SlideShare una empresa de Scribd logo

Riesgos 2012

X
xhagix

El documento presenta información sobre la gestión de riesgos, incluyendo preguntas clave sobre la protección de activos, identificación de riesgos y amenazas, preparación para eventos no deseados, y niveles de riesgo aceptables. También cubre marcos de referencia, términos comunes, categorías de riesgos operativos, y metodologías para la evaluación de riesgos como cualitativa y cuantitativa. Finalmente, describe el proceso de gestión de riesgos que incluye establecer el contexto, identificar, anal

Tecnología
1 de 69
Descargado 659 veces
1
2
Lo más leído
3
4
5
Lo más leído
6
7
8
9
10
11
12
13
Lo más leído
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
Gestión de Riesgos
…¿ Que debo proteger y de que me debo de proteger? …¿ Esto es un riesgo o es una amenaza? …¿ Como nos preparamos para eventos no deseados? …¿Como minimizamos el impacto si el evento se materializa? …¿ Cual es el nivel de riego que estamos dispuestos a aceptar ? …¿ A que aplicamos los controles? A la vulnerabilidad, a la amenaza, a ambos.
Marcos de Referencia ISO/DIS 31000 IEC/DIS 31010 BS 31100 ISO/IEC 27005 ITGI- Risk IT Framework Basilea II Octave NIST SP 800-30 AS/NZ 4360 Magerit BS 7799-3 Microsoft – SRMG CRAM M_o_R
Gestión del Riesgo El Riesgo es la probabilidad de que un incidente o transacción ocasione pérdidas financieras o daños patrimoniales a la organización, su personal, sus activos o su reputación en general obstaculizando el logro de los objetivos estratégicos, operativos y financieros de la organización. Aplicación sistemática de controles • Administrativos • Técnicos • Físicos que permita minimizar el riesgo a un nivel aceptable. La Gestión del Riesgo es una función fundamental y vital de la Seguridad de Información
El Riesgo es una característica de la vida del negocio y debido a que resulta impráctico y poco económico eliminar los riesgos, cada organización tiene un nivel de Riesgo Aceptable
Riesgo Aceptable Para la aceptación definitiva de los riesgos la organización debe tener en cuenta: • La política organizacional • Sensibilidad y criticidad de los activos involucrados • Niveles aceptables de los posibles impactos • Rentabilidad de la implementación • Apetito del riesgo
Términos Comunes •Amenaza •Vulnerabilidad •Impacto •Apetito del Riesgo •Control •Respuesta al Riesgo •Probabilidad •Riesgo Inherente •Riesgo Residual •Valuación •Clasificación de Activos •Información Crítica •Información Sensible
Categorías de Riesgos Operativos • Riesgo ambiental operativo y de instalaciones • Riesgo de salud y seguridad • Riesgo de seguridad de información • Riesgo de marco de control • Riesgo legal y de incumplimiento regulatorio • Riesgo de gobierno corporativo • Riesgo reputacional o imagen • Riesgo estratégico • Riesgo de procesamiento y desempeño
Categorías de Riesgos Operativos • Riesgo Tecnológico • Riesgo de administración de proyectos • Riesgo de actos ilícitos o delictivos • Riesgo de recursos humanos • Riesgo de proveedores • Riesgo de información gerencial • Riesgo de ética • Riesgo Geopolítico • Riesgo Cultural • Riesgo Climático
Metodologías de Evaluación del Riesgo Método Cuantitativo (Objetivo): Basado en el impacto material, monetario e inmediato. Método Cuantitativo = Costo Monetario del Riesgo Método Cualitativo (Subjetivo): Basado en el criterio y raciocinio humano capaz de definir un proceso de trabajo para evaluar los riesgos en base a la experiencia del proceso del negocio.
Ventajas de los Métodos de Evaluación del Riesgo Cuantitativo/Objetivo • Enfoca el análisis mediante el uso de números • Facilita la comparación de vulnerabilidades muy distintas • Proporciona una cifra “justificante” para cada control. Cualitativo/Subjetivo • Enfoca lo amplio que se desee • Plan de trabajo flexible y reactivo • Se concentra en la identificación de eventos • Incluye valores intangibles
Desventajas de los Métodos de Evaluación del Riesgo Cuantitativo/Objetivo •Cálculos complejos •Estimación de las pérdidas sólo si son valores justificables. •Difíciles de mantener o modificar Cualitativo/Subjetivo •La evaluación es un proceso subjetivo •Depende fuertemente de la habilidad y calidad del personal involucrado. •Puede existir riesgos significantes desconocidos.
Proceso de Gestión del Riesgo Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar
Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar ESTABLECER EL CONTEXTO
Establecer el contexto Esto se desarrolla dentro de la estructura del contexto estratégico, organizacional y de administración de riesgos de una organización. El contexto Estratégico: Relación entre la organización y su entorno, identificando el FODA de la empresa, incluye aspectos financieros, operativos, políticos, sociales, culturales y legales. Debería existir una relación cercana entre la misión u objetivos estratégicos de la organización y la gestión de los riesgos a los cuales esta expuesta El contexto Organizacional: Es necesario comprender la organización y sus capacidades, así como sus metas y objetivos, y las estrategias a lograr. El Contexto de la Administración de Riesgos: Establecer la meta, objetivos, estrategias, alcance, y parámetros de la actividad o parte de la organización a la cual se esta aplicando el proceso de gestión de riesgos.
Establecer el contexto Desarrollar Criterios: Contra los cuales se va a evaluar el riesgo, las decisiones concernientes a aceptabilidad de riesgos y tratamiento de riesgos, estos pueden basarse en criterios operativos, técnicos, financieros, legales, sociales, etc. Definir la Estructura: Separar la actividad o proyecto en un conjunto de elementos, estos proveen una estructura lógica para identificación y análisis lo cual ayuda a asegurar que no se pasen por alto los riesgos significativos. Esta estructura va depender de la naturaleza del riesgo y del alcance del proyecto o actividad.
Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Identificar los Riesgos
Identificación de riesgos Representa una etapa crítica la Identificación por lo tanto se necesita de un proceso sistemático bien estructurado, porque los riesgos potenciales que no se identifiquen en esta etapa son excluidos de un análisis posterior. ¿Qué puede suceder? Desarrollar una lista amplia de eventos que podrían afectar a cada elemento de la estructura definida. ¿ Como puede suceder? Se considera causas y escenarios posibles Herramientas y Técnicas: Incluyen checklists, juicios expertos, registros, diagrama de flujo, análisis de sistemas, de escenarios, tormentas de ideas, etc.
Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Analizar los Riesgos
Análisis de riesgos El análisis de riesgo involucra prestar consideración a las fuentes de riesgos, sus amenazas, consecuencias y probabilidades de ocurrencia. Se analiza el riesgo combinando estimaciones de consecuencias, amenazas y probabilidades en el contexto de las medidas de control existente. Determinar los controles existentes: Identificar la administración, sistemas técnicos y procedimientos existentes para controlar los riesgos y evaluar sus fortalezas y debilidades. Consecuencias y Probabilidades: La magnitud de las consecuencias de un evento, si el mismo ocurriera, y la probabilidad del evento y sus consecuencias, se evalúan en el contexto de los controles existentes. Las consecuencias y probabilidades se combinan para entregar un nivel de riesgo.
Análisis de Riesgos DETERMINACION IDENTIFICACION IDENTIFICACION DETERMINACION VALORACION DEL ANALISIS DE DE DE DE DEL ENTORNO IMPACTO AMENAZAS VULNERABILIDAD PROBABILIDAD RIESGO ACTUAL
DETERMINACION DEL ENTORNO ACTUAL Determinación del Entorno Actual • Identificación de los Procesos críticos y sensibles de la empresa • Identificación de los activos de la Información y de Tecnología de la información (Hardware, Software, Aplicaciones, etc.). • Identificación del Personal usuario y técnico • Identificación de procedimientos políticas y controles existentes • Clasificación de los activos.
DETERMINACION DEL ENTORNO ACTUAL Determinación del Entorno Actual Técnicas de Extracción de Información • Cuestionarios/Plantillas: Preguntas para recolectar información • Entrevistas: Personal responsable • Revisión de documentos
IDENTIFICACION Identificación de Amenazas DE AMENAZAS • Identificar las fuentes de amenazas • Evaluaciones e informes anteriores • Revisión de bases de datos de fuentes de agencias especializadas. • Identificar las amenazas accidentales e intencionales Fuentes de amenazas comunes: • Naturales • Humanas • Ambientales Motivación: Componente potencial de la amenaza humana, esto hace del personal descontento, ex empleados, clientes insatisfechos, etc.
