Gestión de Riesgos. Mario Ureña Cuate, CISA, CISM, CGEIT, CISSP Auditor Líder BS25999, ISO27001. mario.urena@secureit.com.mx www.mariourenacuate.

Gestión de Riesgos Mario Ureña Cuate, CISA, CISM, CGEIT, CISSP Auditor Líder BS25999, ISO27001 mario.urena@secureit.com.mx www.mariourenacuate.com Pag.1 www.isaca.org 1 1

Agenda Introducción Gestión de riesgos Marcos de referencia para la gestión de riesgos Principios de la gestión de riesgos ISO 31000 Gestión de Riesgos Principios y guías (DRAFT) BS 31100 Gestión de Riesgos Código de práctica ISO 27005 Gestión de Riesgos de Seguridad de la Información Risk IT Framework Ejemplos Opciones de tratamiento de riesgos Conclusiones www.isaca.org 2 Pag.2 2

Introducción www.isaca.org 3 Pag.3 3

Introducción En la actualidad, son cada vez más las organizaciones que dedican recursos de personal, tiempo y dinero para la gestión de riesgos de TI, pero con tantos modelos, metodologías y técnicas disponibles: Por dónde empezar? Cuál de ellas es mejor? Debo utilizar un enfoque cualitativo o cuantitativo? Quién lo debe ejecutar? Con qué granularidad? Cómo tratar el riesgo? www.isaca.org 4 Pag.4 4

Introducción Cuáles son los riesgos de los cuales me tengo que proteger? Cuál es el nivel de riesgo que debo tomar para maximizar mis ganancias? Eso es un riesgo o es una amenaza? El control lo aplico a la vulnerabilidad, a la amenaza o a los dos? www.isaca.org 5 Pag.5 5

Introducción Diferentes tipos de riesgos: Riesgo de TI Riesgo de Seguridad de la Información Riesgo Operativo Riesgo de Continuidad del Negocio Riesgo de Proyecto Riesgo Financiero Riesgo de Auditoría Etc. www.isaca.org 6 Pag.6 6

Introducción Nivel de granularidad: Empresa A: Total de escenarios de riesgos: 50 Empresa B: Total de escenarios de riesgos: >5,000,000 www.isaca.org 7 Pag.7 7

Introducción Hay de escenarios a ESCENARIOS: escenario: Epidemia de influenza - Abril 2009 www.isaca.org 8 Pag.8 8

Introducción Hay de escenarios a ESCENARIOS: ESCENARIO: Epidemia de influenza + Sismo 5.7 grados 27 de abril 2009 www.isaca.org 9 Pag.9 9

Introducción Posible Contagio Escenario: Epidemia Estrategia: Parte del personal laborando en oficinas Escenario: Sismo Estrategia: Desalojo y concentración en puntos de reunión Estrategia: Parte del personal laborando desde casa comunicándose vía Internet y teléfono Escenario: Perdida de comunicaciones Escenario: Saturación de líneas telefónicas Interrupción de la continuidad del negocio Pag.10 www.isaca.org 10 10

Introducción El caso de mi amigo. Proveedor de servicios de hospedaje y respaldo. Pag.11 www.isaca.org 11 11

Introducción ESCENARIO-TOTE (Por ponerle un nombre) Hackeo de página web + Pérdida de respaldos+ Epidemia de Influenza + Sismo 5.7 grados + Pérdida de comunicaciones + Fallas de Energía =? Pag.12 www.isaca.org 12 12

Introducción Solamente miré hacia el cielo, esperando ver pasar a los cuatro jinetes... Mi amigo Abril 27, 2009 Pag.13 www.isaca.org 13 13

Introducción Cómo evitar que ocurran eventos no deseados? Y en caso de que ocurran Cómo disminuir su impacto en la organización? Pag.14 www.isaca.org 14 14

Gestión de riesgos Pag.15 www.isaca.org 15 15

Marcos de referencia ISO/DIS 31000 (DRAFT) IEC/DIS 31010 ISO/D Guide 73 BS 31100 ISO/IEC 27005 ITGI - The Risk IT Framework Basilea II OCTAVE NIST SP800-30 AS/NZS 4360 M_o_R CRAMM MAGERIT TRA Working Guide Microsoft SRMG BS 7799-3 AIRMIC, ALARM, IRM ARMS UNE 71504 Pag.16 www.isaca.org 16 16

