La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

PROPUESTA METODOLÓGICA DE GESTIÓN DE RIESGOS TECNOLÓGICOS PARA EMPRESAS DEL SECTOR DE LAS TELECOMUNICACIONES. Maestría en Evaluación y Auditoría.

Publicada porMariano Valenzuela Carrizo Modificado hace 7 años

Presentaciones similares

Presentación del tema: "PROPUESTA METODOLÓGICA DE GESTIÓN DE RIESGOS TECNOLÓGICOS PARA EMPRESAS DEL SECTOR DE LAS TELECOMUNICACIONES. Maestría en Evaluación y Auditoría."— Transcripción de la presentación:

1 PROPUESTA METODOLÓGICA DE GESTIÓN DE RIESGOS TECNOLÓGICOS PARA EMPRESAS DEL SECTOR DE LAS TELECOMUNICACIONES. Maestría en Evaluación y Auditoría de Sistemas Tecnológicos II AUTORES: Ing. Rubén Fernández. Ing. Nelson Monteros. TUTOR: Ing. Paulo Bermeo Noviembre 2014

2 Planteamiento del problema
No existe un panorama global sobre el nivel y madurez con el cual las TELCO locales afrontan o están preparadas en sus procesos de administración de riesgos tecnológicos. Heterogeneidad de las empresas de telecomunicaciones tanto en infraestructura, servicios y cobertura; cuyo negocio principal depende directamente de las TICs. Control a los ISP en Ecuador no está orientado hacia los procesos internos de estas empresas o a las políticas que tengan implementadas.

3 Formulación del problema
¿Cuál es el nivel de gestión de riesgos en las empresas proveedoras de servicios de Internet en la ciudad de Quito? ¿En términos de TI una empresa del sector corre un alto riesgo si no define una metodología para la gestión del riesgo informático? ¿En qué medida, disponer de una propuesta metodológica contribuiría a la gestión de riesgos tecnológicos?

4 OBJETIVO GENERAL Elaborar una propuesta metodológica de gestión del riesgo tecnológico para empresas del sector de las telecomunicaciones dedicadas a la provisión del servicio de Internet (ISP).

5 OBJETIVOS ESPECIFICOS
Determinar el nivel con el que se administran los riesgos tecnológicos en ISP en el D. M. Quito Desarrollar una metodología de gestión de riesgos (necesidad y escenario local). Aplicar la metodología de gestión de riesgos sobre un caso de estudio: ISP. Presentar recomendaciones y estrategias al ISP para administración de sus riesgos tecnológicos.

6 HIPÓTESIS La aplicación de la propuesta metodológica de gestión de riesgos tecnológicos permite contar con indicadores para minimizar los riesgos tecnológicos.

7 OPERACIONALIZACIÓN DE VARIABLES
OBJETIVO VARIABLES DIMENSIONES INDICADORES Elaborar una propuesta metodológica de gestión de riesgos tecnológicos para empresas del sector de las telecomunicaciones dedicadas a la provisión del servicio de Internet (ISP) y aplicarla sobre un caso de estudio. Nivel con el que administran los riesgos tecnológicos los ISP en el DM Quito. Campo de investigación. Muestra de ISP participantes. Técnicas de investigación. Entrevistas y encuestas efectuadas. Generación de modelo de madurez. Nivel madurez de ISP en Quito respecto a gestión del riesgo tecnológico. Propuesta metodológica para la gestión de riesgos tecnológicos. Gestión de riesgos. Riesgos residuales estimados.

8 CULTURA DE ADMINISTRACIÓN DE RIESGOS TECNOLÓGICOS EN EMPRESAS ISP DE LA CIUDAD DE QUITO

9 MODELO DE MADUREZ Empresas ISP de la ciudad de Quito
Metodología de COBIT Niveles de Madurez 0 - 5 EMPRESAS ISP: Introducción de la cultura Encuestas a personal técnico encargado de seguridad Empresas obtenidas de la SUPERTEL Muestra (57) ISP en Quito METODOLOGÍA COBIT Basado en COBIT que brinda un marco de niveles de madurez. Herramienta de investigación: encuesta

10 ESCALA DE NIVEL DE MADUREZ
DEFINICIÓN No dispone. 1 No se piensa en ello de manera esencial. 2 Ocasional y/o solo en ciertos proyectos. 3 Procedimientos definidos y documentados. 4 Medido y gestionado. 5 Optimizado.

