gabinete de auditoria de sistemas - informatica
TRANSCRIPT
M. Sc. Miguel Cotaña Mier Lp, diciembre de 2020
1
Gestión de Riesgos
GABINETE DE AUDITORIA
DE SISTEMAS
UNIVERSIDAD MAYOR DE SAN ANDRES
FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS
CARRERA DE CONTADURÍA PÚBLICA
2
3
4
5
6
7
El simple conocimiento de los riesgos deuna actividad ya supone una ventaja alfacilitar un estado de alerta sobre losmismos que disminuye sus consecuenciasindeseables en caso de producirse
8
9
La contingencia de que lainterrupción, alteración, ofalla de la infraestructurade TI, sistemas deinformación, BD y procesosde TI, provoque pérdidasfinancieras a la institución.Es uno de los componentesde riesgo operacional.
RIESGO TECNOLÓGICO
10
LOS VISIBLES✓ Virus✓ Spyware✓ Spam✓ Ataques a páginas
Web✓ Robo de equipo✓ Imposibilidad de
restablecer lasoperaciones en elcentro de datos
RIESGO TECNOLÓGICO
LOS NO VISIBLES✓ Fraude en línea✓ Espionaje digital✓ Privacidad y
protección dedatos
✓ Robo deidentidad
✓ Continuidad deoperaciones
11
La sociedad actual vive en un caminoconstante hacia la digitalización, con eluso masivo de los smartphones, lacomunicación diaria a través de internet,el uso de la inteligencia artificial, el BigData, e incluso el IoT, donde loselectrodomésticos también se vuelveninteligentes y se conectan a la red.
COMPRENDER EL RIESGO CIBERNÉTICO
12
En los últimos años, los gobiernos, lasempresas y los ciudadanos se han vueltocríticamente dependientes del Internet yde las TIC´s. Tenemos la creencia quesiempre funcionarán los serviciosesenciales para el ciudadano, como laenergía y las telecomunicaciones, y quelos bienes, servicios, datos y capitalcruzarán fronteras sin inconvenientes.
13
La realidad, sin embargo, es que muchossistemas e infraestructuras en red sonvulnerables y están siendo explotados.Organizaciones de todo tipo estánsufriendo mayores violaciones a susdatos, actividad criminal, interrupción delservicio y destrucción de su propiedad.Colectivamente, nuestra inseguridad estácreciendo.
14
Los ciberdelincuentes pueden causardaños a las infraestructuras en red degobiernos y de la industria. Los objetivosvarían según el actor, desde:
✓ el activismo político;✓ fraude y delito informático;✓ robo de propiedad intelectual (PI);✓ espionaje;✓ interrupción del servicio;✓ destrucción de bienes y activos.
15
¡vivimos en un mundo de inseguridadcibernética!
¡El riesgo de inacción es demasiadogrande!
¡los países y las empresas tienen quecomprender que en el centro de suestrategia y agenda digital debe estar unenfoque disciplinado de gestión deriesgos!
16
El riesgo se define en términos de tiempo,cuando algo o alguien está expuesto a unpeligro, daño o pérdida. La condición deriesgo puede cambiar en función de lasacciones realizadas por al menos dosactores:✓ el atacante, que obtiene y utiliza la capacidad de
causar daño;✓ el objetivo pretendido, que puede tomar
precauciones para resistir o frustrar el peligropretendido por el atacante
17
Por ejemplo, se puede comprar softwaremalicioso por Bs. 10 y se puede lanzar unataque distribuido de denegación deservicio, por menos de Bs. 7.000.Ataques sofisticados de ransomware(secuestro de archivos a cambio de unrescate) están disponibles por Bs. 1.200 yservicios maliciosos de correo electrónico nodeseado se consiguen poraproximadamente Bs. 2.500.-
18
En mayo de 2017, el secuestro de archivos acambio de un rescate tuvo como blancoespecífico las fallas en los sistemasoperativos de Windows y esto afectó amillones de computadoras en 150 países entodos los sectores comerciales. Este ataqueglobal, un secuestro de archivos muysencillo llamado WannaCry, detuvooperaciones de fabricación, transporte ysistemas de telecomunicaciones
19
En junio de 2017, se lanzó NotPetya, otromalware (un software malintencionado) másdestructivo. NotPetya se extendió entre lasempresas en red del mundo a través de unmecanismo de actualización de softwarepara un programa de contabilidadampliamente utilizado (doc.me). En cuestiónde minutos, el software malintencionadoinfectó decenas de miles de sistemasconectados a Internet en más de 65 países.
