Taller de Gestión de Riesgos. Ing. CIP Maurice Frayssinet Delgado LI 27001, LA Oficina Nacional de Gobierno Electrónico e Informática

Transcripción

1 Taller de Gestión de Riesgos Ing. CIP Maurice Frayssinet Delgado LI 27001, LA Oficina Nacional de Gobierno Electrónico e Informática

2 Agenda Introducción Definiciones Enfoque a procesos Que son los riesgos? Gestión del Riesgo Gestión de riesgos de seguridad de la información Norma ISO/IEC Norma ISO/IEC Metodología de Gestión de Riesgos Taller practico

3 Introducción

4 Introducción La gestión del Riesgo La gestión de riesgos (traducción del inglés Risk management) es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza, a través de una secuencia de actividades. Las estrategias incluyen transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas las consecuencias de un riesgo particular. Algunas veces, el manejo de riesgos se centra en la contención de riesgo por causas físicas o legales (por ejemplo, desastres naturales o incendios, accidentes, muerte o demandas). Por otra parte, la gestión de riesgo financiero se enfoca en los riesgos que pueden ser manejados usando instrumentos financieros y comerciales

5 Definiciones

6 Definiciones ISO/IEC GUÍA 73:2009 (1.1) Riesgo: Efecto de la incertidumbre sobre la consecución de los objetivos. NOTA 1 Un efecto es una desviación, positiva y/o negativa, respecto a lo previsto. NOTA 2 Los objetivos pueden tener diferentes aspectos (tales como financieros, de salud y seguridad, o ambientales) y se pueden aplicar a diferentes niveles (tales como, nivel estratégico, nivel de un proyecto, de un producto, de un proceso o de una organización completa). NOTA 3 Con frecuencia, el riesgo se caracteriza por referencia a sucesos potenciales y a sus consecuencias, o a una combinación de ambos. NOTA 4 Con frecuencia, el riesgo se expresa en términos de combinación de las consecuencias de un suceso (incluyendo los cambios en las circunstancias) y de su probabilidad ( ). NOTA 5 La incertidumbre es el estado, incluso parcial, de deficiencia en la información relativa a la comprensión o al conocimiento de un suceso, de sus consecuencias o de su probabilidad.

7 Definiciones ISO/IEC GUÍA 73:2009 (2.1) Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización en lo relativo al riesgo.

8 Definiciones ISO/IEC GUÍA 73:2009 (2.1.1, 2.1.2, 2.1.3)) Marco de trabajo de la gestión del riesgo: Conjunto de elementos que proporcionan los fundamentos y las disposiciones de la organización para el diseño, la implantación, el seguimiento, la revisión y la mejora continua de la gestión del riesgo en toda la organización. Política de gestión del riesgo: Declaración de las intenciones y orientaciones generales de una organización en relación con la gestión del riesgo. Plan de gestión del riesgo: Esquema incluido en el marco de trabajo de la gestión del riesgo que especifica el enfoque, los componentes de gestión y los recursos a aplicar para la gestión del riesgo).

9 Definiciones ISO/IEC GUÍA 73:2009 (3.1) Proceso de gestión del riesgo: Aplicación sistemática de políticas, procedimientos y prácticas de gestión a las actividades de comunicación, consulta, establecimiento del contexto, e identificación, análisis, evaluación, tratamiento, seguimiento y revisión del riesgo.

10 Definiciones ISO/IEC GUÍA 73:2009 (3.6.1, , , ) Análisis del riesgo: Proceso que permite comprender la naturaleza del riesgo y determinar el nivel de riesgo). Probabilidad (likehood): Posibilidad de que algún hecho se produzca. Exposición: Grado al que se somete una organización y/o una parte interesada en caso de un suceso. Consecuencia: Resultado de un suceso que afecta a los objetivos. Frecuencia: Número de sucesos o de efectos en una unidad de tiempo definida.

11 Definiciones ISO/IEC GUÍA 73:2009 ( , , ) Vulnerabilidad: Propiedades intrínsecas de que algo produzca como resultado una sensibilidad a una fuente de riesgo que puede conducir a un suceso con una consecuencia. Matriz de riesgo: Herramienta que permite clasificar y visualizar los riesgos, mediante la definición de categorías de consecuencias y de su probabilidad. Nivel de riesgo: Magnitud de un riesgo o combinación de riesgos, expresados en términos de la combinación de las consecuencias y de su probabilidad.

