La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

La importancia de la gestión del riesgo tecnológico,

Publicada porAlba Aranda Modificado hace 6 años

Presentaciones similares

Presentación del tema: "La importancia de la gestión del riesgo tecnológico,"— Transcripción de la presentación:

1 La importancia de la gestión del riesgo tecnológico,
Lic. Jesús Carranza Hernández

2 Antecedente El riesgo de origen tecnológico puede incidir sobre las metas y objetivos organizacionales y ser causa de otro tipo de riesgos al ser intrínseco al uso de tecnología. Por ello el daño, interrupción, alteración o falla derivada del uso de TI puede implicar pérdidas significativas en las organizaciones, pérdidas financieras, multas o acciones legales, afectación de la imagen de una organización y causar inconvenientes a nivel operativo y estratégico

3 Seguridad de la información
Gestión de riesgos Gestión de riesgos: “El riesgo puede definirse como la incertidumbre del resultado, ya sea una oportunidad positiva o una amenaza negativa… requiere la identificación y control de la exposición a los riesgos que pueden tener un impacto en el logro de los objetivos de negocio de una organización”. (TSO, 2011, p. 363) “la posibilidad de un evento que ocurrirá, que tendrá un impacto en el logro de los objetivos. El riesgo se mide en términos de impacto y probabilidad Seguridad de la información “Preservación de la confidencialidad, integridad y disponibilidad de la información; además, otras propiedades como autenticidad, responsabilidad, no repudio y confiabilidad también pueden estar involucrados”. (ISO, 2005, p. 2).

4 Metodologías y buenas prácticas
La metodología se desarrolla para riesgo tecnológico dado que el aumento en el uso de tecnologías de la información puede posibilitar puntos de quiebre o fisuras en aspectos de seguridad con respecto a su utilización, por ello se presenta una forma de aseguramiento y control sobre la infraestructura (nivel físico), los sistemas de información (nivel lógico) y las medidas organizacionales (factor humano) desde la perspectiva tecnológica. Como segunda parte se presenta una forma de integración de la metodología a la gestión de continuidad de negocios, como sustento al análisis de impacto sobre negocios y el desarrollo de estrategias en lo que respecta a procesos de base tecnológica.

5 Identificación y clasificación de riesgos
Agenda Identificación y clasificación de riesgos Administracion de riesgos (Acercamiento) Pasos para minimizar el riesgo tecnológico en seguridad

6 Identificación y clasificación de riesgos
Para determinar el grado de riesgo tecnológico del negocio, es necesario clasificar de acuerdo al nivel de afectación, los activos involucrados en la operación; y estimar la probabilidad de que dicho riesgo ocurra; para ello se hace una evaluación de los servicios, procesos y recursos críticos afectados tras cada evento de perdida ocurridos con anterioridad. A este proceso se le conoce como administración del riesgo. RIESGO ALTO VALOR DEL ACTIVO 3 2 RIESGO BAJO 1 REMOTO POSIBLE SEGURO PROBABILIDAD DE OCURRENCIA

7 Identificación y clasificación de riesgos
Tomando como ejemplo la siguiente imagen, el numero 3 representara el activo de mayor valor y una probabilidad de ocurrencia alta o segura (de menos de 6 meses); se puede calificar el siguiente escenario con un grado de riesgo alto. Si por el contrario, el valor del activo es menor (Valor 1) y la probabilidad de ocurrencia es baja o muy baja (mas de 5 años), este escenario, es considerado como de riesgo BAJO. MEDIO ALTO ALTO 3 VALOR DEL ACTIVO MEDIO MEDIO ALTO 2 BAJO MEDIO MEDIO 1 REMOTO POSIBLE SEGURO PROBABILIDAD DE OCURRENCIA El impacto al valor de un activo, es directamente proporcional a la probabilidad de ocurrencia de un evento de perdida sobre dicho activo.

8 Activos manejados en la metodología

9 Identificación y clasificación de riesgos
Consideraciones de acuerdo al tipo de riesgo. Bajo: Hay casos aislados o esporádicos que afectan la continuidad del negocio y a la atención de clientes, no hay indicios de que involucre fraudes, difícilmente un cliente revocaría su contrato y no implica multas o sanciones Medio: Hay afectación parcial a la continuidad del negocio, da oportunidad a casos aislados de fraude menor, impide el servicio de algún requerimiento de cliente que involucre casos aislados del fin de contrato y no es común que implique una multa o sanción. Alto: Existe incumplimiento regulatorio e implica impactos económicos y/o a la reputación de la empresa, que pueden derivar en fraudes, perdidas de un grupo significativo de clientes, multas o sanciones.