IDENTIFICACION DE AMENAZAS Identificación de Amenazas Tipos comunes de amenazas: • Errores • Accidentes • Daño/Ataque malicioso • Incidentes/Fenómenos naturales • Fraude • Robo • Falla en quipo/Software • Pérdida de servicios • Fuga de información • Sabotaje • Terrorismo
IDENTIFICACION DE AMENAZAS Identificación de Amenazas Resultado Relación de Amenazas potenciales por cada recurso particular, indicando su naturaleza, características, etc.
IDENTIFICACION DE VULNERABILIDAD Identificación de Vulnerabilidades • Revisión de Informes de auditoria • Resultados de pruebas de seguridad • Inspecciones físicas • Revisión de información y boletines que envían los fabricantes de HW y SW de tecnología
IDENTIFICACION DE VULNERABILIDAD Identificación de Vulnerabilidades Técnicas de Extracción • Herramientas de Escaneo de Vulnerabilidades automatizadas • Ethical Hacking • Test de control de calidad (scripts, checklist, procedimientos, etc)
IDENTIFICACION DE VULNERABILIDAD Identificación de Vulnerabilidades Tipos comunes de vulnerabilidades: • Software defectuoso • Equipo configurado en forma inapropiada • Cumplimiento forzoso inadecuado • Diseño deficiente de redes • Procesos defectuosos o incontrolados • Administración inadecuada • Personal insuficiente • Falta de conocimiento • Falta de mantenimiento • Tecnología no probada • Falta de redundancia • Transmisiones de comunicaciones no protegidas • Comunicaciones gerenciales deficientes
IDENTIFICACION DE VULNERABILIDAD Identificación de Vulnerabilidades Resultado • Lista de potenciales vulnerabilidades por activo evaluado • Valoración relativa de cada activo respecto a su vulnerabilidad. Las amenazas y vulnerabilidades que no pueden causar un impacto son irrelevantes
DETERMINACION DE PROBABILIDAD Determinación de Probabilidad Determinación de los valores de la probabilidad por activo- amenaza, considerar en la determinación los controles existentes. PROBABILIDAD DEFINICIONES Insignificante Improbable de ocurrir Muy bajo Posible de ocurrir dos/tres veces cada 5 años Bajo Posible de ocurrir cada año o menos Medio Posible de ocurrir cada 6 meses o menos Alto Posible de ocurrir una vez al mes o menos Muy alto Posible de ocurrir muchas veces en un mes o menos Extremo Posible de ocurrir múltiples veces en un día
DETERMINACION DE PROBABILIDAD Determinación de Probabilidad Resultado Listado de activos valorados respecto a su amenaza y probabilidad de ocurrencia
ANALISIS DE Análisis de Impacto IMPACTO • Participación de los propietarios de la Información • Medición efectuada en términos financieros • Evaluación en base a la pérdida de las características de la seguridad. (Disponibilidad, Integridad y Confidencialidad) • Menor: No afecta la operatividad del negocio • Significativo: Impacto o daño tangible, se requieren de gasto de recursos para reparar. • Daño: Impacta a la imagen, pérdidas de la confidencialidad, se requiere un gasto significativo de recursos para repararlo • Serio: Impacta al negocio interrumpiendo parcial o total la operatividad. Puede afectar el compromiso de información o servicio.
ANALISIS DE Análisis de Impacto IMPACTO Ejemplos de impacto expresados en pérdidas financieras: • Pérdida directa de dinero (efectivo o crédito) • Responsabilidad penal o civil • Pérdida de reputación/buen nombre • Reducción en el valor de las acciones • Poner en peligro al personal o a los clientes • Violaciones de la confidencialidad • Pérdida de oportunidades de negocio • Reducción en el desempeño/eficiencia operativos • Interrupción de las actividades de negocio
ANALISIS DE Análisis de Impacto IMPACTO Resultado • Listado de la valoración de los activos. •Cuantificación del impacto financiero. El Impacto es el elemento fundamental para la Gestión de Riesgos
VALORACION DEL RIESGO Valoración del Riesgo • Magnitud del impacto • Determinación de los riesgos debilidad / amenaza • Probabilidad de que explote una amenaza • Extremo: Requiere de acción inmediata • Alto: Requiere de la atención de la Dirección • Moderado: Requiere la asignación de responsabilidades a la Gerencia • Bajo: Requiere la administración de procedimientos de rutina
VALORACION DEL RIESGO Valoración del Riesgo VR = V x P x I - P: Probabilidad - VR: Valor del Riesgo - I : Impacto - V: Vulnerabilidad Cuando el VR es calculado utilizando el impacto en términos económicos, el VR es la pérdida económica probabilística.
Matrices de Riesgo ACTIVOS AMENAZA PROBABILIDAD IMPACTO RIESGO Base de Datos de Cobranzas Fraude Muy Alta Seria Extremo Base de Datos de Incumplimiento Finanzas legales Alta Significativa Alto Base de Datos de Fuga de Marketing información Medio Menor Bajo
Matrices de Riesgo Activo Amenaza Proceso Vulnerabilidad Probabilidad Impacto Valor del Riesgo Base de Datos Finanzas Fraude Negociaciones 0,2 0,01 100000 200 Base de Datos Marketing Robo Fidelizacion de Clientes 0,1 0,01 50000 50
Matrices de Riesgo IMPACTO BAJO MEDIO ALTO OBABILIDAD 3 6 9 ALTO 2 5 8 MEDIO PR 1 4 7 BAJO
PROBABILIDAD Matrices de Riesgo 15 30 60 ALTA 3 Zona de Riesgo Moderado Zona de Riesgo Importante Zona de Riesgo Inaceptable 10 20 40 MEDIA 2 Zona de Riesgo Tolerable Zona de Riesgo Moderado Zona de Riesgo Importante 5 10 20 BAJA 1 Zona de Riesgo Aceptable Zona de Riesgo Tolerable Zona de Riesgo Moderado 5 10 20 LEVE MODERADO CATASTROFICO IMPACTO
PROBABILIDAD Matrices de Riesgo Casi Cierto 5 5 - 20% 10 - 40% 15 - 60% 20 - 80% 25 - 100% Probable 4 4 - 16% 8 - 32% 12 - 48% 16 - 64% 20 - 80% Posible 3 3 - 12% 6 - 24% 9 - 36% 12 - 48% 15 - 60% Improbable 2 2 - 8% 4 - 16% 6 - 24% 8 - 32% 10 - 40% Raro 1 1 - 4% 2 - 8% 3 - 12% 4 - 16% 5 - 20% Insignificante Menor Moderada Mayor Catastrófico 1 2 3 4 5 IMPACTO
Matrices de Riesgo ZONA DE RIESGO Valor RIESGO EXTREMO Se requiere de acciones inmediatas Entre 51% - 100% RIESGO ALTO Se requiere de acciones a corto plazo Entre 31% - 50% RIESGO MODERADO Se requiere de acciones a mediano plazo Entre 16% - 30% RIESGO BAJO Se requiere de acciones a largo plazo Entre 1% - 15%
Otras fórmulas de Análisis de Riesgos Conceptos Factor de Exposición (EF): Porcentaje de pérdida o impacto causada por una amenaza. Este valor es necesario para el cálculo del SLE 0% < EF < 100 % Expectativa de pérdida individual (SLE).- Es el valor monetario perdido por la ocurrencia de evento. SLE = Valor del activo ($) * EF
Fórmulas de Análisis de Riesgos Conceptos (Cont…) Tasa de Ocurrencia Anual (ARO).- Representa la frecuencia en el cual un evento ocurre dentro del periodo de un año. El ARO es considerado como cantidad o probabilidad (según el análisis) Expectativa de Pérdida Anualizada (ALE): Representa la pérdida anual producida por una amenaza individual. ALE = SLE * ARO Ejemplo Amenaza Valor del Activo x FE = SLE x ARO = ALE Fuego $ 1.0 M x 0.5 = $ 500,000 x 0.1 = $ 50,000 Robo $ 1.0 M x 0.00005 = $ 50 x 1000 = $ 50,000
Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Evaluar los Riesgos
Evaluación de Riesgos Involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecido previamente. El resultado de la evaluación es una lista priorizada para una acción superior y se considera para ello los objetivos del negocio y el grado de oportunidad que podría resultar de tomar el riesgo. Los riesgos resultantes que caen dentro de las categorías de riesgos bajos y aceptables pueden ser aceptados con un tratamiento futuro mínimo pero deben ser monitoreados y revisados periódicamente para asegurar su aceptabilidad. Los riesgos que no caen dentro de la categoría de riesgos bajos o aceptables deberán ser tratados para controlarlos.
Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Tratar los Riesgos
Tratar los Riesgo Riesgo Evaluado y Priorizado ¿Riesgo SI Aceptable? Aceptable Comunicar y Consultar Monitorear y Revisar NO Mitigar Transferir Evitar Selección de Estrategia y Elaboración del Plan de Tratamiento de Riesgo Ejecución del Plan de Tratamiento del Riesgo NO SI ¿Riesgo Aceptable? Aceptable
