Seguridad de la Información y Administración del Riesgo Profesor: Víctor Cárdenas Schweiger 2012
Seguridad de la Información y Administración del Riesgo
Profesor: Víctor Cárdenas Schweiger
2012
Introducción
Hoy en día son múltiples los riesgos asociados a equipos, sistemas de información y comunicaciones no cuenten con controles de seguridad. Las amenazas en las TIC son globales, y están repartidas en distintos niveles de criticidad según sea la orientación y el ámbito de su utilización. Preocupante es para grandes, medianas y pequeñas organizaciones el espionaje industrial, los ladrones de información, la interrupción de servicios y las fallas críticas en la infraestructura y sistemas centrales deinformación.
Estándares y Normas para asegurar la información.
Para la correcta administración de la seguridad de la información, se deben establecer y mantener acciones que busquen cumplir con los tres requerimientos de mayor importancia para la información:•Confidencialidad.•Integridad.•Disponibilidad.
• Confidencialidad: Busca prevenir el acceso no autorizado ya sea en forma intencional o no intencional a la información. La pérdida de la confidencialidad puede ocurrir de muchas maneras, como por ejemplo con la publicación intencional de información confidencial de la organización.
• Integridad: Busca asegurar que no se realicen modificaciones por personas no autorizadas a los datos o procesos. No se realicen modificaciones no autorizadas por personal autorizado a los datos o procesos. Los datos sean consistentes tanto interna como externamente.
• Disponibilidad: Busca asegurar acceso confiable y oportuno a los datos o recursos para el personal apropiado.
Estándares y Normas para asegurar la información.
ConceptosRiesgo:Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización.
Análisis de riesgos:Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización.
Gestión de riesgos:Selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados.
Administración del Riesgo
Riesgos‘recurrentes’
Riesgos‘preocupantes’
Riesgos‘menores’
Riesgos‘excepcionales’
Frecuencia
impacto
baja
alta
moderado alto
Tratar posteriormente
Tratar conurgencia
Modo de gestión a privilegiar
AtenuarSegurosautoseguros
Modo de gestión a privilegiar
Prevención, reorganización de procesosy controles, capacitación, sistemas
Decisiones frente al riesgo
• ELIMINAR PRODUCTO O LÍNEA DE NEGOCIOS
• CONTRATOS DE SEGURO• AVALES Y GARANTÍAS• VENTA DE CARTERA• SECURITIZACIÓN
• MEDIDAS PARA REDUCIR FRECUENCIA Y SEVERIDAD
• EVALUACIÓN Y SEGUIMIENTO
• CON O SIN PROVISIONES
• EVITAR RIESGO
• TRANSFERIR RIESGO
• CONTROLAR EL RIESGO
• RETENER EL RIESGO
Que es COBITAcrónimo de “Control Objectives for Information and related Technology” (Objetivos de Control para la Información y Tecnologías Relacionadas), es un estándar desarrollado por la Information Systems Audit and Control Foundation (ISACA), la cual fue fundada en 1969 en EE.UU., y que se preocupa de temas como gobernabilidad, control, aseguramiento y auditorias para TIC. Actualmente tiene más de 60.000 miembros en alrededor de 100 países. Esta organización realiza eventos y 239 conferencias, desarrolla estándares en TI de gobierno, aseguramiento y seguridad, siendo COBIT el más importante. En los últimos 5 años ha cobrado fuerza debido a que fue desarrollado en específico para el ámbito de las TIC.
Administración del Riesgo
1 Objetivos de Control para Tecnologías de información y relacionadas (COBIT, en inglés: Control Objectives for Information and related Technology)
Objetivos de Control de Cobit• Es un conjunto de mejores prácticas que debe y puede
ser cumplido por cualquier organización.• Buscan contemplar el interés del negocio.• Su no cumplimiento implica la exposición a amenazas.• Es lo suficientemente amplio para ser adaptable a
cualquier tecnología.
Usuarios:• Puede ser usado por el Área tecnológica como una
iniciativa propia con un enfoque de auto evaluación.• Punto a resolver: ¿Cómo usarlos?
Administración de Problemas e Incidentes
La organización NO cuenta con un sistema que registre, analice y resuelva en forma oportuna problemas que se aparten de la operativa normal.
•¿Debe solucionarse? Sí•¿Es prioritario? Dependerá de la organización y de quién opine•¿Tiene efecto directo sobre los objetivos del negocio? Podría ser, no está definido.•¿Dónde está el como solucionarlo? En el sentido común, normas ISO, ITIL, etc.•¿Con qué profundidad/complejidad debe ser tratado? Dependerá de la organización
Mapa de ruta para implantar el Administración de la TI en su organización.