11 Políticas y prácticas de Gerencia de Riesgos Herramientas y Tecnología
MODELO DE MADUREZ Políticas y prácticas de Gerencia de Riesgos El presente modelo está orientado a indagar en cinco aspectos representativos. Comunicación ASPECTOS A CONSIDERAR Amenazas y Riesgos Herramientas y Tecnología Gobierno y Control

12 MODELO DE MADUREZ DE GESTIÓN DE RIESGOS TECNOLÓGICOS
DOMINIOS SCORE/5 1 POLÍTICAS Y PRÁCTICAS DE GERENCIA DE RIESGOS 1,81 2 COMUNICACIÓN 2,08 3 AMENAZAS Y RIESGOS 1,23 4 HERRAMIENTA Y TECNOLOGÍA 2,06 5 GOBIERNO / CONTROL 1,96 Tabulación

13 DIAGRAMA DE RADAR MODELO DE MADUREZ Empresas

14 CONCLUSIÓN Se determina que la gestión de riesgos tecnológicos en empresas proveedoras de Internet (ISP) de la ciudad de Quito no se encuentra implementada en el nivel y madurez con el que se requeriría en una organización cuyo objetivo primordial del negocio depende directamente de la tecnología.

15 PROPUESTA METODOLÓGICA PARA GESTIONAR RIESGOS TECNOLÓGICOS

16 ESTABLECIMIENTO DEL CONTEXTO TRATAMIENTO DE RIESGOS
FASES ESTABLECIMIENTO DEL CONTEXTO ANÁLISIS DE RIESGOS EVALUACIÓN DE RIESGOS TRATAMIENTO DE RIESGOS MONITOREO

17 FASE 1. ESTABLECIMIENTO DEL CONTEXTO
Misión, Visión. Objetivos estratégicos. Organigrama. Posicionamiento. Exigencias. (…) Tarea EC1.1 EC1.2 EC1.3 Revisión / Análisis SITUACIÓN ACTUAL DE LA EMPRESA Actividad EC1 PLANIFICACIÓN Plan estratégico de la empresa Mapa de procesos Políticas de seguridad Gestión administrativa Determinación del alcance ALCANCE DISPONIBILIDAD RECURSOS Definición del Plan de Trabajo PLAN DE TRABAJO Actividad EC2 APROBACIÓN Presentación Análisis DTI Tarea EC2.1 EC2.2 PLAN DE TRABAJO APROBACIÓN DTI ALCANCE Presentación Análisis GERENCIA APROBACIÓN DE LA GERENCIA Actividad EC3 COMUNICACIÓN PLAN DE TRABAJO Presentación - Comunicación Tarea EC3.1 CONOCIMIENTO Y APOYO DE LOS INVOLUCRADOS APROBACIÓN DE LA GERENCIA

18 FASE 2. ANÁLISIS DE RIESGOS
Actividad AR1 IDENTIFICACIÓN DE RIESGOS ALCANCE ACTIVOS PARA GESTIÓN DE RIESGOS a Identificación de activos Tarea AR1.1 COMPONENTES Y PROPIETARIOS PROCESOS RELACIONADOS CON ACTIVOS b UBICACIÓN/FUNCIÓN DE COMPONENTES Identificación de amenazas AMENAZAS: Propietarios, usuarios, incidentes. LISTA DE AMENAZAS: TIPO Y ORIGEN c Tarea AR1.2 CONTROLES Identificación de controles existentes ESTADO DE IMPLEMENTACIÓN DE CONTROLES d Tarea AR1.3 PLANES DE TRATAMIENTO a b c Identificación de vulnerabilidades d e VULNERABILIDADES Tarea AR1.4

19 FASE 2. ANÁLISIS DE RIESGOS
Actividad AR2 ESTIMACIÓN DE RIESGOS Estimación de riesgo METODOLOGÍA CUALITATIVA / CUANTITATIVA Tarea AR2.1 PLAN DE TRABAJO a b Valoración de incidentes (Probabilidad) Tarea AR2.2 c PROBABILIDAD DE UN ESCENARIO DE INCIDENTE d e Valoración de las consecuencias (Impacto) LISTA DE AMENAZAS: TIPO Y ORIGEN LISTA DE CONSECUENCIAS (VALORADA) Tarea AR2.3 PROBABILIDAD DE UN ESCENARIO DE INCIDENTE Estimación del riesgo PROBABILIDAD vs IMPACTO RIESGOS VALORADOS Tarea AR2.4 LISTA DE CONSECUENCIAS (VALORADA)