CONTROLES “Políticas, procedimientos, prácticas y estructuras organizacionales que están diseñados para brindar una confianza razonable de que se alcanzarán los objetivos del negocio y que se evitarán, detectarán y corregirán los incidentes” Controles Controles Controles Administrativos Técnicos Físicos Políticas, estándares, Controles de acceso Protección de las procedimientos, Lógico, Encriptación, Facilidades, guardias guías, selección de Dispositivos de seguridad, de seguridad, cerraduras, Personal, Identificación y Control ambiental, Entrenamiento y Autenticación Detección de Intrusos Educación de Seguridad Controles Físicos Controles Técnicos Los controles deben ser Controles Administrativos seleccionados basados en Activos, Información el costo de de la Organización implementación, el costo de riesgo reducido y la pérdida potencial si un incidente de seguridad ocurre
Los Controles pueden ser: • Disuasivos: Para reducir la probabilidad de las amenazas o la susceptibilidad a estas a través de una variedad de medios para reducir el riesgo • Preventivos: Para reducir las vulnerabilidades y hacer que un ataque no tenga éxito o reducir el impacto que tendría. • Correctivos: Reduce el impacto • Detección: Identifica ataques o investigaciones que conduzcan a un ataque o que desencadenen controles preventivos
Tratar los riesgos Involucra identificar la Estrategia acorde para tratar los riesgos, evaluar las opciones dentro de ellas, elaborar los planes para el tratamiento de los riesgos y ejecutarlos. Identificación de Estrategias para el tratamiento de los riesgos – Evitar el riesgo – Mitigar los riesgos – Transferir los riesgos – Retener o Aceptar los riesgos
Tratar los riesgos Evaluación de opciones de tratamiento de los riesgos Esta son evaluadas sobre la base del alcance de la reducción del riesgo, pueden considerarse y aplicarse una cantidad de opciones individual o combinada. Siempre se considera los costos y beneficios de implementar cada opción. Cuando el costo acumulado de implementación de todos los tratamientos de riesgos excede el presupuesto disponible, el plan debería identificar claramente el orden de prioridad bajo el cual deberían implementarse. Las opciones de tratamiento de los riesgos deberían considerar como es percibido el riesgo por las partes afectadas y las formas mas apropiadas de comunicárselo a dichas partes. (Anexos A,B,C,D)
Tratar los riesgos Elaborar Planes de Tratamiento del Riesgo Estos van a documentar como deben ser implementadas las opciones seleccionadas. Este plan identifica las responsabilidades, el programa, los resultados esperados, el presupuesto, las medidas de desempeño y el proceso de revisión a establecer. Debe incluir los mecanismos para evaluar la implementación de las opciones contra criterios de desempeño, las responsabilidades individuales y otros objetivos. Ejecutar Planes de tratamiento del Riesgo Este debe ser administrada por aquellas personas con mejor posibilidad de controlar los riesgos. El éxito del Plan de tratamiento del riesgo requiere un sistema efectivo de administración que especifique los métodos seleccionados, asigne responsabilidades y compromisos. Se deberá decidir si se retiene o repite el proceso de tratamiento con los riesgos residuales.
Selección de Controles (Anexo A) • Selección según nivel de riesgo evaluado y el orden de importancia. • Análisis costo/beneficio • Capacidad de implantar las medidas de mitigación •Selección de controles mas efectivos y eficientes. •Participación de las unidades afectadas
Controles para reducir la Probabilidad (Anexo B) – Programas de auditoria y cumplimiento – Condiciones contractuales – Revisiones formales de requerimientos, especificaciones, diseño, ingeniería y operaciones – Inspecciones y controles de procesos – A}dministración de inversiones y carteras – Mantenimiento preventivo – Aseguramiento de calidad, administración y estándares – Investigación y desarrollo, desarrollo tecnológico – Supervisión – Capacitación estructurada y otros programas – Comprobaciones – Acuerdos organizacionales – Controles técnicos
Controles para reducir el Impacto (Anexo C) – Planeamiento de contingencia – Arreglos contractuales – Condiciones contractuales – Características de diseño – Planes de recuperación de desastres – Planeamiento de control de fraudes – Minimizar la exposición a fuentes de riesgo – Planeamiento de cartera – Política y control de precios – Separación o reubicación de una actividad y recursos – Relaciones públicas – Otros.
Costo de Controles (Anexo D) Se debe considerar el TCO para el ciclo de vida total del control o contramedidas: • Costos por adquisición, si los hubiere • Costos por utilización e implementación • Costos por mantenimiento y soporte • Costo de Licencias • Costos de prueba y evaluación • Monitoreo y exigibilidad del cumplimiento • Inconvenientes para los usuarios • Costo por actualizaciones • Capacitación sobre nuevos procedimientos • Capacitación en tecnologías que sean aplicables (TCO: Total Cost of Ownership)
Riesgo Residual CONTROLES RIESGO + CONTROLES = IMPLEMENTADOS EVALUADO APROBADOS RIESGO RESIDUAL Luego de la implementación de los controles queda un riesgo residual debido a que en la práctica no hay retorno sin riesgo y los controles no lo eliminan totalmente por diversos factores, entre ellos el equilibrio costo/beneficio.
Riesgo Aceptable Para la aceptación definitiva de los riesgos la organización debe tener en cuenta: • La política organizacional • Sensibilidad y criticidad de los activos involucrados • Niveles aceptables de los posibles impactos • Rentabilidad de la implementación
Matriz de Controles
Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Monitorear y Revisar
Monitorear y Revisar Es necesario monitorear los riesgos, la efectividad del plan de tratamiento de los riesgos, las estrategias y el sistema de administración que se establece para controlar la implementación. Los riesgos y los controles implementados necesitan ser monitoreados para asegurar que las circunstancias cambiantes no alteren las prioridades de los riesgos. La Revisión es esencial para asegurar que el plan de administración se mantiene relevante y vigente. Esta actividad es una parte integral del plan de tratamiento de la administración de riesgos.
Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Comunicar y Consultar
Comunicar y Consultar Consideración importante en cada paso del proceso de la gestión de riesgos. Es importante desarrollar un plan de comunicación con los interesados internos y externos en la etapa mas temprana del proceso. La comunicación y consulta involucra un diálogo en ambas direcciones entre los interesados. Las percepciones de los riesgos pueden variar debido a diferencias en los supuestos, conceptos, necesidades, aspectos y preocupaciones de los interesados. Los interesados probablemente harán juicios de aceptabilidad de los riesgos basados en su percepción de los mismos. Dado que los intereses pueden tener un impacto significativo en las decisiones tomadas, es importante que sus percepciones de los riegos, así como, sus percepciones de los beneficios, sean identificadas y documentadas y las razones subyacentes para las mismas comprendidas y tenida en cuenta.
Documentación Es necesario documentar cada etapa del proceso de gestión de riesgos y deben incluir los supuestos, los métodos, las fuentes de datos y los resultados Razones para la documentación: – Demostrar que el proceso es conducido apropiadamente – Proveer evidencia de un enfoque sistemático de identificación y análisis de riesgos – Proveer un registro de los riesgos y desarrollar la base de datos de conocimiento de la organización – Proveer a los tomadores de decisión relevantes, de un plan de gestión de riesgos para aprobación y subsiguiente implementación – Facilitar el continuo monitoreo y revisión – Proveer una pista de auditoria – Compartir y comunicar información
Documentación de la Gestión del Riesgo Documentación mínima necesaria para la gestión de la riesgo: 1. Un registro de riesgo – para cada riesgo identificado, contiene: - Fuente y naturaleza del riesgo - Controles existentes 2. Consecuencia y probabilidad - Pérdida de ingresos, gastos inesperados - Riesgo legal (de incumplimiento regulatorio y contractual) - Procesos Interdependientes - Clasificación inicial del riesgo 3. Plan de acción y Mitigación de riesgos, que proporcione: - Responsabilidad de implementar el plan - Recursos que se van a utilizar y asignación del presupuesto - Frecuencia de cumplimiento - Detalle de mecanismos/medidas de control
Documentación de la Gestión del Riesgo 4. Documentos de Auditoria y Monitoreo que incluyan: - Resultado de auditorias/revisiones y otros procedimientos de monitoreo - Seguimiento de las recomendaciones de la revisión y el estado de su implementación
Software para la Gestión de Riesgos

