-Auditoría
Taller EFC-AuditoríaTaller EFC-Auditoría
Taller EFC-AuditoríaLuis Fernando Aguas Bucheli
 
QA and Security Testing in the SDLC
QA and Security Testing in the SDLCQA and Security Testing in the SDLC
QA and Security Testing in the SDLCRoger CARHUATOCTO
 
Preparación -Seguridad Informática
Preparación -Seguridad Informática Preparación -Seguridad Informática
Preparación -Seguridad Informática Luis Fernando Aguas Bucheli
 
Seguridad informática y plan de contigencia
Seguridad informática y plan de contigenciaSeguridad informática y plan de contigencia
Seguridad informática y plan de contigenciaWilliam Matamoros
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Riesgo Tecnológico.pdf
Riesgo Tecnológico.pdfRiesgo Tecnológico.pdf
Riesgo Tecnológico.pdfTANIATAMARAMIRANDALO
 

Más contenido relacionado

La actualidad más candente

Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos IITensor
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Agile distributed Teams in Large Enterprises
Agile distributed Teams in Large EnterprisesAgile distributed Teams in Large Enterprises
Agile distributed Teams in Large EnterprisesUzi Mamani Fernández
 
Business Continuity Management - Que se vislumbra para 2016 ¿?
Business Continuity Management - Que se vislumbra para 2016 ¿?Business Continuity Management - Que se vislumbra para 2016 ¿?
Business Continuity Management - Que se vislumbra para 2016 ¿?Carlos R.
 
Análisis de riesgos aplicando la metodología OWASP
Análisis de riesgos aplicando la metodología OWASPAnálisis de riesgos aplicando la metodología OWASP
Análisis de riesgos aplicando la metodología OWASPAlvaro Machaca Tola
 
Como puede medirse la seguridad
Como puede medirse la seguridadComo puede medirse la seguridad
Como puede medirse la seguridadMario Cano Herrera
 
Conferencia red flags en molinos
Conferencia red flags en molinosConferencia red flags en molinos
Conferencia red flags en molinosGuillermo Paredes
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadEdmundo Diego Bonini ஃ
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacionmaxol03
 
1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacion1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacioncmardones
 
Centros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaCentros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaPribatua
 
Continuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela NuñezContinuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela NuñezForo Global Crossing
 
QA and Security Testing in the SDLC
QA and Security Testing in the SDLCQA and Security Testing in the SDLC
QA and Security Testing in the SDLCRoger CARHUATOCTO
 
Seguridad informática y plan de contigencia
Seguridad informática y plan de contigenciaSeguridad informática y plan de contigencia
Seguridad informática y plan de contigenciaWilliam Matamoros
 

La actualidad más candente (20)

Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos II
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
 
Agile distributed Teams in Large Enterprises
Agile distributed Teams in Large EnterprisesAgile distributed Teams in Large Enterprises
Agile distributed Teams in Large Enterprises
 
Business Continuity Management - Que se vislumbra para 2016 ¿?
Business Continuity Management - Que se vislumbra para 2016 ¿?Business Continuity Management - Que se vislumbra para 2016 ¿?
Business Continuity Management - Que se vislumbra para 2016 ¿?
 
Análisis de riesgos aplicando la metodología OWASP
Análisis de riesgos aplicando la metodología OWASPAnálisis de riesgos aplicando la metodología OWASP
Análisis de riesgos aplicando la metodología OWASP
 
Como puede medirse la seguridad
Como puede medirse la seguridadComo puede medirse la seguridad
Como puede medirse la seguridad
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgos
 
Conferencia red flags en molinos
Conferencia red flags en molinosConferencia red flags en molinos
Conferencia red flags en molinos
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridad
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacion
 
1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacion1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacion
 
Centros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaCentros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada Pribatua
 
Taller gestion de riesgos
Taller gestion de riesgosTaller gestion de riesgos
Taller gestion de riesgos
 
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformáticaAlexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
 
Continuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela NuñezContinuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
 
