3. Agenda
Qué es Administración de Riesgos?
Proceso de Administración de Riesgos
4. Qué es Administración de Riesgos?
Herramienta gerencialHerramienta gerencial
que apoya la toma deque apoya la toma de
decisiones organizacionalesdecisiones organizacionales
facilitando con ello elfacilitando con ello el
cumplimiento de loscumplimiento de los
objetivos del negocioobjetivos del negocio
5. RIESGOSRIESGOS
Proceso iterativoProceso iterativo
basado en elbasado en el
conocimiento,conocimiento,
valoración,valoración,
tratamiento ytratamiento y
monitoreo de losmonitoreo de los
riesgos y sus impactosriesgos y sus impactos
en el negocioen el negocio
Qué es Administración de Riesgos?
6. Aplicable a cualquierAplicable a cualquier
situación donde unsituación donde un
resultado no deseado oresultado no deseado o
inesperado podría serinesperado podría ser
significativosignificativo en elen el
logro de los objetivoslogro de los objetivos oo
donde se identifiquendonde se identifiquen
oportunidadesoportunidades dede
negocionegocio
UbicaciónUbicación
GeográficaGeográfica
UnidadUnidad
OrganizacionalOrganizacional
Sistema deSistema de
InformaciónInformación
ProyectoProyectoProcesoProceso
OportunidadOportunidad
Qué es Administración de Riesgos?
7. 1. Establecer Marco General
2. Identificar Riesgos
3. Análisis de Riesgos
4. Evaluar y Priorizar Riesgos
5. Tratamiento del Riesgo
Monitorear
y Revisar
Monitorear
y Revisar
Proceso de Administración de Riesgos
8. 1.3. Identificar Criterios de Calificación
1.1. Entender el Entorno
1.2. Entender la Oganización
Administración de Riesgos
1. Establecer Marco General
1.4. Identificar Objetos Críticos1.4. Identificar Objetos Críticos
9. 1.3. Identificar Criterios de Calificación
1.1. Entender el Entorno
1.2. Entender la Oganización
Administración de Riesgos
1. Establecer Marco General
1.4. Identificar Objetos Críticos1.4. Identificar Objetos Críticos
Análisis Externo
Aspectos financieros,
operacionales, competitivos,
políticos (percepción / imagen),
sociales, clientes, culturales y
legales
Stakeholders
Objetivos
Estrategias
10. 1.3. Identificar Criterios de Calificación
1.1. Entender el Entorno
1.2. Entender la Oganización
Administración de Riesgos
1. Establecer Marco General
1.4. Identificar Objetos Críticos1.4. Identificar Objetos Críticos
MetodologíaMetodología
PolíticasPolíticas
Criterios de Calificación y Tablas de ValoraciónCriterios de Calificación y Tablas de Valoración
Universo de Objetos y Objetos Críticos PriorizadosUniverso de Objetos y Objetos Críticos Priorizados
12. Interés de la Dirección
Procesos – Subprocesos
Proyectos
Unidades Orgánicas
Sistemas - Aplicaciones
Geográficamente
Lista de Objetos
a los cuáles se les
puede realizar
Administración
de Riesgos
Administración de Riesgos
Qué calificar - Objetos?
Cómo dividir la organización?
13. Administración de Riesgos
Qué calificar - Objetos?
Basado en Procesos (Negocio – COBIT)
Basado en Sistemas
Basado en Proyectos
Basado en Infraestructura
Planeación estratégica de sistemas
Desarrollo de sistemas
Evolución o mantenimiento de sistemas
Integración de paquetes de software
Capacitación
Proceso de datos en ambientes de trabajo en batch
Atención a requerimientos de usuarios
Administrar servicios de terceros (incluye outsourcing)
Administración de proyectos
Administración de la infraestructura informática
Dirección y control del área de tecnología de información
Administración de recursos materiales (equipo, tecnología e instalaciones)
Administración de recursos humanos
Administración de recursos financieros
14. Administración de Riesgos
Qué calificar - Objetos?
Basado en Procesos (Negocio – COBIT)
Basado en Sistemas
Basado en Proyectos
Basado en Infraestructura
Para un sistema en particular
Programas – Archivos - Procedimientos
Eventos - Entrada – Comunicación – Proceso – Salida - Distribución
15. Administración de Riesgos
Qué calificar - Objetos?
Basado en Procesos (Negocio – COBIT)
Basado en Sistemas
Basado en Proyectos
Basado en Infraestructura
A Productos
Análisis al Proceso
16. Administración de Riesgos
Qué calificar - Objetos?
