Un análisis del proceso de Gestión de Riesgos de TI desde las perspectivas distintas de los estándares, las normas y las mejores prácticas de gestión de TI aplicables. Se revisa el enfoque de gestión de riesgos de TI descrito en ITSM/ITIL, ISO 20000, ISO 31000, ISO 27001, ISO 27005, ISO 22301 y COBIT.
Vamos a cubrir:
• Perspectiva general de Gestión de Riesgos
• Normas, estándares y buenas prácticas en la gestión de procesos de TI
• Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000)
• Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
• Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
Presentador:
Pedro Escarcega Navarrete es un profesional con más de 30 años de experiencia como ejecutivo en empresas, en áreas de tecnología y ha desempeñado funciones que van desde la consultoría, capacitación e implementación y gestión de procesos de tecnologías de la información, el diseño y la administración de proyectos, hasta funciones de gerencia y dirección.
Link of the recorded session published on YouTube: https://youtu.be/JF0RIYmH6No
Los avatares para el juego dramático en entornos virtuales
La Gestión de Riesgos en las Tecnologías de la Información
1. La Gestión de Riesgos en las
Tecnologías de la Información.
Pedro Escarcega, Fundador y Director General de AdPro
12 de Octubre de 2016
2. Pedro Escárcega N
Fundador y Director General
AdPro es una empresa Mexicana dedicada a la consultoría y a la capacitación
de procesos de TI. Durante los últimos 6 años ha entregado servicios de
consultoría para la implantación y mejora de los procesos de gestión de TI en
Latinoamérica.
Contact Information
+52 1 442 467 9510 pescarce@adpro.mx
pescarce@adpro.mx
linkedin.com/in/pedroescarcega
twitter.com/pescarce
3. 3
Gestión de Riesgos de TI
La Gestión de Riesgos en las Tecnologías de la
Información.
Un análisis del proceso de Gestión de Riesgos de TI desde las
perspectivas distintas de los estándares, las normas y las mejores
prácticas de gestión de TI aplicables.
Se revisa el enfoque de gestión de riesgos de TI descrito en
ITSM/ITIL, ISO 20000, ISO 31000, ISO 27001, ISO 27005, ISO
22301 y COBIT.
4. 4
Gestión de Riesgos de TI
Reír es correr el riesgo de presentarse como tonto
Llorar es correr el riesgo de parecer sentimental
Exponer los sentimientos es arriesgarse a exponer su
verdadera yo
Comunicarse con otro es correr el riesgo de involucrarse
Compartir tus ideas, tus sueños ante una multitud es correr el
riesgo de perderlos
Amar es correr el riesgo de que no te correspondan
Vivir es correr el riesgo de morir
Intentar es correr el riesgo de fracasar.
5. 5
Gestión de Riesgos de TI
Pero los riesgos deben ser tomados porque el mayor peligro en
la vida es no tomar ningún riesgo.
La persona que arriesga nada, no hace nada, no tiene nada, y
no es nada.
No tomar riesgos puede evitar el sufrimiento y el dolor, pero no
se puede aprender, sentir, cambiar, crecer, amar y vivir.
En encadenados por sus actitudes, son esclavos, han perdido
su libertad, sólo la persona que arriesga es libre.
Anónimo
6. 6
Gestión de Riesgos de TI
Agenda
1. Perspectiva general de Gestión de Riesgos
2. Fundamentos de la Gestión de Riesgos
3. Normas, estándares y buenas practicas en la gestión de
procesos de TI.
4. Un marco de referencia genérico para la Gestión de Riesgos
(ISO 31000)
5. Gestión de Riesgos en la Gestión del Servicio (ISO/IEC
20000)
6. Gestión de Riesgos en la Seguridad de la información
(ISO/IEC 27001)
7. Gestión de Riesgos en la Gestión del Servicio (ITSM)
8. Gestión de Riesgos de TI desde el enfoque de Gobierno
Empresarial de TI (Cobit 5)
7. 7
Gestión de Riesgos de TI
Perspectiva general de Gestión de Riesgos
El riesgo es parte de todas nuestras vidas. Como sociedad,
debemos tomar riesgos para crecer y desarrollarnos. En
energía, infraestructura, cadenas de suministro para la
seguridad de los aeropuertos, hospitales a la vivienda, la
administración eficaz de los riesgos ayudar a las sociedades a
tener éxito.