20 FASE 3. EVALUACIÓN DE RIESGOS FASE 4. TRATAMIENTO DE RIESGOS
Actividad ER1 EVALUACIÓN Y PRIORIZACIÓN DE RIESGOS RIESGOS VALORADOS Evaluación / Priorización Tarea ER1.1 RIESGOS PRIORIZADOS CRITERIOS DE EVALUACIÓN FASE 4. TRATAMIENTO DE RIESGOS Actividad TR1 TRATAMIENTO DE RIESGOS OPCIONES DE TRATAMIENTO: Reducción del riesgo. Aceptación del riesgo. Evitación del riesgo. Transferencia del riesgo. PLANES PARA TRATAMIENTO DE RIESGOS Tarea TR1.1 RIESGOS PRIORIZADOS

21 APLICACIÓN Empresa de la ciudad de Quito
Alcance – lo que involucra en el proceso. Metodología cualitativa para la gestión del riesgo. Información de la situación actual de la empresa para cada fase.

22 APLICACIÓN. FASE 1. ESTABLECIMIENTO DEL CONTEXTO Ver Plan de Trabajo
Misión, Visión. Objetivos estratégicos. Organigrama. Posicionamiento. Exigencias. (…) Revisión / Análisis SITUACIÓN ACTUAL DE LA EMPRESA Actividad EC1 PLANIFICACIÓN Plan estratégico de la empresa Mapa de procesos Políticas de seguridad Gestión administrativa Determinación del alcance ALCANCE DISPONIBILIDAD RECURSOS Definición del Plan de Trabajo PLAN DE TRABAJO Ver Plan de Trabajo

23 APLICACIÓN. FASE 2. ANÁLISIS DE RIESGOS Anexo Anexo a b c d e
Actividad AR1 IDENTIFICACIÓN DE RIESGOS ALCANCE ACTIVOS PARA GESTIÓN DE RIESGOS a Identificación de activos Anexo COMPONENTES Y PROPIETARIOS PROCESOS RELACIONADOS CON ACTIVOS b UBICACIÓN/FUNCIÓN DE COMPONENTES Identificación de amenazas AMENAZAS: Propietarios, usuarios, incidentes. LISTA DE AMENAZAS: TIPO Y ORIGEN c Anexo CONTROLES Identificación de controles existentes ESTADO DE IMPLEMENTACIÓN DE CONTROLES d PLANES DE TRATAMIENTO a b c Identificación de vulnerabilidades d e VULNERABILIDADES

24 APLICACIÓN. FASE 2. ANÁLISIS DE RIESGOS Anexo
Actividad AR2 ESTIMACIÓN DE RIESGOS Estimación de riesgo METODOLOGÍA CUALITATIVA / CUANTITATIVA PLAN DE TRABAJO a b Valoración de incidentes (Probabilidad) c PROBABILIDAD DE UN ESCENARIO DE INCIDENTE Escalas d e Valoración de las consecuencias (Impacto) LISTA DE AMENAZAS: TIPO Y ORIGEN LISTA DE CONSECUENCIAS (VALORADA) Escalas PROBABILIDAD DE UN ESCENARIO DE INCIDENTE Estimación del riesgo PROBABILIDAD vs IMPACTO RIESGOS VALORADOS LISTA DE CONSECUENCIAS (VALORADA) Anexo

25 APLICACIÓN. FASE 3. EVALUACIÓN DE RIESGOS
Actividad ER1 EVALUACIÓN Y PRIORIZACIÓN DE RIESGOS RIESGOS VALORADOS Evaluación / Priorización RIESGOS PRIORIZADOS CRITERIOS DE EVALUACIÓN Anexo FASE 4. TRATAMIENTO DE RIESGOS Actividad TR1 TRATAMIENTO DE RIESGOS OPCIONES DE TRATAMIENTO: Reducción del riesgo. Aceptación del riesgo. Evitación del riesgo. Transferencia del riesgo. PLANES PARA TRATAMIENTO DE RIESGOS RIESGOS PRIORIZADOS Anexo

26 RIESGOS VALORADOS Y PRIORIZADOS CONTROLES RECOMENDADOS
APLICACIÓN RIESGOS VALORADOS Y PRIORIZADOS RESULTADOS OBTENIDOS CONTROLES RECOMENDADOS RIESGOS RESIDUALES

27 RESULTADOS DE LA APLICACIÓN DE LA PROPUESTA METODOLÓGICA
Niveles de riesgos residuales actuales NRRA Efectividad de los controles Implementación controles Niveles de riesgos residuales netos NRRN NRRN < NRRA Niveles Riesgo Residual “Neto” < Niveles Riesgo Residual “Actual”

28 RESULTADOS DE LA APLICACIÓN DE LA PROPUESTA METODOLÓGICA
Automatización - Automatizados - Manuales Efectividad de los controles - Preventivos Detectivos Correctivos Naturaleza AUTOMATIZACIÓN NIVEL PONDERACIÓN Automatizado 2 Manual 1 NATURALEZA NIVEL PONDERACIÓN Preventivo 2 Detectivo / Correctivo 1 Anexo Donde, Ef: Efectividad de control. PNa: Ponderación nivel de automatización. PNc: Ponderación naturaleza del control.

