GESTIN DE RIESGOS Y

SEGURIDAD DE LA
INFORMACIN
Marcos Sotelo Bedn
/msperu21
Agosto de 2013

Clonacin de Tarjetas de Crdito

2013: Robo de POS en

establecimientos de Lima.

G. Riesgos vs. Seg. Informacin

Fuente. Seguridad en 9 pasos. Dejan Kosutic. 2012.

GRO TI

Riesgo
Un Riesgo es la estimacin del grado de exposicin a que una
amenaza se materialice sobre uno o ms activos, causando un
impacto negativo.

GRO TI

Tipos de Riesgo
Estratgicos. No cumplir con los objetivos organizacionales.
Operativos. Incurrir en prdidas directas o indirectas producto de fallas en
los procesos y controles internos, las personas, los sistemas de informacin,
la tecnologa o los eventos externos (robos, secuestros, sabotajes,
vandalismo y huelgas).
Financieros. Genera consecuencias financieras.

GRO TI

Factores de Riesgo Operacional

GRO TI

Activos de Informacin
Impresa

Archivadores
Documento fsico
Fax
Mensajera

Digital

Carpetas
compartidas
Correo electrnico
Mensajera
Instantnea
Internet
Portales

Conocimiento

Verbal
Telfono
Radio
TV

GRO TI

Activos de Informacin y TI*

Una organizacin es representada

por un conjunto de procesos

Los Procesos son, cada vez ms,

asistidos por Servicios TI

Un Servicio TI es un conjunto
integrado de Activos TI

Los Activos TI son de diversos

tipos (Base de datos, equipos,
software, locales, personas, etc.)

(*) Un activo de informacin, es la propia informacin o un

activo involucrado en el tratamiento de esta. Un activo
TI es un activo de informacin.

GRO TI

Seguridad de la Informacin
Independiente de su forma, siempre debe ser protegida de manera apropiada, es decir,
preservar sus atributos o dimensiones de valoracin [CID].
Prevenir
Divulgacin no autorizado

Confidencialidad

Informacin
(Dimensiones)

Prevenir
Cambios no autorizados

Prevenir para que pueda ser

utilizada oportunamente
6+5 =

Integridad

7x24x365

Disponibilidad

GRO TI

Sistema de Gestin (SG)

Actividades coordinadas que se llevan a cabo sobre un conjunto de
elementos para el logro de los objetivos.

Estrategia

Estructura
organizacional

Procesos

Recursos

Documentos

SG para dirigir y controlar una organizacin

con respecto a la calidad [ISO 9000:2005].
SGI

10

Sistemas de Gestin Integrados

Gestin simultnea

Gestin integrada

ISO
9001
ISO 9001

ISO
14001

BSI
PAS
99

OHSAS
18001
ISO 14001

ISO
27001

OHSAS 18001

ISO 27001

SGI

11

Sistema de Gestin de Seguridad de la Informacin

ISO/IEC 27001

ACTUAR
(Mantener y
mejorar)

PLANEAR

Requisitos de
Seguridad

Seguridad
Gestionada

(Monitorear y
revisar)

VERIFICAR
Medicin de resultados
Anlisis de tendencias
Auditora interna
Revisin de la gerencia

HACER
(Implementar y
operar)
Implementacin de poltica y
controles
Asignacin de recursos
Sensibilizacin y capacitacin
Tratamiento de riesgo

PROCESOS INSTITUCIONALES

Definicin del alcance

Evaluacin de riesgos
Plan de Tratamiento de Riesgos
Definicin de poltica

(Establecer)