En nuestro mundo acelerado, los riesgos que tenemos que
gestionar evolucionan rápidamente. Necesitamos asegurarnos
de gestionar los riesgos de manera que podamos minimizar sus
amenazas y maximizar su potencial.
8. 8
Gestión de Riesgos de TI
Perspectiva general de Gestión de Riesgos
El papel de la TI en una organización se ha transformado en los
últimos años y ya no es visto como simple apoyo a la empresa.
También permite a las empresas diferenciarse y proporciona a
muchas organizaciones una ventaja competitiva.
Este resultado convierte a TI en habilitador estratégico, en lugar
de un centro de costo.
Como resultado, la perspectiva sobre la gestión de riesgo de TI
dentro de una organización también ha evolucionado.
9. 9
Gestión de Riesgos de TI
Fundamentos de la Gestión de Riesgos
Conceptos Clave
• El riesgo es una medida
del grado en que una
entidad está amenazada
por una posible
circunstancia o
acontecimiento.
10. 10
Gestión de Riesgos de TI
Fundamentos de la Gestión de Riesgos
Conceptos Clave
Riesgo
• Combinación de la
probabilidad de un
suceso y de su
consecuencia.
• El término "riesgo"
suele utilizarse sólo
en el caso de que
exista, al menos,
una posibilidad de
consecuencia
negativa.
Consecuencia
• Resultado de un
suceso. Se puede
derivar más de una
consecuencia de
un mismo suceso.
• Las consecuencias
pueden variar de
positivas a
negativas. Sin
embargo, las
consecuencias son
siempre negativas
en aspectos de
seguridad.
Probabilidad
• Grado en que un
suceso puede tener
lugar.
Gestión de riesgos
• Actividades
coordinadas para
dirigir y controlar
una empresa en
relación con el
riesgo.
11. 11
Gestión de Riesgos de TI
Fundamentos de la Gestión de Riesgos
Conceptos Clave
Identificación
de riesgos
• Proceso por el
que se
encuentran,
enumeran y
caracterizan
elementos de
riesgo.
Estimación de
riesgos
• Proceso
utilizado para
asignar valores
a la
probabilidad y a
las
consecuencias
de un riesgo.
Evaluación de
riesgos
• Proceso que
consiste en
comparar el
riesgo
calculado con
ciertos criterios
de riesgos para
determinar la
importancia del
riesgo.
Tratamiento de
riesgos
• Proceso de
selección y
puesta en
aplicación de
medidas para
modificar el
riesgo.
Riesgo residual
• Riesgo que
permanece
después del
tratamiento de
riesgos.
12. 12
Gestión de Riesgos de TI
Fundamentos de la Gestión de Riesgos
Conceptos Clave
Control de riesgos
• Acciones que
ponen en
aplicación las
decisiones de
la gestión de
riesgos. El
control de
riesgos puede
incluir la
supervisión, la
reevaluación y
la conformidad
con las
decisiones.
Reducción de
riesgos
• Acciones
tomadas para
reducir la
probabilidad,
las
consecuencias
negativas, o
ambas, en
relación con un
riesgo.
Transferencia de
riesgos
• Puesta en
común con otra
parte de la
carga de las
pérdidas
consecuencia
de un riesgo.
• Los requisitos
legales o
estatutarios
pueden limitar,
prohibir u
ordenar la
transferencia
de cierto riesgo.
Retención de
riesgos
• Aceptación de
la carga de las
pérdidas
consecuencia
de un riesgo
particular.
• La retención de
riesgos incluye
la aceptación
de riesgos que
no se han
identificado.
Aceptación de
riesgos
• Decisión de
aceptar un
riesgo.
• La aceptación
de riesgos
depende de los
criterios de
riesgos.
13. 13
Gestión de Riesgos de TI
Fundamentos de la Gestión de Riesgos
Conceptos Clave
• Una metodología de evaluación:
No Actividad Descripción
1 Identifica Amenazas
A partir de los incidentes sufridos, la lista de activos críticos y la priorización
de los procesos del negocio.
