Cobit 5 para Riesgos y Su Utilidad en La LPDP y SGSI

COBIT 5 PARA RIESGOS Y SU UTILIDAD
EN LA LPDP Y SGSI: CASO APLICADO
Expositor: Ing. Carlos Zevallos

Rivera, CISM, CISA, CRISC, ISO
27001 LI, Cobit5-F, Itilv3-F
CONFERENCIAS
1
MENSUALES 2017 2017 Isaca Lima Todos los derechos
Agenda
Presentacin de la Entidad
Escenarios de Riesgos en el SGSI
Escenarios de Riesgos en BCP
Escenarios de Riesgos en la LPDP
Escenarios de Riesgos en el SCI
Monitoreo
Riesgos Operativos y Tecnolgicos
CONFERENCIAS
2
ENTIDA Presentaci
D n
Entidad del estado.

Alrededor de 24,000 usuarios y con
mas de 700 locales.
Mayora de los usuarios no son
nativos digitales.
Se debe satisfacer diversos marcos
regulatorios; SCI, SGSI, LPDP y
Ciberseguridad.
CONFERENCIAS
3
ENTIDA Diseo
D
Enterprise
Risk
Management
Riesgos Riesgos Riesgos Riesgos de Riesgo

Sectoriales Estratgicos Financieros Cumplimiento Operativo
Riesgo
Tecnolgico
Riesgo
Continuidad
de
Operaciones
Riesgo de
Fraude
Operativo
CONFERENCIAS
4
ENTIDA Diseo
D
3era
2da Iteracin:
Iteracin: Proc. Misional
1.5 Proc.Riesgo Especializado
Prevencin
Operativo de Fraude
Iteracin: Apoyo
Riesgo
Proc.
Seguridad Tecnolgico
1era Misional
de la
Iteracin: Informacin
TI Riesgo de TI
Cibersegurid
CONFERENCIAS ad 5
ENTIDA Recursos
D
Nulos recursos econmicos, solo se
dispone de recursos internos en el
estado en que se encuentran.
Moderado apoyo de la Alta Direccin.
Existe un Comit de Seguridad a alto
nivel, pero no se cuenta con un
equipo de trabajo especializado.
Existe personas claves que quieren
mejorar la institucin.
CONFERENCIAS
6
RIESGO Estrategia
S
CONFERENCIAS
MENSUALES 2017
RIESGOS Levantamie
Paso 1 nto
2015
1. Reuniones de levantamiento de
informacin donde se evalu el
desempeo de los catalizadores
donde se busc las distorsiones en
los procesos y en los diversos
elementos de TI
CONFERENCIAS
8
RIESGOS Escenario de
Paso 2 Riesgo
2015
2.1 Confirmar que las distorsiones son

reales.
2.2 Agrupar las distorsiones y sus
causas en escenarios de riesgos
generando los factores de riesgos.
2.3 Analizar dependencia y cascada de
los factores de riesgos.
2.4 Completar los elementos del
escenario de riesgo en especial la
descripcin del riesgo.
CONFERENCIAS
9
RIESGOS Matriz de
Paso 3 Riesgos
2015
3.1 Trabajar la matriz de riesgos como

se prefiera
3.2 Para convencer al negocio darle
hincapi en la descripcin del riesgo
CONFERENCIAS
10
RIESGOS Seleccin de
Paso 4 Controles
2015
Los resultados
del proceso
pueden verse
afectados por
como se
ejecuta otro
proceso y el
control podra
estar en otro
lugar
4.1 Recorrer las diversas medidas propuestas por

Cobit5 en los 7 facilitadores.
4.2 Arreglar y dar forma a los controles.
4.3 Complementar el diseo de los controles con los
otros marcos de cumplimiento.
CONFERENCIAS
11
RIESGOS
2015
Paso 5 PTR
5.1 Trabajar el Plan de Tratamiento de

