Su aliado Estratégico. José E. Quintero Forero CISM, CRISC

Transcripción

1 Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011

2 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios de BLT Colombia.

3 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de servicios BLT Colombia.

4 Día a día se desarrollan múltiples recursos de TI para desarrollar negocios. Movilidad Servicios en la nube Wireless Digitalización Redes sociales Virtualización Hosting Tercerización

5 Un proceso de gestión de riesgos inicia cuando la organización identifica sus activos. Conocimiento de las personas Moral de las personas Servidores Computadores de mesa Portátiles Switches y Routers Bases de datos Código fuente Accesos por VPN Cintas de backup Correo electrónico Reputación

6 Un estudio reciente realizado por Gartner indica que el 70% de los incidentes de seguridad que realmente causan pérdidas a las empresas involucran a internos.

7 Puertas y ventanas sin bloquear Están adecuadamente identificadas las amenazas en la organización? Sistemas operativos sin parchar Sistemas mal configurados Sistemas sin monitorear Información sensible sin cifrar Procesos técnicos desactualizados Puntos de red activos sin control Intercambio de información sin cifrar y firmar digitalmente Usuarios y Claves quemados en código

8 Los riesgos de TI pueden afectar la operación de la organización impidiendo el logro de los objetivos de negocio. Activo*: Cualquier cosa que tiene valor para la organización. Amenaza*: Causa potencial de un incidente no deseado, que puede causar daño a activos de la organización. Vulnerabilidad*: Debilidad de un activo que puede ser aprovechada por una o más amenazas. Riesgo*: Combinación de la probabilidad de un evento y sus consecuencias. * NTC-ISO/IEC 27002

9 Las organizaciones deben determinar y priorizar los riesgos que enfrentan

10 Establecer un Gobierno de SI Administrar los Riesgos Cumplir normatividad

11 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de servicios BLT Colombia.

12 Accionistas Consejo de Dirección BUSCA: Protege los intereses de los accionistas. Alta Administración Gobierno Corporativo Gerencia Monitorea la creación de valor. Vela por el uso eficiente de los recursos.

13 El IT Governance Institute Gobierno Corporativo Define gobierno de SI como el conjunto de responsabilidades y prácticas, ejercidas por el consejo de dirección y la dirección ejecutiva, con la finalidad de brindar una dirección estratégica, garantizar que se logren los objetivos, determinar que los riesgos se administren de forma apropiada y verificar que los recursos de la empresa se utilizan con responsabilidad. Gobierno de SI Gobierno de TI

14 De acuerdo con COBIT* el Gobierno de TI brinda a la organización: Alinear los planes de negocio y las operaciones de TI Asegurar que TI apoye el desarrollo de la estrategia Administrar adecuadamente los recursos críticos de TI Gestionar los riesgos por parte de la alta dirección Medir el desempeño de la gestión de TI * IT Governance Institute

15 De acuerdo con COBIT* el Gobierno de Seguridad de la Información brinda a la organización: Alineación estratégica Seguridad de la Información Gestión de recursos * IT Governance Institute

16 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de servicios BLT Colombia.

17 La protección de los activos de información va más allá de la seguridad perimetral y de la seguridad End-Point.

18 Confidencialidad: Propiedad que determina que la información no esté disponible ni sea revelada a individuos, entidades y procesos no autorizados. Disponibilidad: Propiedad de que la información sea accesible y utilizable por solicitud de una entidad autorizada. SI Integridad: Propiedad de salvaguardar la exactitud y estado completo de los activos. * NTC :2006

19 Beneficios Riesgos Políticas de Seguridad de la Información Las políticas de Seguridad de la Información se definen a partir de los resultados de evaluaciones de riesgo.

20 Controles La evaluación de riesgos es un proceso que Identifica los activos de información, Evalúa la probabilidad que las amenazas explote vulnerabilidades y Estima los controles que minimicen el impacto de materializarse las amenazas.

21 Impacto La calificación de los riesgos indica el grado de protección a los activos de información, a partir del valor del activo. 5 Catastrófico 4 Mayor 3 Importante 2 Menor 1 Insignificante 1 Raro 2 Poco probable 3 Moderado 4 Probable Probabilidad 5 Frecuente

22 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos de TI. Portafolio de servicios BLT Colombia.

23 La gestión del riesgo facilita la mejora continua de la organización y el logro de los objetivos de negocio.

24 El proceso de gestión de riesgos debe ser sistemático, analítico y continuo. Revisión regular por:. Cambio en el tiempo. Pérdida de vigencia de controles. Presencia de nuevos riesgos

25 El riesgo es proporcional al valor del activo y las vulnerabilidades y amenazas. Valoración de activos Evaluación de amenazas Medición y métricas Evaluación de vulnerabilidades Evaluación de riesgos Evaluación del control Plan de acción Riesgo residual Fuente: IT Governance Institute

26 Tratar valorar Comunicar y Monitorear los riesgos Ciclo del proceso de gestión de riesgos de la organización. Establecer alcance y límites Identificar Analizar Evaluar Evitar Reducir Transferir Retener Aceptar riesgo residual

27 Qué debe tener en cuenta la organización al desarrollar su proceso de gestión de riesgos. La estructura organizacional. Los productos y servicios ofrecidos. La misión y los objetivos. Los procesos administrativos y operativos La cultura. Gestión de Riesgos Las condiciones físicas, ambientales y regulatorias.

28 Cuál es el enfoque de gestión de riesgos que se ajusta a la organización. Cuantitativo Cualitativo Los activos y riesgos son priorizados por su valor financiero Facilita la visibilidad y comprensión de la clasificación del riesgo Los resultados se miden por el retorno de la inversión en seguridad Permite establecer consenso acerca del manejo del riesgo Los resultados se expresan en términos monetarios No requiere determinar e valor financiero de los activos La exactitud tiende a aumentar con el tiempo Facilita el involucrar a personas que no son técnicas o expertas en seguridad

29 Cuál se adapta mejor a la organización. ISO COBIT NIST Microsoft Identificar los activos Planear y Organizar Caracterizar el sistema Identificar amenazas Evaluar el riesgo Identificar las amenazas Adquirir e Implementar Identificar vulnerabilidades Analizar controles Apoyar las decisiones Identificar las vulnerabilidades Establecer probabilidades Determinar la probabilidad de ocurrencia Calcular el daño Entregar y soportar Monitorear Analizar impacto Determinar el riesgo Definir controles y recomendaciones Documentar resultados Implementar controles Medir la efectividad del programa

30 Algunos puntos claves para una efectiva gestión de riesgos de TI son

31 La gestión de riesgos es responsabilidad de toda la organización...

32 Entorno de Negocios Gobierno de Seguridad de la Información Seguridad de la Información Gestión de Riesgos de TI Portafolio de servicios BLT Colombia

33 Seguridad de la Información Gestión de Riesgos Auditoría de TI Gestión de Identidades Seguridad Informática Hacking Ético Análisis de Vulnerabilidades Seguridad Perimetral SIEM Análisis de Código Seguro Inteligencia de Negocios ERP CRM

34

35 Su aliado Estratégico José E. Quintero Forero. Consultor CISM, CRISC. Carlos Alberto Murillo. Gerente de Ingeniería