2 Identifica vulnerabilidades
Análisis de la lista de vulnerabilidades asociadas a los activos y a los
procesos del negocio.
3 Valora el Riesgo Inherente
Se determinan cuáles son los riesgos inherentes a las actividades y
funciones de la organización, se valoran, clasifican y se determina el nivel
de riesgo.
4
Identifica controles
existentes
Identificar los controles que actualmente tiene implementados la
organización.
5 Valora el riesgo residual.
Se evalúa la calidad y eficacia de los controles mitigantes de los riesgos
para obtener el nivel de riesgo resultante después de la aplicación de los
controles o mitigación.
6 Optimiza Controles.
Se propone una serie de mejoras con el fin de optimizar los controles
existentes o agregar nuevos controles necesarios para mitigar riesgos
atendiendo los criterios de tratamiento de riesgo de la organización.
7
Mantiene un Perfil de
Riesgo.
Establecer una matriz de Riesgos, controles, monitoreando y manteniendo
la efectividad de los controles.
14. 14
Gestión de Riesgos de TI
Fundamentos de la Gestión de Riesgos
Identificar el Riesgo
Identificar los Riesgos de TI aplicables
a partir del los escenarios de riesgo
de la empresa, considerando su
postura y apetito de riesgo
Gestionar el Riesgo
Gestionar los Riesgos de TI a
través de la implementación de
procesos y controles para su
prevención y respuesta.
Optimizar el Riesgo
Establecer procesos y procedimientos
para optimizar controles y función de
monitoreo de los riesgos.
Mitigar el Riesgo
Establecer estrategias de
Mitigación al impacto de la
materialización de los riesgos, así
como su rápida recuperación.
Marco de Trabajo
• Gobierno de TI
• Gente
• Estándares y Políticas
• Procesos y Procedimientos
• Mejora Continua
15. 15
Gestión de Riesgos de TI
Estándares y Normas
• ISO 31000:2009, Gestión del Riesgo Principios y Directrices
(Organización Internacional de Normalización)
• ISO/IEC 31010:2009, Gestión del riesgo Técnicas de
apreciación del riesgo.
• ISO/IEC 20000-1:2011, Tecnología de la información Gestión
de servicios. Tecnología de la información Parte 1: Requisitos
del sistema de gestión de servicios.
• ISO/IEC 20000-2:2012, Tecnología de la información Gestión
de servicios Parte 2: Orientación sobre la aplicación de
sistemas de gestión de servicios.
• ISO 22301:2012, La seguridad social Sistemas de gestión de
la continuidad de negocio, Requisitos.
16. 16
Gestión de Riesgos de TI
Estándares y Normas
• ISO/IEC 27000:2009, Tecnología de la Información Técnicas
de seguridad Sistemas de gestión de seguridad de la
Información, Información general y vocabulario.
• ISO/IEC 27001:2005, Sistemas de Gestión de Seguridad de la
Información Requisitos.
• ISO/IEC 27002:2005, Tecnología de la Información Técnicas
de seguridad Código de buenas prácticas de gestión de la
seguridad de la información.
• ISO/IEC 27005:2011, Tecnología de la Información Técnicas
de seguridad Gestión de riesgos de seguridad de la
Información.
17. 17
Gestión de Riesgos de TI
Buenas Prácticas
• ITSM, ITIL V3.- ITIL (Information Technology Infraestructure
Library o Biblioteca de Infraestructura de Tecnologías de la
Información) (ITIL®), estándar mundial de de facto en la
Gestión de Servicios Informáticos. Information Technology
Service Management (ITSM).
• Cobit 5.- COBIT 5 provee de un marco de trabajo integral que
ayuda a las empresas a alcanzar sus objetivos para el
gobierno y la gestión de las TI corporativas. ISACA ha emitido
escenarios de riesgo utilizando COBIT 5 para proporcionar
orientación de riesgo.
18. 18
Gestión de Riesgos de TI
Un marco de referencia genérico para la Gestión de
Riesgos (ISO 31000)
• “TODAS las organizaciones, no importa cuán grande o pequeño, se
enfrentan a factores internos y externos que generan incertidumbre
sobre si serán capaces de alcanzar sus objetivos. El efecto de esta
incertidumbre es RIESGO y es inherente a todas las actividades.”
