charla baitec - riesgos
DESCRIPTION
Gestión de Riesgos en Cloud Computing - Presentación 21Jun2011 - BAITECTRANSCRIPT
1
LOS RIESGOS DE LAS TECNOLOGIAS DE LA INFORMACIÓN
2
Qué es la Gestión de Riesgos
Primera parte
3
Una definición genérica:
El grado de incerteza respecto de la aparición de un evento y sus consecuencias (positivas o negativas).
Participan los conceptos de:
Amenaza
� Es el evento que origina el Riesgo
� Terremoto; Fallo de Hardware; Error Humano…
¿Qué es un Riesgo?
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
� Terremoto; Fallo de Hardware; Error Humano…
Probabilidad
� Un suceso o condición segura NO es un Riesgo
Vulnerabilidad
� Debilidad de un Activo o Recurso que puede ser explotado por una o más amenazas
4
PROBABILIDAD
Diagrama de Riesgos
CONTRAMEDIDAS
Vulnerabilidad
Vulnerabilidad
Recurso / Activo
Recurso / Activo
Recurso / Activo
Impacto
ImpactoAmenaza
Amenaza
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Vulnerabilidad
Vulnerabilidad
Activo
Recurso / Activo
Recurso / Activo
Recurso / Activo
Impacto
Impacto
Amenaza
Amenaza
Amenaza
Impacto
5
Según su Tipo de Impacto:
Riesgos Positivos
También llamados “Oportunidades”
Deben potenciarse y aprovecharse
Riesgos Negativos
Son los Riesgos “por antonomasia”
Deben tomarse medidas para:
Clasificación de Riesgos
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Deben tomarse medidas para:
� Reducir o Eliminar la Probabilidad de que sucedan
- Gestionar las Amenazas; Vulnerabilidades y/o Activos, p.e.- Planes de Pruebas; Reducción de Puntos Únicos de Falla; Campañas de
Entrenamiento y/o Concientización, etc.
� Mitigar su Impacto, p.e.
- Políticas de Respaldo y Recuperación y Planes de Contingencia- Tercerizaciones
6
Según el Área primaria impactada:
Riesgos propios de Negocio:
Difícilmente transferibles
� Mercados de Bienes y Financieros
� Competencia
� Leyes y Regulaciones, etc.
Riesgos no específicos
Clasificación de Riesgos
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Riesgos no específicos
SIEMPRE impactan finalmente en el Negocio
Riesgos Tecnológicos
� No informáticos
� Informáticos
Otros Riesgos
� Recursos humanos
� Ambientales, etc.
7
Son un tipo específico de Riesgo Tecnológico
Se definen como:
Riesgos Informáticos
Los riesgos asociados al Uso, Propiedad, Operación, Involucramiento, Influencia y
Adopción de las TI dentro de una OrganizaciónISACA – The RiskIT Framework – 2009
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Son un componente inseparable de los Riesgos de Negocios
Pueden clasificarse en:
Asociados a la Pérdida de Beneficios o Valor
Asociados a los Proyectos
Asociados a la Entrega y Soporte de un Servicio Informático
8
Riesgos Informáticos – 3 Visiones
Riesgos Estratégicos
RIESGOS CORPORATIVOS
Riesgos Ambientales
Riesgos de Mercado
Riesgos Crediticios
Riesgos Operativos
Riesgos Industriales
Riesgos de TI
RIESGOS CORPORATIVOS
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Riesgos Estratégicos
Riesgos Ambientales
Riesgos de Mercado
Riesgos Crediticios
Riesgos Operativos
Riesgos Industriales
Riesgos de TI
Riesgos de TI
Riesgos Estratégicos
RIESGOS CORPORATIVOS
Riesgos Ambientales
Riesgos de Mercado
Riesgos Crediticios
Riesgos Operativos
Riesgos Industriales
9
Beneficios directos:
Reduce el impacto en los ingresos y/o beneficios
Protege las inversiones de los efectos negativos
Prepara la organización para enfrentar a las amenazas
Facilita la toma de acciones tempranas
“Resolver los problemas pequeños cuando aún son pequeños”
Gestión de Riesgos Informáticos
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Además:
Facilita las Comunicaciones entre TI y el Negocio
Incrementa la confianza en la Gestión
Facilita la implantación de medidas reactivas
Versus “Gestión por Crisis”
Compensa actitudes imprudentes o poco realistas
10
Falta de inclusión en las Políticas de las Organizaciones
Carencia de una Metodología
RiskIT® (ISACA® - ITGI®); M_o_R®: OGC®; ISO 31000:2009, etc.