Basado en Procesos (Negocio – COBIT)
Basado en Sistemas
Basado en Proyectos
Basado en Infraestructura
Datos Sistemas de Información (Aplicaciones)
Tecnología (Equipos – SW de base y SMBD – SW de Productividad –
Metodologías)
Instalaciones Recursos Humanos
Elementos de Administración
Recursos Financieros Proveedores
17. Administración de Riesgos
Cómo calificar – Criterios?
• Calidad del Control Interno
• Competencia de la Dirección (entrenamiento, experiencia,
compromiso y juicio)
• Integridad de la Dirección (códigos de ética)
• Cambios recientes en procesos (políticas, sistemas, o
dirección)
• Tamaño de la Unidad (Utilidades, Ingresos, Activos)
• Liquidez de activos
• Cambio en personal clave
• Complejidad de operaciones
• Crecimiento rápido
• Regulación gubernamental
• Condición económica deteriorada de una unidad
• Presión de la Dirección en cumplir objetivos
• Nivel de moral de los empleados
• Exposición política / Publicidad adversa
• Distancia de la oficina principal
De Negocio
IIA
• Exposición financiera
• Pérdida y riesgo potencial
• Requerimientos de la dirección
• Cambios importantes en operaciones,
programas, sistemas y controles
• Oportunidades de alcanzar beneficios
operativos
• Capacidades del persona
• Pérdida financiera
• Pérdida de imagen
• Discontinuidad del negocio
• Incumplimiento de la misión
18. Confidencialidad
Integridad Disponibilidad
Los activos de un sistema computacional son accedidos solo por personas autorizadas
El tipo de acceso es de lectura: leyendo, visualizando, imprimiendo o aún solo conociendo la
existencia de un objeto
SECRETO, RESERVA, PRIVACIDAD
“SOLO PERSONAS AUTORIZADAS PUEDEN VER DATOS PROTEGIDOS”
Previene la divulgación no autorizada de datos
Administración de Riesgos
Cómo calificar – Criterios Seguridad Informática
19. Confidencialidad
Integridad Disponibilidad
Administración de Riesgos
Cómo calificar – Criterios Seguridad InformáticaLos activos pueden ser modificados solo por partes
autorizadas o solo en formas autorizadas
La modificación incluye escribir, cambiar, cambiar
estados, borrar y crear
PRECISIÓN, EXACTITUD, NO MODIFICADO,
MODIFICADO SOLO EN FORMAS
ACEPTABLES, MODIFICADO SOLO POR
PERSONAS AUTORIZADAS, MODIFICADO
SOLO POR PROCESOS AUTORIZADOS,
CONSISTENCIA, CONSISTENCIA INTERNA,
SIGNIFICADO Y RESULTADOS CORRECTOS
ACCIONES AUTORIZADAS, SEPARACIÓN Y
PROTECCIÓN DE RECURSOS, Y DETECCIÓN Y
CORRECCIÓN DE ERRORES
“CONTROL RIGUROSO DE QUIEN PUEDE
ACCEDER CUALES RECURSOS EN QUE
FORMAS”
Previene la modificación no autorizada de datos
20. Confidencialidad
Integridad Disponibilidad
INDEPENDENCIA - TRASLAPO
Los activos son accesibles a partes autorizadas
Aplica a datos y servicios
PRESENCIA DE OBJETOS O SERVICIOS
EN FORMA UTIL, CAPACIDAD PARA
CUMPLIR LAS NECESIDADES DE
SERVICIO, TIEMPO DE ESPERA
LIMITADO, TIEMPO DE SERVICIO
ADECUADO
RESPUESTA OPORTUNA, TOLEREANCIA
A FALLAS, UTILIDAD, CONCURRENCIA
CONTROLADA (Soporte para acceso
simultáneo, administración de concurrencia y
acceso exclusivo)
NEGACIÓN O REPUDIACIÓN DEL
SERVICIO
Previene la negación de acceso autorizado a
datos
Administración de Riesgos
Cómo calificar – Criterios Seguridad Informática
21. 2.1. Establecer el Contexto de Administración de Riesgos
2.2. Desarrollar Criterios de Valoración de Riesgos
2.3. Definir la Estructura
2.4. Identificar riesgos
2.5. Identificar causas
Administración de Riesgos
2. Identificar Riesgos
23. Hardware
Servidores, estaciones cliente, dispositivos de comunicación (router, bridge,
hub, gateway, modem), dispositivos periférico, cables, fibras