Kevin W. Knight
Presidente del grupo de trabajo de la ISO 31000
19. 19
Gestión de Riesgos de TI
Un marco de referencia genérico para la Gestión de
Riesgos (ISO 31000:2009)
• Elementos Clave
Los principios de gestión del riesgo.
El marco de trabajo para la gestión de
riesgos.
El proceso de gestión de riesgo.
Nueva definición de Riesgo.- “El riesgo
es el efecto de la incertidumbre sobre los
objetivos”
20. 20
Gestión de Riesgos de TI
Un marco de referencia genérico para la Gestión de
Riesgos (ISO 31000:2009)
Principios
• Crea valor
• Está integrada en los procesos
de una organización
• Forma parte de la toma de
decisiones
• Trata explícitamente la
incertidumbre
• Es sistemática, estructurada y
adecuada
• Está basada en la mejor
información disponible
• Está hecha a medida
• Tiene en cuenta factores
humanos y culturales
• Es transparente e inclusiva
• Es dinámica, iterativa y sensible
al cambio
• Facilita la mejora continua de la
organización.
21. 21
Gestión de Riesgos de TI
Un marco de referencia genérico para la Gestión de
Riesgos (ISO 31000:2009)
Compromiso
de la
Dirección
Marco de Trabajo
22. 22
Gestión de Riesgos de TI
Un marco de referencia genérico para la Gestión de
Riesgos (ISO 31000:2009)
Proceso de GestiónComunicaciónyConsulta
Evaluación de Riesgos
Establecer el Contexto
Identificación de Riesgos
Análisis de Riesgos
Valoración de los Riesgos
Tratamiento de los Riesgos
MonitoreoyRevisión
23. 23
Gestión de Riesgos de TI
Un marco de referencia genérico para la Gestión de
Riesgos (ISO 31000:2009)
• Beneficios
Establecer una base confiable para la toma de decisiones y la
planificación
Mejorar los controles
Efectivamente asignar y utilizar recursos para el tratamiento del riesgo
Mejorar la eficacia y eficiencia operativa
Mejorar la salud y de seguridad, así como la protección del medio
ambiente
Mejorar la prevención de pérdidas y de manejo de incidentes
Reduzca al mínimo las pérdidas
Mejorar el aprendizaje organizacional
Mejorar la capacidad de recuperación de la organización.
24. 24
Gestión de Riesgos de TI
Un marco de referencia genérico para la Gestión de
Riesgos (ISO 31000:2009)
• Conclusión
La norma ISO 31000:2009 ofrece un nuevo concepto de riesgo y define
la necesidad de incorporar la gestión de riesgos en todos los procesos y
prácticas de las organizaciones. Introduce el Tema de la rendición de
cuentas al gestionar los riesgos.
La norma ISO 31000:2009 se puede aplicar en CUALQUIER
ORGANIZACIÓN sea privada, publica, sin fines de lucro, asociación,
grupo o individuo sin importar su tamaño, ya que la norma no es
especifica para ningún sector.
Se puede aplicar a cualquier tipo de riesgo, cualquiera sea su
naturaleza, causa u origen.
25. 25
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
• ISO/IEC 20000:2011-Parte 1
Esta parte de la norma ISO/IEC 20000
es un sistema de administración de
servicios (SMS) estándar.
Especifica requisitos para el proveedor
de servicio para planificar, establecer,
implementar, operar, monitorear, revisar,
mantener y mejorar un SMS.
Los requisitos incluyen el diseño, la
transición, la entrega y la mejora de los
servicios para cumplir con los requisitos
de servicio.
26. 26
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
Clientes y otras
partes
interesadas
Clientes y otras
partes
interesadas
Requerimientos
de Servicio
Servicios
SISTEMA DE GESTIÓN DE SERVICIOS (SGS)
Responsabilidad de la Dirección.
Establecer y Mejorar el SGS.
Gobernabilidad de los Procesos
Operadospor Otras Partes.
Gestión de Documentos.