PROCESOS INSTITUCIONALES

Tratamiento de no conformidades
Acciones correctivas y preventivas

Segcuoim
ntrieonltoy I
Elabpola
ra
cd
ienldel
n
proyecto

Ce
an
psaicbiitla
y
S
izcai
cinn

liscih
sa
dA
enbre
Inve
an
ctita
vroio
sde

A
nsg
lisoissd
de
e
rie
activos

Erlo
acbe
od
ra
cii
n
de
p
i
m
e
n
to
SGSI s

D
ionredse
inedfiin
ciacd
F
ElaboP
ra
inde
TcR

U
IP
O
P
TR
A
U
D
ITO
REX
TER
N
O EQ

EQ
U
IP
O
TEC
N
IC
O
D
ELP
R
O
Y
ETC
O

P
R
O
C
E
S
O
D
EIM
P
LEM
E
N
TA
C
I
N
D
E
LS
G
S
I

C
O
M
IO
T/E
IR
E
C
T
I
V
JEF
E
C
O
N
S
U
LTO
R
ATIS D
P
R
O
Y
EC
TO

Implementacin del SGSI

ElaboD
radcA
inde

Im
lem
etnro
tacin
dpe
o
(E
jeccP
uT
cnR
i)nledsel

Audd
ite
olrS
aG
inS
te
Irna

A
acnladre
oydeecto
Pirlio
adA
ej)eI:cuIn
tafo
do
C
strisod
ederiesgosF:RelacindeindicadoresG:PlandeTratam
ientodeRiesgos(PTR)
H::P
Dle
alcp
irn
aplB
ic:ab
dg
ardam
(D
rm
e:dA
encolin
l.ebrechaD:InventariodeactivosE:Inform
SGI

13

Riesgos en Seguridad de la Informacin

El Riesgo de un activo se determina con base a la relacin entre el
Impacto de prdida potencial con la Probabilidad de ocurrencia de un
evento adverso.

Riesgo = Impacto x Probabilidad

GRO TI

14

Elementos Involucrados

GRO TI

15

Amenazas

Sabotaje

Indisponibilidad
de los Sistemas
de Informacin

Robo de Informacin

Robo de Activos con

Informacin Sensible

Virus Informtico

Activistas
(Anonymus)

Amenazas

Sismo / Terremoto

Huelga /
Vandalismo

Incendio

Ingeniera
Social

Terrorismo

Hackers

Vulnerabilidades
Vulnerabilidades: Debilidades en la tecnologa, infraestructura,
recursos, personas o en los procesos de cada organizacin falta
de proteccin.

Las vulnerabilidades son explotadas por las

amenazas.

GRO TI

18

Proceso de Gestin de Riesgos

(ISO/IEC 31000:2008)

GRO TI

19

Metodologa de Gestin de Riesgos

GR Operacional y TI:
ISO 31000:2009

Planificacin

Establecimiento del contexto

Monitoreo y Revisin

MAGERIT v3, 2012.

Comunicacin y Consulta

ISO 27005:2008

Identificacin de riesgos y
controles

Anlisis y valorizacin

Tratamiento de riesgos

RGG 068-2013-BCRP

GRO TI

20

Identificacin y Anlisis de Riesgos

Identificar Amenazas
Identificar Vulnerabilidades
Riesgo inherente

Controles vigentes
Riesgo residual

Valorar Probabilidad
Valorar Impacto

Valorar Probabilidad
Valorar Impacto

Controles recomendados.

Fuente. MAGERIT 3.0

GRO TI

21

Anlisis y Valoracin de Riesgos

Nivel de
aceptacin /
tolerancia
al riesgo?

GRO TI

22

Ejemplos de Impacto
IMPACTO

Impacto Financiero

Impacto operativo

Impacto en la imagen

Afecta
gravemente
la
USD $25 000 en Impacta gravemente en la
Catastrfic
credibilidad e imagen de la
horas extras + sobre operatividad
de
los
o
institucin a nivel nacional o
costos de operacin
procesos del BCRP.
internacional.
Desastros
o

Mayor

Moderado

Menor

USD $8 000 en horas Impacta fuertemente en Afecta

fuertemente
la
extras + sobre costos la operatividad de los credibilidad e imagen de la
de operacin
procesos del BCRP.
institucin.
USD $15 00 en horas Impacta
en
extras + sobre costos operatividad
de
de operacin
procesos del BCRP.

Afecta
fuertemente
la
la
credibilidad e imagen de la
los
institucin
en
aspectos
especficos.

Impacta
en
la
USD $5 00 en horas operatividad
del Afecta
la
credibilidad
e
extras + sobre costos macroproceso
al
cual imagen de la institucin en
de operacin
pertenece el proceso bajo aspectos especficos.
estudio.
USD $5 0
extras

en horas

Impacta
en
la Efecto
moderado
en
la
operatividad del proceso credibilidad e imagen de la
bajo estudio.
institucin.
GRO TI

23

Mapa de Riesgos
Frecuencia/
Probabilidad
5

Extremo
Intolerable
Tolerable
Aceptable

GRO TI

24

Impacto

Evaluacin de Riesgos

Si el riesgo es aceptable, finaliza el proceso.

Caso contrario:

Transferir (tomar un seguro),

Evitar (retirar activo), o
Mitigar el riesgo, a travs de:

Controles1 preventivos, o
Correctivos.

Impacto

Transferir

Evitar

Aceptar

Mitigar
Probabilidad

--[1] Salvaguardas o medidas de mitigacin.

GRO TI

25