Marcos de referencia ISO/DIS 31000 (DRAFT) IEC/DIS 31010 ISO/D Guide 73 BS 31100 ISO/IEC 27005 ITGI - The Risk IT Framework Basilea II OCTAVE NIST SP800-30 AS/NZS 4360 M_o_R CRAMM MAGERIT TRA Working Guide Microsoft SRMG BS 7799-3 AIRMIC, ALARM, IRM ARMS UNE 71504 Pag.17 www.isaca.org 17 17

ISACA - Guías relacionadas COBIT 4.1 Process PO9 Assurance Guide Control Objectives for Basel II IT Governance Series IT Risk Management Security Baseline Control Objectives for Sarbanes Oxley Pag.18 www.isaca.org 18 18

Principios de la gestión de riesgos ISO/DIS 31000. La gestión de riesgos: a) crea valor b) es una parte integral de los procesos de la organización c) forma parte de la toma de decisiones d) explícitamente atiende la incertidumbre e) es sistemática, estructurada y oportuna f) está basada en la mejor información disponible g) está adaptada a la organización h) toma en cuenta factores humanos y culturales i) es transparente e inclusiva j) es dinámica, iterativa y responde al cambio k) facilita la mejora continua Pag.19 www.isaca.org 19 19

Principios de la gestión de riesgos BS 31100. La gestión de riesgos: i) debe ser adaptada a la organización ii) iii) iv) debe tomar en cuenta la cultura organizacional, factores humanos y comportamiento debe ser sistemática y estructurada debe operar en un lenguaje común v) debe basarse en la mejor información disponible vi) debe atender explícitamente la incertidumbre vii) debe ser parte de la toma de decisiones viii) debe proteger todo lo que sea valioso ix) debe ser transparente e inclusiva x) debe ser dinámica, iterativa y responder a cambios xi) debe considerar la revisión en la aplicación de los principios Pag.20 www.isaca.org 20 20

Principios de la gestión de riesgos Risk IT. La gestión de riesgos de TI: siempre está conectada a los objetivos del negocio alinea la gestión de riesgos del negocio relacionados con TI con la gestión de riesgos de toda la organización balancea los costos y beneficios de gestionar riesgos promueve una comunicación de riesgos de TI justa y abierta establece el tono adecuado desde arriba, mientras define y refuerza la responsabilidad personal para operar con niveles de tolerancia aceptables y bien definidos es un proceso continuo y forma parte de las actividades diarias Pag.21 www.isaca.org 21 21

ISO DIS / 31000 Propósito: Proveer los principios y guías generales para la implementación de la gestión de riesgos. No es utilizado con propósitos de certificación. Pag.22 www.isaca.org 22 22

ISO DIS / 31000 Es genérico y no es específico de alguna industria o sector. Aún cuando el estándar provee guías generales no es su intención imponer uniformidad en las organizaciones, respecto a la gestión de riesgos. El diseño e implementación de la gestión de riesgos depende de las necesidades específicas de la organización, objetivos particulares, contexto, estructura, productos, servicios, proyectos, procesos operativos y prácticas específicas empleadas. Pag.23 www.isaca.org 23 23

ISO DIS / 31000 Éste estándar intenta armonizar los procesos de gestión de riesgos en estándares existentes y futuros. Provee un enfoque común soportando estándares orientados a riesgos o sectores específicos. El ISO 31000 no pretende reemplazar los estándares ya existentes. Pag.24 www.isaca.org 24 24

ISO DIS / 31000 Componentes Compromiso de la gerencia Diseño del marco de referencia Mejora continua Implementar la gestión de riesgos Monitorear y revisar Pag.25 www.isaca.org 25 25

ISO DIS / 31000 Componentes Compromiso de la gerencia Diseño del marco de referencia - Entender a la organización y su contexto - Política de gestión de riesgos - Integración dentro de los procesos de la organización - Responsabilidad - Recursos - Establecer mecanismos de comunicación y reporte interno - Establecer mecanismos de comunicación y reporte externo Mejora continua Implementar la gestión de riesgos - Implementar el marco de referencia - Implementar el proceso de gestión de riesgos Monitorear y revisar Pag.26 www.isaca.org 26 26