12 Definiciones ISO/IEC GUÍA 73:2009 (3.7.1, , ) Evaluación del riesgo: Proceso de comparación de los resultados del análisis del riesgo con los criterios de riesgo para determinar si el riesgo y/o su magnitud son aceptables o tolerables. Actitud ante el riesgo: Enfoque de la organización para apreciar un riesgo y eventualmente buscarlo, retenerlo, tomarlo o rechazarlo. Apetito por el riesgo: Cantidad y tipo de riesgo que una organización está preparada para buscar o retener.

13 Definiciones ISO/IEC GUÍA 73:2009 ( , , , ) Tolerancia al riesgo: Disponibilidad de una organización o de las partes interesadas para soportar el riesgo después del tratamiento del riesgo con objeto de conseguir sus objetivos. Aversión al riesgo: Actitud de rechazar el riesgo Agregación de riesgos: Combinación de un número de riesgos en un solo riesgo para desarrollar una comprensión más completa del riesgo general. Aceptación del riesgo: Decisión informada en favor de tomar un riesgo particular.

14 Enfoque a Procesos

15 Enfoque a procesos ISO 9000 (2.4) Cualquier actividad, o conjunto de actividades, que utiliza recursos para transformar elementos de entrada en resultados puede considerarse como un proceso. Para que las organizaciones operen de manera eficaz, tienen que identificar y gestionar numerosos procesos interrelacionados y que interactúan. A menudo el resultado de un proceso constituye directamente el elemento de entrada del siguiente proceso. La identificación y gestión sistemática de los procesos empleados en la organización y en particular las interacciones entre tales procesos se conoce como "enfoque basado en procesos".

16 Enfoque a procesos Qué es un proceso? Un proceso es un conjunto de actividades recurrentes mediante las cuales se transforma un grupo de entradas en un grupo de salidas valiosas para un cliente (interno o externo)

17 Enfoque a procesos Ejemplo de procesos Ventas Compras Producción Presupuesto Cierre Contable

18 Enfoque a procesos Detalle de procesos MacroProcesos Gestión Logística

19 Enfoque a procesos Ejemplo 1: Proceso Comercial (simple) Estudiante que compra cuadernos en una librería Identificación del Cliente Identificación de las entradas del Proceso Identificación de las actividades principales del proceso Identificación de las salidas/resultados del proceso

20 Enfoque a procesos Ejemplo 1: Proceso Comercial (simple)

21 Enfoque a procesos Ejemplo 1: Proceso Comercial (simple)

22 Enfoque a procesos Ejemplo 2: Proceso Abastecimiento Requerimiento de compra de papel para fabricar Cuadernos Trabajo individual 5 minutos

23 Enfoque a procesos Ejemplo 2: Proceso Abastecimiento

24 Enfoque a procesos Ejemplo 2: Proceso Abastecimiento

25 Enfoque a procesos Procesos y estructura Los procesos atraviesan áreas o unidades (departamentos) dentro de una empresa. Varias áreas o unidades de una empresa pueden realizar actividades de un mismo proceso. Los procesos son anónimos.

26 En todos los casos debemos: Enfoque a procesos Elementos de un Proceso 1. Identificar el objetivo del proceso 2. Identificar el cliente (interno o externo) 3. Identificar el desde y el hasta (alcance) 4. Identificar las entradas 5. Definir los sub procesos, actividades, etapas, etc. (Niveles de detalle) 6. Describirlos (presentando las interrelaciones) 7. Identificar las salidas

27 Enfoque a procesos Ejemplo de elementos de un Proceso de compras Objetivo: Gestionar las compras de insumos y materiales necesarios para realizar las actividades de la empresa, en tiempo y forma, cumpliendo además con las especificaciones de calidad, precios, fecha y lugar de entrega. Entradas: Pedido de insumos de las distintas áreas de la empresa Actividades principales: Solicitar cotizaciones Seleccionar proveedor Recepcionar y controlar insumos Entregar insumos al Area solicitante de la empresa Pagar al Proveedor

28 Enfoque a procesos Ejemplo de elementos de un Proceso de compras Tareas de Solicitar una cotización : Buscar datos de los proveedores Completar el formulario de pedido de cotización Enviar por fax a cada proveedor Archivar el pedido de cotización Pasos en la tarea de Completar pedido de cotización : Buscar la libreta de formularios de pedido de cotización Escribir la fecha Escribir el nombre del primer proveedor a consultar Especificar los datos de la mercadería Firmar el formulario A diferencia de las tareas, los pasos no tienen resultados por sí mismos