Procesos subjetivos para la Toma de Decisiones
� “Gestión por Extrapolación”
Inexistente o frágil justificación financiera
Desafíos
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Inexistente o frágil justificación financiera
Falta de Información
� ¿Costo de la Indisponibilidad?
� Impactos no financieros (Imagen)
Limitación de recursos (Financieros, Humanos, Tiempo, etc.)
Integrar la Gestión de Riesgos a la Cultura Organizacional
“Gestión por Esperanza”
11
La Gestión del Riesgo debe:
Crear Valor para la organización
Ser parte integral de los Procesos organizacionales y de Toma de Decisiones
Manejar apropiadamente los niveles de incerteza
Basarse en la mejor información disponible
Principios Generales (*)
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Ajustarse a los Objetivos y Necesidades del Negocio
Considerar los factores humanos
Ser transparente e inclusiva
Ser dinámica, iterativa y susceptible a los cambios
Someterse a un proceso de Mejora Continua
(*) ISO 31000 – Risk Management –Principles & Guidelines
12
Apetito por el Riesgo
“Risk Appetite”
Es el Nivel de Riesgo que una Organización está dispuesta a aceptar al perseguir sus Objetivos
Organizaciones “Cautelosas” o “Temerarias”
Suele seguir pautas históricas
Tolerancia ante el Riesgo
Posicionamiento
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Tolerancia ante el Riesgo
“Risk Tolerance”
Es la Variación respecto del logro de los Objetivos que una Organización está dispuesta a aceptar
Suele estar definida o condicionada por el Tipo de Negocio; el Mercado o Regulaciones
P.E: ¿Cuántos clientes estamos dispuestos a perder en caso de (…)?
13
Por lo menos dos etapas bien diferenciadas:
Análisis de Riesgos
Recolección de Información
� Amenazas
� Vulnerabilidades
� Probabilidades, etc.
Permite la Toma de Decisiones
Análisis de Riesgos
Análisis de Riesgos
GESTIÓN DE RIESGOS
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Permite la Toma de Decisiones
Gestión de Riesgos
Pone en práctica Procesos y Actividades:
� Implementación de Contramedidas
� Monitoreo de Riesgos (Detección)
Gestión de Riesgos
14
Pueden identificarse:
Identificación de los Riesgos
Análisis Cualitativo
Identificación de la Probabilidad e Impacto
Análisis Cuantitativo
Incluye el análisis de las Vulnerabilidades
Análisis de Riesgos
Análisis de Riesgos
GESTIÓN DE RIESGOS
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Definir los Niveles aceptables de Riesgo
Asociado al Apetito y Tolerancia al Riesgo
Toma la forma de Costo/Beneficio
Identificar las contramedidas
Evitar; Mitigar; Transferir o Aceptar
Toma la forma de Costo/Beneficio
Gestión de Riesgos
15
Pueden identificarse:
Implementar las respuestas definidas
Pueden combinarse
Asegurar su efectividad
Monitoreo de Riesgos
Análisis de la Efectividad y Eficiencia
Gestión de Riesgos
Análisis de Riesgos
GESTIÓN DE RIESGOS
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Mejora y Revisión
Mejora continua
Gestión de Riesgos
16
Riesgos asociados al “Cloud Computing”
Segunda parte
17
Según Gartner Group (1/2):
Acceso a la Información
Grado de robustez que tienen los controles del Proveedor respecto de la información de sus clientes
Cumplimiento Regulatorio
La responsabilidad de Cliente NO es transferible al proveedor
Auditorías y controles externos
Principales AmenazasGartner Group – “Assessing the
Security Risks of Cloud Computing” –June 2008
http://tinyurl.com/GartnerCloud2008
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Auditorías y controles externos
Ubicación de los Datos
¿Dónde está físicamente la información?
