rene.vasquez
DESCRIPTION
dsgsdgdsgsfhdhdTRANSCRIPT
AGENDA•Introducción
•Objetivos de la gestión de riesgos de TI
•Metodología de evaluación de riesgos de TI
•Riesgos de TIAmenazas comunes
Riesgos comunes
Formas de mitigación de riesgos
Análisis de controles existentes
•¿Por qué implementar mejores prácticas de TI?
•Conclusiones
Introducción
• Por lo general, los riesgos tecnológicos están subestimados en los procesos de negocio
• Otros rubros, tales como riesgos de mercado, operacionales o de crédito están incorporados sin problemas en la agenda de la alta dirección.
• Los riesgos de Tecnologías de Información (TI), son relegados a los especialistas técnicos.
• Administrar riesgos tecnológicos no puede ser tema exclusivo de la Dirección de TI: – Cada parte o área de la empresa debe tener un papel
protagónico .– Un posible impacto en los sistemas afectaría a diversas áreas de
la organización en igual o mayor manera
Introducción
• La información y tecnología representan uno de los más valiosos pero menos comprendidos activos de una empresa.
• La administración de riesgos tecnológicos juega un papel crítico en la protección de la información de nuestras cooperativas.
• La Dirección requiere que se implementen políticas, planes y procedimientos que aseguren razonablemente que los objetivos de negocio de cumplan y que los eventos no deseados se prevengan o detecten y corrijan.
• La implementación de un plan de riesgos para TI se percibe como un gasto, una especie de lujo reservada a los grandes corporativos con millones de transacciones vía Internet.
Objetivos de la Gestión de Riesgos de Tecnología
Mantener seguros los sistemas tecnológicos que almacenan, procesan o transmiten información sensible de nuestras organizaciones. Permitir que la Alta Dirección tome decisiones
adecuadas que justifiquen las inversiones en tecnología que proteja de riesgos.Apoyar a la Alta Dirección en la toma de decisiones
sobre nuevos sistemas basándose en evaluaciones objetivas de los riesgos relacionados.Optimizar costos por la aplicación de medidas de
protección.
Seguridad de información
• Integridad la información debe estar protegida de alteraciones intencionales o
accidentales. Primera fuente de ataques a disponibilidad o confidencialidad Su ausencia puede resultar en imprecisiones, fraudes o decisiones
erróneas.• Disponibilidad
La información debe estar “siempre lista” para ser usada La falta de disponibilidad puede convertirse en pérdida de tiempo
productivo e impedir que los usuarios cumplan adecuadamente sus funciones.
• Confidencialidad La información sólo puede ser revelada a personas autorizadas. La falta de confidencialidad puede resultar en pérdida de confianza y
reputación o en acciones legales contra la organización
¿Quién es responsable de la gestión de riesgos de TI?
• Alta Dirección
• Directores/Gerentes de Tecnología
• “Propietarios” de los sistemas y la información
• Administradores de áreas de negocios y funcionales
• Oficial de Seguridad Informática
• Personal operativo del área de tecnología
Metodología de Evaluación de Riegos
Paso 1Requerimientos del Sistema
Paso 2Identificación de Debilidades
Paso 3Identificación de Vulnerabilidades
Paso 4Análisis de controles
Paso 5Determinación de Probabilidad
5
CCVVC
Paso 7Determinación de Riesgos
Paso 8Recomendaciones de control
Paso 9Documentación de Resultados
•Funciones del Sistema•Sistema y Criticidad de datos •Sistema y Sensibilidad de datos
Declaración de debilidades
Lista de vulnerabilidades Potenciales
Lista de controles Actuales y Planeados
Clasificación de Probabilidad
Clasificación de Impacto
Riesgos y sus Niveles Asociados
Controles Recomendados
Reporte de Evaluación de Riesgos
• Hardware • Software• Interfaces de Sistema• Datos e Información• Gente• Misión del Sistema
•Historial de ataques al Sistema•Datos de Agencia de Inteligencia, NIPC, OIG, FedCIRC, medios masivos.