Integrar en las
prácticas del día a día
Integrar medidas en Tablero de
Mando
Implantar la soluciónImplantar la solución
Gobierno Corporativo de Tecnología de Información
Principios
1.1 Principio 1: Responsabilidad1.2 Principio 2: Estrategia1.3 Principio 3: Adquisición1.4 Principio 4: Desempeño1.5 Principio 5: Conformidad1.6 Principio 6: Comportamiento Humano
Gobierno Corporativo de Tecnología de información.
Los administradores deben gobernar las TI a través de tres tareas principales:a) Evaluar el uso actual y futuro de TI.b) Preparación directa y la aplicación de planes y políticas para garantizar que el uso de las TI cumplen con los objetivos de negocio.c) Monitorear la conformidad de las políticas, y el desempeño contra los planes.
ISACA y COBIT• ISACA promueve activamente la investigación
que se traduce en el desarrollo de productos relevantes y útiles para los profesionales de Gobierno de TI, riesgo, control, aseguramiento y seguridad.
• ISACA desarrolla y mantiene el internacionalmente reconocido marco de referencia COBIT, ayudar a los profesionales de TI y líderes empresariales a cumplir con sus responsabilidades de gobierno de TI, mientras que la entrega de valor al negocio.
ISACA: Asociación para la Auditoría y Control de Sistemas de Información,(ISACA, en inglés: Information Systems Audit and Control Association)
COBIT: Gobierno de TI de las Empresas (GEIT)
Gobierno de TI
COBIT4.0/4.1
Administración
COBIT3
Control
COBIT2
Un Marco Empresarial de ISACA, en www.isaca.org/cobit
Auditoría
COBIT1
2005/720001998
Evo
luci
ón d
el
Alc
an
ce
1996 2012
Val IT 2.0(2008)
Risk IT(2009)
COBIT 5
COBIT 5 reúne a los cinco principios que permiten a la empresa construir una gobernabilidad efectiva y un marco de gestión basado en un conjunto holístico de siete facilitadores que optimiza la información y la inversión en tecnología y el uso para el beneficio de las partes interesadas.
El Marco Cobit 5• En pocas palabras, COBIT 5 ayuda a las empresas a crear
valor óptimo de TI mediante el mantenimiento de un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el uso de los recursos.
• COBIT 5 permite que la información y la tecnología relacionada para ser gobernado y administrado de manera integral para el conjunto de la empresa, teniendo en el pleno de extremo a extremo del negocio y áreas funcionales de responsabilidad, teniendo en cuenta los intereses relacionados con la TI de grupos de interés internos y externos.
• Los principios y los facilitadores de COBIT 5 son de carácter genérico y útil para las empresas de todos los tamaños, ya sea comercial, sin fines de lucro o en el sector público.
Los 5 Principios de COBIT
Habilitadores de COBIT 5
Gobierno (y administración) en COBIT5• Gobierno asegura que los objetivos de la empresa se logran
mediante la evaluación de las necesidades de las partes interesadas, las condiciones y opciones, estableciendo la dirección a través de la priorización y decisión, y monitoreando el desempeño, el cumplimiento y el progreso contra acordaron dirección y objetivos (EDM).
• Administración planea, construye, ejecuta y monitorea actividades alineadas con la dirección establecida por el órgano de gobierno para alcanzar los objetivos de la empresa(PBRM).
• El ejercicio de gobierno y la gestión eficaz en la práctica requiere el uso adecuado de todos los facilitadores. El proceso COBIT como modelo de referencia nos permite enfocar fácilmente sobre las actividades empresariales relevantes.
Gobierno en COBIT 5El modelo de referencia COBIT 5 subdivide proceso de las prácticas relacionadas con la TI y las actividades de la empresa en dos grandes áreas: la gobernanza y la gestión con la administración dividida en dominios de los procesosEl dominio GOBIERNO contiene cinco procesos de gobierno, dentro de cada proceso, evaluar, dirigir y supervisar (EDM). Las prácticas se definen:01 Asegurar el marco de gobierno y el mantenimiento de su configuración.02 Asegurar la entrega beneficios.03 Garantizar la optimización de riesgos.04 Garantizar la optimización de recursos.05 Garantizar la transparencia de los terceros interesados.Los cuatro dominios de gestión están en línea con las áreas de responsabilidad de planear, construir, ejecutar y monitorear (PBRM).
