Академический Документы
Профессиональный Документы
Культура Документы
CONFERENCIAS
1
MENSUALES 2017 2017 Isaca Lima Todos los derechos
Agenda
Presentacin de la Entidad
Escenarios de Riesgos en el SGSI
Escenarios de Riesgos en BCP
Escenarios de Riesgos en la LPDP
Escenarios de Riesgos en el SCI
Monitoreo
Riesgos Operativos y Tecnolgicos
CONFERENCIAS
2
MENSUALES 2017 2017 Isaca Lima Todos los derechos
ENTIDA Presentaci
D n
CONFERENCIAS
3
MENSUALES 2017 2017 Isaca Lima Todos los derechos
ENTIDA Diseo
D
Enterprise
Risk
Management
Riesgo
Tecnolgico
Riesgo
Continuidad
de
Operaciones
Riesgo de
Fraude
Operativo
CONFERENCIAS
4
MENSUALES 2017 2017 Isaca Lima Todos los derechos
ENTIDA Diseo
D
3era
2da Iteracin:
Iteracin: Proc. Misional
1.5 Proc.Riesgo Especializado
Prevencin
Operativo de Fraude
Iteracin: Apoyo
Riesgo
Proc.
Seguridad Tecnolgico
1era Misional
de la
Iteracin: Informacin
TI Riesgo de TI
Cibersegurid
CONFERENCIAS ad 5
MENSUALES 2017 2017 Isaca Lima Todos los derechos
ENTIDA Recursos
D
Nulos recursos econmicos, solo se
dispone de recursos internos en el
estado en que se encuentran.
Moderado apoyo de la Alta Direccin.
Existe un Comit de Seguridad a alto
nivel, pero no se cuenta con un
equipo de trabajo especializado.
Existe personas claves que quieren
mejorar la institucin.
CONFERENCIAS
6
MENSUALES 2017 2017 Isaca Lima Todos los derechos
RIESGO Estrategia
S
CONFERENCIAS
MENSUALES 2017
RIESGOS Levantamie
Paso 1 nto
2015
1. Reuniones de levantamiento de
informacin donde se evalu el
desempeo de los catalizadores
donde se busc las distorsiones en
los procesos y en los diversos
elementos de TI
CONFERENCIAS
8
MENSUALES 2017 2017 Isaca Lima Todos los derechos
RIESGOS Escenario de
Paso 2 Riesgo
2015
CONFERENCIAS
10
MENSUALES 2017 2017 Isaca Lima Todos los derechos
RIESGOS Seleccin de
Paso 4 Controles
2015
Los resultados
del proceso
pueden verse
afectados por
como se
ejecuta otro
proceso y el
control podra
estar en otro
lugar
CONFERENCIAS
11
MENSUALES 2017 2017 Isaca Lima Todos los derechos
RIESGOS
2015
Paso 5 PTR
CONFERENCIAS
12
MENSUALES 2017 2017 Isaca Lima Todos los derechos
Levantamien
BIA 2016 Paso 1 to I
10 Preguntas:
- Inventario de Procesos
-Valoracin de la
criticidad de los
Procesos basados en
criterios externos y
internos
- Aplicaciones utilizadas
- Dependencia del
1. Despliegue de levantamiento de
Procesos proceso de TI
2. Dar soporte a las dudas por
muchos meses
CONFERENCIAS
13
MENSUALES 2017 2017 Isaca Lima Todos los derechos
Escenario de
BIA 2016 Paso 2 Riesgo
Escenarios de Riesgos
0507 - Un componente clave de la infraestructura es
robado por un miembro del personal
0509 - Se daan los servidores crticos en el centro de
cmputo (p.ej., por accidente, etc.)
0602 - La base de datos est corrupta, lo cual hace
inaccesible a los datos
0804 - Existen fallas intermitentes en los servicios
(telecomunicaciones, electricidad).