Taller EFC-Auditoría
Taller EFC-AuditoríaTaller EFC-Auditoría
Taller EFC-Auditoría
 
QA and Security Testing in the SDLC
QA and Security Testing in the SDLCQA and Security Testing in the SDLC
QA and Security Testing in the SDLC
 
Preparación -Seguridad Informática
Preparación -Seguridad Informática Preparación -Seguridad Informática
Preparación -Seguridad Informática
 
Seguridad informática y plan de contigencia
Seguridad informática y plan de contigenciaSeguridad informática y plan de contigencia
Seguridad informática y plan de contigencia
 

Similar a Rt impacto panama [modo de compatibilidad]

Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosFrancisco Medina
 
Presentación análisis y administración de riesgo
Presentación análisis y administración de riesgoPresentación análisis y administración de riesgo
Presentación análisis y administración de riesgoAnel García Pumarino
 
9b gob-ti-inst-financieras-f.ferrer.o-1
9b gob-ti-inst-financieras-f.ferrer.o-19b gob-ti-inst-financieras-f.ferrer.o-1
9b gob-ti-inst-financieras-f.ferrer.o-1Cristian Bailey
 
Amenazas y medidas frente a ciberataques. ¿nos afecta realmente? ¿cómo proteg...
Amenazas y medidas frente a ciberataques. ¿nos afecta realmente? ¿cómo proteg...Amenazas y medidas frente a ciberataques. ¿nos afecta realmente? ¿cómo proteg...
Amenazas y medidas frente a ciberataques. ¿nos afecta realmente? ¿cómo proteg...Cluster Construction Eraikune
 
04 Softtek
04 Softtek04 Softtek
04 SofttekPepe
 
Evaluación del riesgo tecnologías informáticas.pdf
Evaluación del riesgo tecnologías informáticas.pdfEvaluación del riesgo tecnologías informáticas.pdf
Evaluación del riesgo tecnologías informáticas.pdfGuillermoBarquero7
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
Risk management original
Risk management originalRisk management original
Risk management originalCarlos Escobar
 
Modelo Estándar de Control Interno.pptx
Modelo Estándar de Control Interno.pptxModelo Estándar de Control Interno.pptx
Modelo Estándar de Control Interno.pptxjorgenieto81
 
Portafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIPortafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIOptimizaTI
 
It Risk Management
It Risk ManagementIt Risk Management
It Risk Managementnosfidel
 
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdfSesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdfssuser44ff1b
 

Similar a Rt impacto panama [modo de compatibilidad] (20)

Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
 
Riesgo Tecnológico.pdf
Riesgo Tecnológico.pdfRiesgo Tecnológico.pdf
Riesgo Tecnológico.pdf
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en Infraestructura
 
Seguridad
SeguridadSeguridad
Seguridad
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de Riesgos
 
Presentación análisis y administración de riesgo
Presentación análisis y administración de riesgoPresentación análisis y administración de riesgo
Presentación análisis y administración de riesgo
 
9b gob-ti-inst-financieras-f.ferrer.o-1
9b gob-ti-inst-financieras-f.ferrer.o-19b gob-ti-inst-financieras-f.ferrer.o-1
9b gob-ti-inst-financieras-f.ferrer.o-1
 
Amenazas y medidas frente a ciberataques. ¿nos afecta realmente? ¿cómo proteg...
Amenazas y medidas frente a ciberataques. ¿nos afecta realmente? ¿cómo proteg...Amenazas y medidas frente a ciberataques. ¿nos afecta realmente? ¿cómo proteg...
Amenazas y medidas frente a ciberataques. ¿nos afecta realmente? ¿cómo proteg...
 