Software (o Servicios)
Sistemas operativos de red, sistemas operativos en estaciones cliente, aplicaciones,
herramientas (administrativas, mantenimiento, backup), software bajo desarrollo
Datos
De la organización: bases de datos, hojas electrónicas, procesamiento de palabra, e-
mail
De la red: Privilegios de acceso a usuarios, password de usuarios, pistas de auditoria,
configuración y parámetros de la red
De los usuarios: datos procesados personal, archivos de propiedad del usuario
Administración de Riesgos
Seguridad en Redes – Activos (Componentes)
24. R1 = Acceso no autorizado a la red o sus recursos
R2 = Divulgación no autorizada de información
R3 = Modificación no autorizada a datos y/o software
R4 = Interrupción de las funciones de la red (no
disponibilidad de datos o servicios)
R4a = incluyendo perdida o degradación de las
comunicaciones
R4b = incluyendo destrucción de equipos y/o datos
R4c = incluyendo negación del servicio
R5 = Acciones engañosas en la red (no saber quien)
Administración de Riesgos
Seguridad en Redes - Riesgos
25. Information Security Risks
Physical Damage: Fire, water, power loss, vandalism
Human Error: Accidental or intentional action
Equipment malfunction: Failure of system
Inside and outside attacks: Hacking , cracking
Misuse of data:Sharing trade secrets
Loss od data: Intentional or unintentional loss
Application error: Computation errors, input errors
26. CausaCausa
Evento primario fundamentoEvento primario fundamento
u orígen de una consecuenciau orígen de una consecuencia
CausaCausa
Evento primario fundamentoEvento primario fundamento
u orígen de una consecuenciau orígen de una consecuencia
RiesgoRiesgo
Concepto usado para expresar incertidumbre sobreConcepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podrían llegar a impactar el"consecuencias y/o eventos que podrían llegar a impactar el
logro de los objetivos"logro de los objetivos"
RiesgoRiesgo
Concepto usado para expresar incertidumbre sobreConcepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podrían llegar a impactar el"consecuencias y/o eventos que podrían llegar a impactar el
logro de los objetivos"logro de los objetivos"
ConsecuenciaConsecuencia
Resultado de un evento oResultado de un evento o
situación expresadosituación expresado
cualitativa ocualitativa o
cuantitativamentecuantitativamente
ConsecuenciaConsecuencia
Resultado de un evento oResultado de un evento o
situación expresadosituación expresado
cualitativa ocualitativa o
cuantitativamentecuantitativamente
EventoEvento
Situación que podría llegar aSituación que podría llegar a
ocurrir en un lugarocurrir en un lugar
determinado en un momentodeterminado en un momento
dadodado
EventoEvento
Situación que podría llegar aSituación que podría llegar a
ocurrir en un lugarocurrir en un lugar
determinado en un momentodeterminado en un momento
dadodado
Administración de Riesgos
2. Cómo escribir Riesgos?
27. Causa,Causa,
Evento primarioEvento primario
o Situacióno Situación
Causa,Causa,
Evento primarioEvento primario
o Situacióno Situación
RiesgoRiesgo
Concepto usado para expresar incertidumbre sobreConcepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podrían llegar a impactar el"consecuencias y/o eventos que podrían llegar a impactar el
logro de los objetivos"logro de los objetivos"
RiesgoRiesgo
Concepto usado para expresar incertidumbre sobreConcepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podrían llegar a impactar el"consecuencias y/o eventos que podrían llegar a impactar el
logro de los objetivos"logro de los objetivos"