29 RESULTADOS DE LA APLICACIÓN DE LA PROPUESTA METODOLÓGICA
El Riesgo residual corresponde a la relación entre “el grado de manifestación de los riesgos inherentes y la gestión de mitigación de riesgos establecida por la administración”. (SIGWEB, Chile). Riesgo Residual Riesgo Residual Neto NRRN Riesgo Inherente Riesgo Residual Actual NRRA Gestión de riesgos Efectividades control Ef NRRN = NRRA / Ef Anexo

30 RESULTADOS DE LA APLICACIÓN DE LA PROPUESTA METODOLÓGICA
FASE 1 ESTABLECIMIENTO DEL CONTEXTO FASE 2 ANÁLISIS DE RIESGOS PROBABILIDAD IMPACTO P x I Riesgos priorizados FASE 3 EVALUACIÓN DE RIESGOS HIPÓTESIS: “La aplicación de la propuesta metodológica de gestión de riesgos tecnológicos permite contar con indicadores para minimizar los riesgos tecnológicos.”. INDICADORES

31 Formulación del problema.
RESPUESTAS. Formulación del problema. El nivel de gestión de riesgo en las empresas proveedoras del servicio de Internet en la ciudad de Quito se mide a través de un diagrama de madurez. Una empresa corre alto riesgo si no define una metodología, como se demuestra en la aplicación de la propuesta metodológica planteada, por cuanto sin una metodología fijada, la empresa posee riesgos de nivel alto (Score: 4). La propuesta metodológica planteada genera indicadores para la toma de decisiones de control. La contribución a la gestión de riesgos tecnológicos se refleja en la medida en que los riesgos residuales netos (finales) resultan menores a los riesgos residuales actuales (iniciales).

32 CONCLUSIONES El grado de madurez con el cual los ISP de la ciudad de Quito administran sus riesgos tecnológicos se encuentra por debajo de un valor que pueda considerarse “Administrable”. La propuesta metodológica desarrollada se ajusta al escenario local. Emplea procedimientos de estimación de riesgos acorde al deficiente nivel de madurez encontrado. La propuesta metodológica planteada se aplicó en una empresa ISP representativa de la ciudad de Quito. Permite la demostración de la hipótesis trazada usando datos e información real de la situación actual de dicha empresa. Sobre la base de LISTA DE RIESGOS PRIORIZADOS obtenida para la empresa del caso de estudio, se recomendaron controles que contribuyen a la gestión de riesgos tecnológicos

33 GRACIAS…

34 VALORACIÓN DE LA PROBABILIDAD
ESCALA ESTADO NATURAL 4 ALTA Probabilidad de ocurrencia del riesgo al no existir controles que impidan el desarrollo del incidente o ataque. La materialización de la amenaza es inminente. 3 MODERADA Probabilidad de ocurrencia del riesgo ante controles cuya implementación no se encuentra documentada y/o demostrada durante evaluación. 2 MEDIA Probabilidad de ocurrencia del riesgo ante controles implementados con documentación inadecuada y/o incompleta. 1 BAJA Probabilidad de ocurrencia del riesgo ante controles implementados y que se encuentran documentados, difundidos y/o monitoreados. NINGUNA No existen condiciones que impliquen riesgo. Volver

35 VALORACIÓN DEL IMPACTO
ESCALA CRITERIO 4 MUY ALTO La magnitud de daño es perjudicial para la organización, puede ocasionar importantes pérdidas debido a que el negocio depende 100% de los activos tecnológicos que se ven afectados 3 ALTO El impacto es alto y la magnitud de daño puede influir de manera considerable a la organización provocando pérdidas en tiempo y dinero. 2 MEDIO Impactos de magnitud media que pueden ser tratados o pasar desapercibidos si el daño estimado no es perjudicial para la organización. 1 BAJO Impactos que no son de consideración ya que la magnitud o dimensión de alteraciones dentro de la organización no afectan al negocio. MUY BAJO No presenta ninguna alteración ni cambios negativos en los activos tecnológicos de la organización que puedan afectar a los procesos y servicios del negocio. Volver

36 > 5000 ABONADOS Volver

Descargar ppt "PROPUESTA METODOLÓGICA DE GESTIÓN DE RIESGOS TECNOLÓGICOS PARA EMPRESAS DEL SECTOR DE LAS TELECOMUNICACIONES. Maestría en Evaluación y Auditoría."