•Reportes de Evaluación de Riesgos anteriores•Comentarios de Auditoria•Resultados de Pruebas de Seguridad
•Controles Actuales•Controles Planeados
•Motivación de la Amenaza •Capacidad de la Amenaza •Naturaleza de la Vulnerabilidad•Controles Actuales
•Análisis del Impacto de la Misión •Evaluación de Activos Críticos•Criticidad de Datos•Sensibilidad de Datos
•Probabilidad de Explotación de la Amenaza •Magnitud del Impacto•Adecuación de controles Planeados o Actuales
•Pérdida de Integridad•Pérdida de Disponibilidad •Pérdida de Confidencialidad
Entrada
Paso 6. Análisis de Impacto
Salida
Admón. de Riesgos en el ciclo de vida de sistemas
Fases Características Actividades de Admón de Riesgos.
Requerimiento inicial Existe la necesidad de un sistema y se documenta claramente el alcance
Los riesgos previamente identificados y la estrategia de seguridad se integran al documento de requerimientos
Desarrollo o adquisición El sistema es diseñado, comprado, programado, desarrollado o construido
Los riesgos identificados hasta esta fase dirigen el diseño y arquitectura del sistema
Implementación Las funciones de seguridad deben configurarse, habilitarse, evaluarse y verificarse
Se debe validar que lo implementado cumpla con los requerimientos fijados para la prevención de riesgos
Operación / mantenimiento El sistema funciona en el día a día, sin embargo está sujeto a cambios o adición de software, hardware o cambios en políticas y procedimientos
La administración de riesgos se usa para re-certificar los cambios en los sistemas o en sus ambientes de operación
Eliminación La información, software y hardwarerequieren ser eliminados, lo que hace necesario mover, archivar o destruir la información así como “limpiar” el hardware
La administración de riesgos se utilizapara asegurar que los componentes del sistema que requieren ser cambiados sean eliminados adecuadamente.
Amenazas comunes
Fuente Motivación Acciones
Hacker, Cracker •Retos personales•Ego•Rebelión
•Piratería•Ingeniería social•Intrusión a sistemas•Accesos no autorizados
Crimen cibernético •Destrucción deinformación•Revelación ilegal de información confidencial•Ganancias monetarias•Alteración de datos
•Acecho criminal•Actos fraudulentos•Sobornos•Suplantación de identidad•Intrusión a sistemas
Terrorismo •Chantaje•Destrucción•Explotación•Revancha
•Guerra de información•Ataques a sistemas•Penetración de sistemas•Manipulación de sistemas
Amenazas comunes…•Fuente Motivación Acciones
Espionaje industrial •Competencia desleal•Grandes ganancias•Daño reputacional
•Explotación económica•Robo de información•Intrusión en privacidad personal•Accesos no autorizados a sistemas
Ataques internos (empleados malcapacitados, descontentos, maliciosos, negligentes, deshonestos o despedidos recientemente)
•Curiosidad•Ego•Inteligencia•Ganancias monetarias•Revancha•Errores no intencionales u omisiones
•Chantaje•Abuso en uso de recursos•Distribución de información•Fraude y robo•Sobornos•Falsificación/corrupción de datos•Intercepción de transacciones•Código malicioso•Venta de información •Errores intencionales en sistemas•Intrusión de sistemas•Sabotaje a sistemas•Accesos no autorizados
Riesgos más comunes
• Procesamiento de datos incorrecto por errores en la operación de los sistemas
• Ataques externos (hackers, virus)
• Accesos no autorizados a información sensible del negocio
• Fuga de información por mal uso de dispositivos externos (USB, telefonía)
• Falta de alineación de los objetivos de negocio con los recursos y proyectos de TI
• Debilidad para garantizar la recuperación de la infraestructura de TI y continuidad del negocio
• Ausencia de un marco regulatorio (gobierno de TI)
Formas de mitigación de riesgos
• Asumir el riesgo
– Aceptar un riesgo potencial y continuar la operación de los sistemas
– Implementar controles para disminuir el riesgo a un nivel aceptable
• Evitar el riesgo
– Eliminar las causas o consecuencias
• Limitar el riesgo
– Implementar controles que minimicen los impactos
• Reconocer e investigar el riesgo
– Reconocer las vulnerabilidades e investigar soluciones para corregirlas
• Transferir el riesgo.