1108 Interrupcin de los servicios por fin de contrato
1401 - Se ha producido el robo de un dispositivo con
datos sensibles
1601 -Usuarios no autorizados tratan de forzar el ingreso
a los sistemas
1602 -Existen interrupciones en los servicios debido a
ataques de denegacin de servicios
1603 -El sitio web sufre un ataque que modifica su
apariencia
1701-No es posible acceder a las instalaciones y edificios
debido a una huelga gremial
1901 Terremoto
1904 Incendio fuera de control
CONFERENCIAS
14
MENSUALES 2017 2017 Isaca Lima Todos los derechos
Levantamien
PIA 2016 Paso 1 to II
12Preguntas:
- Documentos de
Entrada/Salida
- Valoracin y Clasificacin
- Indicios de riesgos y
controles del proceso
+25 unidades orgnicas
+ 80 procesos
+ 300 documentos tipo
1. Despliegue de levantamiento de
flujos de informacin
2. Dar soporte a las dudas por
muchos meses
CONFERENCIAS
15
MENSUALES 2017 2017 Isaca Lima Todos los derechos
Anlisis de
PIA 2016 Paso 2 Cumplimiento de
Principios Rectores
PRINCIPIOS
RECTORES
CONFERENCIAS
16
MENSUALES 2017 2017 Isaca Lima Todos los derechos
Escenarios
PIA 2016 Paso 3 de Riesgos
Cdigo Escenario de Riesgos
de
Riesgo
Extravo o revelacin de medios porttiles que contienen
0603 datos sensibles (CD, USB, discos porttiles, etc.)
Se pierden/revelan datos sensibles mediante ataques
0604 lgicos
Se pierden o no se verifica la efectividad de los medios
0605 que contienen las copias de respaldo.
Se revela informacin sensible debido a procedimientos
0609 ineficientes de archivo/eliminacin
Tratamiento de datos personales recopilados por medios
2101 fraudulentos, desleales o ilcitos
Tratamiento de datos personales sin el consentimiento
2102 del propietario
Tratamiento de datos personales para una finalidad
2103 diferente para lo que fueron recolectados
Tratamiento de datos personales innecesarios para el
2104 cumplimiento de la finalidad
No cumplimiento de los derechos arco de las personas
2105 debido a una inadecuada respuesta del Ministerio
Viaje de los datos a destinos transfronterizos con menor
2106 rigurosidad de cumplimiento
Tratamiento de datos personales que se puedan presumir
2107 que sean incorrectos
Almacenamiento de los datos personales por un tiempo
2108 innecesario
La aplicacin muestre informacin desproporcional para
2109 el acceso ejecutado por el diseo de la aplicacin
Difusin de los datos personales a terceros por culpa del
CONFERENCIAS 2110 Ministerio
17 Tratamiento no adecuado de los datos por parte del
MENSUALES 2017 2111 proveedor por falencias del contrato
2017 Isaca Lima Todos los derechos
Levantamie
SCI 2017 Paso 1 nto
Levantamiento
1
Riesgo Operativo:
-Riesgos del Proceso
Riesgo Tecnolgico
Levantamiento - Dependencia de TI
2
CONFERENCIAS
18
MENSUALES 2017 2017 Isaca Lima Todos los derechos
Riesgo
SCI 2017 Paso 2 operativo
Cdigo Escenario de Riesgos
de
Riesgo
CONFERENCIAS
19
MENSUALES 2017 2017 Isaca Lima Todos los derechos
Riesgo
Operativo
propio de
TI Riesgo
Tecnolgi
co de las
unidades
orgnicas
SGSI
CONFERENCIAS
Fuente: Capacitacin Isaca: Gestin optimizada del riesgo de
MENSUALES 2017
tecnologas de informacin integrada con el riesgo operacional
Poltica
Proc. Plan de
de uso
Gestin Manteni
de
Firewall _miento
internet
Gestionar el Permetro
CONFERENCIAS
MENSUALES 2017
Riesgo
SCI 2017 Paso 3 Tecnolgico
5 4 3 2 1
Reservado Reservado
Para Evaluado para
controles capacidad 2
desconocido
s
CONFERENCIAS
23
MENSUALES 2017 2017 Isaca Lima Todos los derechos