Presentaciones similares

TIC I: Seguridad Informática. Gestión del riesgo.

TIC I: Seguridad Informática. Gestión del riesgo.
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES UNIANDES IBARRA TEMA: METODOLOGÍA DE LA AUDITORÍA DE GESTIÓN DOCENTE: ING. WILMER ARIAS 1.

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES UNIANDES IBARRA TEMA: METODOLOGÍA DE LA AUDITORÍA DE GESTIÓN DOCENTE: ING. WILMER ARIAS 1.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO 27001 QES Quality Environment & Strategies

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO QES Quality Environment & Strategies
NORMA ISO DIS 9001:2015 Draft International Standard.

NORMA ISO DIS 9001:2015 Draft International Standard.
INVESTIGACION CIENTIFICA EN CONTADURIA PUBLICA TECNICAS DE ESTUDIO CONTADURIA PUBLICA UNIVERSIDAD SALESIANA DE BOLIVIA Dr. Abel CORDERO CALDERON.

INVESTIGACION CIENTIFICA EN CONTADURIA PUBLICA TECNICAS DE ESTUDIO CONTADURIA PUBLICA UNIVERSIDAD SALESIANA DE BOLIVIA Dr. Abel CORDERO CALDERON.
Gestión de Proyectos en Telecomunicaciones Magíster en Ingeniería de Redes de Comunicaciones EMC 150 Clase Nº 11 October 19, 2016.

Gestión de Proyectos en Telecomunicaciones Magíster en Ingeniería de Redes de Comunicaciones EMC 150 Clase Nº 11 October 19, 2016.
Auditoría de gestión Sánchez Pincay laura Karina trávez mero Gabriela Alexandra rosero pachay Evelin párraga cuenca maría victoria espinal anggie SANTANA.

Auditoría de gestión Sánchez Pincay laura Karina trávez mero Gabriela Alexandra rosero pachay Evelin párraga cuenca maría victoria espinal anggie SANTANA.
NIA Planeación de una auditoria de Estados Financieros. NOMBRE: Beatriz Acero Zapana CURSO: Auditoria Financiera ESCUELA: Ciencias Contables y Financiera.

NIA Planeación de una auditoria de Estados Financieros. NOMBRE: Beatriz Acero Zapana CURSO: Auditoria Financiera ESCUELA: Ciencias Contables y Financiera.
MAESTRÍA EN PLANIFICACIÓN Y DIRECCIÓN ESTRATÉGICA

MAESTRÍA EN PLANIFICACIÓN Y DIRECCIÓN ESTRATÉGICA
Plan de Continuidad de las TIC

Plan de Continuidad de las TIC
SEGURIDAD CORPORATIVA

SEGURIDAD CORPORATIVA
TRABAJO DE TITULACIÓN INGENIERO COMERCIAL

TRABAJO DE TITULACIÓN INGENIERO COMERCIAL
CONSEJO NACIONAL DE LA CULTURA Y LAS ARTES

CONSEJO NACIONAL DE LA CULTURA Y LAS ARTES
PLAN DIRECTOR DE SEGURIDAD DEL AYUNTAMIENTO DE BUENAS MANERAS

PLAN DIRECTOR DE SEGURIDAD DEL AYUNTAMIENTO DE BUENAS MANERAS
UNIDAD DE GESTIÓN DE POSTGRADOS

UNIDAD DE GESTIÓN DE POSTGRADOS
Planificación y seguimiento de proyectos

Planificación y seguimiento de proyectos
PROYECTO DE TITULACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE: INGENIERO COMERCIAL “DESARROLLO DE LOS PROCESOS DEL DEPARTAMENTO DE APOYO ADMINISTRATIVO DEL.

PROYECTO DE TITULACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE: INGENIERO COMERCIAL “DESARROLLO DE LOS PROCESOS DEL DEPARTAMENTO DE APOYO ADMINISTRATIVO DEL.
MANTENIMIENTO BASADO EN CONDICIONES RBI

MANTENIMIENTO BASADO EN CONDICIONES RBI
UNIVERSIDAD DE LAS FUERZAS ARMADAS “ESPE”

UNIVERSIDAD DE LAS FUERZAS ARMADAS “ESPE”
Proyecto: CENSO NACIONAL DE INSTITUCIONES EDUCATIVAS

Proyecto: CENSO NACIONAL DE INSTITUCIONES EDUCATIVAS

Presentaciones similares

Anuncios Google