04 Softtek
04 Softtek04 Softtek
04 Softtek
 
Evaluación del riesgo tecnologías informáticas.pdf
Evaluación del riesgo tecnologías informáticas.pdfEvaluación del riesgo tecnologías informáticas.pdf
Evaluación del riesgo tecnologías informáticas.pdf
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012
 
Risk management original
Risk management originalRisk management original
Risk management original
 
Administracion
AdministracionAdministracion
Administracion
 
Modelo Estándar de Control Interno.pptx
Modelo Estándar de Control Interno.pptxModelo Estándar de Control Interno.pptx
Modelo Estándar de Control Interno.pptx
 
Taller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_RiesgosTaller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_Riesgos
 
Portafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIPortafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TI
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
It Risk Management
It Risk ManagementIt Risk Management
It Risk Management
 
Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020
 
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdfSesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
 

Rt impacto panama [modo de compatibilidad]

  • 1. INTENDENCIA DE VALORES Riesgo Tecnológico, Impacto y Autoevaluación en el Negocioen el Negocio
  • 2. Agenda • IntroducciónIntroducción • Impacto – (Gestión de Riesgo) • Del Riesgo TI al Riesgo Corporativo • Autoevaluación
  • 3. Introducción Conocemos los riesgos a los que estamos expuestos?
  • 4. Desafíos de TI E t l TI siempre Entregar valor TI siempre disponible Alinear TI con la institución Optimizar costosinstitución costos Mejores niveles de seguridad
  • 5. Origen del Riesgo TI Riesgo Operacional “ El riesgo de pérdidas resultantes de procesos inadecuados o fallidos, personas y sistemas o de eventos externos que no, p y q están cubiertos por capital regulatorio…” BASILEA II Es “el efecto de la incertidumbre en la consecución de loss e e ecto de a ce t du b e e a co secuc ó de os objetivos” ISO 31000:2009
  • 6. Riesgo TI El riesgo de TI es el riesgo asociado con el uso, propiedad, operación, involucramiento, influencia y adopción de la t l í d i f iótecnología de información en una empresa La pérdida ocasionada por interrupción, falla o daño que se derivan de los sistemas de información y plataformas tecnológicas que una organización dispone para prestar sus servicios ordinarios.
  • 7. Riesgo TI • Riesgo en la entrega de servicios de TI – Son los riesgos asociados al desempeño y disponibilidad de los servicios de TI. – Estos riesgos pueden provocar una destrucción o reducción del valor en una empresa. • Riesgo en la entrega de la solución de TI – Son los riesgos asociados con la contribución de TI a las soluciones de negocio nuevas o mejoradas, usualmente ensoluciones de negocio nuevas o mejoradas, usualmente en forma de proyectos y/o programas • Riesgo en la realización de beneficios de TI S l i i d l é did d t id d d– Son los riesgos asociados con la pérdida de oportunidades de utilización de tecnología para mejorar la eficiencia o efectividad de los procesos de negocio o utilizar la tecnología como un habilitador de nuevas iniciativas de negociohabilitador de nuevas iniciativas de negocio
  • 8. Riesgo TI Clasificación Descripción Seguridad y acceso Riesgo que la informaciónacceso información confidencial sea utilizada por personas no autorizadas Integridad Riesgo que la información no sea confiable, incompleta e inexacta Pertinente El riesgo asociado a nog tener la información adecuada en el tiempo preciso para los procesosprocesos
  • 9. Riesgo TI Disponibilidad Riesgo de perdida de los servicios Infraestructura Riesgo de no contar con la infraestructura adecuada que soporteadecuada que soporte las necesidades actuales y futuras.