Gestión de Recursos.
Diseño y Transición de Servicios Nuevos o Modificados
Procesosde la Provisión del Servicio
Gestión dela Capacidad.
Gestiónde la
Continuidad y
Disponibilidad del
Servicio.
Gestión de Nivel de
Servicio.
Informes del Servicio.
Gestión de la Seguridad
de la Información.
Presupuesto y
Contabilidad de los
Servicios.
Procesos de control
Gestiónde laConfiguración.
Gestióndel Cambio.
GestióndeLiberacióny Despliegue.
Procesos deResolución
Gestiónde IncidentesySolicitudes
deServicio.
GestióndeProblemas.
Procesos deRelaciones
Gestiónde lasRelaciones
con elNegocio.
GestióndeProveedores.
27. 27
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
6.3. Gestión de la disponibilidad y continuidad del
servicio
6.3.1. La continuidad del servicio y los requisitos
de disponibilidad
El proveedor del servicio deberá evaluar y
documentar los riesgos para la continuidad del
servicio y la disponibilidad de los servicios.
6.6. La gestión de la seguridad de la información
6.6.1. La política de seguridad de la información
Con la debida autoridad de gestión se aprobará una
política de seguridad de la información teniendo en
cuenta las necesidades de servicio, los requisitos
legales y normativos y las obligaciones contractuales y
de administración.
28. 28
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
• Conclusión
La norma ISO 20000:2011 tiene una orientación fundamental a la
gestión de los servicios de TI, pero atiende puntualmente el tema de
gestión de riesgos desde el proceso de seguridad de la información.
Algunos procesos de la norma en si mismos apoyan la optimización del
proceso de gestión de riesgos.
Se recomienda ampliamente considerar las normas ISO 27005 o ISO
31000 cuando se gestione la Seguridad de La información en la
implementación de la norma ISO/IEC 20000:2011 .
29. 29
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
• Toda la información contenida y procesada por una
organización está sujeta a las amenazas de
ataque, error de la naturaleza (por ejemplo,
inundaciones o incendios), etc., y está sujeto a las
vulnerabilidades inherentes a su utilización.
• El término seguridad de la información
generalmente se basa en la información que se
considera como un activo que tiene un valor que
requiere una protección adecuada, por ejemplo,
frente a la pérdida de disponibilidad,
confidencialidad e integridad.
• Habilitar la información completa y precisa para
estar disponible en forma oportuna para aquellos
con una necesidad autorizado es un catalizador
para la eficiencia empresarial.
30. 30
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
ISO/IEC 27002:2013
14 Dominios
35 Objetivos de
Control
114 Controles
31. 31
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
ISO 27002:2013 y sus 14 Dominios
• Políticas de Seguridad.
• Aspectos Organizativos de la Seguridad de la Información.
• Seguridad Ligada a los Recursos Humanos.
• Gestión de Activos.
• Control de Accesos.
• Cifrado.
• Seguridad Física y Ambiental.
• Seguridad en la Operativa.
• Seguridad en las Telecomunicaciones.
• Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información.
• Relaciones con Proveedores.
• Gestión de Incidentes en la Seguridad de la Información.
• Aspectos de Seguridad de la Información en la Gestión de la Continuidad del Negocio.
• Cumplimiento.
32. 32
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
6.1.2 Evaluación de riesgos para la seguridad de la información
La organización definirá y aplicará un proceso de evaluación de riesgos
para la seguridad de la información
6.1.3 Tratamiento de riesgos para la seguridad de la información
La organización definirá y aplicará un proceso de tratamiento de riesgos
para la seguridad de la información
8.2 Evaluación de riesgos para la seguridad de la información
La organización llevará a cabo evaluaciones de riesgos para la seguridad
de la información a intervalos planificados o cuando se planeen u ocurran
cambios importantes, teniendo en cuenta los criterios establecidos en
6.1.2 a).
8.3 Tratamiento de riesgos de seguridad de la información
La organización deberá implementar un plan de tratamiento de riesgos de
seguridad de la información.