ISO DIS / 31000 Inicio Proceso 27 Establecer el contexto Monitoreo y revisión Identificación riesgos Análisis de riesgos Evaluación de riesgos Comunicación y consulta Tratamiento de riesgos Pag.27 www.isaca.org 27

BS 31100 Publicado en Octubre 2008. Propósito: Provee las bases para el entendimiento, desarrollo, implementación y mantenimiento de la gestión de riesgos. Pag.28 www.isaca.org 28 28

BS 31100 Ha sido preparado para ser consistente con el ISO 31000 y también considera los siguientes documentos: HM Treasury s Orange Book OGC - M_o_R: Guidance for Practitioners COSO Enterprise Risk Management Integrated Framework IRM/AIRMIC/ALARM - Risk Management Standard Pag.29 www.isaca.org 29 29

BS 31100 Componentes Mandato y compromiso Mantenimiento y mejora Diseño del marco de referencia Monitorear y revisar Implementar la gestión de riesgos Pag.30 www.isaca.org 30 30

BS 31100 Proceso Pag.31 www.isaca.org 31 31

ISO 27005 Publicado en Junio 2008. Propósito: Provee guías para la gestión de riesgos de seguridad de la información. Soporta los principales conceptos especificados en ISO/IEC 27001 y ha sido diseñado para asistir en la implementación satisfactoria de seguridad de la información basada en un enfoque de gestión de riesgos. Pag.32 www.isaca.org 32 32

ISO 27005 Para un entendimiento completo de éste estándar, se requiere el conocimiento de los conceptos, modelos, procesos y terminologías descritas en ISO/IEC 27001. Aplica a todo tipo de organización que intente gestionar riesgos que pudieran comprometer la seguridad de la información de la organización. Pag.33 www.isaca.org 33 33

ISO 27005 Integración de ISO 27005 con otros estándares ISO 31000 ISO 27005 Otros estándares y prácticas de gestión de riesgos ISO 27001 Pag.34 www.isaca.org 34 34

ISO 27005 Proceso Vulnerabilidades Controles Consecuencias Activos Amenazas Establecer el contexto Identificación riesgos Estimación de riesgos Evaluación de riesgos Tratamiento de riesgos Transf. Evitar Retener Reducir Aceptación de riesgos Inicio Comunicación de riesgos Monitoreo y revisión de riesgos Pag.35 www.isaca.org 35 35

The Risk IT Framework Desarrollado por el IT Governance Institute Iniciativa de Risk IT Complementa a COBIT y Val IT Pag.36 www.isaca.org 36 36

The Risk IT Framework Propósito: El marco de referencia de Risk IT explica el riesgo de TI y permitirá a los usuarios: Integrar la gestión de riesgos de TI con la gestión de riesgos empresarial. Tomar decisiones bien informadas respecto a la extensión del riesgo, el apetito de riesgo y la tolerancia al riesgo de la organización. Entender como responder al riesgo Pag.37 www.isaca.org 37 37

The Risk IT Framework Definición de riesgo de TI: El riesgo de TI es riesgo del negocio específicamente, el riesgo del negocio asociado con el uso, propiedad, operación, involucramiento, influencia y adopción de TI en la organización. Consiste de eventos relacionados con TI que potencialmente podrían impactar al negocio. Incluye frecuencia y magnitud, y crea retos para el cumplimiento de metas y objetivos estratégicos, así como incertidumbre en la búsqueda de oportunidades. Pag.38 www.isaca.org 38 38

The Risk IT Framework El riesgo de TI puede categorizarse en: Riesgo en la entrega de servicios de TI, asociado con el desempeño y disponibilidad de servicios de TI, y que puede provocar la destrucción o reducción del valor para la organización. Riesgo en la entrega de soluciones de TI / realización de beneficios, asociado con la contribución de TI a soluciones del negocio nuevas o mejoradas usualmente en la forma de proyectos y programas. Riesgo de realización de beneficios de TI, asociado con la perdida de oportunidades para usar la tecnología en la mejora de la eficiencia o efectividad de los procesos del negocio. Pag.39 www.isaca.org 39 39