29 Enfoque a procesos Herramientas para la descripción de Procesos Tabla de actividades por área interviniente

30 Enfoque a procesos Herramientas para la descripción de Procesos Representación gráfica (Flujograma) Se sugiere usar notación BPM

31 Dibujogramas Enfoque a procesos Herramientas para la descripción de Procesos Se sugiere usar notación BPM

32 Enfoque a procesos Categorías de Procesos

33 Enfoque a procesos Cadena de Valor La CADENA de VALOR es una forma de representar al MODELO de PROCESOS de la empresa

34 Enfoque a procesos Mapa de Procesos

35

36

37

38

39 Que son los riesgos?

40 Qué son los riesgos? Riesgos Comunes

41 Qué son los riesgos? Peligro y Riesgo

42 Qué son los riesgos? Definición Riesgo se puede definir como: La exposición a las consecuencias de la incertidumbre. La incertidumbre puede originarse en factores internos o externos. Riesgo es la vulnerabilidad ante un potencial perjuicio o daño para las unidades, personas, organizaciones o entidades. RIESGO = PROBABILIDAD X IMPACTO

43 Qué son los riesgos? Manera de expresar el riesgo

44 Probabilidad 1=Muy baja 2=Baja 3=Mediana 4=Alta 5=Muy Alta Qué son los riesgos? Probabilidad Probabilidad 0.01 a 0.33 = Baja 0.34 a 0.66 = Media 0.67 a 1.00 = Alta Qué son los riesgos? Escalas Peligro y Riesgo Muy baja Baja Mediana Alta Muy Alta

45 Gestión del Riesgo

46 Gestión del Riesgo Definición Es un proceso de toma de decisiones. Enfrentar eventos que afectan los objetivos del negocio. Asegurar que las decisiones se implementan en forma de controles.

47 Gestión del Riesgo La gestión

48 Gestión del Riesgo Sistema de Gestión Estructura conceptual formada por diversos elementos (política, procesos, recursos, estructura organizacional, documentos). Los elementos están relacionados de tal manera que permiten: Planificar Implementar Controlar y Tomar acción para la mejora continua.

49 Gestión del Riesgo Evolución Instinto Natural. Gestión de Préstamos. Siglo 17: Primeros aseguradores, el riesgo como negocio. 1963: los profesores de la Universidad de Illinois, Robert Mehr and Bob Hedges, publican Risk Management in the Business Enterprise. Gestión de Riesgos = Gestión de Seguros (Riesgos Puros). 1970: riesgos financieros y de mercado. Enfoque de silos y 1990: Gestión de riesgo parte de objetivos estratégicos y creación de valor para el accionista. 2000: grandes fraudes Enron, WorldCom. Mayor enfoque en control financiero y contable, Gobierno Corporativo, LeySabarnes-Oxley, COSO, FERMA, ANZI. Enfoque holístico, parte fundamental del planeamiento, estrategia y reporte de las empresas. Surge el concepto EWRM. 2009: aparece ISO como norma unificada.

50 Gestión del Riesgo Tipos de análisis de riesgos

51 Gestión del Riesgo Tipos de análisis de riesgos

52 Gestión de riesgos de seguridad de la información

53 Gestión de Riesgo de la SI Seguridad de la información Por qué? Porque el negocio se sustenta a partir de la información que maneja. Porque no sólo es un tema tecnológico. Porque la seguridad de la información tiene un costo, pero la inseguridad tiene un costo aún mayor. Principales fallas de seguridad Violaciones de seguridad que involucra a terceros - 25 % Errores de los empleados u omisiones - 20 % Adaptación tardía a nuevas tecnologías - 18 % Abuso del empleado de los sistemas e información de TI - 17 % Otros - 20% Informe TMT Predicciones 2012 de Deloitte

54 Gestión de Riesgo de la SI Seguridad de la información Por qué? Seguridad de la Información: conjunto de medidas para salvaguardar la información preservando su confidencialidad, integridad y disponibilidad.