20
Por ejemplo, el ataque de NotPetya contraA.P. Moller-Maersk, la compañía naviera másgrande del mundo, cifró y eliminó lossistemas de TI de la empresa en todo elmundo. Maersk tuvo que detener lasoperaciones en la mayoría de las 76terminales portuarias de la compañía entodo el mundo, interrumpiendo el comerciomarítimo por semanas.
21
Las pérdidas financieras causadas porNotPetya superaron los 300 millones dedólares, ya que tuvo que reconstruir toda suinfraestructura, incluidos 4.000 nuevosservidores, 45.000 computadoras nuevas y2.500 aplicaciones nuevas. Se estima queNotPetya ocasionó pérdidas por miles demillones de dólares debido a la interrupciónde los negocios y la destrucción depropiedad en todo el mundo.
22
Aún más preocupante, en agosto de 2017,una instalación de petróleo y gas de ArabiaSaudita se vio repentinamente obligada acerrar. Fue víctima de Trisis, un virusinformático bien diseñado para sabotear lossistemas de control industrial (SCI). Creadopara afectar los componentes operacionalesde la TI en sitios industriales como petróleoy gas y servicios de agua.
23
Las actividades cibernéticas maliciosasmuestran un impacto extraordinario entérminos de pérdida y daño, pero lasherramientas utilizadas para causar dañorealmente no eran sofisticadas. El númerode ataques dirigidos contra los sistemas deenergía, de telecomunicaciones, transportey financieros casi se ha triplicado en losúltimos años, una tendencia que planteariesgos de seguridad económica y nacionalpara todos.
24
Existe una necesidad urgente de
que los gobiernos y organizaciones
participen en procesos efectivos de
gestión de riesgos cibernéticos y
aborden los riesgos digitales dentro
de sus procesos de planificación
estratégica.
25
A pesar de los diversos modelos y marcos ahoradisponibles, para poder identificar, analizar yvalorar y reducir el riesgo cibernético, elmejorar la seguridad cibernética a nivelnacional sigue siendo un desafío. Debemosreconocer que necesitamos una economíadigital confiable y que funcione bien. Por tanto,las instituciones deben asignar fondos para elfuncionamiento y estar aptos para resistir yrecuperarnos rápidamente de todos los riesgos
26
27
Es un documentoPRÁCTICO que pretendeayudar a las organizacionesen el desarrollo de su propioenfoque a la GESTIÓN DELRIESGO. Pero esto no esun estándar donde lasorganizaciones puedensolicitar la certificación.
¿Qué es la ISO 31000?
28
Mediante la implementaciónde la norma ISO 31000, lasorganizaciones puedenCOMPARAR sus prácticasde gestión de riesgos con unpunto de referenciareconocidoINTERNACIONALMENTE,proporcionando sólidosprincipios para una gestióneficaz.
29
Se trata de un estándar que puedeaplicarse a cualquier tipo deorganización. A través de una serie dedirectrices y principios, la norma buscaque cada empresa implemente unSistema de Gestión del Riesgo parareducir los obstáculos que impiden laconsecución de sus objetivos, siendocompatible con cada sector.
30
Esta norma para la Gestión de Riesgos
ha sido simplificada. Permitirá a las
empresas y organizaciones revaluar sus
metodologías de gestión sobre cualquier
tipo de riesgo. La norma se centra de
forma exhaustiva en la atención de la
gestión del riesgo, como una herramienta
para minimizar de forma anticipada las
posibles inseguridades que pudieran
producirse.
31
Antecedentes de la ISO 31000:2018
32
33
Estructura de la ISO 31000:2018
34
35
Términos y definiciones
36
37
38
39
40
Tipos de Riesgos
41
Análisis Bow Tie - Riesgos
42
Identificación de riesgosNro Causa Evento Consecuencia
1 Materia prima no
renovable
Elevados costos unitarios Pérdida de nichos de
mercado2 Uso de tecnología
obsoleta
Nivel tecnológico bajo Demora en el
procesamiento3 Inadecuada
segregación de
funciones
Alta rotación de personal
subcontratado
Personal no
comprometido con la
institución
4 Publicidad y
Marketing sin
recursos
Concepto de marca poco
socializado
Demora en posicionarse
en el mercado
43
Reflexiones ……✓ Algunas organizaciones piensan que son
inmunes.✓ Las amenazas existen y son reales.✓ Existen y aparecerán más riesgos tecnológicos
para pretender mitigarlos todos.✓ Cada día los entes reguladores y los clientes
exigirán más que las organizaciones protejan susdatos personales.
✓ Asignar recursos a tiempo completo, a velar porla seguridad de información no es opcional.