33. 33
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
Evaluación de
Riesgos
Controles y
Objetivos de
Control
Autorización para la
Implementación y
Operación de un
ISMS
Evaluación de Riesgos
Aprobación para la
Implementación de un
ISMS
Aceptación de
Riesgos Residuales
Declaración de
Aplicabilidad (SOA),
Controles y Objetivos
de Control
Metodología para la
Evaluación de
Riesgos
Reporte de
Evaluación de
Riesgos
Relación de Controles
y Objetivos de Control
Plan de Tratamiento
de Riesgos
34. 34
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
• Conclusión
La norma ISO/IEC 27001:2013 tiene una orientación fundamental a los
riesgos de seguridad de la información de TI.
ISO/IEC 27001 no especifica el enfoque de evaluación/gestión del
riesgo que se debe usar. Depende de la organización especificar qué
usar.
ISO/IEC 27001 se alinea a la norma ISO 31000 para la gestión de
riesgos como se describe en la nota de la clausula 6.1.3. NOTE The
information security risk assessment and treatment process in this
International Standard aligns with the principles and generic guidelines
provided in ISO 31000.
ISO/IEC 27001 presenta el marco e ISO/IEC 27005, cierta información
de mayor utilidad
35. 35
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005)
• Un enfoque sistemático de la gestión de
riesgos de seguridad de la información es
necesaria para identificar las necesidades
de la organización en relación con los
requisitos de seguridad de la información y
crear un eficaz sistema de gestión de
seguridad de información (ISMS). Este
enfoque debe ser adecuado para el
entorno de la empresa y, en particular,
deben estar alineados con la gestión de
riesgos empresariales generales.
• Los esfuerzos deben abordar los riesgos
de seguridad de una manera eficaz y
oportuna cuando y donde sean necesarios.
36. 36
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005)
• Para ISO/IEC 27005:2011 el modelo de proceso es el mismo que se
define en ISO 31000.ComunicaciónyConsulta
Evaluación de Riesgos
Establecer el Contexto
Identificación de Riesgos
Análisis de Riesgos
Valoración de los Riesgos
Tratamiento de los Riesgos
MonitoreoyRevisión
37. 37
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005)
7 Establecimiento de contexto
7.1 Consideraciones Generales
7.2 Criterios básicos
7.2.1 Enfoque de gestión de riesgos
7.2.2 Los criterios de evaluación de riesgo
7.2.3 criterios de impacto
7.2.4 criterios de aceptación de riesgos
7.3 Alcance y límites
7.4 Organización de la gestión de riesgos de seguridad
de la información
38. 38
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005)
8 Evaluación de Riesgos de Seguridad de la Información
8.1 Descripción General Evaluación de Riesgos de Seguridad de la
Información
8.2 Identificación del Riesgo
8.2.1 Introducción a la Identificación del Riesgo
8.2.2 Identificación de Activos
8.2.3 Identificación de Amenazas
8.2.4 Identificación de controles existentes
8.2.5 Identificación de vulnerabilidades
8.3 Análisis del Riesgo
8.3.1 Metodologías de Análisis del Riesgo
8.3.2 Evaluación de las Consecuencias
8.3.3 Evaluación de la Probabilidad de los Incidentes
8.3.4 Determinación del Nivel de Riesgo
8.4 Evaluación de los Riesgos
39. 39
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005)
9 El tratamiento de riesgos de seguridad de la información
9.1 Descripción general del tratamiento de riesgos
9.2 Modificación de riesgo
9.3 Retención de riesgo
9.4 Evitar el riesgo
9.5 Compartir el riesgo
10 Aceptación del riesgo de la seguridad de la información
11 Comunicación y consulta de riesgos de la seguridad de la
información
12 Monitoreo y revisión de riesgos de seguridad de la
información
12.1 Monitoreo y revisión de los factores de riesgo
12.2 Seguimiento, revisión y mejora de la gestión del riesgo
40. 40
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005)
• Conclusión
La norma ISO/IEC 27005:2011 Es aplicable para todas las
organizaciones (tamaño, tipo de empresa, etc.) que requieran
administrar los riesgos de seguridad de la información.
ISO/IEC 27005 Está orientada la gestión del riesgo del SGSI para
apoyar la evaluación, tratamiento y gestión del riesgo, y al cumplimiento
de los requisitos de los controles definidos en la norma 27001.