– Usar opciones para compensar las pérdidas potenciales, como por ejemplo, comprar un seguro.
Eliminar todos los riesgos es impráctico o muy cercano a lo imposible
Análisis de controles existentes
• Métodos de control– Técnicos
• Mecanismos de control de acceso• Mecanismos de autenticación e identificación• Métodos de encriptación• Sistemas de detección de “intrusos”
– No Técnicos• Políticas de seguridad• Procedimientos operativos• Seguridad física, del personal y ambiental
Controles de seguridad preventivos
• Asignar responsabilidades de seguridad para los sistemas de misión crítica
• Desarrollar y mantener un plan de seguridad de sistemas
• Implementar controles de seguridad de personal– Segregación de responsabilidades
– Disminuir privilegios de acceso
– Registro de cualquier acceso a los sistemas de cómputo
Controles operativos
• Controlar el acceso y destrucción de medios físicos de almacenamiento de datos
• Limitar la distribución de datos a terceros• Implementar herramientas de control de virus
informáticos• Asegurar los centros de cómputo y cuartos de cableado• Contar con procedimientos para respaldo y
recuperación de información.• Proteger las computadoras personales y móviles
(laptops)
• Demanda de mejores resultados de las inversiones en tecnología
• Preocupación por el crecimiento en el nivel de inversión en tecnología
• Necesidad de cumplir requerimientos regulatorios en controles de TI
• Incremento de la complejidad en los riesgos relacionados con TI
• Mejorar actividades críticas de TI que incrementen el valor de negocio y disminuyan los riesgos
• Optimizar costos operativos a través de la estandarización
Algunas razones para implementar mejores prácticas de TI
Beneficios de implementar CobiT®
• Mejor alineación por su enfoque a objetivos de negocio.
• Da una vista clara a la Alta Dirección del funcionamiento de Tecnologías de Información.
• Claridad en las responsabilidades.• Aceptación general por parte de entidades
reguladoras.• Proporciona un lenguaje común de fácil entendimiento
para todos los interesados• Cumplimiento de los requerimientos de COSO en los
ambientes de tecnologías de la información.
Áreas de enfoque del Gobierno de TI
Asegurarse que TI entrega los beneficios
comprometidos con los costos comprometidos
Gobernabilidad de TI
ADMINISTRACIÓN DE RECURSOS
Asegurarse que los planes de TI estén alineados con las
estrategia de negocio
Asignar responsabilidades de administración de riesgos a toda la estructura de TI
Transformar la estrategia en
objetivos medibles
Optimizar inversiones y administrar adecuadamente
los recursos críticos de TI
Objetivos de Negocio
Objetivos de TIProcesos de TI
Actividades Clave
Evaluaciones de Control de Resultados
Objetivos deControl
Personal con Responsabilidades
claramente definidas
Indicadores deDesempeño
Medición de Resultados
Modelos de Madurez
Evaluación de Control de
Diseño
Prácticas deControl
InformaciónRequerimientos
Resu
ltado
s
Se auditan con
Interrelación de los componentes de CobiT®
Basados en
Factores de éxito
• Compromiso de la Alta Dirección• Participación y compromiso de todo el
personal de Tecnología• Desarrollo de competencias en evaluación de
riesgos• Concientización y cooperación de todos los
usuarios de los sistemas• Evaluación continua de los riesgos de
Tecnología.
Conclusiones
• Los riesgos tecnológico son una realidad, por lo que es importante conocerlos y saber como administrarlos
• Al integrar los riesgos de TI con los objetivos estratégicos de la empresa, estaremos evitando grandes pérdidas financieras por acciones de remediación y recuperación de un daño ya materializado.
• El verdadero reto está en implementar medidas de prevención de riesgos sin causar irrupción en la operación de nuestras Cooperativas