55 Gestión de Riesgo de la SI Activo de Información Activo de información: Los activos de información generan, procesan y/o almacenan la información necesaria para la operación y el cumplimiento de los objetivos de la compañía Tiene valor para la compañía. Existen varios tipos: Procesos Documentos físicos y electrónicos Software Hardware Personas

56 Gestión de Riesgo de la SI Riesgo de SI Riesgo de Seguridad de la Información: El potencial de que una amenaza dada explote las vulnerabilidades de un activo o grupo de activos, causando pérdida o daño a la organización [ISO/IEC 27005:2008] Combinación de la probabilidad de un evento y sus consecuencias [ISO/IEC 27002:2005]

57 Gestión de Riesgo de la SI Riesgo de SI

58 Gestión de Riesgo de la SI Principios o pilares de la SI La siguientes son las atributos de seguridad de la información: Confidencialidad: La información se revela únicamente si así está estipulado, a personas, procesos o entidades autorizadas y en el momento autorizado. INFORMACION DISPONIBILIDAD Integridad: La información es precisa, coherente y completa desde su creación hasta su destrucción. Disponibilidad: La información es accedida por las personas o sistemas autorizados en el momento y en el medio que se requiere.

59 Norma ISO/IEC 27005

60 Norma ISO/IEC Definición ISO/IEC es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO

61 ISO es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización. No recomienda una metodología concreta, dependerá de una serie de factores, como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria. Norma ISO/IEC Definición

62 Norma ISO/IEC Estructura Prefacio Introducción Referencias normativas. Términos y definiciones. Estructura.Fondo. Descripción del proceso de ISRM. Establecimiento Contexto. Información sobre la evaluación de riesgos de seguridad (ISRA). Tratamiento de Riesgos Seguridad de la Información. Admisión de Riesgos Seguridad de la información. Comunicación de riesgos de seguridad de información. Información de seguridad Seguimiento de Riesgos y Revisión. Anexo A: Definición del alcance del proceso. Anexo B: Valoración de activos y evaluación de impacto. Anexo C: Ejemplos de amenazas típicas. Anexo D: Las vulnerabilidades y métodos de evaluación de la vulnerabilidad. Anexo E: Enfoques ISRA

63 Norma ISO/IEC Procesos

64 Norma ISO/IEC 31000

65 Norma ISO/IEC Definiciones La ISO es una norma internacional que ofrece las directrices y principios para gestionar el riesgo de las organizaciones. Esta norma fue publicada en noviembre del 2009 por la Organización Internacional de Normalización (ISO) en colaboración con IEC, y tiene por objetivo que organizaciones de todos los tipos y tamaños puedan gestionar los riesgos en la empresa de forma efectiva, por lo que recomienda que las organizaciones desarrollen, implanten y mejoren continuamente un marco de trabajo cuyo objetivo es integrar el proceso de gestión de riesgos en cada una de sus actividades.

66 Norma ISO/IEC Estructura 1. Alcance 2. Términos y definiciones 3. Principios 4. Framework 5. Procesos

67 Norma ISO/IEC Visión General

68 Norma ISO/IEC Procesos

69 Metodología de Gestión de Riesgos

70 Metodología de Gestión de Riesgo Octave OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) se encuentra disponible gratuitamente (en inglés) y es un conjunto de herramientas, técnicas y métodos para desarrollar análisis de riesgos basados en gestión y la planeación estratégica de la organización. Son todas las acciones que necesitan ser llevadas a cabo dentro de la organización para realizar la gestión de activos, conocer posibles amenazas y evaluar vulnerabilidades.

71 Metodología de Gestión de Riesgo Magerit MAGERIT es una metodología de Análisis de Riesgos de carácter público elaborada por el Ministerio de Administraciones Públicas, siendo probablemente la metodología más utilizada en España. El nombre de MAGERIT responde a "Metodología de Análisis y Gestión de Riesgos de IT, y es un método formal orientado a activos, cuya misión es descubrir los riesgos a los que se encuentran expuestos nuestros sistemas de información y recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos.

72 COSO ERM, incluye los métodos y procesos utilizados por las organizaciones para gestionar los riesgos y aprovechar las oportunidades relacionadas con el logro de sus objetivos. Coso ERM proporciona un marco para la gestión de riesgos, que generalmente implica la identificación de eventos o circunstancias particulares pertinentes a los objetivos de la organización (riesgos y oportunidades), la evaluación en términos de probabilidad y la magnitud del impacto, que determinan una estrategia de respuesta, y el monitoreo del progreso. Metodología de Gestión de Riesgo Coso ERM

73 La norma ISO/IEC 27001, no especifica que se utilice una metodología de riesgos en particular, de hecho usted puede crear una propia, cumpliendo con lo estipulado en la norma

74 Taller Practico

75

76 No olvide Cuidado mucha información esta en nuestros equipos moviles ya mitigo este riesgo

77 Muchas Gracias Contacto: Ing. CIP Maurice Frayssinet Delgado Teléfono rpm #