Regulaciones Regionales exigibles por los Clientes
Segregación de Datos
Los esquemas de Encriptamiento incluyen sus propios riesgos y problemas
18
Según Gartner Group (2/2):
Recuperación
Planes de Respaldo y Recuperación y Planes de Contingencia
Detección y Control de Actividades ilegales/deshonestas
Por parte del Proveedor, su personal, sus proveedores o entidades externas (“hackers”)
Long-term viability
Principales Amenazas
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Long-term viability
Compras o uniones (“merging”)
Protección de datos (Disponibilidad, Integridad, Confidencialidad)
19
Según ENISA(*) – Resumen (1/2):
Riesgos Organizacionales y Políticos
Pérdida o limitaciones de Gobierno
Limitaciones en la Portabilidad (“Lock-in”)
Cumplimiento de Regulaciones
� Por parte del “Cloud Provider”
� Por parte del Cliente (Auditorías)
Principales Amenazas
ENISA – “Benefits, risks and recommendations for information
security” – November 2009http://tinyurl.com/ENISACloud2009
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
� Por parte del Cliente (Auditorías)
Riesgos Técnicos
Debilidades en la Separación de la información (“Isolating”)
Riesgo Personales
� Débil definición de Roles
Borrado inseguro o incompleto de datos
Fallos en las interfaces de acceso (“Web browsers”)(*) European Network and
Information Security Agencyhttp://www.enisa.europa.eu/
20
Según ENISA – Resumen (2/2):
Riesgos Legales
Protección de los Datos
� Integridad, Confidencialidad, Disponibilidad, etc.
Inespecíficos (no relacionados al “Cloud Computing”)
Fallos en las redes
Desempeño
Principales Amenazas
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
� Desempeño
� Disponibilidad
21
Según CSA(*) pueden identificarse 6 etapas:
Etapa 1:
Identificar el tipo de Activo impactado por la decisión:
Datos
Aplicaciones; Funciones; Procesos
Etapa 2:
Evaluación de Riesgos
CSA – “Security Guidance for Critical
Areas of Focus in Cloud Computing” December 2009
http://tinyurl.com/CSASecGuide2009
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Etapa 2:
Para cada activo, evaluar las amenazas asociadas con:
Su divulgación pública
El acceso del personal del proveedor
Su manipulación por parte del proveedor
El fallo en el logro de sus objetivos
Su indisponibilidad
(*) Cloud Security Alliance https://cloudsecurityalliance.org/
22
Etapa 3:
Una vez establecida la importancia del Activo, definir el Modelo potencialmente más adecuado:
Nube Pública, Privada, Hibrida, etc.
Etapa 4:
Evaluar las contramedidas viables:
Evaluación de Riesgos
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Para cada proveedor
Para cada capa
Etapa 5:
Analizar el flujo de datos
Cómo se “mueven” los datos dentro de la interface Cliente-Proveedor
23
Etapa 6:
Sacar las conclusiones, considerando principalmente:
Arquitecturas potencialmente viables
Tolerancia y Apetito ante el riesgo
Evaluación de Riesgos
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
24
Aspectos Regulatorios
Claridad en las tarifas
Costos variables fuera de control
Costos y Dificultades
¿Qué les preocupa a las PYME’s?
Según ENISA:
Privacidad
Disponibilidad
Datos y/o Servicios
Integridad
Datos y/o Servicios
Versión 2.1 - Enero 2011 © 2011 Santa Monica Consulting S.A.
Costos y Dificultades asociadas a la Migración
Migraciones intra-nube ("lock-in)
Datos y/o Servicios
Confidencialidad
No-Repudio
Pérdida del Control
Manejo de Incidentes
ENISA – “An SME perspective en Cloud Computing” – November 2009http://tinyurl.com/ENISASurvey2009
25
LOS RIESGOS DE LAS TECNOLOGIAS DE LA INFORMACIÓN
MUCHAS GRACIAS