Evento,Evento,
AmenazaAmenaza
Evento,Evento,
AmenazaAmenaza
Consecuencia,Consecuencia,
Impacto,Impacto,
ExposiciónExposición
o Resultadoo Resultado
Consecuencia,Consecuencia,
Impacto,Impacto,
ExposiciónExposición
o Resultadoo Resultado
++
Administración de Riesgos
2. Cómo escribir Riesgos?
28. Violación de la privacidad
Demandas legales
Perdida de tecnología
propietaria
Multas
Perdida de vidas humanas
Desconcierto en la organización
Perdida de confianza
Administración de Riesgos
Seguridad en redes – Impactos Significativos
30. Origen Amenaza directa Impacto inmediato
Terremotos,
tormentas
eléctricas
Fenómenos
astrofísicos
Fenómenos
biológicos
Interrupción de potencia,
temperatura extrema debido
a daños en construcciones,
Perturbaciones
electromagnéticas
Muerte de personal crítico
R4, R4a, R4b
R4, R4a
R4, R4c
Administración de Riesgos
Seguridad Informática – Amenazas Naturales
31. Origen Amenaza directa Impacto inmediato
Error del Usuario
Error del
Administrador
Fallas de equipos
Borrado de archivos, Formateo de
drive, mal empleo de equipos, errores
de entrada
Configuración inapropiada de
parámetros, borrado de información
Problemas técnicos con servidores de
archivos, servidores de impresión,
dispositivos de comunicación,
estaciones cliente, equipo de soporte
(cintas de back-up, control de acceso,
derrame de café)
R3, R4
R1: R2, R3, R4, R5
R3, R4, R4b
Administración de Riesgos
Seguridad Informática – Amenazas Accidentales
33. Características o debilidades en el sistema de seguridad que
pueden ser explotadas para causar daños o perdidas (facilitan la
ocurrencia de una amenaza)
• Interrupción: un activo se pierde, no está disponible, o no se
puede utilizar
• Intercepción: alguna parte (persona, programa o sistema de
computo) no autorizada accede un activo
• Modificación: una parte no autorizada accede y manipula
indebidamente un activo
• Fabricación: Fabricar e insertar objetos falsos en un sistema
computacional
Administración de Riesgos
Seguridad Informática – Vulnerabilidades
34. Hardware
Software Datos
Interrupción (Negación del Servicio) Intercepción (Robo)
Actos Involuntarios/Accidentales – Intencionales/Voluntarios que
limitan la disponibilidad
Destrucción
Agua, Fuego, Problemas de potencia, Alimentos, Ratones, Cenizas,
Ataques físicos, Bombas
Robo
Administración de Riesgos
Seguridad Informática – Vulnerabilidades
35. Hardware
Software Datos
Interrupción (Borrado)
Intercepción
Modificación
Borrado accidental o destrucción de
programas
Robo - Copia ilícita de programas
Causar fallas o errores
Salvar una copia mala de un
programa destruyendo una buena,
Programas modificados (cambio de
bits, de instrucciones – bombas
lógicas, efectos colaterales)
Caballos de Troya, Virus, Puerta
falsa, Fuga de Información
Administración de Riesgos
Seguridad Informática – Vulnerabilidades
36. Administración de Riesgos
Seguridad Informática – Vulnerabilidades
Hardware
Software Datos
Interrupción (Perdida)
Intercepción
Modificación
Fabricación
Robo
Confidencialidad – líneas
derivadas, recipientes de basura,
soborno a empleados claves,
inferencia, preguntando, compra
Programas maliciosos – Técnica de
salami, utilidades del sistema de
archivos, facilidades de
comunicación defectuosas
Reprocesamiento de datos
utilizados, adicionar registros en
una base de datos
37. 3.1. Valorar Riesgo Inherente
3.2. Determinar Controles Existentes
3.3. Identificar Nivel de Exposición
Administración de Riesgos
3. Analizar Riesgos
Valorar el posible daño que puede ser causado
38. Administración de Riesgos
Cómo valorar riesgo?
$ Inherente
Nivel de exposición
Residual
Probabilidad x Impacto
Frecuencia x Impacto
40. Medidas protectoras – acciones, dispositivos, procedimientos o
técnicas – que reducen una vulnerabilidad
Encripción
Interc.Interr. Fab.Mod.Integ.Conf. Disp.
Administración de la
Configuración (Control de
Cambios a Programas)
Políticas
Controles de Hardware
Controles Físicos (candados y
guardas)
Administración de Riesgos
Controles en Seguridad
41. Monitorea
r y Revisar
Monitorea
r y Revisar
Valorar prioridades de riesgo
Riesgo aceptable? Aceptar
SI
Considerar factibilidad, costos y beneficios, y niveles de riesgo
EvitarTransferir
total o
parcialmente
Reducir
consecuencia
Reducir
probabilidad
NO
Recomendar estrategias de tratamiento
Seleccionar estrategia de tratamiento
Preparar planes de tratamiento para reducir, transferir o
evitar el riesgo, financiando cuando sea apropiado
EvitarTransferir
total o
parcialmente
Reducir
consecuencia
Reducir
probabilidad
Riesgo residual aceptable? Retener
SINO
VALORAR Y
PRIORIZAR
RIESGOS
IDENTIFICAR
OPCIONES DE
TRATAMIENTO
EVALUAR
OPCIONES DE
TRATAMIENTO
PREPARAR
PLANES DE
TRATAMIENTO
IMPLEMENTAR
PLANES DE
TRATAMIENTO
Riesgo residual no aceptable
Porción
retenida
Porción
transferida
Asegurar la efectividad costo/beneficio de los controles
42. Hardware
Software Datos
Variables:
Cantidad de involucrados
Esfuerzo de Aseguramiento
Valor del activo
Duración del Activo
Esfuerzo de detección de incidentes
Impacto en los objetivos del
negocio
Efectividad de la medida
Nivel de sofisticación
Facilidad de uso
Principio de la Adecuada Protección: Los ítems deben ser protegidos
solo hasta que ellos pierden su valor y deben ser protegidos de
manera consistente con su valor
Administración de Riesgos
Dónde invertir?
43. Bibliografía
Security in Computing – Charles P. Pfleeger –
Prentice Hall
Network Security - Analysis and Implementation -
January 1996 - MG-1 - http://www.cse.dnd.ca -
Government of Canadá, Communications Security
Establishment (CSE)