ISO/IEC 27005 se alinea a la norma ISO 31000 para la gestión de
riesgos.
ISO/IEC 27005 Proporciona una orientación detallada para los
implementadores del SGSI, encargados de la gestión del riesgo y
oficiales de seguridad.
41. 41
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ITSM)
ITSM (IT Service Management)
Es una buena práctica, que no un estándar, dedicada a la definición de
procesos para la ejecución y gestión de servicios de TI de calidad que
satisfagan las necesidades del negocio. La gestión de servicios de TI
la llevan a cabo proveedores de servicios de TI a través de la
combinación adecuada de personas, procesos y tecnologías de
información (herramientas)”.
42. 42
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ITSM)
ITIL es la fuente confiable y
popularmente aceptada de las
mejores prácticas para la Gestión
de Servicios de TI (ITSM).
Las mejores prácticas son
procesos o actividades probadas
que han sido utilizadas con éxito
por varias organizaciones.
Mejora
Continua del
Servicio
Transición
del Servicio
Estrategia
de Servicio
Operación
del Servicio
Diseño
del
Servicio
ITIL = Information Technology Infrastructure Library (Biblioteca
de Infraestructura de Tecnología de la Información)
43. 43
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ITSM)
Mapa de Procesos de ITIL V3
Estrategia del
Servicio
Gestión de la
Estrategia de
Servicios de TI
Gestión de la
Demanda
Gestión del
Portafolio de
Servicios
Gestión
Financiera de
Servicios de TI
Gestión de
Relaciones con el
Negocio
Diseño del
Servicio
Gestión del Nivel
de Servicio (SLM)
Gestión del
Catálogo de
Servicios
Gestión de la
Disponibilidad
Gestión de la
Seguridad de la
Información (ISM)
Gestión de
Proveedores
Gestión de la
Capacidad
Gestión de la
Continuidad de
Servicios de TI
(ITSCM)
Transición del
Servicio
Gestión de
Cambios
Gestión de la
Configuración y
Activos del
Servicio
Gestión del
Conocimiento
Gestión de
Liberación e
Implementación
Operación del
Servicio
Gestión de
Incidentes
Gestión de
Problemas
Gestión de
Eventos
Gestión de
Peticiones (o
solicitudes)
Gestión de
Accesos
Mejora
Continua del
Servicio
Retorno sobre
Inversión
Evaluaciones
Benchmarking
Medición del
Servicio
Métricas
Presentación de
Informes del
Servicio
44. 44
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ITSM)
Procesos de ITIL V3 con aportación a la gestión de riesgos
Estrategia del
Servicio
Gestión de la
Estrategia de
Servicios de TI
Gestión de la
Demanda
Gestión del
Portafolio de
Servicios
Gestión
Financiera de
Servicios de TI
Gestión de
Relaciones con el
Negocio
Diseño del
Servicio
Gestión del Nivel
de Servicio (SLM)
Gestión del
Catálogo de
Servicios
Gestión de la
Disponibilidad
Gestión de la
Seguridad de la
Información (ISM)
Gestión de
Proveedores
Gestión de la
Capacidad
Gestión de la
Continuidad de
Servicios de TI
(ITSCM)
Transición del
Servicio
Gestión de
Cambios
Gestión de la
Configuración y
Activos del
Servicio
Gestión del
Conocimiento
Gestión de
Liberación e
Implementación
Operación del
Servicio
Gestión de
Incidentes
Gestión de
Problemas
Gestión de
Eventos
Gestión de
Peticiones (o
solicitudes)
Gestión de
Accesos
Mejora
Continua del
Servicio
Retorno sobre
Inversión
Evaluaciones
Benchmarking
Medición del
Servicio
Métricas
Presentación de
Informes del
Servicio
45. 45
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ITSM)
Algunas políticas de seguridad de la Información según ITSM
Política de Seguridad
de la información
Política de Control d
Accesos
Política de Internet
Política de Correo
Electrónico
Política de Clasificación
de Documentos
Política de Clasificación
de la Información
Política de Desecho de
Activos
Política de Control de
Passwords
Política de Uso de
Activos de TI
Política de Antivirus
Política de Acceso
Remoto
Política de Acceso a
Activos de TI por
proveedores.
