GESTIÓN INTEGRAL DE RIESGOS DE TECNOLOGÍAS DE INFORMACIÓN

René Vásquez Pérez

AGENDA•Introducción

•Objetivos de la gestión de riesgos de TI

•Metodología de evaluación de riesgos de TI

•Riesgos de TIAmenazas comunes

Riesgos comunes

Formas de mitigación de riesgos

Análisis de controles existentes

•¿Por qué implementar mejores prácticas de TI?

•Conclusiones

INTRODUCCIÓN

Introducción

• Por lo general, los riesgos tecnológicos están subestimados en los procesos de negocio

• Otros rubros, tales como riesgos de mercado, operacionales o de crédito están incorporados sin problemas en la agenda de la alta dirección.

• Los riesgos de Tecnologías de Información (TI), son relegados a los especialistas técnicos.

• Administrar riesgos tecnológicos no puede ser tema exclusivo de la Dirección de TI: – Cada parte o área de la empresa debe tener un papel

protagónico .– Un posible impacto en los sistemas afectaría a diversas áreas de

la organización en igual o mayor manera

Introducción

• La información y tecnología representan uno de los más valiosos pero menos comprendidos activos de una empresa.

• La administración de riesgos tecnológicos juega un papel crítico en la protección de la información de nuestras cooperativas.

• La Dirección requiere que se implementen políticas, planes y procedimientos que aseguren razonablemente que los objetivos de negocio de cumplan y que los eventos no deseados se prevengan o detecten y corrijan.

• La implementación de un plan de riesgos para TI se percibe como un gasto, una especie de lujo reservada a los grandes corporativos con millones de transacciones vía Internet.

OBJETIVOS DE LA GESTIÓN DE RIESGOS DE TECNOLOGÍA

Objetivos de la Gestión de Riesgos de Tecnología

Mantener seguros los sistemas tecnológicos que almacenan, procesan o transmiten información sensible de nuestras organizaciones. Permitir que la Alta Dirección tome decisiones

adecuadas que justifiquen las inversiones en tecnología que proteja de riesgos.Apoyar a la Alta Dirección en la toma de decisiones

sobre nuevos sistemas basándose en evaluaciones objetivas de los riesgos relacionados.Optimizar costos por la aplicación de medidas de

protección.

Seguridad de información

• Integridad la información debe estar protegida de alteraciones intencionales o

accidentales. Primera fuente de ataques a disponibilidad o confidencialidad Su ausencia puede resultar en imprecisiones, fraudes o decisiones

erróneas.• Disponibilidad

La información debe estar “siempre lista” para ser usada La falta de disponibilidad puede convertirse en pérdida de tiempo

productivo e impedir que los usuarios cumplan adecuadamente sus funciones.

• Confidencialidad La información sólo puede ser revelada a personas autorizadas. La falta de confidencialidad puede resultar en pérdida de confianza y

reputación o en acciones legales contra la organización

¿Quién es responsable de la gestión de riesgos de TI?

• Alta Dirección

• Directores/Gerentes de Tecnología

• “Propietarios” de los sistemas y la información

• Administradores de áreas de negocios y funcionales

• Oficial de Seguridad Informática

• Personal operativo del área de tecnología

METODOLOGÍA DE EVALUACIÓN DE RIESGOS DE TI

Metodología de Evaluación de Riegos

Paso 1Requerimientos del Sistema

Paso 2Identificación de Debilidades

Paso 3Identificación de Vulnerabilidades

Paso 4Análisis de controles

Paso 5Determinación de Probabilidad

5

CCVVC

Paso 7Determinación de Riesgos

Paso 8Recomendaciones de control

Paso 9Documentación de Resultados

•Funciones del Sistema•Sistema y Criticidad de datos •Sistema y Sensibilidad de datos

Declaración de debilidades

Lista de vulnerabilidades Potenciales

Lista de controles Actuales y Planeados

Clasificación de Probabilidad

Clasificación de Impacto

Riesgos y sus Niveles Asociados

Controles Recomendados

Reporte de Evaluación de Riesgos

• Hardware • Software• Interfaces de Sistema• Datos e Información• Gente• Misión del Sistema

•Historial de ataques al Sistema•Datos de Agencia de Inteligencia, NIPC, OIG, FedCIRC, medios masivos.