Más contenido relacionado

PPT
Presentacion evaluacion de riesgos
uzzi
 
PPT
Analisis de riesgos
lissethcespedes19
 
PDF
Metodología IPERC TALLER PRACTICO 2023 1
yithianrivera
 
PPTX
Analisis de seguridad en el trabajo (ppt)
sindustrialcepm
 
PPTX
Inspecciones de seguridad
SST Asesores SAC
 
PPTX
Medicina preventiva y del trabajo
Luz Devia
 
PPT
Evaluaciones de Riesgo
credititulos as
 
PPTX
Brigadas de emergencia ppt expo victor
Victor Cortes
 
Presentacion evaluacion de riesgos
uzzi
 
Analisis de riesgos
lissethcespedes19
 
Metodología IPERC TALLER PRACTICO 2023 1
yithianrivera
 
Analisis de seguridad en el trabajo (ppt)
sindustrialcepm
 
Inspecciones de seguridad
SST Asesores SAC
 
Medicina preventiva y del trabajo
Luz Devia
 
Evaluaciones de Riesgo
credititulos as
 
Brigadas de emergencia ppt expo victor
Victor Cortes
 

La actualidad más candente (20)

PPT
Seguridad e Higiene en el Trabajo mexico
rosyperaza3
 
PPTX
Matriz de riesgo
cristian andres jaramillo montoya
 
PPT
Seguridad Basada en el Comportamiento
Javier Sáenz Huamán
 
PDF
Plan de Emergencias
Mario Ramón Mancera Ruiz
 
PPT
Epp ELEMENTOS DE PROTECCION PERSONAL
.. ..
 
PPTX
Iso 45001 diapositivas
Wiliams Sanabria Quispe
 
PPT
Identificacion de peligros ppt (1)
Cia. Minera Subterránea
 
PDF
NORMAS INTERNACIONALES ,PROTECCION INDUSTRIAL
Jesus Rimachi R
 
PPTX
MATPEL I.pptx
kenny426990
 
PPTX
manejo de kit control de derrames
luis fernando polo motta
 
PPT
Salud Ocupacional
nAyblancO
 
PPTX
Peligros y riesgos
didinhoflow93
 
PPTX
Presentación salud ocupacional semana 1
Ivan Sanchez
 
PPTX
PRACTICA II PELIGROS Y RIESGOS.pptx
JAVIEREDUARDOMOLLINE
 
DOC
Taller 1 ua 3 plan de emergencias
Diana Janeth Giraldo Echavarría
 
PPTX
Pasos Implementación SBC (labora & asociados)
Javier Sáenz Huamán
 
PPTX
Materiales peligrosos. MATPEL
Javier Israel Soliz Campos
 
PPT
Plan de emergencias
tordecilla95
 
PPTX
Guía técnica colombiana gtc 45 (primera actualización
Felipe Rafael Añez Zarate
 
PDF
Materiales peligrosos
Melissa Depaz Juarez
 
Seguridad e Higiene en el Trabajo mexico
rosyperaza3
 
Matriz de riesgo
cristian andres jaramillo montoya
 
Seguridad Basada en el Comportamiento
Javier Sáenz Huamán
 
Plan de Emergencias
Mario Ramón Mancera Ruiz
 
Epp ELEMENTOS DE PROTECCION PERSONAL
.. ..
 
Iso 45001 diapositivas
Wiliams Sanabria Quispe
 
Identificacion de peligros ppt (1)
Cia. Minera Subterránea
 
NORMAS INTERNACIONALES ,PROTECCION INDUSTRIAL
Jesus Rimachi R
 
MATPEL I.pptx
kenny426990
 
manejo de kit control de derrames
luis fernando polo motta
 
Salud Ocupacional
nAyblancO
 
Peligros y riesgos
didinhoflow93
 
Presentación salud ocupacional semana 1
Ivan Sanchez
 
PRACTICA II PELIGROS Y RIESGOS.pptx
JAVIEREDUARDOMOLLINE
 
Taller 1 ua 3 plan de emergencias
Diana Janeth Giraldo Echavarría
 
Pasos Implementación SBC (labora & asociados)
Javier Sáenz Huamán
 
Materiales peligrosos. MATPEL
Javier Israel Soliz Campos
 
Plan de emergencias
tordecilla95
 
Guía técnica colombiana gtc 45 (primera actualización
Felipe Rafael Añez Zarate
 
Materiales peligrosos
Melissa Depaz Juarez
 
Publicidad

Destacado (20)

PPTX
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
Jhonatan Castañeda Velazquez
 
PPTX
Evaluación de Riesgo
Modernizacion y Gobierno Digital - Gobierno de Chile
 
PDF
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
Rooswelth Gerardo Zavaleta Benites
 
PPTX
El entorno de la empresa
lidytazo
 
PPTX
Tutorial 2 plagio
Roberto Mario De león Porras
 
PPTX
Proyecto final grupo_102058_38
ronalitomejia
 
PPTX
Analisis Riesgo Metodología OCTAVE
YairTobon
 
PPT
Examen final diseño_de_proyectos_242
hammettbv
 
PDF
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Alejandra Prado
 
PPT
Por Que Nacen Las Empresas
ROBINHOOD
 
DOCX
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Paola Lovee
 
PDF
Análisis comparativo
Abby Ramirez
 
PPTX
Proceso de administracion de estrategias
alexander alticoru
 
PPTX
Clase riesgos-amenazas-vulnerabilidades
simondavila
 
PDF
Memorias webCast Introduccion al analisis y gestión de riesgos
Aranda Software
 
PDF
Documento análisis vulnerabilidad
Oscar López Comunicaciones - OL.COM
 
PPTX
Amenazas y vulnerabilidades en la informática
Carolina Cols
 
PDF
Análisis de Riesgos
Ramiro Cid
 
DOC
Informe sobre el analisis foda..........planeamiento estrategico
Juan Prudencio
 
PDF
Proyecto disco bar
Godofredo Danny
 
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
Jhonatan Castañeda Velazquez
 
Evaluación de Riesgo
Modernizacion y Gobierno Digital - Gobierno de Chile
 
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
Rooswelth Gerardo Zavaleta Benites
 
El entorno de la empresa
lidytazo
 
Tutorial 2 plagio
Roberto Mario De león Porras
 
Proyecto final grupo_102058_38
ronalitomejia
 
Analisis Riesgo Metodología OCTAVE
YairTobon
 
Examen final diseño_de_proyectos_242
hammettbv
 
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Alejandra Prado
 
Por Que Nacen Las Empresas
ROBINHOOD
 
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Paola Lovee
 
Análisis comparativo
Abby Ramirez
 
Proceso de administracion de estrategias
alexander alticoru
 
Clase riesgos-amenazas-vulnerabilidades
simondavila
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Aranda Software
 
Documento análisis vulnerabilidad
Oscar López Comunicaciones - OL.COM
 
Amenazas y vulnerabilidades en la informática
Carolina Cols
 
Análisis de Riesgos
Ramiro Cid
 
Informe sobre el analisis foda..........planeamiento estrategico
Juan Prudencio
 
Proyecto disco bar
Godofredo Danny
 
Publicidad

Similar a Riesgos 2012 (20)