Riesgos como se prefiera
CONFERENCIAS
12
Levantamien
BIA 2016 Paso 1 to I
10 Preguntas:
- Inventario de Procesos
-Valoracin de la
criticidad de los
Procesos basados en
criterios externos y
internos
- Aplicaciones utilizadas
- Dependencia del
1. Despliegue de levantamiento de
Procesos proceso de TI
2. Dar soporte a las dudas por
muchos meses
CONFERENCIAS
13
Escenario de
BIA 2016 Paso 2 Riesgo
Escenarios de Riesgos
0507 - Un componente clave de la infraestructura es
robado por un miembro del personal
0509 - Se daan los servidores crticos en el centro de
cmputo (p.ej., por accidente, etc.)
0602 - La base de datos est corrupta, lo cual hace
inaccesible a los datos
0804 - Existen fallas intermitentes en los servicios
(telecomunicaciones, electricidad).
1108 Interrupcin de los servicios por fin de contrato
1401 - Se ha producido el robo de un dispositivo con
datos sensibles
1601 -Usuarios no autorizados tratan de forzar el ingreso
a los sistemas
1602 -Existen interrupciones en los servicios debido a
ataques de denegacin de servicios
1603 -El sitio web sufre un ataque que modifica su
apariencia
1701-No es posible acceder a las instalaciones y edificios
debido a una huelga gremial
1901 Terremoto
1904 Incendio fuera de control
CONFERENCIAS
14
Levantamien
PIA 2016 Paso 1 to II
12Preguntas:
- Documentos de
Entrada/Salida
- Valoracin y Clasificacin
- Indicios de riesgos y
controles del proceso
+25 unidades orgnicas
+ 80 procesos
+ 300 documentos tipo
1. Despliegue de levantamiento de
flujos de informacin
2. Dar soporte a las dudas por
muchos meses
CONFERENCIAS
15
Anlisis de
PIA 2016 Paso 2 Cumplimiento de
Principios Rectores
PRINCIPIOS
RECTORES
CONFERENCIAS
16
Escenarios
PIA 2016 Paso 3 de Riesgos
Cdigo Escenario de Riesgos
de
Riesgo
Extravo o revelacin de medios porttiles que contienen
0603 datos sensibles (CD, USB, discos porttiles, etc.)
Se pierden/revelan datos sensibles mediante ataques
0604 lgicos
Se pierden o no se verifica la efectividad de los medios
0605 que contienen las copias de respaldo.
Se revela informacin sensible debido a procedimientos
0609 ineficientes de archivo/eliminacin
Tratamiento de datos personales recopilados por medios
2101 fraudulentos, desleales o ilcitos
Tratamiento de datos personales sin el consentimiento
2102 del propietario
Tratamiento de datos personales para una finalidad
2103 diferente para lo que fueron recolectados
Tratamiento de datos personales innecesarios para el
2104 cumplimiento de la finalidad
No cumplimiento de los derechos arco de las personas
2105 debido a una inadecuada respuesta del Ministerio
Viaje de los datos a destinos transfronterizos con menor
2106 rigurosidad de cumplimiento
Tratamiento de datos personales que se puedan presumir
2107 que sean incorrectos
Almacenamiento de los datos personales por un tiempo
2108 innecesario
La aplicacin muestre informacin desproporcional para
2109 el acceso ejecutado por el diseo de la aplicacin
Difusin de los datos personales a terceros por culpa del
CONFERENCIAS 2110 Ministerio
17 Tratamiento no adecuado de los datos por parte del
MENSUALES 2017 2111 proveedor por falencias del contrato
2017 Isaca Lima Todos los derechos
Levantamie
SCI 2017 Paso 1 nto
Levantamiento
1
Riesgo Operativo:
-Riesgos del Proceso
Riesgo Tecnolgico
Levantamiento - Dependencia de TI
2
1. Cruzar la informacin existente
CONFERENCIAS
18
Riesgo
SCI 2017 Paso 2 operativo
Cdigo Escenario de Riesgos
de
Riesgo
102 Existen iniciativas duplicadas.

Los recursos en competencia se asignan y gestionan en
forma ineficiente y no se alinean con las prioridades del
104 negocio.
606 Se revela informacin sensible de forma intencionada.

No existen suficientes habilidades para cubrir los
403 requerimientos del negocio.
No existe un entrenamiento adecuado, lo que lleva a que
406 el personal abandone la empresa.
408 Existe una dependencia excesiva del personal clave.
501 Se abusa de los derechos de acceso de roles anteriores.

Los usuarios no pueden utilizar ni explotar nuevo
905 software aplicativo.
Existe una dependencia y uso excesivos de aplicaciones
de usuario final y de soluciones ad-hoc para necesidades
importantes de la informacin, lo que lleva a deficiencias
en la seguridad, datos imprecisos o incrementos en los
costos y el uso ineficiente de recursos.
1002
CONFERENCIAS
19
Riesgo
Operativo
propio de
TI Riesgo
Tecnolgi
co de las
unidades
orgnicas
SGSI
CONFERENCIAS
Fuente: Capacitacin Isaca: Gestin optimizada del riesgo de
MENSUALES 2017
tecnologas de informacin integrada con el riesgo operacional
Poltica
Proc. Plan de
de uso
Gestin Manteni
de
Firewall _miento
internet
Gestionar el Permetro
UTM sin gestin UTM Gestionado

- Reglas por - KRI: # Ataques
Defecto exitosos
- Heurstica
CONFERENCIAS
MENSUALES 2017
Riesgo
SCI 2017 Paso 3 Tecnolgico
Procesos Controles sobre el Evaluacin Marco

