gabinete de auditoria de sistemas - informatica

M. Sc. Miguel Cotaña Mier Lp, diciembre de 2020

1

Gestión de Riesgos

GABINETE DE AUDITORIA

DE SISTEMAS

UNIVERSIDAD MAYOR DE SAN ANDRES

FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS

CARRERA DE CONTADURÍA PÚBLICA

2

3

4

5

6

7

El simple conocimiento de los riesgos deuna actividad ya supone una ventaja alfacilitar un estado de alerta sobre losmismos que disminuye sus consecuenciasindeseables en caso de producirse

8

9

La contingencia de que lainterrupción, alteración, ofalla de la infraestructurade TI, sistemas deinformación, BD y procesosde TI, provoque pérdidasfinancieras a la institución.Es uno de los componentesde riesgo operacional.

RIESGO TECNOLÓGICO

10

LOS VISIBLES✓ Virus✓ Spyware✓ Spam✓ Ataques a páginas

Web✓ Robo de equipo✓ Imposibilidad de

restablecer lasoperaciones en elcentro de datos

RIESGO TECNOLÓGICO

LOS NO VISIBLES✓ Fraude en línea✓ Espionaje digital✓ Privacidad y

protección dedatos

✓ Robo deidentidad

✓ Continuidad deoperaciones

11

La sociedad actual vive en un caminoconstante hacia la digitalización, con eluso masivo de los smartphones, lacomunicación diaria a través de internet,el uso de la inteligencia artificial, el BigData, e incluso el IoT, donde loselectrodomésticos también se vuelveninteligentes y se conectan a la red.

COMPRENDER EL RIESGO CIBERNÉTICO

12

En los últimos años, los gobiernos, lasempresas y los ciudadanos se han vueltocríticamente dependientes del Internet yde las TIC´s. Tenemos la creencia quesiempre funcionarán los serviciosesenciales para el ciudadano, como laenergía y las telecomunicaciones, y quelos bienes, servicios, datos y capitalcruzarán fronteras sin inconvenientes.

13

La realidad, sin embargo, es que muchossistemas e infraestructuras en red sonvulnerables y están siendo explotados.Organizaciones de todo tipo estánsufriendo mayores violaciones a susdatos, actividad criminal, interrupción delservicio y destrucción de su propiedad.Colectivamente, nuestra inseguridad estácreciendo.

14

Los ciberdelincuentes pueden causardaños a las infraestructuras en red degobiernos y de la industria. Los objetivosvarían según el actor, desde:

✓ el activismo político;✓ fraude y delito informático;✓ robo de propiedad intelectual (PI);✓ espionaje;✓ interrupción del servicio;✓ destrucción de bienes y activos.

15

¡vivimos en un mundo de inseguridadcibernética!

¡El riesgo de inacción es demasiadogrande!

¡los países y las empresas tienen quecomprender que en el centro de suestrategia y agenda digital debe estar unenfoque disciplinado de gestión deriesgos!

16

El riesgo se define en términos de tiempo,cuando algo o alguien está expuesto a unpeligro, daño o pérdida. La condición deriesgo puede cambiar en función de lasacciones realizadas por al menos dosactores:✓ el atacante, que obtiene y utiliza la capacidad de

causar daño;✓ el objetivo pretendido, que puede tomar

precauciones para resistir o frustrar el peligropretendido por el atacante

17

Por ejemplo, se puede comprar softwaremalicioso por Bs. 10 y se puede lanzar unataque distribuido de denegación deservicio, por menos de Bs. 7.000.Ataques sofisticados de ransomware(secuestro de archivos a cambio de unrescate) están disponibles por Bs. 1.200 yservicios maliciosos de correo electrónico nodeseado se consiguen poraproximadamente Bs. 2.500.-

18

En mayo de 2017, el secuestro de archivos acambio de un rescate tuvo como blancoespecífico las fallas en los sistemasoperativos de Windows y esto afectó amillones de computadoras en 150 países entodos los sectores comerciales. Este ataqueglobal, un secuestro de archivos muysencillo llamado WannaCry, detuvooperaciones de fabricación, transporte ysistemas de telecomunicaciones

19

En junio de 2017, se lanzó NotPetya, otromalware (un software malintencionado) másdestructivo. NotPetya se extendió entre lasempresas en red del mundo a través de unmecanismo de actualización de softwarepara un programa de contabilidadampliamente utilizado (doc.me). En cuestiónde minutos, el software malintencionadoinfectó decenas de miles de sistemasconectados a Internet en más de 65 países.