The Risk IT Framework Valor del negocio No Ganar Ganar Habilitar beneficios / valor de TI Entrega de programas y proyectos de TI Entrega de operaciones y servicios de TI Perder Preservar Valor del negocio Pag.40 www.isaca.org 40 40

The Risk IT Framework Componentes Pag.41 www.isaca.org 41 41

The Risk IT Framework Escenarios / Componentes Pag.42 www.isaca.org 42 42

The Risk IT Framework Impacto al negocio 4A (Westerman / Hunter) Agility - Agilidad Accuracy - Precisión Access - Acceso Availability - Disponibilidad Pag.43 www.isaca.org 43 43

The Risk IT Framework Impacto al negocio COBIT Criterios de información Efectividad Eficiencia Confiabilidad Integridad Confidencialidad Disponibilidad Cumplimiento Pag.44 www.isaca.org 44 44

The Risk IT Framework Impacto al negocio BSC (COBIT Objetivos del negocio) Perspectiva Financiera Perspectiva del Cliente Perspectiva Interna Perspectiva de Aprendizaje y Crecimiento Pag.45 www.isaca.org 45 45

The Risk IT Framework Impacto al negocio BSC (Criterios de impacto extendidos) Valor de acciones Cuota de mercado Ingresos / Ganancias Costo de capital Satisfacción del cliente Impacto regulatorio Recursos Ventaja competitiva Reputación Pag.46 www.isaca.org 46 46

The Risk IT Framework Pag.47 www.isaca.org 47 47

The Risk IT Framework Pag.48 www.isaca.org 48 48

The Risk IT Framework COBIT + Val IT + Risk IT Pag.49 www.isaca.org 49 49

Ejemplos Pag.50 www.isaca.org 50 50

Ejemplo 1 - Identificación IDENTIFICADOR RIESGO 1 Uso no autorizado de equipos 2 Falla en equipos de telecomunicación 3 Fallas de energía eléctrica 4 Saturación de Sistemas de Información 5 Infección por virus informático N Riesgo N Pag.51 www.isaca.org 51 51

Ejemplo 1 - Identificación 1. Fuego 2. Daño por agua 3. Contaminación 4. Accidentes graves 5. Destrucción de equipo o medios 6. Terremoto /sismo /temblor 7. Deslave 8. Derrame químico 9. Explosión 10. Incendio 11. Epidemia 12. Lluvias intensas 13. Tormenta de Granizo 14. Ciclón tropical 15. Inundación 16. Tormenta eléctrica 17. Fallas en aire acondicionado 18. Fallas en provisión de agua 19.Fallas en equipos de telecomunicación 20. Fallas de energía eléctrica 21. Intercepción de información 22.Espionaje remoto 23. Espionaje 24. Robo de documentos 25. Robo de medios de información 26.Robo de equipo 27. Recuperación de medios reciclados 28. Divulgación de información 29.Recepción de datos de fuentes no confiables 30.Manipulación no autorizada de información 31. Detección de ubicación física 32. Falla de equipos 33. Malfuncionamiento de equipos 34.Saturación de sistemas de información 35. Malfuncionamiento de software 36. Uso no autorizado de equipo 37. Copia fraudulenta de software 38. Uso de software fraudulento 39. Corrupción de datos 40. Procesamiento ilegal de datos 41. Errores humanos 42. Abuso de privilegios 43. Denegación de acciones 44. Repudio de transacciones 45. Indisponibilidad del personal 46. Secuestro de funcionarios 47. Chantaje 48. Terrorismo 49. Amenaza de bomba 50.Bloqueo de instalaciones por manifestaciones públicas 51. Huelga 52. Impacto de aeronave 53.Acciones de empleados descontentos contra la organización 54.Infecciones por virus informático y código malicioso 55. Sabotaje 56. Hackers y otros agresores externos 57. Desconocimiento del usuario 58. Agresores internos 59. Phishing / Engaños intencionales 60. Spyware / Adware 61.Insuficiencia de infraestructura de seguridad 62. Software Deficiente 63. Negligencia del usuario 64. Spam 65. Hardware Deficiente 66.Interrupción del negocio de proveedores 67.Cambios significativos en el entorno económico Pag.52 www.isaca.org 52 52