Cobit Proceso de los relacionado
CONFERENCIAS Controles sobre TI Controles
22
SCI 2017 Monitoreo
5 4 3 2 1
Reservado Reservado
Para Evaluado para
controles capacidad 2
desconocido
s
CONFERENCIAS
23
ndice de
SCI 2017 Paso 3 Riesgo
Operativo TI
Planificacin de TI Desarrollo y
mantener
soluciones de TI
Desplegar Entrega y Soporte
soluciones de TI servicios de TI
Desplegar
cumplimiento
abr-16 jul-16 Oct. 16
CONFERENCIAS
24
ndice de
SCI 2017 Paso 3 Riesgo
Tecnolgico
Planificacin de TI Desarrollo y
mantener
soluciones de TI
Desplegar Entrega y Soporte
soluciones de TI servicios de TI
Desplegar
cumplimiento
42461 42552 42644
CONFERENCIAS
25
ndice de
SCI 2017 Paso 4 Operativo
Proceso
ndice de la ndice de
Evaluacin de Riesgo Riesgo
los escenarios Tecnolgico x Operativo de
de sus Dependencia la Unidad
procesos de TI Orgnica
CONFERENCIAS
26
Levantamie
SGSI 2017 Paso 1 nto
Monitoreo
Continuo
Trimestral de los
Controles
Escenarios de
Riesgos SGSI
2015 (15)
Escenarios de
Riesgos de DRP
(14)
Escenarios de
Riesgos de LPDP
(4) Escenarios
trazables y
Gestin de reutilizables
Incidentes
CONFERENCIAS
27
COBIT 5 PARA Elementos de
Informacin
RIESGOS
Escenarios de
Riesgos
Registro de
Riesgos
Resultados
del Anlisis de
Plan de Riesgos
Accin de
Riesgos
Perfil de Eventos de
Riesgo Prdida
Factor de
Riesgo
Hallazgos de
Evaluaciones
Independiente
s
CONFERENCIAS Fuente: Cobit 5 para riesgos, figura 28
COBIT 5
MONITOREO Retos
Aplicacin del Modelo de Evaluacin de Procesos usando Cobit
5
Todos los controles son solo para el nivel 1
CONFERENCIAS
CONCLUSIONE
S
Lo recomendado es que cada escenario se mida con
un KRI, no fue posible operativamente.
Se concuerda con la recomendacin del material de
CRISC, se debe iniciar con la gestin de pocos
escenarios de riesgos, entre 5 y 10.
Los escenarios resultaron usables por personal que
desconoce la gestin de riesgos.
La identificacin de riesgos para el SGSI 2017 tomo 2
medias tarde actualizando los 36 escenarios de
riesgos.
Los controles tecnolgicos de Cobit 5 son muy
simples, pero esto fue cubierto por los otros marcos.
CONFERENCIAS
MENSUALES 2017
CONCLUSIONE
S
Se gestionan 117 controles entre operativos y tecnolgicos, se
tienen otros 70 planificados para este ao. Sus diseos y
ejecucin estn basado en los diversos marcos.
El monitoreo de los controles toma aproximadamente 3
semanas-medio-hombre. Se recolecta evidencia de todo tipo,
incluyendo la infaltable verificacin de bajas de usuarios.
Los mapeos existentes entre los marcos volvi manejable la
investigacin para su cumplimiento.
Tanto la matriz de seguimiento de los controles y los ndices
de riesgos se volvieron herramientas claves de gestin.
Un beneficio indirecto los procesos de TI se estn basando en
22 procesos de Cobit5.
CONFERENCIAS
MENSUALES 2017
CONCLUSIONE
S
Fue imposible usar la formula de riesgo operativo,
si se pudiera calcular, implicara proceso
administrativo al funcionario involucrado, el
mtodo utilizado resulto mas amigable.
Resulta vital gestionar los Stakeholders, ya que
ellos tienen la autoridad sobre una materia y si
demuestras convergencia de intereses te apoyan.
Se logro conseguir la sinergia proyectada
inicialmente, no incurriendo en duplicidad de
trabajo.
Lo presentado tomo 20 meses para su realizacin.
CONFERENCIAS
MENSUALES 2017
Ing. Carlos Omar Zevallos Rivera
Contacto: ozevallosr@gmail.com
CONFERENCIAS
MENSUALES 2017

Cobit 5 para Riesgos y Su Utilidad en La LPDP y SGSI

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Cobit 5 para Riesgos y Su Utilidad en La LPDP y SGSI

Загружено:

Авторское право:

Доступные форматы

COBIT 5 PARA RIESGOS Y SU UTILIDAD

EN LA LPDP Y SGSI: CASO APLICADO

Expositor: Ing. Carlos Zevallos

Entidad del estado.

Riesgos Riesgos Riesgos Riesgos de Riesgo

2.1 Confirmar que las distorsiones son

3.1 Trabajar la matriz de riesgos como

4.1 Recorrer las diversas medidas propuestas por

5.1 Trabajar el Plan de Tratamiento de

1. Cruzar la informacin existente

102 Existen iniciativas duplicadas.

606 Se revela informacin sensible de forma intencionada.

408 Existe una dependencia excesiva del personal clave.

501 Se abusa de los derechos de acceso de roles anteriores.

UTM sin gestin UTM Gestionado

Procesos Controles sobre el Evaluacin Marco

abr-16 jul-16 Oct. 16

42461 42552 42644

Вам также может понравиться