PPTX
Introducción a la Gestión de Riesgo
Marcos Harasimowicz
 
PPT
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOS
avaloslaulen
 
PDF
Clase 4 Administración del Rieso en la organizacion
AxelVargas47
 
PPTX
Unidad2 adminstracion-de-riesgos...javier-gonzalez
ezequielmejia123
 
PDF
Analisis_de_Riesgos_ISO_31010_Técnicas y Evaluación de Riesgos.pdf
AmaiaArcarazo
 
PPT
4743467 (4).ppt
CarmenKeim2
 
PDF
Taller_Análisis_Evaluación_Riesgos
Leonardo Lemes Fagundes
 
PDF
Tema 2: Análisis de Riesgos
Francisco Medina
 
PPT
Dr.villasante
cefic
 
PPTX
Modulo 1 - Administración de Riegos Operativos.pptx
mclavijo309
 
PPT
Gestion del riesgo jargu
Juan D Laverde M
 
PDF
004.Auditoria Basada enddddd Riesgos.pdf
jAIREN1
 
PPTX
1 revisoria fiscal y gestion 2021 10 7414
BrayanNicols1
 
PPTX
Tema.- Seguridad Patrimonial , Seguridad
comunicacionescarbal
 
PPTX
CONTROL INTERNO Y VALORACION DE RIESGOS
1001976388
 
PPT
EVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDAD
Yohismilena
 
PPT
Adminstracion Del Riesgo Cga
fdidocar
 
PPT
Panorama de riesgos
beautynicxy
 
PPT
analisis de riesgo.ppt presentación ppts
Josue202080
 
PPT
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOS.ppt
Marcos Leiva
 
Introducción a la Gestión de Riesgo
Marcos Harasimowicz
 
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOS
avaloslaulen
 
Clase 4 Administración del Rieso en la organizacion
AxelVargas47
 
Unidad2 adminstracion-de-riesgos...javier-gonzalez
ezequielmejia123
 
Analisis_de_Riesgos_ISO_31010_Técnicas y Evaluación de Riesgos.pdf
AmaiaArcarazo
 
4743467 (4).ppt
CarmenKeim2
 
Taller_Análisis_Evaluación_Riesgos
Leonardo Lemes Fagundes
 
Tema 2: Análisis de Riesgos
Francisco Medina
 
Dr.villasante
cefic
 
Modulo 1 - Administración de Riegos Operativos.pptx
mclavijo309
 
Gestion del riesgo jargu
Juan D Laverde M
 
004.Auditoria Basada enddddd Riesgos.pdf
jAIREN1
 
1 revisoria fiscal y gestion 2021 10 7414
BrayanNicols1
 
Tema.- Seguridad Patrimonial , Seguridad
comunicacionescarbal
 
CONTROL INTERNO Y VALORACION DE RIESGOS
1001976388
 
EVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDAD
Yohismilena
 
Adminstracion Del Riesgo Cga
fdidocar
 
Panorama de riesgos
beautynicxy
 
analisis de riesgo.ppt presentación ppts
Josue202080
 
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOS.ppt
Marcos Leiva
 

Último (20)

PPTX
modulo seguimiento 1 para iniciantes del
UcielnicolasMola
 
PDF
capacitación de aire acondicionado Bgh r 410
MiriamVargas760642
 
PDF
Estrategia de Apoyo de Daylin Castaño (5).pdf
daylincastano1
 
PDF
Tips de Seguridad para evitar clonar sus claves del portal bancario.pdf
saberpublicidadsas
 
PDF
MANUAL TECNOLOGÍA SER MINISTERIO EDUCACIÓN
CLAUDIAPATRICIASALAZ19
 
PPTX
Historia Inteligencia Artificial Ana Romero.pptx
adairrojas2
 
PPTX
CLAASIFICACIÓN DE LOS ROBOTS POR UTILIDAD
isabelfiallos99
 
PDF
0007_PPT_DefinicionesDeDataMining_201_v1-0.pdf
ssuserfa7846
 
PDF
Distribucion de frecuencia exel (1).pdf
samuelcuaran
 
PDF
Diapositiva proyecto de vida, materia catedra
mpruiz3
 
PDF
ADMINISTRACIÓN DE ARCHIVOS - TICS (SENA).pdf
whomarxxdemie
 
PPTX
Tema 1 Taller de tecnologia y proceso tecnologico.pptx
Justino Cat
 
PPTX
Control de calidad en productos de frutas
ayselgonzales27
 
PDF
PRESENTACIÓN GENERAL MIPIG - MODELO INTEGRADO DE PLANEACIÓN
CLAUDIAPATRICIASALAZ19
 
PPTX
Mecanismos-de-Propagacion de ondas electromagneticas
FernandoAjila
 
DOCX
Trabajo informatica joel torres 10-.....................
santinet611
 
PPTX
Acronis Cyber Protect Cloud para Ciber Proteccion y Ciber Seguridad LATAM - A...
CarlosAndresuztes
 
PDF
NREN - red nacional de investigacion y educacion en LATAM y Europa: Caracteri...
Universidad Nacional de Ingenieria
 
PPTX
ccna: redes de nat ipv4 stharlling cande
StharllingCandelario
 
PPTX
ccna: redes de nat ipv4 stharlling cande
StharllingCandelario
 
modulo seguimiento 1 para iniciantes del
UcielnicolasMola
 
capacitación de aire acondicionado Bgh r 410
MiriamVargas760642
 
Estrategia de Apoyo de Daylin Castaño (5).pdf
daylincastano1
 
Tips de Seguridad para evitar clonar sus claves del portal bancario.pdf
saberpublicidadsas
 
MANUAL TECNOLOGÍA SER MINISTERIO EDUCACIÓN
CLAUDIAPATRICIASALAZ19
 
Historia Inteligencia Artificial Ana Romero.pptx
adairrojas2
 
CLAASIFICACIÓN DE LOS ROBOTS POR UTILIDAD
isabelfiallos99
 
0007_PPT_DefinicionesDeDataMining_201_v1-0.pdf
ssuserfa7846
 
Distribucion de frecuencia exel (1).pdf
samuelcuaran
 
Diapositiva proyecto de vida, materia catedra
mpruiz3
 
ADMINISTRACIÓN DE ARCHIVOS - TICS (SENA).pdf
whomarxxdemie
 
Tema 1 Taller de tecnologia y proceso tecnologico.pptx
Justino Cat
 
Control de calidad en productos de frutas
ayselgonzales27
 
PRESENTACIÓN GENERAL MIPIG - MODELO INTEGRADO DE PLANEACIÓN
CLAUDIAPATRICIASALAZ19
 
Mecanismos-de-Propagacion de ondas electromagneticas
FernandoAjila
 
Trabajo informatica joel torres 10-.....................
santinet611
 
Acronis Cyber Protect Cloud para Ciber Proteccion y Ciber Seguridad LATAM - A...
CarlosAndresuztes
 
NREN - red nacional de investigacion y educacion en LATAM y Europa: Caracteri...
Universidad Nacional de Ingenieria
 
