IX CONGRESO ISACA COSTA RICA Gestión de riesgos de Continuidad de Negocio en función del negocio

(1)

Tel. (506) 2240-0100/Fax. (506) 2241-0039 [email protected] www.isaca.org/costa-rica

Capítulo Costa Rica

Confianza y Valor en los sistemas de información

Síganos

IX CONGRESO ISACA

COSTA RICA 2016

Gobierno, gestión y aseguramiento de las

tecnologías de información.

Gestión de riesgos de

Continuidad de Negocio en

función del negocio

Framework para Gestión de

Riesgos del DRI Internacional

(2)

Síganos

Agenda

• Acerca del DRI Internacional

• Conceptos clave

• Tipos de Riesgos

• Framework para Gestión de Riesgos del

DRI Internacional

(3)

Síganos

Acerca del DRI Internacional

Proveemos educación, acreditación y liderazgo en continuidad

de negocio y campos relacionados.

Ofrecemos cursos intensivos desde niveles introductorios hasta

avanzados, así como certificaciones especializadas.

(4)

Síganos

DRI Internacional

• DRI es una organización sin fines de lucro comprometida

con:

–

Promover las bases de un conocimiento

común fundamental para la industria de la

gestión de la Continuidad del Negocio

–

Certificación de profesionales cualificados en

la disciplina de la Continuidad del Negocio

–

Promover la credibilidad y profesionalismo de

las personas certificadas

• DRI celebró su 25 aniversario en 2013

• DRI es la entidad líder tanto en formación como en

certificación del sector

(5)

Síganos

Formación Global

Cursos de Continuidad de Negocio

BCLS-2000

_{Gestión de Continuidad}

de Negocio

BCP-501

_{Gestión de Continuidad}

de Negocio - Repaso

BCP-601

_{Masters: Repaso de}

Caso de Estudio

RMLS-2000

_{Gestión del Riesgo}

para la Continuidad

del Negocio

Cursos de especialización

BCP-BIA

_{Análisis de Impacto al}

Negocio

BCP-ITDR

_{Tecnologías de}

Información

–

Recuperación ante

Desastres

BCP-MET

_{Métricas de Continuidad}

de Negocio

BCP-AUD/

BCLE-AUD

Programa de Auditoría de

Continuidad de Negocio

GCP-501/

GCLE-2000

Continuidad de

Operaciones

HCP-501/

HCLE-2000

Continuidad de Negocio

–

Sector Salud

BCLE-1500

_{Educación Superior en}

(6)

Síganos

Conceptos Clave

Gestión de Continuidad de Negocio

• Business Continuity Management (BCM),

es un proceso de gestión que identifica

riesgos, amenazas y vulnerabilidades que

pueden impactar a operaciones continuas.

BCM provee un marco de trabajo para

construir resiliencia organizacional y la

capacidad para una respuesta eficaz

(7)

Síganos

Conceptos Clave cont.

Evaluación de Riesgos de Continuidad de

Negocio

• Proceso para identificar los riesgos de una

organización, evaluar las funciones esenciales

necesarias para continuar las operaciones del

negocio, definir los controles necesarios para

reducir la exposición de la organización y evaluar

el costo de dichos controles. Con frecuencia

implica una evaluación de la probabilidad de

ocurrencia de un evento en particular (Glosario de

Resiliencia del DRI Internacional)

(8)

Síganos

Riesgos de CN que no son de TI

• Enfermedades

• Huelgas

• Problemas del tránsito

• Fallas estructurales

• Desastres naturales

• Entre otros…

(9)

Síganos

(10)

Síganos

(11)

Síganos

(12)

Síganos

(13)

Síganos

(14)

Síganos

Riesgos de CN de ¿TI? comunes

Fallas eléctricas

Mal uso de redes sociales

Uso de redes por parte de terceros

Uso de dispositivos personales BYOD

(15)

Síganos

Riesgos CIBER

Incluye todos los escenarios de riesgo que pueden resultar en

la pérdida de Confidencialidad, Integridad y / o Disponibilidad

de la información y el sistema de información.

Denegación de Servicio (DoS)

Virus, troyanos, gusanos

Spoofing, phishing, escalada de privilegios, y

una variedad de otras actividades de hacking

(16)

Síganos

¿Qué tienen en común estos

riesgos?

• Todos afectan a TI

• Afectan las instalaciones

• Afectan a las personas

(17)

Síganos

Framework para Gestión de

Riesgos

La gestión de riesgos organizacional, de TI y de

Continuidad no deben ser aisladas

Se requiere una gestión de riesgos conjunta, holística

Si bien se ejecutan en diferentes áreas según la

especialidad, deben enfocarse siempre en la protección de

las operaciones del NEGOCIO

(18)

Síganos

Harvard Business Review Report

• Concluyó que

sólo el 20%

de las organizaciones

utilizan la gestión de

riesgos

como mecanismo

de referencia principal para

la toma de decisiones

• Concluyó que las áreas de

preocupación en las

organizaciones varían en

función del motivo de riesgo

y la ubicación geográfica

(19)

Síganos

Harvard Business Review Report

• 1. Si no se están tomando decisiones con

base en el riesgo, ¿en base a qué se están

tomando?

• 2. ¿Cómo se está gestionando la

implementación de los controles de

seguridad?