Ejemplo 1 - Análisis Posibilidad de Ocurrencia Valor Casi cierto 5 Muy posible 4 Posible 3 Raro 2 Casi imposible 1 Impacto Valor Catastrófico 5 Mayor 4 Medio 3 Menor 2 Insignificante 1 Pag.53 www.isaca.org 53 53

Ejemplo 1 - Análisis POSIBILIDAD Casi imposible Raro Posible Muy posible Casi cierto IMPACTO Insignificante Menor Medio Mayor Catastrófico ID Evento de amenaza (riesgo) 1 Uso no autorizado de equipos 2 Falla en equipos de telecomunicación 3 Fallas de energía eléctrica 4 Saturación de sistemas de información 5 Infección por virus informático N Riesgo N 1 2 3 4 5 1 2 3 4 5 Pag.54 www.isaca.org 54 54

Ejemplo 1 - Evaluación ID RIESGO P I R (P x I) 1 Uso no autorizado de equipos 2 3 6 2 Falla en equipos de telecomunicación 4 4 16 3 Fallas de energía eléctrica 4 3 12 4 Saturación de Sistemas de Información 3 2 6 5 Infección por virus informático 4 3 12 N Riesgo N 1 1 1 Pag.55 www.isaca.org 55 55

Ejemplo 1 - Evaluación ID RIESGO P I R (P x I) Prioridad 1 Uso no autorizado de equipos 2 3 6 3 2 Falla en equipos de telecomunicación 4 4 16 1 3 Fallas de energía eléctrica 4 3 12 2 4 Saturación de Sistemas de Información 3 2 6 3 5 Infección por virus informático 4 3 12 2 N Riesgo N 1 1 1 N Pag.56 www.isaca.org 56 56

Catastrófico Control de operaciones EMPRESA ABC 5 6 7 8 9 4 5 6 7 8 Mayor 2 IMPACTO Medio 3 4 5 6 7 1 5 3 2 3 4 5 6 Menor 4 1 2 3 4 5 Insignificante N Casi Imposible Raro Posible Muy Posible Casi Cierto Pag.57 POSIBILIDAD www.isaca.org 57 57

Ejemplo 2 - Identificación RIESGO Impactos Eventos Activo Amenazas Vulnerabilidades Pag.58 www.isaca.org 58 58

Ejemplo 2 - Identificación ACTIVO Pag.59 www.isaca.org 59 59

Ejemplo 2 - Identificación VULNERABILIDADES Pag.60 www.isaca.org 60 60

Ejemplo 2 - Identificación AMENAZAS AGENTE Pag.61 www.isaca.org 61 61

Ejemplo 2 - Identificación AMENAZAS EVENTO Pag.62 www.isaca.org 62 62

Ejemplo 2 - Identificación IMPACTO Pag.63 www.isaca.org 63 63

Ejemplo 2 - Identificación Ejemplos de activos: Personas Sistemas Aplicaciones Mobiliario Equipos de cómputo Instalaciones Documentos Registros Manuales Directorios Servicios Teléfono Fax Otros Pag.64 www.isaca.org 64 64

Ejemplo 2 - Identificación Gente / Entidades Procesos Tecnología de Información Sistemas / Aplicaciones Información / Datos / Documentos Plataformas / S.O. Red / Comunicaciones Física / Instalaciones Pag.65 www.isaca.org 65 65

Ejemplo 2 - Identificación Identificar vulnerabilidades Inherentes al activo. Relacionadas con la falta, insuficiencia, inefectividad o fallas de los controles sobre el activo. Pag.66 www.isaca.org 66 66

Ejemplo 2 - Identificación V=Se encuentra en un área que se puede inundar. V=Inflamable. A=Facturas V=No se encuentran concentradas en un mismo lugar. V=Almacenamiento desprotegido. V=Consumible. V=Puede sufrir daños físicos. Pag.67 www.isaca.org 67 67

Ejemplo 2 - Identificación Identificar amenazas: Naturales. No intencionales. Intencionales físicas. Intencionales no físicas. Pag.68 www.isaca.org 68 68