ccna: redes de nat ipv4 stharlling cande
StharllingCandelario
 
ccna: redes de nat ipv4 stharlling cande
StharllingCandelario
 

Riesgos 2012

  • 2. …¿ Que debo proteger y de que me debo de proteger? …¿ Esto es un riesgo o es una amenaza? …¿ Como nos preparamos para eventos no deseados? …¿Como minimizamos el impacto si el evento se materializa? …¿ Cual es el nivel de riego que estamos dispuestos a aceptar ? …¿ A que aplicamos los controles? A la vulnerabilidad, a la amenaza, a ambos.
  • 3. Marcos de Referencia ISO/DIS 31000 IEC/DIS 31010 BS 31100 ISO/IEC 27005 ITGI- Risk IT Framework Basilea II Octave NIST SP 800-30 AS/NZ 4360 Magerit BS 7799-3 Microsoft – SRMG CRAM M_o_R
  • 4. Gestión del Riesgo El Riesgo es la probabilidad de que un incidente o transacción ocasione pérdidas financieras o daños patrimoniales a la organización, su personal, sus activos o su reputación en general obstaculizando el logro de los objetivos estratégicos, operativos y financieros de la organización. Aplicación sistemática de controles • Administrativos • Técnicos • Físicos que permita minimizar el riesgo a un nivel aceptable. La Gestión del Riesgo es una función fundamental y vital de la Seguridad de Información
  • 5. El Riesgo es una característica de la vida del negocio y debido a que resulta impráctico y poco económico eliminar los riesgos, cada organización tiene un nivel de Riesgo Aceptable
  • 6. Riesgo Aceptable Para la aceptación definitiva de los riesgos la organización debe tener en cuenta: • La política organizacional • Sensibilidad y criticidad de los activos involucrados • Niveles aceptables de los posibles impactos • Rentabilidad de la implementación • Apetito del riesgo
  • 7. Términos Comunes •Amenaza •Vulnerabilidad •Impacto •Apetito del Riesgo •Control •Respuesta al Riesgo •Probabilidad •Riesgo Inherente •Riesgo Residual •Valuación •Clasificación de Activos •Información Crítica •Información Sensible
  • 8. Categorías de Riesgos Operativos • Riesgo ambiental operativo y de instalaciones • Riesgo de salud y seguridad • Riesgo de seguridad de información • Riesgo de marco de control • Riesgo legal y de incumplimiento regulatorio • Riesgo de gobierno corporativo • Riesgo reputacional o imagen • Riesgo estratégico • Riesgo de procesamiento y desempeño
  • 9. Categorías de Riesgos Operativos • Riesgo Tecnológico • Riesgo de administración de proyectos • Riesgo de actos ilícitos o delictivos • Riesgo de recursos humanos • Riesgo de proveedores • Riesgo de información gerencial • Riesgo de ética • Riesgo Geopolítico • Riesgo Cultural • Riesgo Climático
  • 10. Metodologías de Evaluación del Riesgo Método Cuantitativo (Objetivo): Basado en el impacto material, monetario e inmediato. Método Cuantitativo = Costo Monetario del Riesgo Método Cualitativo (Subjetivo): Basado en el criterio y raciocinio humano capaz de definir un proceso de trabajo para evaluar los riesgos en base a la experiencia del proceso del negocio.
  • 11. Ventajas de los Métodos de Evaluación del Riesgo Cuantitativo/Objetivo • Enfoca el análisis mediante el uso de números • Facilita la comparación de vulnerabilidades muy distintas • Proporciona una cifra “justificante” para cada control. Cualitativo/Subjetivo • Enfoca lo amplio que se desee • Plan de trabajo flexible y reactivo • Se concentra en la identificación de eventos • Incluye valores intangibles
  • 12. Desventajas de los Métodos de Evaluación del Riesgo Cuantitativo/Objetivo •Cálculos complejos •Estimación de las pérdidas sólo si son valores justificables. •Difíciles de mantener o modificar Cualitativo/Subjetivo •La evaluación es un proceso subjetivo •Depende fuertemente de la habilidad y calidad del personal involucrado. •Puede existir riesgos significantes desconocidos.
  • 13. Proceso de Gestión del Riesgo Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar
  • 14. Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar ESTABLECER EL CONTEXTO
  • 15. Establecer el contexto Esto se desarrolla dentro de la estructura del contexto estratégico, organizacional y de administración de riesgos de una organización. El contexto Estratégico: Relación entre la organización y su entorno, identificando el FODA de la empresa, incluye aspectos financieros, operativos, políticos, sociales, culturales y legales. Debería existir una relación cercana entre la misión u objetivos estratégicos de la organización y la gestión de los riesgos a los cuales esta expuesta El contexto Organizacional: Es necesario comprender la organización y sus capacidades, así como sus metas y objetivos, y las estrategias a lograr. El Contexto de la Administración de Riesgos: Establecer la meta, objetivos, estrategias, alcance, y parámetros de la actividad o parte de la organización a la cual se esta aplicando el proceso de gestión de riesgos.
  • 16. Establecer el contexto Desarrollar Criterios: Contra los cuales se va a evaluar el riesgo, las decisiones concernientes a aceptabilidad de riesgos y tratamiento de riesgos, estos pueden basarse en criterios operativos, técnicos, financieros, legales, sociales, etc. Definir la Estructura: Separar la actividad o proyecto en un conjunto de elementos, estos proveen una estructura lógica para identificación y análisis lo cual ayuda a asegurar que no se pasen por alto los riesgos significativos. Esta estructura va depender de la naturaleza del riesgo y del alcance del proyecto o actividad.
  • 17. Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Identificar los Riesgos
  • 18. Identificación de riesgos Representa una etapa crítica la Identificación por lo tanto se necesita de un proceso sistemático bien estructurado, porque los riesgos potenciales que no se identifiquen en esta etapa son excluidos de un análisis posterior. ¿Qué puede suceder? Desarrollar una lista amplia de eventos que podrían afectar a cada elemento de la estructura definida. ¿ Como puede suceder? Se considera causas y escenarios posibles Herramientas y Técnicas: Incluyen checklists, juicios expertos, registros, diagrama de flujo, análisis de sistemas, de escenarios, tormentas de ideas, etc.
  • 19. Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Analizar los Riesgos
  • 20. Análisis de riesgos El análisis de riesgo involucra prestar consideración a las fuentes de riesgos, sus amenazas, consecuencias y probabilidades de ocurrencia. Se analiza el riesgo combinando estimaciones de consecuencias, amenazas y probabilidades en el contexto de las medidas de control existente. Determinar los controles existentes: Identificar la administración, sistemas técnicos y procedimientos existentes para controlar los riesgos y evaluar sus fortalezas y debilidades. Consecuencias y Probabilidades: La magnitud de las consecuencias de un evento, si el mismo ocurriera, y la probabilidad del evento y sus consecuencias, se evalúan en el contexto de los controles existentes. Las consecuencias y probabilidades se combinan para entregar un nivel de riesgo.
  • 21. Análisis de Riesgos DETERMINACION IDENTIFICACION IDENTIFICACION DETERMINACION VALORACION DEL ANALISIS DE DE DE DE DEL ENTORNO IMPACTO AMENAZAS VULNERABILIDAD PROBABILIDAD RIESGO ACTUAL
  • 22. DETERMINACION DEL ENTORNO ACTUAL Determinación del Entorno Actual • Identificación de los Procesos críticos y sensibles de la empresa • Identificación de los activos de la Información y de Tecnología de la información (Hardware, Software, Aplicaciones, etc.). • Identificación del Personal usuario y técnico • Identificación de procedimientos políticas y controles existentes • Clasificación de los activos.
  • 23. DETERMINACION DEL ENTORNO ACTUAL Determinación del Entorno Actual Técnicas de Extracción de Información • Cuestionarios/Plantillas: Preguntas para recolectar información • Entrevistas: Personal responsable • Revisión de documentos
  • 24. IDENTIFICACION Identificación de Amenazas DE AMENAZAS • Identificar las fuentes de amenazas • Evaluaciones e informes anteriores • Revisión de bases de datos de fuentes de agencias especializadas. • Identificar las amenazas accidentales e intencionales Fuentes de amenazas comunes: • Naturales • Humanas • Ambientales Motivación: Componente potencial de la amenaza humana, esto hace del personal descontento, ex empleados, clientes insatisfechos, etc.
  • 25. IDENTIFICACION DE AMENAZAS Identificación de Amenazas Tipos comunes de amenazas: • Errores • Accidentes • Daño/Ataque malicioso • Incidentes/Fenómenos naturales • Fraude • Robo • Falla en quipo/Software • Pérdida de servicios • Fuga de información • Sabotaje • Terrorismo