Evaluar, Dirijir y Monitorear Procesos para el Gobierno Corporativo de TI
Procesos para la Administración de TI Corporativa
Alinear, Planear y Organizar
Construir, Adquirir e Implementar
Entregar, Servir y Dar Soporte
Monitorear, Evaluary Valorar
EDM01 Asegurarque se fija el Marco de Gobierno y su Mantenimiento
EDM02 Asegurarla Entrega de Valor
EDM03 Asegurarla Optimización de
los Riesgos
EDM04 Asegurarla Optimización de
los Recursos
EDM05 Asegurarla Transparencia a
las partes interesadas
APO01 Administrar el Marco de la
Administración de TI
APO02 Administrarla Estrategia
APO04 Administrar la Innovación
APO03 Administrarla Arquitectura
Corporativa
APO05 Administrar el Portafolio
APO06 Administrarel Presupuesto y los
Costos
APO07 Administrar el Recurso Humano
APO08 Administrar las Relaciones
APO09 Administrar los Contratos de
Servicios
APO11 Administrarla Calidad
APO10 Administrarlos Proveedores
APO12 Administrar los Riesgos
APO13 Administrar la Seguridad
BAI01 AdministrarProgramas y
Proyectos
BAI02 Administrarla Definición de Requerimientos
BAI04 Administrar la Disponibilidad y
Capacidad
BAI03 Administrarla Identificación y Construcción de
Soluciones
BAI05 Administrar la Habilitación del
Cambio
BAI06 Administrar Cambios
BAI07 Administrar la Aceptación de
Cambios y Transiciones
BAI08 Administrar el Conocimiento
BAI09 Administrar los Activos
BAI10 Admnistrar la Configuración
DSS01 Administrar las Operaciones
DSS02 Administrar las Solicitudes de
Servicios y los Incidentes
DSS04 Administrar la Continuidad
DSS03 Administrar Problemas
DSS05 Administrar los Servicios de
Seguridad
DSS06 Administrar los Controles en los
Procesos de Negocio
MEA01 Monitorear, Evaluar y Valorar el
Desempeño y Cumplimiento
MEA02 Monitorear, Evaluar y Valorar el Sistema de Control
Interno
MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con
Requisitos Externos
Administración de Riesgos en COBIT 5
• El dominio de Gobierno contiene cinco procesos de gobierno, uno de los cuales se enfoca en el riesgo relacionado con los objetivos de los terceros interesados: EDM03 Asegurar la optimización de riesgos.
• Descripción de procesos• Asegurar que el apetito de riesgo de la empresa y la tolerancia
se entiende, articulado y comunicado, y que el riesgo de valor de la empresa en relación con el uso de las TI es identificado y gestionado.
• Proceso de declaración de propósito• Asegurar que riesgos relacionados con TI de la empresa no
supere la tolerancia al riesgo y el apetito de riesgo, el impacto de los riesgos de TI de valor de la empresa es identificado y manejado, y la posibilidad de fallas de cumplimiento es mínimo.
Administración de Riesgos en COBIT 5
• El dominio de Gestión Alinear, Planear y Organizar contiene un proceso de riesgos relacionados: APO12 Gestionar el riesgo.
• Descripción del proceso• Continuamente identificar, evaluar y reducir los riesgos
relacionados con TI dentro de los niveles de tolerancia establecidos por la dirección ejecutiva de la empresa.
• Proceso de Declaración de Propósito• Integrar la gestión de riesgos empresariales
relacionados con la TI con el ERM en general, y equilibrar los costos y beneficios de la gestión de riesgos relacionados con TI de la empresa.