Ejemplo 2 - Identificación Ejemplos de amenazas: Naturales: Terremotos, lluvia, inundaciones, incendios, ciclones, tsunamis, deslaves, nevadas, temperaturas extremas, polvo, erupción volcánica, granizo, tornado, lluvia acida, plagas, etc. No intencionales: Incendios, fugas, derrames, explosiones, apagones, falla de equipos, ruido, etc. Intencionales físicas: Explosiones, incendios, robo, manifestaciones, plantones, terrorismo, etc. Intencionales no físicas: Infección por virus, SPAM, hackeo, robo de información, espionaje industrial, ingeniería social, fraude, etc. Pag.69 www.isaca.org 69 69

Ejemplo 2 - Identificación El CENAPRED* (México) clasifica las amenazas naturales en las siguientes categorías: Geológicas Terremoto / sismo / temblor Maremoto / tsunami Volcán Deslave Químicas Derrame Fuga Explosión Fuego / Incendio Sanitarias Contaminación Desertificación Epidemias Otras Partículas de polvo Hidrometeorológicas Precipitación pluvial Tormenta de granizo Tormenta de nieve Heladas Ciclón tropical Escurrimiento Inundación Sequía Erosión Viento Marea de tormenta Temperatura extrema Humedad extrema Huracán / Tifón Tormenta eléctrica Tormenta de arena Tornado Lluvia acida * CENAPRED = Centro Nacional de Prevención de Desastres. www.cenapred.gob.mx Pag.70 www.isaca.org 70 70

Ejemplo 2 - Identificación Pag.71 www.isaca.org 71 71

Ejemplo 2 - Identificación V=Se encuentra en un área que se puede inundar. E=Inundación A=Agua V=Inflamable. E=Incendio A=Fuego V=No se encuentran concentradas en un mismo lugar. E=Pérdida A=Empleado A=Facturas V=Almacenamiento desprotegido. E=Robo A=Empleado A=Visitantes V=Consumible. E=Uso A=Personal V=Puede sufrir daños físicos. E=Daño A=Personal A=Impresora Pag.72 www.isaca.org 72 72

Ejemplo 2 - Análisis Valor de activo Vulnerabilidad Severidad Exposición Amenaza (Agente y Evento) Motivación Capacidad Impacto Posibilidad de Ocurrencia Pag.73 www.isaca.org 73 73

Ejemplo 2 Análisis (Vulnerabilidades) Valor Severidad Exposición 1 Severidad Menor: Se requiere una cantidad significativa de recursos para explotar la vulnerabilidad y tiene poco potencial de pérdida o daño en el activo. Exposición Menor: Los efectos de la vulnerabilidad son mínimos. No incrementa la probabilidad de que vulnerabilidades adicionales sean explotadas. 2 3 Severidad Moderada: Se requiere una cantidad significativa de recursos para explotar la vulnerabilidad y tiene un potencial significativo de pérdida o daño en el activo; o se requieren pocos recursos para explotar la vulnerabilidad y tiene un potencial moderado de pérdida o daño en el activo. Severidad Alta: Se requieren pocos recursos para explotar la vulnerabilidad y tiene un potencial significativo de pérdida o daño en el activo. Exposición Moderada: La vulnerabilidad puede afectar a más de un elemento o componente del sistema. La explotación de la vulnerabilidad aumenta la probabilidad de explotar vulnerabilidades adicionales. Exposición Alta: La vulnerabilidad afecta a la mayoría de los componentes del sistema. La explotación de la vulnerabilidad aumenta significativamente la probabilidad de explotar vulnerabilidades adicionales. Severidad Exposición 1 2 3 1 1 2 3 2 2 3 4 3 3 4 5 Pag.74 www.isaca.org 74 74

Ejemplo 2 Análisis (Amenazas) Valor Capacidad Motivación 1 Poca o nula capacidad de realizar el ataque. Poca o nula motivación. No se está inclinado a actuar. 2 3 Capacidad moderada. Se tiene el conocimiento y habilidades para realizar el ataque, pero pocos recursos. O, tiene suficientes recursos, pero conocimiento y habilidades limitadas Altamente capaz. Se tienen los conocimientos, habilidades y recursos necesarios para realizar un ataque Nivel moderado de motivación. Se actuará si se le pide o provoca. Altamente motivado. Casi seguro que intentará el ataque. Capacidad Motivación 1 2 3 1 1 2 3 2 2 3 4 3 3 4 5 Pag.75 www.isaca.org 75 75