•Reportes de Evaluación de Riesgos anteriores•Comentarios de Auditoria•Resultados de Pruebas de Seguridad

•Controles Actuales•Controles Planeados

•Motivación de la Amenaza •Capacidad de la Amenaza •Naturaleza de la Vulnerabilidad•Controles Actuales

•Análisis del Impacto de la Misión •Evaluación de Activos Críticos•Criticidad de Datos•Sensibilidad de Datos

•Probabilidad de Explotación de la Amenaza •Magnitud del Impacto•Adecuación de controles Planeados o Actuales

•Pérdida de Integridad•Pérdida de Disponibilidad •Pérdida de Confidencialidad

Entrada

Paso 6. Análisis de Impacto

Salida

Admón. de Riesgos en el ciclo de vida de sistemas

Fases Características Actividades de Admón de Riesgos.

Requerimiento inicial Existe la necesidad de un sistema y se documenta claramente el alcance

Los riesgos previamente identificados y la estrategia de seguridad se integran al documento de requerimientos

Desarrollo o adquisición El sistema es diseñado, comprado, programado, desarrollado o construido

Los riesgos identificados hasta esta fase dirigen el diseño y arquitectura del sistema

Implementación Las funciones de seguridad deben configurarse, habilitarse, evaluarse y verificarse

Se debe validar que lo implementado cumpla con los requerimientos fijados para la prevención de riesgos

Operación / mantenimiento El sistema funciona en el día a día, sin embargo está sujeto a cambios o adición de software, hardware o cambios en políticas y procedimientos

La administración de riesgos se usa para re-certificar los cambios en los sistemas o en sus ambientes de operación

Eliminación La información, software y hardwarerequieren ser eliminados, lo que hace necesario mover, archivar o destruir la información así como “limpiar” el hardware

La administración de riesgos se utilizapara asegurar que los componentes del sistema que requieren ser cambiados sean eliminados adecuadamente.

RIESGOS DE T.I.

Amenazas comunes

Fuente Motivación Acciones

Hacker, Cracker •Retos personales•Ego•Rebelión

•Piratería•Ingeniería social•Intrusión a sistemas•Accesos no autorizados

Crimen cibernético •Destrucción deinformación•Revelación ilegal de información confidencial•Ganancias monetarias•Alteración de datos

•Acecho criminal•Actos fraudulentos•Sobornos•Suplantación de identidad•Intrusión a sistemas

Terrorismo •Chantaje•Destrucción•Explotación•Revancha

•Guerra de información•Ataques a sistemas•Penetración de sistemas•Manipulación de sistemas

Amenazas comunes…•Fuente Motivación Acciones

Espionaje industrial •Competencia desleal•Grandes ganancias•Daño reputacional

•Explotación económica•Robo de información•Intrusión en privacidad personal•Accesos no autorizados a sistemas

Ataques internos (empleados malcapacitados, descontentos, maliciosos, negligentes, deshonestos o despedidos recientemente)

•Curiosidad•Ego•Inteligencia•Ganancias monetarias•Revancha•Errores no intencionales u omisiones

•Chantaje•Abuso en uso de recursos•Distribución de información•Fraude y robo•Sobornos•Falsificación/corrupción de datos•Intercepción de transacciones•Código malicioso•Venta de información •Errores intencionales en sistemas•Intrusión de sistemas•Sabotaje a sistemas•Accesos no autorizados

Riesgos más comunes

• Procesamiento de datos incorrecto por errores en la operación de los sistemas

• Ataques externos (hackers, virus)

• Accesos no autorizados a información sensible del negocio

• Fuga de información por mal uso de dispositivos externos (USB, telefonía)

• Falta de alineación de los objetivos de negocio con los recursos y proyectos de TI

• Debilidad para garantizar la recuperación de la infraestructura de TI y continuidad del negocio

• Ausencia de un marco regulatorio (gobierno de TI)

Formas de mitigación de riesgos

• Asumir el riesgo

– Aceptar un riesgo potencial y continuar la operación de los sistemas

– Implementar controles para disminuir el riesgo a un nivel aceptable

• Evitar el riesgo

– Eliminar las causas o consecuencias

• Limitar el riesgo

– Implementar controles que minimicen los impactos

• Reconocer e investigar el riesgo

– Reconocer las vulnerabilidades e investigar soluciones para corregirlas

• Transferir el riesgo.