  • 10. Riesgo TI Eventos relacionados a Riesgos de TI Fraude Interno Fraude Administración Externo Administración de procesos Clientes, productos y servicios Interrupciones del negocio Daños a activos físicos
  • 11. Riesgos - TI AcciónAcción •• DivulgaciónDivulgación •• InterrupciónInterrupción •• ModificaciónModificación R bR b Activo / RecursoActivo / Recurso •• Gente y OrganizaciónGente y Organización •• ProcesosProcesos •• RoboRobo •• DestrucciónDestrucción •• DiseñoDiseño InefectivoInefectivo •• EjecuciónEjecución ActorActor •• InternosInternos •• ExternosExternos ProcesosProcesos •• Infraestructura (instalaciones,Infraestructura (instalaciones, infraestructura)infraestructura) •• Componentes de laComponentes de la Arquitectura de NegocioArquitectura de Negocio jj ineficienteineficiente •• RegulaciónRegulación •• Uso inapropiadoUso inapropiado (Competidores,(Competidores, Socios deSocios de negocio,negocio, Reguladores,Reguladores, Mercado etc )Mercado etc ) TiempoTiempo E iE i DuraciónDuración Tipo de AmenazaTipo de Amenaza Mercado, etc.)Mercado, etc.) •• MaliciosaMaliciosa ++ ++ ++ ++ EscenarioEscenario de Riesgode Riesgo •• DuraciónDuración •• Tiempo deTiempo de Ocurrencia (crítico,Ocurrencia (crítico, no critico)no critico) •• Tiempo de detecciónTiempo de detección •• AccidentalAccidental •• FallaFalla •• NaturalNatural
  • 12. Impacto Los objetivos de la institución dependen de los procesos de negocios y estos de TI Aplicativo 1 Aplicativo 2 Proceso 1 2 Proceso 2 Sistemas de información 2 Soporte a toma de decisiones y desarrollo de actividades
  • 13. Impacto Procesos deProcesos de negocio Aplicaciones y servicios Objetivos y Estrategias Infraestructura de TI (HW, SW, Datos, Instalaciones, personal, metodología, políticas y, p , g , p y procedimientos)
  • 14. Impacto Como evitar que ocurran eventos no deseados? En el caso de ocurrir como disminuir su impacto?
  • 15. Impacto - Gestión Gestionar los riesgos Es un proceso interactivo basado en el conocimiento, evaluación y manejo de los riesgos y sus impactos, con el propósito de mejorar lay p , p p j toma de decisiones organizacionales.
  • 16. Impacto - Gestión Gestionar los riesgos de TI • Parte de la gestión global del riesgo corporativo • Enfocado a un eficiente equilibrio entre oportunidades y didperdidas • Precisa de un análisis de riesgos combinado con un análisis de impacto en el negocio (BIA)
  • 17. Impacto - Gestión Estándares ISO 31010• ISO 31010 • BS 31100 • ISO/IEC 27005 • ITGI – Risk IT Framework • NIST – SP800-30 • AS/NZS 4360AS/NZS 4360 • MAGERIT • CRAMM UNE 71504• UNE 71504
  • 19. Impacto - Gestión Principios  Siempre esta conectada con los objetivos del negocio  Alinea la gestión de riesgos TI con la gestión de riesgos de toda la organización  Balancea costos  Promueve comunicación  Es un proceso continuo  Debe ser sistémica estr ct rada Debe ser sistémica y estructurada  Debe ser parte de la toma de decisiones  Dinámica, iterativa  Proteger todo lo que es valioso Proteger todo lo que es valioso  Adaptada a la organización
  • 20. Impacto - Gestión Repuesta al riesgo Cambiar Controoles Seguros / Outsourcing
  • 21. Impacto - Gestión Priorización de Respuesta a RespuestasPriorización de Respuesta a Riesgos Caso de Niv Logros Respuestas muy eficientes y eficaces a riesgos altos Respuestas mas caras o más difíciles a riesgos altos Caso de Negocio veldeRies Logros Rápidos R t altos Diferir goActual Oportunidad Respuestas costosas a riesgos bajosRespuestas eficientes y eficaces a riesgos b j Eficacia / Eficiencia bajos
  • 22. Impacto - Gestión Nivel de Riesgo mpactoridaddeliSeve Probabilidad que ocurra
  • 23. Impacto - Gestión Efecto esperado de las opciones de tratamiento riesgoeridaddelSeve Probabilidad que ocurra