ndice de
SCI 2017 Paso 3 Riesgo
Operativo TI
Planificacin de TI Desarrollo y
mantener
soluciones de TI
Desplegar Entrega y Soporte
soluciones de TI servicios de TI
Desplegar
cumplimiento
CONFERENCIAS
24
MENSUALES 2017 2017 Isaca Lima Todos los derechos
ndice de
SCI 2017 Paso 3 Riesgo
Tecnolgico
Planificacin de TI Desarrollo y
mantener
soluciones de TI
Desplegar Entrega y Soporte
soluciones de TI servicios de TI
Desplegar
cumplimiento
CONFERENCIAS
25
MENSUALES 2017 2017 Isaca Lima Todos los derechos
ndice de
SCI 2017 Paso 4 Operativo
Proceso
ndice de la ndice de
Evaluacin de Riesgo Riesgo
los escenarios Tecnolgico x Operativo de
de sus Dependencia la Unidad
procesos de TI Orgnica
CONFERENCIAS
26
MENSUALES 2017 2017 Isaca Lima Todos los derechos
Levantamie
SGSI 2017 Paso 1 nto
Monitoreo
Continuo
Trimestral de los
Controles
Escenarios de
Riesgos SGSI
2015 (15)
Escenarios de
Riesgos de DRP
(14)
Escenarios de
Riesgos de LPDP
(4) Escenarios
trazables y
Gestin de reutilizables
Incidentes
CONFERENCIAS
27
MENSUALES 2017 2017 Isaca Lima Todos los derechos
COBIT 5 PARA Elementos de
Informacin
RIESGOS
Escenarios de
Riesgos
Registro de
Riesgos
Resultados
del Anlisis de
Plan de Riesgos
Accin de
Riesgos
Perfil de Eventos de
Riesgo Prdida
Factor de
Riesgo
Hallazgos de
Evaluaciones
Independiente
s
CONFERENCIAS Fuente: Cobit 5 para riesgos, figura 28
MENSUALES 2017 2017 Isaca Lima Todos los derechos
COBIT 5
MONITOREO Retos
Aplicacin del Modelo de Evaluacin de Procesos usando Cobit
5
Todos los controles son solo para el nivel 1
CONFERENCIAS
MENSUALES 2017 2017 Isaca Lima Todos los derechos
CONCLUSIONE
S
Lo recomendado es que cada escenario se mida con
un KRI, no fue posible operativamente.
Se concuerda con la recomendacin del material de
CRISC, se debe iniciar con la gestin de pocos
escenarios de riesgos, entre 5 y 10.
Los escenarios resultaron usables por personal que
desconoce la gestin de riesgos.
La identificacin de riesgos para el SGSI 2017 tomo 2
medias tarde actualizando los 36 escenarios de
riesgos.
Los controles tecnolgicos de Cobit 5 son muy
simples, pero esto fue cubierto por los otros marcos.
CONFERENCIAS
MENSUALES 2017
CONCLUSIONE
S
Se gestionan 117 controles entre operativos y tecnolgicos, se
tienen otros 70 planificados para este ao. Sus diseos y
ejecucin estn basado en los diversos marcos.
El monitoreo de los controles toma aproximadamente 3
semanas-medio-hombre. Se recolecta evidencia de todo tipo,
incluyendo la infaltable verificacin de bajas de usuarios.
Los mapeos existentes entre los marcos volvi manejable la
investigacin para su cumplimiento.
Tanto la matriz de seguimiento de los controles y los ndices
de riesgos se volvieron herramientas claves de gestin.
Un beneficio indirecto los procesos de TI se estn basando en
22 procesos de Cobit5.
CONFERENCIAS
MENSUALES 2017
CONCLUSIONE
S
Fue imposible usar la formula de riesgo operativo,
si se pudiera calcular, implicara proceso
administrativo al funcionario involucrado, el
mtodo utilizado resulto mas amigable.
Resulta vital gestionar los Stakeholders, ya que
ellos tienen la autoridad sobre una materia y si
demuestras convergencia de intereses te apoyan.
Se logro conseguir la sinergia proyectada
inicialmente, no incurriendo en duplicidad de
trabajo.
Lo presentado tomo 20 meses para su realizacin.
CONFERENCIAS
MENSUALES 2017
Ing. Carlos Omar Zevallos Rivera
Contacto: ozevallosr@gmail.com
CONFERENCIAS
MENSUALES 2017