– Usar opciones para compensar las pérdidas potenciales, como por ejemplo, comprar un seguro.

Eliminar todos los riesgos es impráctico o muy cercano a lo imposible

Análisis de controles existentes

• Métodos de control– Técnicos

• Mecanismos de control de acceso• Mecanismos de autenticación e identificación• Métodos de encriptación• Sistemas de detección de “intrusos”

– No Técnicos• Políticas de seguridad• Procedimientos operativos• Seguridad física, del personal y ambiental

Controles de seguridad preventivos

• Asignar responsabilidades de seguridad para los sistemas de misión crítica

• Desarrollar y mantener un plan de seguridad de sistemas

• Implementar controles de seguridad de personal– Segregación de responsabilidades

– Disminuir privilegios de acceso

– Registro de cualquier acceso a los sistemas de cómputo

Controles operativos

• Controlar el acceso y destrucción de medios físicos de almacenamiento de datos

• Limitar la distribución de datos a terceros• Implementar herramientas de control de virus

informáticos• Asegurar los centros de cómputo y cuartos de cableado• Contar con procedimientos para respaldo y

recuperación de información.• Proteger las computadoras personales y móviles

(laptops)

¿POR QUÉ IMPLEMENTAR MEJORES PRÁCTICAS DE T.I.?

• Demanda de mejores resultados de las inversiones en tecnología

• Preocupación por el crecimiento en el nivel de inversión en tecnología

• Necesidad de cumplir requerimientos regulatorios en controles de TI

• Incremento de la complejidad en los riesgos relacionados con TI

• Mejorar actividades críticas de TI que incrementen el valor de negocio y disminuyan los riesgos

• Optimizar costos operativos a través de la estandarización

Algunas razones para implementar mejores prácticas de TI

Beneficios de implementar CobiT®

• Mejor alineación por su enfoque a objetivos de negocio.

• Da una vista clara a la Alta Dirección del funcionamiento de Tecnologías de Información.

• Claridad en las responsabilidades.• Aceptación general por parte de entidades

reguladoras.• Proporciona un lenguaje común de fácil entendimiento

para todos los interesados• Cumplimiento de los requerimientos de COSO en los

ambientes de tecnologías de la información.

Áreas de enfoque del Gobierno de TI

Asegurarse que TI entrega los beneficios

comprometidos con los costos comprometidos

Gobernabilidad de TI

ADMINISTRACIÓN DE RECURSOS

Asegurarse que los planes de TI estén alineados con las

estrategia de negocio

Asignar responsabilidades de administración de riesgos a toda la estructura de TI

Transformar la estrategia en

objetivos medibles

Optimizar inversiones y administrar adecuadamente

los recursos críticos de TI

Objetivos de Negocio

Objetivos de TIProcesos de TI

Actividades Clave

Evaluaciones de Control de Resultados

Objetivos deControl

Personal con Responsabilidades

claramente definidas

Indicadores deDesempeño

Medición de Resultados

Modelos de Madurez

Evaluación de Control de

Diseño

Prácticas deControl

InformaciónRequerimientos

Resu

ltado

s

Se auditan con

Interrelación de los componentes de CobiT®

Basados en

CONCLUSIONES

Factores de éxito

• Compromiso de la Alta Dirección• Participación y compromiso de todo el

personal de Tecnología• Desarrollo de competencias en evaluación de

riesgos• Concientización y cooperación de todos los

usuarios de los sistemas• Evaluación continua de los riesgos de

Tecnología.

Conclusiones

• Los riesgos tecnológico son una realidad, por lo que es importante conocerlos y saber como administrarlos

• Al integrar los riesgos de TI con los objetivos estratégicos de la empresa, estaremos evitando grandes pérdidas financieras por acciones de remediación y recuperación de un daño ya materializado.

• El verdadero reto está en implementar medidas de prevención de riesgos sin causar irrupción en la operación de nuestras Cooperativas