Академический Документы
Профессиональный Документы
Культура Документы
Jos ngel Pea Ibarra, CGEIT, CRISC Salomn Rico Baos, CISA, CISM, CGEIT October 2011
11:00 AM 11:15 AM: 12:30 PM: 01:30 PM: 03:45 PM: 04:00 PM: 05:00 PM:
Receso Mdulo 4. Conceptos y Herramientas del Risk IT de ISACA. COMIDA Mdulo 5. Ejercicio prctico de aplicacin de Risk IT. Parte 1. Receso Mdulo 6. Ejercicio prctico de aplicacin de Risk IT Parte 2 Fin de Taller
Gestin de Riesgos
Los datos y los vnculos de comunicacin se han convertido en el principal activo de muchas empresas. Todos los datos se transmiten electrnicamente. La proteccin de los datos pre-ocupa a la Direccin. La Gerencia dedica ms tiempo a administrar los riesgos de prdida de datos. La Prevencin de Riesgos es una preocupacin central.
Riesgo tecnolgico
La importancia de la tecnologa de informacin y sus aplicaciones es cada da mayor en los diversos sectores productivos y de servicios. En consecuencia, el riesgo tecnolgico debe ser comprendido y debidamente administrado y se deben adoptar marcos de referencia y mejores prcticas para la seguridad de TI
Definicin de riesgo
El riesgo es la posibilidad de que una amenaza aunada a una vulnerabilidad, cause un impacto negativo a un activo u organizacin. El riesgo tecnolgico es entonces, la posibilidad de que una amenaza aunada a una vulnerabilidad tecnolgica u organizacional, cause un impacto en los activos, procesos o servicios relacionados con la tecnologa.
Entre los activos se tienen:
Riesgo Tecnolgico
La continuidad de las operaciones y la seguridad de los procesos estn fuertemente relacionadas con el riesgo tecnolgico El riesgo tecnolgico implica la probabilidad de prdidas ante fallas de los sistemas de informacin. Tambin considera la probabilidad de fraudes internos y externos a travs de los sistemas de informacin. Involucra al riesgo legal y al riesgo de prdida de reputacin por fallas en la seguridad y por la no disponibilidad de los sistemas de informacin.
Amenazas
Vulnerabilidades
protege contra
incrementa
incrementa
afecta
Salvaguardas
Riesgos
Activos
satisfecho por
indica
incrementa
tiene
Requisitos de Seguridad
Gestin de riesgos El nivel de riesgo al que est sometido una organizacin nunca podr erradicarse totalmente
Identif icar ac tivos, Identificar activos, amenazas yy amenazas vulnerabilidades vulnerabilidades VVolver olver aa EEvaluar valuar yy Auditar los Riesgos Auditar los Riesgos Evaluar los Evaluar los riesgos riesgos
12
Desarrollar Desarrollar Poltica de d Poltica deSegurida Seguridad yy Pla n de Seguridad Plan de S egurida d
Gestin de Riesgos
Las empresas pueden adoptar diversas respuestas para tratar los riesgos:
Aceptarlos Mitigarlos Transferirlos Eliminarlos
La forma de respuesta depender de factores como el apetito al riesgo y la tolerancia al riesgo de la empresa.
13
Gestin de riesgos
En resumen
Realidad Global
Fuente: Global Status Report on the Governance of Enterprise IT (GEIT)2011 -IT Governance Institute
Realidad en Mxico
Fuente: Que la fuerza te acompae: Estudio Nacional de Riesgos de TI en Mxico 2010 , Deloitte.
Fuente: Que la fuerza te acompae: Estudio Nacional de Riesgos de TI en Mxico 2010 , Deloitte.
Fuente: Que la fuerza te acompae: Estudio Nacional de Riesgos de TI en Mxico 2010 , Deloitte.
Conclusiones / Interrogantes
En tu organizacin se consideran los riesgos tecnolgicos como un elemento ms de los procesos de negocio? En tu organizacin qu marco de referencia utilizan para la gestin de riesgos? En tu organizacin con qu frecuencia se realiza una evaluacin de riesgos de TI? En tu organizacin los riesgos de TI estn en la agenda de la alta direccin? En tu organizacin quin es el responsable de la gestin de riesgos de TI?
Contenido
1. 2. 3. 4.
Los productos aqu mencionados pertenecen a sus respectivos propietarios. La presentacin no tiene fines de lucro, es solo de carcter acadmico, y representa solamente la opinin del expositor
OCTAVE
Carnegie Mellon SEI
MAGERIT 2
MINISTERIO DE ADMINISTRACIN PBLICA
ISO 27005
27005
Risk IT de ISACA
Coadyuvante en el Aseguramiento de la continuidad del negocio Definicin del riesgo y amenazas basadas en los activos crticos Estrategias de proteccin y mitigacin de riesgos basada en prcticas Recopilacin de datos en funcin de los objetivos Base para la mejora de la seguridad
OCTAVE
OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation)
Beneficios
Identifica los riesgos de la seguridad que pueden impedir la consecucin del objetivo de la organizacin Ensea a evaluar los riegos de la seguridad de la informacin Crea una estrategia de proteccin con el objetivo de reducir los riesgos de seguridad de la informacin prioritaria Ayuda a la organizacin cumplir regulaciones de la seguridad de la informacin.
OCTAVE
OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation)
Fase 1
Activos Vista de la Organizacin Amenazas
Fase 3
Prcticas actuales Vulnerabilidades de la organizacin Cumplimiento
Planificacin
MAGERIT 2
MINISTERIO DE ADMINISTRACIN PBLICA
MAGERIT
MAGERIT inici con enfoque a las entidades pblicas en Espaa, pero se recomienda para todo tipo de organizaciones Tiene varios documentos:
Mtodo Ctalogo Tcnicas
Risk IT de ISACA
En el siguiente captulo se describirn los conceptos principales del Risk IT de ISACA
38
Magnitude
Opportunity
Acceptable
Unacceptable
Frequency
Magnitude
Frequency
Magnitude
Frequency
Entity 1
Aggregated
Entity 2
Magnitude Frequency
Entity 3
Anlisis de Riesgo
Respuesta al Riesgo
Factores de Riesgo
Ejercicio de aplicacin
Se realizar un ejercicio prctico de aplicacin del Risk IT, utilizando los conceptos del Risk IT Practioner Guide y algunas herramientas del Risk IT Practioner Guide Tool KIT Se harn grupos de trabajo y se trabajar haciendo enfsis en el dominio de evaluacin de riesgos. Los facilitadores del taller guiarn a los participantes durante todo el ejercicio.