  • 26. IDENTIFICACION DE AMENAZAS Identificación de Amenazas Resultado Relación de Amenazas potenciales por cada recurso particular, indicando su naturaleza, características, etc.
  • 27. IDENTIFICACION DE VULNERABILIDAD Identificación de Vulnerabilidades • Revisión de Informes de auditoria • Resultados de pruebas de seguridad • Inspecciones físicas • Revisión de información y boletines que envían los fabricantes de HW y SW de tecnología
  • 28. IDENTIFICACION DE VULNERABILIDAD Identificación de Vulnerabilidades Técnicas de Extracción • Herramientas de Escaneo de Vulnerabilidades automatizadas • Ethical Hacking • Test de control de calidad (scripts, checklist, procedimientos, etc)
  • 29. IDENTIFICACION DE VULNERABILIDAD Identificación de Vulnerabilidades Tipos comunes de vulnerabilidades: • Software defectuoso • Equipo configurado en forma inapropiada • Cumplimiento forzoso inadecuado • Diseño deficiente de redes • Procesos defectuosos o incontrolados • Administración inadecuada • Personal insuficiente • Falta de conocimiento • Falta de mantenimiento • Tecnología no probada • Falta de redundancia • Transmisiones de comunicaciones no protegidas • Comunicaciones gerenciales deficientes
  • 30. IDENTIFICACION DE VULNERABILIDAD Identificación de Vulnerabilidades Resultado • Lista de potenciales vulnerabilidades por activo evaluado • Valoración relativa de cada activo respecto a su vulnerabilidad. Las amenazas y vulnerabilidades que no pueden causar un impacto son irrelevantes
  • 31. DETERMINACION DE PROBABILIDAD Determinación de Probabilidad Determinación de los valores de la probabilidad por activo- amenaza, considerar en la determinación los controles existentes. PROBABILIDAD DEFINICIONES Insignificante Improbable de ocurrir Muy bajo Posible de ocurrir dos/tres veces cada 5 años Bajo Posible de ocurrir cada año o menos Medio Posible de ocurrir cada 6 meses o menos Alto Posible de ocurrir una vez al mes o menos Muy alto Posible de ocurrir muchas veces en un mes o menos Extremo Posible de ocurrir múltiples veces en un día
  • 32. DETERMINACION DE PROBABILIDAD Determinación de Probabilidad Resultado Listado de activos valorados respecto a su amenaza y probabilidad de ocurrencia
  • 33. ANALISIS DE Análisis de Impacto IMPACTO • Participación de los propietarios de la Información • Medición efectuada en términos financieros • Evaluación en base a la pérdida de las características de la seguridad. (Disponibilidad, Integridad y Confidencialidad) • Menor: No afecta la operatividad del negocio • Significativo: Impacto o daño tangible, se requieren de gasto de recursos para reparar. • Daño: Impacta a la imagen, pérdidas de la confidencialidad, se requiere un gasto significativo de recursos para repararlo • Serio: Impacta al negocio interrumpiendo parcial o total la operatividad. Puede afectar el compromiso de información o servicio.
  • 34. ANALISIS DE Análisis de Impacto IMPACTO Ejemplos de impacto expresados en pérdidas financieras: • Pérdida directa de dinero (efectivo o crédito) • Responsabilidad penal o civil • Pérdida de reputación/buen nombre • Reducción en el valor de las acciones • Poner en peligro al personal o a los clientes • Violaciones de la confidencialidad • Pérdida de oportunidades de negocio • Reducción en el desempeño/eficiencia operativos • Interrupción de las actividades de negocio
  • 35. ANALISIS DE Análisis de Impacto IMPACTO Resultado • Listado de la valoración de los activos. •Cuantificación del impacto financiero. El Impacto es el elemento fundamental para la Gestión de Riesgos
  • 36. VALORACION DEL RIESGO Valoración del Riesgo • Magnitud del impacto • Determinación de los riesgos debilidad / amenaza • Probabilidad de que explote una amenaza • Extremo: Requiere de acción inmediata • Alto: Requiere de la atención de la Dirección • Moderado: Requiere la asignación de responsabilidades a la Gerencia • Bajo: Requiere la administración de procedimientos de rutina
  • 37. VALORACION DEL RIESGO Valoración del Riesgo VR = V x P x I - P: Probabilidad - VR: Valor del Riesgo - I : Impacto - V: Vulnerabilidad Cuando el VR es calculado utilizando el impacto en términos económicos, el VR es la pérdida económica probabilística.
  • 38. Matrices de Riesgo ACTIVOS AMENAZA PROBABILIDAD IMPACTO RIESGO Base de Datos de Cobranzas Fraude Muy Alta Seria Extremo Base de Datos de Incumplimiento Finanzas legales Alta Significativa Alto Base de Datos de Fuga de Marketing información Medio Menor Bajo
  • 39. Matrices de Riesgo Activo Amenaza Proceso Vulnerabilidad Probabilidad Impacto Valor del Riesgo Base de Datos Finanzas Fraude Negociaciones 0,2 0,01 100000 200 Base de Datos Marketing Robo Fidelizacion de Clientes 0,1 0,01 50000 50
  • 40. Matrices de Riesgo IMPACTO BAJO MEDIO ALTO OBABILIDAD 3 6 9 ALTO 2 5 8 MEDIO PR 1 4 7 BAJO
  • 41. PROBABILIDAD Matrices de Riesgo 15 30 60 ALTA 3 Zona de Riesgo Moderado Zona de Riesgo Importante Zona de Riesgo Inaceptable 10 20 40 MEDIA 2 Zona de Riesgo Tolerable Zona de Riesgo Moderado Zona de Riesgo Importante 5 10 20 BAJA 1 Zona de Riesgo Aceptable Zona de Riesgo Tolerable Zona de Riesgo Moderado 5 10 20 LEVE MODERADO CATASTROFICO IMPACTO
  • 42. PROBABILIDAD Matrices de Riesgo Casi Cierto 5 5 - 20% 10 - 40% 15 - 60% 20 - 80% 25 - 100% Probable 4 4 - 16% 8 - 32% 12 - 48% 16 - 64% 20 - 80% Posible 3 3 - 12% 6 - 24% 9 - 36% 12 - 48% 15 - 60% Improbable 2 2 - 8% 4 - 16% 6 - 24% 8 - 32% 10 - 40% Raro 1 1 - 4% 2 - 8% 3 - 12% 4 - 16% 5 - 20% Insignificante Menor Moderada Mayor Catastrófico 1 2 3 4 5 IMPACTO
  • 43. Matrices de Riesgo ZONA DE RIESGO Valor RIESGO EXTREMO Se requiere de acciones inmediatas Entre 51% - 100% RIESGO ALTO Se requiere de acciones a corto plazo Entre 31% - 50% RIESGO MODERADO Se requiere de acciones a mediano plazo Entre 16% - 30% RIESGO BAJO Se requiere de acciones a largo plazo Entre 1% - 15%
  • 44. Otras fórmulas de Análisis de Riesgos Conceptos Factor de Exposición (EF): Porcentaje de pérdida o impacto causada por una amenaza. Este valor es necesario para el cálculo del SLE 0% < EF < 100 % Expectativa de pérdida individual (SLE).- Es el valor monetario perdido por la ocurrencia de evento. SLE = Valor del activo ($) * EF
  • 45. Fórmulas de Análisis de Riesgos Conceptos (Cont…) Tasa de Ocurrencia Anual (ARO).- Representa la frecuencia en el cual un evento ocurre dentro del periodo de un año. El ARO es considerado como cantidad o probabilidad (según el análisis) Expectativa de Pérdida Anualizada (ALE): Representa la pérdida anual producida por una amenaza individual. ALE = SLE * ARO Ejemplo Amenaza Valor del Activo x FE = SLE x ARO = ALE Fuego $ 1.0 M x 0.5 = $ 500,000 x 0.1 = $ 50,000 Robo $ 1.0 M x 0.00005 = $ 50 x 1000 = $ 50,000
  • 46. Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Evaluar los Riesgos
  • 47. Evaluación de Riesgos Involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecido previamente. El resultado de la evaluación es una lista priorizada para una acción superior y se considera para ello los objetivos del negocio y el grado de oportunidad que podría resultar de tomar el riesgo. Los riesgos resultantes que caen dentro de las categorías de riesgos bajos y aceptables pueden ser aceptados con un tratamiento futuro mínimo pero deben ser monitoreados y revisados periódicamente para asegurar su aceptabilidad. Los riesgos que no caen dentro de la categoría de riesgos bajos o aceptables deberán ser tratados para controlarlos.
  • 48. Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Tratar los Riesgos
  • 49. Tratar los Riesgo Riesgo Evaluado y Priorizado ¿Riesgo SI Aceptable? Aceptable Comunicar y Consultar Monitorear y Revisar NO Mitigar Transferir Evitar Selección de Estrategia y Elaboración del Plan de Tratamiento de Riesgo Ejecución del Plan de Tratamiento del Riesgo NO SI ¿Riesgo Aceptable? Aceptable
  • 50. CONTROLES “Políticas, procedimientos, prácticas y estructuras organizacionales que están diseñados para brindar una confianza razonable de que se alcanzarán los objetivos del negocio y que se evitarán, detectarán y corregirán los incidentes” Controles Controles Controles Administrativos Técnicos Físicos Políticas, estándares, Controles de acceso Protección de las procedimientos, Lógico, Encriptación, Facilidades, guardias guías, selección de Dispositivos de seguridad, de seguridad, cerraduras, Personal, Identificación y Control ambiental, Entrenamiento y Autenticación Detección de Intrusos Educación de Seguridad Controles Físicos Controles Técnicos Los controles deben ser Controles Administrativos seleccionados basados en Activos, Información el costo de de la Organización implementación, el costo de riesgo reducido y la pérdida potencial si un incidente de seguridad ocurre
