Modelo de gestión de riesgos de

seguridad de la información para

PYMES peruanas
Asignatura: Procesos Electrónicos de Negocios
Catedrático: M.S.I. Santos Abelardo Linares Maldonado
Alumno: Luis Roberto Cerda Govea
Supuestos

• Incremento sistemas de información en negocios, impacto del riesgo cada vez más costoso

Organización de los Estados Americanos (OEA) Digiware

y el Banco Interamericano de Desarrollo (BID)
2016

Perdida entre $90 y 180 mil millones. Impacto económico de $4 mil

Pérdida estimada de $575 mil millones millones.
100% encuestados actual esquema de seguridad de información no cubre las
necesidades de su organización
Ernst & Young 2015
41% de empresas consideran que poseen probabilidades mínimas para detectar un
ataque sofisticado.
Propósito

• Integración metodología OCTAVE-S con la norma ISO/IEC 27005

• Desarrollar modelo de gestión de riesgos de seguridad de la información

• Aplicado al proceso de ventas en empresa de producto de arcilla cerámica.

Metodología - Modelo relación de OCTAVE-S y la ISO/IEC
27005

• Entradas
• Información (Empresa, políticas, TI, pérdidas)
• Situación actual
• Recomendación auditorias

• Fase 1 – Construcción de perfil de amenazas

• Proceso 1 – Identificar información organizacional
• Proceso 2 – Crear perfil de amenazas

• Fase 2 – Identificar vulnerabilidades de infraestructura

• Proceso 3 – Examinar la infraestructura

• Fase3 – Planes y estrategias de seguridad

• Proceso 4 – Identificar y analizar riesgos
• Proceso 5 – Elaborar estrategia de protección y planes de mitigación

• Salidas
• Estrategia de protección
• Plan de mitigación
• Riesgos
• Controles
• Tabla de activos
• Tabla evaluación de prácticas organizacionales
• Agrupación de amenazas
• Tabla de vulnerabilidades
• Agrupación de vulnerabilidades
• Tabla de nivel de riesgo
• Tabla de valor de riesgos
• Tabla de nivel de riesgo
• Agrupación de controles
• Tabla de controles propuestos
• Tabla de indicadores
• Tabla de Riesgo Residual
• Matriz probabilidad - impacto Riesgo actual
• Matriz probabilidad – impacto Riesgo Residual

Resultados
• Reducción riesgos en 53% con los controles propuestos (17 indicadores)
• Reducción tiempo de análisis de riesgos en 25% aproximadamente
• Capacitación del personal para realizar análisis de riesgo regularmente
Conclusiones
• Propuesta modelo de Gestión de Riesgos de Seguridad de la Información para
PYMES peruanas
• Cálculo del riesgo residual en base a la efectividad de los controles propuestos
• Modelo completamente gratuito para las PYMES.