Gestión de Riesgos
Mario Ureña Cuate, CISA, CISM, CGEIT, CISSP
Auditor Líder BS25999, ISO27001
mario.urena@secureit.com.mx
www.mariourenacuate.com
Pag.1
www.isaca.org
1
1
Agenda
•
•
•
•
•
•
•
•
•
•
•
Introducción
Gestión de riesgos
Marcos de referencia para la gestión de riesgos
Principios de la gestión de riesgos
ISO 31000 – Gestión de Riesgos – Principios y guías (DRAFT)
BS 31100 –Gestión de Riesgos – Código de práctica
ISO 27005 – Gestión de Riesgos de Seguridad de la Información
Risk IT Framework
Ejemplos
Opciones de tratamiento de riesgos
Conclusiones
Pag.2
www.isaca.org
2
2
Introducción
Pag.3
www.isaca.org
3
3
Introducción
• En la actualidad, son cada vez más las organizaciones
que dedican recursos de personal, tiempo y dinero para
la gestión de riesgos de TI, perocon tantos modelos,
metodologías y técnicas disponibles:
•
•
•
•
•
•
¿Por dónde empezar?
¿Cuál de ellas es mejor?
¿Debo utilizar un enfoque cualitativo o cuantitativo?
¿Quién lo debe ejecutar?
¿Con qué granularidad?
¿Cómo tratar el riesgo?
Pag.4
www.isaca.org
4
4
Introducción
• … ¿Cuáles son los riesgos de los cuales me tengo que
proteger?…
• … ¿Cuál es el nivel de riesgo que debo tomarpara
maximizar mis ganancias?
• … ¿Eso es un riesgo o es una amenaza?
• … ¿El control lo aplico a la vulnerabilidad, a la amenaza
o a los dos?
Pag.5
www.isaca.org
5
5
Introducción
• Diferentes tipos de riesgos:
–
–
–
–
–
–
–
–
Riesgo de TI
Riesgo de Seguridad de la Información
Riesgo Operativo
Riesgo de Continuidad del Negocio
Riesgo de Proyecto
Riesgo Financiero
Riesgo de Auditoría
Etc.Pag.6
www.isaca.org
6
6
Introducción
Nivel de granularidad:
• Empresa A: Total de escenarios de riesgos: 50
• Empresa B: Total de escenarios de riesgos: >5,000,000
Pag.7
www.isaca.org
7
7
Introducción
Hay de escenarios a ESCENARIOS:
escenario:
Epidemia de influenza - Abril 2009
Pag.8
www.isaca.org
8
8
Introducción
Hay de escenarios a ESCENARIOS:
ESCENARIO:
Epidemia de influenza +Sismo 5.7 grados 27 de abril 2009
Pag.9
www.isaca.org
9
9
Introducción
Posible Contagio
Escenario:
Sismo
Estrategia:
Escenario:
Epidemia
Parte del personal
laborando
en oficinas
Desalojo y
concentración en
puntos de reunión
Estrategia:
Parte del personal
laborando desde casa
comunicándose
vía Internet
y teléfono
Pag.10
www.isaca.org
Estrategia:
Escenario:
Perdida de
comunicacionesEscenario:
Saturación de líneas
telefónicas
Interrupción de la
continuidad del
negocio
10
10
Introducción
El caso de mi amigo.
Proveedor de servicios de hospedaje y respaldo.
Pag.11
www.isaca.org
11
11
Introducción
ESCENARIO-TOTE (Por ponerle un nombre)
Hackeo de página web + Pérdida de respaldos+
Epidemia de Influenza + Sismo 5.7 grados +
Pérdida de comunicaciones + Fallas de Energía = ?Pag.12
www.isaca.org
12
12
Introducción
“… Solamente miré hacia
el cielo, esperando ver
pasar a los cuatro
jinetes...”
Mi amigo
Abril 27, 2009
Pag.13
www.isaca.org
13
13
Introducción
¿Cómo evitar que ocurran eventos no
deseados?
Y en caso de que ocurran…
¿Cómo disminuir su impacto en la
organización?
Pag.14
www.isaca.org
14
14
Gestión de riesgos
Pag.15
www.isaca.org
15
15Marcos de referencia
•
•
•
•
•
•
•
•
•
•
•
ISO/DIS 31000 (DRAFT)
IEC/DIS 31010
ISO/D Guide 73
BS 31100
ISO/IEC 27005
ITGI - The Risk IT Framework
Basilea II
OCTAVE
NIST SP800-30
AS/NZS 4360
M_o_R
•
•
•
•
•
•
CRAMM
MAGERIT
TRA Working Guide
Microsoft – SRMG
BS 7799-3
AIRMIC, ALARM, IRM –
ARMS
• UNE 71504
Pag.16
www.isaca.org
16
16
Marcos de referencia
•
•
•
•
•
•
•
•
•
•
•
ISO/DIS 31000(DRAFT)
IEC/DIS 31010
ISO/D Guide 73
BS 31100
ISO/IEC 27005
ITGI - The Risk IT Framework
Basilea II
OCTAVE
NIST SP800-30
AS/NZS 4360
M_o_R
•
•
•
•
•
•
CRAMM
MAGERIT
TRA Working Guide
Microsoft – SRMG
BS 7799-3
AIRMIC, ALARM, IRM –
ARMS
• UNE 71504
Pag.17
www.isaca.org
17
17
ISACA - Guías relacionadas
– COBIT 4.1 – Process PO9
– Assurance Guide
– Control Objectives for Basel II
– IT...
Regístrate para leer el documento completo.