  • 24. Impacto - GestiónDetectar y resolver accesos no autorizados a la información Contro % Alta ProbabilidadSupervisión periódica Contro l Proceso: Garantizar Seguridad UsuariosUsuarios Definición inapropiada de permisos de acceso Definición inapropiada de permisos de acceso Causa Alta Media Baja Seguridad • Objetivo: Permitir el acceso a información crítica y sensible • Objetivo: Permitir el acceso a información crítica y sensible •Usuarios autorizados realizan actividades no permitidas •Usuarios autorizados realizan actividades no permitidas Evento / Escenario: Qué puede suceder para ocasionar Accesos excesivos y uso de capacidades de supervisión. Intención de Fraude Accesos excesivos y uso de capacidades de supervisión. Intención de Fraude y sólo a usuarios autorizados. y sólo a usuarios autorizados. la Falla Modificación de Información Modificación de Información Efecto Información. Transacciones no autorizadas Información. Transacciones no autorizadas $ Alto Medio Bajo ImpactoEjemplo
  • 25. Del Riesgo TI al corporativo Requerimientos de Negocio efectividad eficiencia fid i lid d Información RecursosProcesos Informaciónconfidencialidad integridad disponibilidad cumplimiento fi bilid d Aplicación Infraestructura Personas PLANEACION Y ORGANIZACION confiabilidad ORGANIZACION ADQUISICION E MONITOREO Y EVALUACIÓN IMPLEMENTACION ENTREGA Y EVALUACIÓN ENTREGA Y SOPORTE
  • 26. Del Riesgo TI al corporativo Debemos incluir la gestión del riesgo TI a la gestión del riesgo Corporativo? C l l i id d d t d l i d l G tióCual es la prioridad dentro del negocio de la Gestión del Riesgo TI? Como afecta la no gestión del Riesgo TI a la estrategiaComo afecta la no gestión del Riesgo TI a la estrategia y objetivos de TI?
  • 27. Del Riesgo TI al corporativo • Al igual que otros riesgos que se gestionan, los riesgos de TI deben ser considerados • Darle prioridad alta • Conciencia y responsabilidad de la Directores • Inversión para gestionarles = continuidad, eficiencia yp g , y oportunidades Riesgo TI No operación, No continuidadg No gestióngestión
  • 28. Del Riesgo TI al corporativo De lo anterior: El objetivo es si no solo es la gestión del riesgo TI, Sino garantizar la continuidad del negocio, tomando acciones para el tratamiento de los riesgos y de estap g y forma estar preparados antes los nuevos retos.
  • 29. Autoevaluación Es un proceso a través del cual la efectividad de los controles internos es evaluada. Cuyo objetivo es proveer un aseguramiento razonable de que los objetivos del negocio se cumplirán.
  • 30. Autoevaluación Como se hace: • Basado en objetivos • Basado en riesgos • Basado en controles • Basado en procesosp
  • 32. Autoevaluación Matriz de Autoevaluación de Riesgos Tipo Descripcion P I Nivel de Riesgo Control Valor del Control Resid uo Integridad Administración de problemas 3 1 3 Registro de incidencias 3 1Integridad problemas 3 1 3 Registro de incidencias 3 1 Infraestructu ra Respaldo y restauracion 5 3 15 Plan de contingencia 5 3 Disponibilid d Continuidad del i (TI) 4 3 12 Sitio alterno, procedimiento de ld 5 2 4ad negocio (TI) 4 3 12 respaldos 5 2.4 Plan de respaldo
  • 33. Conclusiones El riesgo de TI impacta en el negocio de manera que se pueden detener las operaciones del mismo La gestión de riesgos de TI no es responsabilidad de la gerencia de TI, (Gobierno de TI) No solo vasta conocer los riesgos a los que nos enfrentamos (amenazas, vulnerabilidades), hay que gestionarlos y conocer su impactoimpacto La gestión de riesgos de TI = monitoreo, revisiones, actualizaciones, es decir es una practica de todos los diasactualizaciones, es decir es una practica de todos los dias
  • 34. Gracias por su atención..p Lic. José Victor Valle Analista Inspector TIAnalista Inspector TI