  • 51. Los Controles pueden ser: • Disuasivos: Para reducir la probabilidad de las amenazas o la susceptibilidad a estas a través de una variedad de medios para reducir el riesgo • Preventivos: Para reducir las vulnerabilidades y hacer que un ataque no tenga éxito o reducir el impacto que tendría. • Correctivos: Reduce el impacto • Detección: Identifica ataques o investigaciones que conduzcan a un ataque o que desencadenen controles preventivos
  • 52. Tratar los riesgos Involucra identificar la Estrategia acorde para tratar los riesgos, evaluar las opciones dentro de ellas, elaborar los planes para el tratamiento de los riesgos y ejecutarlos. Identificación de Estrategias para el tratamiento de los riesgos – Evitar el riesgo – Mitigar los riesgos – Transferir los riesgos – Retener o Aceptar los riesgos
  • 53. Tratar los riesgos Evaluación de opciones de tratamiento de los riesgos Esta son evaluadas sobre la base del alcance de la reducción del riesgo, pueden considerarse y aplicarse una cantidad de opciones individual o combinada. Siempre se considera los costos y beneficios de implementar cada opción. Cuando el costo acumulado de implementación de todos los tratamientos de riesgos excede el presupuesto disponible, el plan debería identificar claramente el orden de prioridad bajo el cual deberían implementarse. Las opciones de tratamiento de los riesgos deberían considerar como es percibido el riesgo por las partes afectadas y las formas mas apropiadas de comunicárselo a dichas partes. (Anexos A,B,C,D)
  • 54. Tratar los riesgos Elaborar Planes de Tratamiento del Riesgo Estos van a documentar como deben ser implementadas las opciones seleccionadas. Este plan identifica las responsabilidades, el programa, los resultados esperados, el presupuesto, las medidas de desempeño y el proceso de revisión a establecer. Debe incluir los mecanismos para evaluar la implementación de las opciones contra criterios de desempeño, las responsabilidades individuales y otros objetivos. Ejecutar Planes de tratamiento del Riesgo Este debe ser administrada por aquellas personas con mejor posibilidad de controlar los riesgos. El éxito del Plan de tratamiento del riesgo requiere un sistema efectivo de administración que especifique los métodos seleccionados, asigne responsabilidades y compromisos. Se deberá decidir si se retiene o repite el proceso de tratamiento con los riesgos residuales.
  • 55. Selección de Controles (Anexo A) • Selección según nivel de riesgo evaluado y el orden de importancia. • Análisis costo/beneficio • Capacidad de implantar las medidas de mitigación •Selección de controles mas efectivos y eficientes. •Participación de las unidades afectadas
  • 56. Controles para reducir la Probabilidad (Anexo B) – Programas de auditoria y cumplimiento – Condiciones contractuales – Revisiones formales de requerimientos, especificaciones, diseño, ingeniería y operaciones – Inspecciones y controles de procesos – A}dministración de inversiones y carteras – Mantenimiento preventivo – Aseguramiento de calidad, administración y estándares – Investigación y desarrollo, desarrollo tecnológico – Supervisión – Capacitación estructurada y otros programas – Comprobaciones – Acuerdos organizacionales – Controles técnicos
  • 57. Controles para reducir el Impacto (Anexo C) – Planeamiento de contingencia – Arreglos contractuales – Condiciones contractuales – Características de diseño – Planes de recuperación de desastres – Planeamiento de control de fraudes – Minimizar la exposición a fuentes de riesgo – Planeamiento de cartera – Política y control de precios – Separación o reubicación de una actividad y recursos – Relaciones públicas – Otros.
  • 58. Costo de Controles (Anexo D) Se debe considerar el TCO para el ciclo de vida total del control o contramedidas: • Costos por adquisición, si los hubiere • Costos por utilización e implementación • Costos por mantenimiento y soporte • Costo de Licencias • Costos de prueba y evaluación • Monitoreo y exigibilidad del cumplimiento • Inconvenientes para los usuarios • Costo por actualizaciones • Capacitación sobre nuevos procedimientos • Capacitación en tecnologías que sean aplicables (TCO: Total Cost of Ownership)
  • 59. Riesgo Residual CONTROLES RIESGO + CONTROLES = IMPLEMENTADOS EVALUADO APROBADOS RIESGO RESIDUAL Luego de la implementación de los controles queda un riesgo residual debido a que en la práctica no hay retorno sin riesgo y los controles no lo eliminan totalmente por diversos factores, entre ellos el equilibrio costo/beneficio.
  • 60. Riesgo Aceptable Para la aceptación definitiva de los riesgos la organización debe tener en cuenta: • La política organizacional • Sensibilidad y criticidad de los activos involucrados • Niveles aceptables de los posibles impactos • Rentabilidad de la implementación
  • 62. Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Monitorear y Revisar
  • 63. Monitorear y Revisar Es necesario monitorear los riesgos, la efectividad del plan de tratamiento de los riesgos, las estrategias y el sistema de administración que se establece para controlar la implementación. Los riesgos y los controles implementados necesitan ser monitoreados para asegurar que las circunstancias cambiantes no alteren las prioridades de los riesgos. La Revisión es esencial para asegurar que el plan de administración se mantiene relevante y vigente. Esta actividad es una parte integral del plan de tratamiento de la administración de riesgos.
  • 64. Comunicar y Consultar Establecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Comunicar y Consultar
  • 65. Comunicar y Consultar Consideración importante en cada paso del proceso de la gestión de riesgos. Es importante desarrollar un plan de comunicación con los interesados internos y externos en la etapa mas temprana del proceso. La comunicación y consulta involucra un diálogo en ambas direcciones entre los interesados. Las percepciones de los riesgos pueden variar debido a diferencias en los supuestos, conceptos, necesidades, aspectos y preocupaciones de los interesados. Los interesados probablemente harán juicios de aceptabilidad de los riesgos basados en su percepción de los mismos. Dado que los intereses pueden tener un impacto significativo en las decisiones tomadas, es importante que sus percepciones de los riegos, así como, sus percepciones de los beneficios, sean identificadas y documentadas y las razones subyacentes para las mismas comprendidas y tenida en cuenta.
  • 66. Documentación Es necesario documentar cada etapa del proceso de gestión de riesgos y deben incluir los supuestos, los métodos, las fuentes de datos y los resultados Razones para la documentación: – Demostrar que el proceso es conducido apropiadamente – Proveer evidencia de un enfoque sistemático de identificación y análisis de riesgos – Proveer un registro de los riesgos y desarrollar la base de datos de conocimiento de la organización – Proveer a los tomadores de decisión relevantes, de un plan de gestión de riesgos para aprobación y subsiguiente implementación – Facilitar el continuo monitoreo y revisión – Proveer una pista de auditoria – Compartir y comunicar información
  • 67. Documentación de la Gestión del Riesgo Documentación mínima necesaria para la gestión de la riesgo: 1. Un registro de riesgo – para cada riesgo identificado, contiene: - Fuente y naturaleza del riesgo - Controles existentes 2. Consecuencia y probabilidad - Pérdida de ingresos, gastos inesperados - Riesgo legal (de incumplimiento regulatorio y contractual) - Procesos Interdependientes - Clasificación inicial del riesgo 3. Plan de acción y Mitigación de riesgos, que proporcione: - Responsabilidad de implementar el plan - Recursos que se van a utilizar y asignación del presupuesto - Frecuencia de cumplimiento - Detalle de mecanismos/medidas de control
  • 68. Documentación de la Gestión del Riesgo 4. Documentos de Auditoria y Monitoreo que incluyan: - Resultado de auditorias/revisiones y otros procedimientos de monitoreo - Seguimiento de las recomendaciones de la revisión y el estado de su implementación
  • 69. Software para la Gestión de Riesgos