10 Identificación y clasificación de riesgos
Salidas (informes) de la evaluación de riesgos: La principal salida del proceso de evaluación de riesgos, son dos graficas: Una tabla con el listado de componentes del negocio (servicios, procesos, sistemas) y su calificación de riesgo Un mapa del riesgo (Heat map); que es la representación grafica de los componentes del servicio, clasificados por su nivel de riesgo. De igual manera, se requiere definir el procedimiento y formato para la emisión y notificación de reportes de salida que muestren el estado actual y resultados del ejercicio de evaluación de riesgos a las partes interesadas.

11 Identificación y clasificación de riesgos
Es necesario también que cada área de negocio defina y gestione una base de datos de eventos de perdida, con la finalidad de contar con registros históricos que sirvan para la elaboración de procedimientos de contingencia y la retroalimentación de los identificadores de riesgo.

12 Administracion de riesgos (Acercamiento)
Las tareas comunes son: Establecer alcance y contexto del riesgo Diseñar estrategias de mitigación de riesgos Implementar estrategias Monitorear y medir resultados Alcance y contexto del riesgo: Entender los objetivos de la organización, estrategias y los llamados SWOTS (Fortaleza, debilidad, oportunidad y amenazas) para entender el riesgo y potencial

13 Administracion de riesgos (Acercamiento)
Diseñar estrategias de mitigación de riesgos: Cuestionarios Comparativos de Industria Análisis de escenarios Rastreo de Resultados de eventos y análisis Es practico medir el impacto numéricamente del 1 al 3 Identificación de raíces Es el proceso de determinar la probabilidad y consecuencias de un evento. El proceso debe ser estructurado para asegurar que todas las actividades en la organización están consideradas y sus riesgos asociados

14 Administracion de riesgos (Acercamiento)
La evaluación debe incluir factores cuantitativos como: Dólares, porcentajes, tiempo y numero de transacciones Así como factores cualitativos: Perdida de clientes, acciones reputación, confianza Uso de un Excel Definición de acciones El riesgo debe de llegar a un nivel que el beneficio potencial supera el costo de mitigación

15 Administracion de riesgos (Acercamiento)
Implementación de estrategias: Administracion de riesgos es un proceso continuo que requiere liderazgo. Factores de éxito son: Determinar roles y responsabilidades para el comité (administración, auditoria, unidades de negocio) Definición de políticas y procedimientos Construcción de una cultura consiente de riesgos Definir políticas y procedimientos de respuesta a incidentes Diseñar métricas de desempeño y estructura de reportes

16 Administracion de riesgos (Acercamiento)
Monitoreo Una efectiva administración de riesgos reportes y revisión de estructura para asegurar que los controles están operando efectivamente Puede ser apoyado por diversas áreas: Auditorias Internas Programas de gobierno y administración de riesgos Validaciones y verificaciones independientes Retroalimentación de terceros o clientes La junta directiva

17 Pasos para minimizar el riesgo tecnológico en seguridad
1. Identificar el riesgo, medir las probabilidades e impacto Una vez colectada la información las organizaciones deben identificar las áreas de preocupación y medir la probabilidad de ocurrencia e impacto en el negocio. Esto servirá para definir un plan de mitigación-. 2. Analizar las amenazas de seguridad Se deben identificar vulnerabilidades de seguridad. Esto incluye amenazas externas como ciber crimen y ciber terrorismo así como amenazas internas como la distribución de información restringida Las organizaciones

18 Pasos para minimizar el riesgo tecnológico en seguridad
Las organizaciones deben checar la seguridad relacionada a las siguientes áreas: Acceso a sistemas y control Autenticación Autorización de transacciones Integridad de datos Seguimiento de auditorias Track o seguimiento de eventos de seguridad Manejo de excepciones Logs o bitácoras de actividad en sistemas

19 Pasos para minimizar el riesgo tecnológico en seguridad
3. Análisis de riesgos de hardware y software Se debe de considerar los riesgos de hardware y software. Que tan estable es? Cuales son las consecuencias potenciales de una falla? 4. Análisis de riesgos de Externos (outsourcing) Es muy común el apoyo de terceros, para temas de desarrollo, mantenimiento, red, DRP, hosting y Cloud . Es importante escoger proveedores cuidadosamente con el propósito de asegurar viabilidad, capacidad, confiabilidad y rastreo