46. 46
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ITSM)
• Conclusión
ITSM es un marco de referencia de buenas prácticas que está
fuertemente orientado a soportar la norma ISO/IEC 20000.
ITSM considera el proceso de gestión de riesgos embebido en el
proceso de Gestión de Seguridad de la Información y sugiere
actividades de diseño, implementación y operación de un
sistema de gestión de la seguridad de la información.
ITSM no proporciona suficiente detalle para la gestión de
riesgos.
47. 47
Gestión de Riesgos
Gestión de Riesgos de TI desde el enfoque de Gobierno
Empresarial de TI (Cobit 5)
• Análisis y evaluación de riesgos es un enfoque esencial para
aportar realismo, percepción, compromiso organizacional,
mejorar el análisis y la estructura a la compleja cuestión de los
riesgos de TI.
• Escenarios de riesgo son una representación tangible y
evaluable del riesgo, y son uno de los elementos clave de
información necesaria para identificar, analizar y responder al
riesgo (COBIT 5 Proceso APO12).
50. 50
Gestión de Riesgos
Gestión de Riesgos de TI desde el enfoque de Gobierno
Empresarial de TI (Cobit 5)
APO12 Gestionar el Riesgo
Subprocesos
APO12.01 Recopilar datos.
APO12.02 Analizar el riesgo.
APO12.03 Mantener un perfil de riesgo.
APO12.04 Expresar el riesgo.
APO12.05 Definir un portafolio de acciones para la gestión de
riesgos.
APO12.06 Responder al riesgo.
51. 51
Gestión de Riesgos
Gestión de Riesgos de TI desde el enfoque de Gobierno
Empresarial de TI (Cobit 5)
Metas
Cumplimiento y soporte
de las TI al
cumplimiento del
negocio de las
leyes y regulaciones
externas
Riesgos de negocio
relacionados con las TI
gestionados
Transparencia de los
costos, beneficios y
riesgo de las TI
Seguridad de la
información,
infraestructura de
procesamiento y
aplicaciones
Entrega de programas
que proporcionen
beneficios a tiempo,
dentro del presupuesto
y satisfaciendo los
requisitos y normas de
calidad
52. 52
Gestión de Riesgos
Gestión de Riesgos de TI desde el enfoque de Gobierno
Empresarial de TI (Cobit 5)
Conclusión:
Se enfoca en aplicar los habilitadores de COBIT 5 al riesgo.
Provee una guía de alto nivel en como identificar, analizar y responder a los
riesgos utilizando procesos de COBIT 5 y con el uso de escenarios de riesgo.
Define actividades, metas, métricas y las relaciones con otros procesos para
facilitar la implementación.
Provee un enlace entre los escenarios de riesgo y los habilitadores de COBIT
5 que puede ser usado para mitigar el riesgo.
Se alinea con los principales estándares y marcos de referencia en gestión de
riesgos.
53. 53
Gestión de Riesgos de TI
Conclusiones Generales
La Gestión de Riesgos forma parte integral de los Sistemas de Gestión de las
Tecnologías de la Información cualquiera que sea su orientación y enfoque.
Los Sistemas de Gestión de la TI dedicados a la gestión de los servicios de TI como
ISO 20000, ITSM, ITIL, etc. abordan la Gestión de Riesgos sin proporcionar
suficiente detalle de su implementación y operación.
Cobit 5 como parte de las buenas prácticas del Gobierno Empresarial de TI es una
excelente opción cuando la Gestión de Riesgos requiere ser implementada en los
distintos niveles de responsabilidad de una organización.
La Gestión de Riesgos de TI está fuertemente ligada a la Seguridad de la
Información por los que las normas ISO 27005 e ISO 31000 deben ser consideradas
como la opción que ofrece mayores ventajas cuando la organización busca gestionar
los riesgos de acuerdo con los requisitos de la norma ISO 27001.
Las organizaciones que ya han implementado procesos de Gestión de Servicios
tendrán una gran plataforma para implementar la norma ISO 27005 o buscar la
certificación de ISO 27001.