Evaluar, Dirijir y Monitorear Procesos para el Gobierno Corporativo de TI
Procesos para la Administración de TI Corporativa
Alinear, Planear y Organizar
Construir, Adquirir e Implementar
Entregar, Servir y Dar Soporte
Monitorear, Evaluary Valorar
EDM01 Asegurarque se fija el Marco de Gobierno y su Mantenimiento
EDM02 Asegurarla Entrega de Valor
EDM03 Asegurarla Optimización de
los Riesgos
EDM04 Asegurarla Optimización de
los Recursos
EDM05 Asegurarla Transparencia a
las partes interesadas
APO01 Administrar el Marco de la
Administración de TI
APO02 Administrarla Estrategia
APO04 Administrar la Innovación
APO03 Administrarla Arquitectura
Corporativa
APO05 Administrar el Portafolio
APO06 Administrarel Presupuesto y los
Costos
APO07 Administrar el Recurso Humano
APO08 Administrar las Relaciones
APO09 Administrar los Contratos de
Servicios
APO11 Administrarla Calidad
APO10 Administrarlos Proveedores
APO12 Administrar los Riesgos
APO13 Administrar la Seguridad
BAI01 AdministrarProgramas y
Proyectos
BAI02 Administrarla Definición de Requerimientos
BAI04 Administrar la Disponibilidad y
Capacidad
BAI03 Administrarla Identificación y Construcción de
Soluciones
BAI05 Administrar la Habilitación del
Cambio
BAI06 Administrar Cambios
BAI07 Administrar la Aceptación de
Cambios y Transiciones
BAI08 Administrar el Conocimiento
BAI09 Administrar los Activos
BAI10 Admnistrar la Configuración
DSS01 Administrar las Operaciones
DSS02 Administrar las Solicitudes de
Servicios y los Incidentes
DSS04 Administrar la Continuidad
DSS03 Administrar Problemas
DSS05 Administrar los Servicios de
Seguridad
DSS06 Administrar los Controles en los
Procesos de Negocio
MEA01 Monitorear, Evaluar y Valorar el
Desempeño y Cumplimiento
MEA02 Monitorear, Evaluar y Valorar el Sistema de Control
Interno
MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con
Requisitos Externos
Administración de Riesgos en COBIT 5
Administración de Riesgos en COBIT 5
• Todas las actividades de la empresa tienen una exposición de riesgos asociados, derivados de las amenazas ambientales que aprovechan las vulnerabilidades habilitador
• EDM03 Asegurar optimización del riesgo asegura que el enfoque de riesgo de los terceros interesado este enfocado a como serán tratados los riesgos que enfrenta la empresa.
• APO12 Gestión de Riesgo proporciona a las empresas la gestión de riesgos (ERM) las disposiciones que aseguren que la dirección dada por los terceros interesados es seguida por la empresa.
• Todos los demás procesos incluye prácticas y actividades que son diseñadas para tratar el riesgo relacionado (evitar, reducir / mitigar / controlar/ compartir / transferir / aceptar).
Administración de Riesgos en COBIT 5• Además de las actividades, COBIT 5 sugiere las
responsabilidades, funciones y responsabilidades de las empresas y el gobierno / administración estructuras (tablas RACI) para cada proceso. Estos incluyen roles para riesgos relacionados.
Alig
n, P
lan
and
Org
anis
e
Cumplimiento en COBIT 5
El dominio de la gestión Monitorear, Evaluar y valorar contiene un proceso de cumplimiento enfocado: MEA03 supervisar, evaluar y evaluar el cumplimiento de los requisitos externos.Descripción del procesoEvaluar que los procesos de TI y procesos de negocios apoyados por TI cumplen con las leyes, regulaciones y requerimientos contractuales. Conseguir garantías de que los requisitos se han identificado y se cumplan, e integrar el cumplimiento de TI con el cumplimiento general de la empresa.Proceso de propósito de declaraciónAsegúrese de que la empresa cumple con todos los requerimientos externos aplicables.
Cumplimiento en COBIT5
Cumplimiento en COBIT 5• Cumplimiento legal y regulatorio es una parte clave de
la gestión efectiva de una empresa, de ahí su inclusión en el término GRC y en los objetivos de la empresa COBIT 5 y la estructura soportante proceso facilitador (MEA03).
• Adicionalmente al MEA03, todas las actividades de la empresa incluyen las actividades de control que están diseñados para asegurar el cumplimiento no sólo externamente impuestas exigencias legislativas o reglamentarias, sino también con las empresas gobernabilidad determinados principios, políticas y procedimientos.
Cumplimiento en COBIT 5Además de las actividades, COBIT 5 sugiere las responsabilidades, funciones y responsabilidades de las empresas y el gobierno / administración estructuras (tablas RACI) para cada proceso. Estos incluyen una función relacionada con el cumplimiento.
Resumen COBIT 5• El marco COBIT 5 incluye la orientación necesaria para
apoyar los objetivos de GRC de la empresa y actividades de apoyo:– Actividades de gobierno relacionadas a GEIT (5 procesos)– Procesos de gestión de riesgos y apoyo para la gestión de
riesgos a través del espacio GEIT– Cumplimiento: un enfoque específico en las actividades de
cumplimiento en el marco y cómo encajan dentro de la imagen completa de la empresa
• La inclusión de los acuerdos de GRC en el marco de negocio para GEIT ayuda a las empresas a evitar el problema principal con soluciones GRC -silos de actividad!