20 Pasos para minimizar el riesgo tecnológico en seguridad
5. Identificación controlada de tecnología La adquisición y venta de tecnología debe de ser controlada, tanto por temas de seguridad como de control 6. medición de impacto Una vez medido el riesgo, el impacto potencial debe de ser medido Se debe de analizar el riesgo potencial 7.Rangos de posibles riesgos: Las decisiones no pueden ser tomadas exclusivamente basadas solamente en la tecnología, una vez que los riesgos han sido analizados la organización debe escoger la opción de administración que desea: Evitar el riesgo Transferir el riesgo Reducir el riesgo Retener el riesgo

21 Alineación de estándares ISO 31000 e ISO 27005 con modelo del ciclo de Demming

22 Proceso de gestión (ISO 27005)

23 Relación de principios y marcos de referencia
ITIL v3 COBIT 5 ISO 27001 ISO 22301

Descargar ppt "La importancia de la gestión del riesgo tecnológico,"

Presentaciones similares

GESTIÓN DEL RIESGO. ¿QUE ES RIESGO? GESTIÓN INTEGRAL DEL RIESGO Es un elemento clave en la toma de decisiones, la disminución de pérdidas y la maximización.

GESTIÓN DEL RIESGO. ¿QUE ES RIESGO? GESTIÓN INTEGRAL DEL RIESGO Es un elemento clave en la toma de decisiones, la disminución de pérdidas y la maximización.
El análisis de los riesgos determinará cuáles son los factores de riesgo que potencialmente tendrían un mayor efecto sobre nuestro proyecto y, por lo.

El análisis de los riesgos determinará cuáles son los factores de riesgo que potencialmente tendrían un mayor efecto sobre nuestro proyecto y, por lo.
Gestión del Riesgo de Lavado de Dinero y Financiación al Terrorismo

Gestión del Riesgo de Lavado de Dinero y Financiación al Terrorismo
ANALISIS DE FALLA Y CRITICIDAD

ANALISIS DE FALLA Y CRITICIDAD
Módulo Mercadotecnia Clase 2 Ma. Teresa Jerez. Administración de la labor de Marketing Este proceso requiere las cuatro funciones de la dirección de marketing:

Módulo Mercadotecnia Clase 2 Ma. Teresa Jerez. Administración de la labor de Marketing Este proceso requiere las cuatro funciones de la dirección de marketing:
DIRECCIÓN NACIONAL DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN – DNTIC´S.

DIRECCIÓN NACIONAL DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN – DNTIC´S.
Alan Guillermo Zamora Téllez

Alan Guillermo Zamora Téllez
Unidad de Comunicación e Imagen

Unidad de Comunicación e Imagen
“GESTIÓN INTEGRADA DEL RIESGO ORGANIZACIONAL” (GIR)

“GESTIÓN INTEGRADA DEL RIESGO ORGANIZACIONAL” (GIR)
SISTEMA DE CONTROL INTERNO

SISTEMA DE CONTROL INTERNO
Mejores Prácticas en Proyectos de Desarrollo de Software

Mejores Prácticas en Proyectos de Desarrollo de Software
Planificación estratégica de Marketing

Planificación estratégica de Marketing
Universidad de las Fuerzas Armadas

Universidad de las Fuerzas Armadas
Gestión del Riesgo Proceso Gestión de Recursos

Gestión del Riesgo Proceso Gestión de Recursos
Asamblea General de la OLACEFS Perú 25 de noviembre, 2014

Asamblea General de la OLACEFS Perú 25 de noviembre, 2014
“Generación de un Plan estratégico tecnológico, caso TI (PETi) : un enfoque de Sistemas y Gestión” Luis Hevia.

“Generación de un Plan estratégico tecnológico, caso TI (PETi) : un enfoque de Sistemas y Gestión” Luis Hevia.
JM-102-2011 Reglamento para la Administración del Riesgo Tecnológico Juan Antonio Vásquez.

JM Reglamento para la Administración del Riesgo Tecnológico Juan Antonio Vásquez.
ADMINISTRACIÓN INTEGRAL DE RIESGOS

ADMINISTRACIÓN INTEGRAL DE RIESGOS
PLANEACIÓN ESTRATÉGICA

PLANEACIÓN ESTRATÉGICA
BusinessMind Plan Estratégico

BusinessMind Plan Estratégico

Presentaciones similares

Anuncios Google