20

Por ejemplo, el ataque de NotPetya contraA.P. Moller-Maersk, la compañía naviera másgrande del mundo, cifró y eliminó lossistemas de TI de la empresa en todo elmundo. Maersk tuvo que detener lasoperaciones en la mayoría de las 76terminales portuarias de la compañía entodo el mundo, interrumpiendo el comerciomarítimo por semanas.

21

Las pérdidas financieras causadas porNotPetya superaron los 300 millones dedólares, ya que tuvo que reconstruir toda suinfraestructura, incluidos 4.000 nuevosservidores, 45.000 computadoras nuevas y2.500 aplicaciones nuevas. Se estima queNotPetya ocasionó pérdidas por miles demillones de dólares debido a la interrupciónde los negocios y la destrucción depropiedad en todo el mundo.

22

Aún más preocupante, en agosto de 2017,una instalación de petróleo y gas de ArabiaSaudita se vio repentinamente obligada acerrar. Fue víctima de Trisis, un virusinformático bien diseñado para sabotear lossistemas de control industrial (SCI). Creadopara afectar los componentes operacionalesde la TI en sitios industriales como petróleoy gas y servicios de agua.

23

Las actividades cibernéticas maliciosasmuestran un impacto extraordinario entérminos de pérdida y daño, pero lasherramientas utilizadas para causar dañorealmente no eran sofisticadas. El númerode ataques dirigidos contra los sistemas deenergía, de telecomunicaciones, transportey financieros casi se ha triplicado en losúltimos años, una tendencia que planteariesgos de seguridad económica y nacionalpara todos.

24

Existe una necesidad urgente de

que los gobiernos y organizaciones

participen en procesos efectivos de

gestión de riesgos cibernéticos y

aborden los riesgos digitales dentro

de sus procesos de planificación

estratégica.

25

A pesar de los diversos modelos y marcos ahoradisponibles, para poder identificar, analizar yvalorar y reducir el riesgo cibernético, elmejorar la seguridad cibernética a nivelnacional sigue siendo un desafío. Debemosreconocer que necesitamos una economíadigital confiable y que funcione bien. Por tanto,las instituciones deben asignar fondos para elfuncionamiento y estar aptos para resistir yrecuperarnos rápidamente de todos los riesgos

26

27

Es un documentoPRÁCTICO que pretendeayudar a las organizacionesen el desarrollo de su propioenfoque a la GESTIÓN DELRIESGO. Pero esto no esun estándar donde lasorganizaciones puedensolicitar la certificación.

¿Qué es la ISO 31000?

28

Mediante la implementaciónde la norma ISO 31000, lasorganizaciones puedenCOMPARAR sus prácticasde gestión de riesgos con unpunto de referenciareconocidoINTERNACIONALMENTE,proporcionando sólidosprincipios para una gestióneficaz.

29

Se trata de un estándar que puedeaplicarse a cualquier tipo deorganización. A través de una serie dedirectrices y principios, la norma buscaque cada empresa implemente unSistema de Gestión del Riesgo parareducir los obstáculos que impiden laconsecución de sus objetivos, siendocompatible con cada sector.

30

Esta norma para la Gestión de Riesgos

ha sido simplificada. Permitirá a las

empresas y organizaciones revaluar sus

metodologías de gestión sobre cualquier

tipo de riesgo. La norma se centra de

forma exhaustiva en la atención de la

gestión del riesgo, como una herramienta

para minimizar de forma anticipada las

posibles inseguridades que pudieran

producirse.

31

Antecedentes de la ISO 31000:2018

32

33

Estructura de la ISO 31000:2018

34

35

Términos y definiciones

36

37

38

39

40

Tipos de Riesgos

41

Análisis Bow Tie - Riesgos

42

Identificación de riesgosNro Causa Evento Consecuencia

1 Materia prima no

renovable

Elevados costos unitarios Pérdida de nichos de

mercado2 Uso de tecnología

obsoleta

Nivel tecnológico bajo Demora en el

procesamiento3 Inadecuada

segregación de

funciones

Alta rotación de personal

subcontratado

Personal no

comprometido con la

institución

4 Publicidad y

Marketing sin

recursos

Concepto de marca poco

socializado

Demora en posicionarse

en el mercado

43

Reflexiones ……✓ Algunas organizaciones piensan que son

inmunes.✓ Las amenazas existen y son reales.✓ Existen y aparecerán más riesgos tecnológicos

para pretender mitigarlos todos.✓ Cada día los entes reguladores y los clientes

exigirán más que las organizaciones protejan susdatos personales.

✓ Asignar recursos a tiempo completo, a velar porla seguridad de información no es opcional.