Ejemplo 2 Análisis (Impacto) Valor 1 2 3 4 5 Descripción La brecha puede resultar en poca o nula pérdida o daño. La brecha puede resultar en una pérdida o daño menor. La brecha puede resultar en una pérdida o daño serio, y los procesos del negocio pueden verse afectados negativamente. La brecha puede resultar en una pérdida o daño serio, y los procesos del negocio pueden fallar o interrumpirse. La brecha puede resultar en altas pérdidas. Rango (suma de valores por pérdida de confidencialidad, integridad y disponibilidad) Valor Impacto Confidencialidad 3-5 Bajo (1) Integridad 6-10 Medio (2) Disponibilidad 11-15 Alto (3) Pag.76 www.isaca.org 76 76

Ejemplo 2 - Análisis Proceso 01 Proceso 28 Facturación Proceso SISTEMA X RED FACTURAS Activo Sensibilidad de los activos Confidencialidad Integridad Disponibilidad Total1 Valor1 Valor2 5 3 3 11 Alto 3 4 3 4 11 Alto 3 4 5 4 13 Alto 3 Pag.77 www.isaca.org 77 77

Ejemplo 2 - Análisis Proceso 01 Proceso 28 Facturación Proceso SISTEMA X RED FACTURAS Activo Análisis de vulnerabilidades Vulnerabilidades Severidad Exposición Valor3 V1-EXPOSICIÓN A VIRUS Y CÓDIGO MALICIOSO 3 3 5 V57-SUSCEPTIBILIDAD A FALLAS 2 3 4 V10 - ALMACENAMIENTO DESPROTEGIDO 2 3 4 Pag.78 www.isaca.org 78 78

Ejemplo 2 - Análisis Proceso 01 Proceso 28 Facturación Proceso SISTEMA X RED FACTURAS Activo Análisis de amenazas Agentes de amenaza Eventos de amenaza Capacidad Motivación Valor4 A1-VIRUS INFORMÁTICO E1-INFECCIÓN POR VIRUS INFORMÁTICO 3 3 5 A53-DISPERSORES DE AGUA E34-FALLA EN COMPONENTE DE TECNOLOGÍA 2 1 2 A3-VISITANTES E14 - ROBO 3 2 4 Pag.79 www.isaca.org 79 79

Ejemplo 2 - Análisis Proceso 01 Proceso 28 Facturación Proceso SISTEMA X RED FACTURAS Activo Posibilidad 3 1 3 Pag.80 www.isaca.org 80 80

Ejemplo 2 - Evaluación Riesgo = Amenaza x Vulnerabilidad x Probabilidad Posibilidad x Impacto Amenaza Vulnerabilidad Probabilidad Posibilidad Impacto Riesgo Total 5 5 3 11 825 2 4 1 11 88 4 4 3 13 624 Pag.81 www.isaca.org 81 81

Ejemplo 2 - Evaluación UMBRALES DE RIESGO LIMITE INFERIOR LÍMITE SUPERIOR ALTO 751 1125 MEDIO 376 750 BAJO 1 375 Pag.82 www.isaca.org 82 82

Opciones de tratamiento Fuente Opciones de tratamiento de riesgos de TI Risk IT Evitar Transferir Compartir Mitigar Aceptar --- ISO 27005 Evitar Transferir Reducir Retener --- BS 31100 Evitar Transferir Modificar Retener Buscar ISO 31000 Evitar Remover la fuente del riesgo Compartir Cambiar la naturaleza y magnitud de posibilidad Cambiar las consecuencias Retener por decisión Buscar una oportunidad Pag.83 www.isaca.org 83 83

Preguntas? 2008 Santiago Chile Pag.84 www.isaca.org 84 84

Gracias Mario Ureña Cuate CISA, CISM, CGEIT, CISSP Auditor Líder BS25999, ISO27001 mario.urena@secureit.com.mx www.mariourenacuate.com Pag.85 www.isaca.org 85 85

Bogotá, Colombia Marzo, 2010 Te esperamos! www.isaca.org 86 86

International Conference 2010 Cancún, México 6 al 9 de Junio de 2010 Te esperamos! www.isaca.org 87 87