• 3. ¿Cómo se protegen las funciones

esenciales del negocio?

• 4. ¿Qué confianza tienen las organizaciones

en estar cumpliendo con su debida diligencia

y su debido cuidado?

(20)

Síganos

Framework para Gestión de

Riesgos

Gobierno y

Cumplimiento

Modelos de

Riesgo y

Procesos

Métodos

Cualitativos y

Cuantitativos

Identificación

del Riesgo

Monitoreo y

Reportes

Tratamiento y

Gestión del

Riesgo

(21)

Síganos

Gobierno y Cumplimiento

Garantiza el apoyo de la organización y supervisa el

programa de gestión del riesgo

El Cumplimiento del Riesgo:

• Establece los roles y responsabilidades de los líderes

• Establece los requisitos para el análisis y comunicación del riesgo

• Establece un marco de trabajo y enfoque para la gestión del riesgo

• Proporciona la supervisión de las actividades en la gestión del riesgo

• Garantiza el cumplimiento de la organización en materia de legislación y

regulación aplicables

¡Sin una estructura efectiva de Gobierno el programa para la

gestión del riesgo fracasará!

(22)

Síganos

Gobierno y cumplimiento

• Factores críticos de éxito

L

iderazgo

C

oncienciación (

A

wareness)

M

edidas

R

ecursos

(23)

Síganos

Gobierno y cumplimiento

• Factores críticos de éxito

L

iderazgo - Confusión

C

oncienciación (

A

wareness) - Ansiedad

M

edidas – Falta de certeza

R

ecursos – Frustración

(24)

Síganos

Modelos de Riesgo y Procesos

Los procesos del riesgo se

organizan en tres modelos

principales:

Gestión del

riesgo en

proyectos

Gestión del

riesgo

financiero

Gestión del

riesgo

operacional

(25)

Síganos

Gestión del riesgo operacional

• Busca reducir la exposición al riesgo de

eventos indeseados

como los

procedentes de la naturaleza, de la organización, humanos, intencionales y

no intencionales

– Seguridad cibernética y física

– Infraestructura crítica / recursos clave (de protección)

– Preparación para desastres naturales

– Prevención del delito

– Garantía de la cadena de suministro

– Respuesta a materiales peligrosos, seguridad laboral

– Reducción de las interdependencias

– Garantía de calidad y otras categorías

• El enfoque de Gestión del Riesgo Operacional es la protección de las

personas, de la información, el equipamiento, las instalaciones, las

operaciones y actividades

en las que se sustenta el negocio

(26)

Síganos

Elegir un modelo de Gestión de

Riegos

¿COSO, Itil, ISO? ¿Cuál?

La gestión del riesgo debe

ayudar en la toma de

decisiones para que

aporte un valor real

añadido a la organización

Su modelo de gestión de

riesgos debería ser

equilibrado y robusto para

asegurar que su negocio

está preparado

Asegurar que todos los

esfuerzos de gestión de

riesgos incluyan garantías

para las funciones

esenciales, la salud de las

personas y la seguridad

(27)

Síganos

Métodos Cualitativos y

Cuantitativos

• 1. Apoyo a la toma de decisiones

• 2. Proporcionar un medio consistente y

confiable de comunicación de la

información en los riesgos

• 3. Asegurar que la exposición al riesgo y

los costos del control se gestionan

(28)

Síganos

Identificación del Riesgo

Gestionar el Riesgo

• Integra el proceso de

evaluación de las

amenazas, las

vulnerabilidades y el

impacto de la pérdida de

activos

• Valora el riesgo de

compromiso/pérdida contra

el costo de las estrategias

de mitigación

Evitar el Riesgo

• Se asume un adversario

agresivo o un evento no

deseado en todos los

escenarios.

• Toma en cuenta TODAS las

posibles vulnerabilidades

• Respuestas basadas en el

(29)

Síganos

(30)

Síganos

Monitoreo y Reportes

• Proporcionar a los líderes una concienciación inicial

de situación en relación con la exposición al riesgo

• Proporcionar actualizaciones periódicas sobre el

estado de los esfuerzos de mitigación de riesgos al

Comité de Riesgos, Comité de Dirección y otras

partes interesadas

• Para el informe rápido y preciso de la evolución de las

amenazas

• Para proporcionar un espacio para la comunicación

constante del riesgo

(31)

Síganos

Visión Holística de Monitoreo y

Reportes

Equipo para la Continuidad del

Negocio (Riesgos)

Comité de Dirección

para Continuidad del

Negocio

Consejo del

programa de

Continuidad del

Negocio

Implementación

Gestión del

Riesgo

Nivel Senior Ejecutivo Foco: Riesgo Organizacional Acciones: Decisión en Riesgos y

Prioridades Cambios en Riesgos actuales y futuros Prioridades y apetito en el Riesgo y Presupuesto Nivel Negocio/ Procesos

Foco: Gestión del Riesgo Infraestructuras Críticas Acciones: Selecciona Perfil,

Consigna Presupuesto

Nivel Implantar/ Operaciones

Foco: Securizar Infraestructuras Críticas Acciones: Implantar Perfil

Perfil de Framework Progreso de la Implementación Cambios en Activos, Vulnerabilidades y Amenazas