Post on 21-Aug-2020
transcript
Jorge Alfredo Hernández
Septiembre de 2012
Gestión de los
Riesgos
Informáticos Fundamentos para la protección de
información
© 2010 Deloitte Touche Tohmatsu
Agenda
• Seguridad de la información vs privacidad de los datos
• ¿Dónde está la información?
• ¿Cuáles son las amenazas?
1
© 2010 Deloitte Touche Tohmatsu
Internet Clientes
Proveedores
Gobierno
Otros
Wifi
Porque es importante?
Seguridad de la información
vs privacidad de los datos
© 2010 Deloitte Touche Tohmatsu
Seguridad de la información vs privacidad de los datos
Seguridad de la información
• La información es un activo de la empresa, es
fundamental para su éxito y proyección futura. Mejor
información y mejor gestión de la misma genera ventaja
competitiva.
• Por ello es importante asegurar que la información:
• Refleja la realidad, permitiendo tomar decisiones
sobre bases ciertas.
• Propiedad de la empresa (propiedad intelectual,
secreto industrial, conocimiento interno) es conocida
solo por las personas que la empresa quiere, y no
por personas no autorizadas.
• Es accesada por los usuarios legítimos cuando lo
requieren y por el medio que lo requieren.
© 2010 Deloitte Touche Tohmatsu
Seguridad de la información vs privacidad de los datos
Privacidad
• Las empresas tienen acceso a información
de personas, que es propiedad de las
personas mismas (p. e. estado civil, historia
clínica, antecedentes, salario) . Esta
información es privada y debe protegerse
para evitar afectar la vida de las personas
(Constitución Nacional artículo 15).
• Por ello es importante asegurar que la
información privada:
• Es conocida solo por las personas de la
empresa que lo requieren.
• Es protegida por las personas que la
acceden y estas reconocen la sensibilidad
de dicha información.
• No se revela sin consentimiento del
dueño.
© 2010 Deloitte Touche Tohmatsu
Ciclo de vida de la información
Obtención
Distribuye
Usa
Almacena
Destruye
Archiva
Destruye
© 2010 Deloitte Touche Tohmatsu
¿Riesgos de la información?
Confidencialidad
Disponibilidad
Integridad
© 2009 Deloitte Touche Tohmatsu
¿Riesgos de la información?
• Exactitud y legitimidad o validez
• Autorización y exactitud de la información de las
transacciones
• La información refleja la realidad
Objetivo: Proteger los datos críticos de modificación o
eliminación no autorizada
8
© 2009 Deloitte Touche Tohmatsu
¿Riesgos de la información?
Acceso legítimo oportuno a la información por parte de
las personas o entidades debidamente autorizadas para
accederla de acuerdo con su sensibilidad para la entidad
o para las personas (privacidad)
Objetivo: Proteger la información sensible de la
compañía y de sus grupos de interés (empleados,
clientes, socios, proveedores) de ser conocida de
manera no autorizada
9
© 2009 Deloitte Touche Tohmatsu
¿Riesgos de la información?
Acceso a la información cuando sus usuarios lo
requieran y por el medio que la requieran.
Objetivo: Prevenir la negación no autorizada de
servicios de información, privando a los usuarios
legítimos de acceder a los datos cuando lo requieran.
10
© 2009 Deloitte Touche Tohmatsu
¿Qué es la seguridad de la información?
11
Medidas de Seguridad Tipos de Información Accesos
Niveles de tomas de
decisiones
estratégicas
Comunidad en General
Niveles operativos
Custodios de la información
Quien? Que?
Propietario de datos
Como?
Pública
Restringida
Confidencial
Estrictas
Suficientes
Mínimas
¿Dónde está
la información?
© 2010 Deloitte Touche Tohmatsu
¿Dónde está la información?
The Cloud
© 2010 Deloitte Touche Tohmatsu
Uso del Internet
14
COLOMBIA
Población 44,725,543
Usuarios de internet 25,000,000 56%
Suscriptores celulares 43,405,330 97%
Usuarios de Facebook 16,258,980 36%
Crecimiento 5 años 3,731%
Usuarios totales 2,267,233,742
© 2009 Deloitte Touche Tohmatsu
Tendencias
Los Nuevos riesgos que genera Web 2.0 -Social Media-
Information & Technology Risk | Global Capabilities 15
Virus
(gusanos)
Privacidad de
riesgos
Control de
acceso
Retencion
de datos de
crecimiento
Acosos
Robo de identidad
Robo de
propiedad intelectual
Fuga de
información
Riesgo de reputación
(manejo de marca)
Legal
Calumnias Derechos de autor
Violaciones o vulneraciones
de marcas
Blasfemias
Amenazas y riesgos
tecnológicos
Amenazas y riesgos en
aplicaciones Amenazas y riesgos de
conducta
XML
Injection
Vulnerabilidades
Crisis
Licenciamiento
Malware
Falta de conocimiento o
conciencia ante
diversas situaciones Riesgos
indirectos
Suplantación de
Identidad
El ambiente Web 2.0 cambia a un ritmo extremadamente rápido. La seguridad de las tecnologías no necesariamente permanece actualizada con el paso del tiempo
© 2009 Deloitte Touche Tohmatsu
Tendencias
Los Nuevos riesgos que genera Web 2.0 -Social Media-
Information & Technology Risk | Global Capabilities 16
Las redes sociales se han convertido en las paginas más importantes de pérdida de datos y el robo de identidad
Fuente: Sophos “Security Threat Report: 2010”
Una encuesta realizada en 2008 por parte de Forrester a 262 ejecutivos de TI reveló que cerca del 80% de los ejecutivos estaban preocupados por los riesgos que genera el uso no
autorizado de las herramientas Web 2.0 y las tecnologías por parte de los empleados.
Source: Forrester Research
El ambiente Web 2.0 cambia a un ritmo extremadamente rápido. La seguridad de las tecnologías no necesariamente permanece actualizada con el paso del tiempo
© 2010 Deloitte Touche Tohmatsu
Noticias recientes
Gestión de riesgos de seguridad
© 2010 Deloitte Touche Tohmatsu
La gestión de riesgos puede basarse en ISO31000 o ISO27005
Establecer el contexto
Identificar riesgos
Analizar riesgos
Evaluar riesgos
Tratar riesgos
Co
mu
nic
ar
y c
on
su
lta
r
Mo
nito
rea
r y r
evis
ar
Evaluación de riesgos
© 2010 Deloitte Touche Tohmatsu
La gestión de riesgos es un proceso continuo
Identificación
de activos de
información
Clasificación
(atributos de
negocio)
Identificación de
riesgos
Análisis de
riesgos
Evaluación de
riesgos
Activos de Información
Tratamiento de riesgos
Establecer el contexto Evaluación de riesgos
© 2010 Deloitte Touche Tohmatsu
Identificación de activos de información
• La identificación de los activos de información consiste en determinar qué
información es utilizada o producida durante la ejecución del proceso de negocio.
Para ello es fundamental la participación activa de los dueños de los procesos.
• Los activos de información son aquellos recursos que generan, procesan y/o
resguardan datos necesarios para la operación y el cumplimiento de los objetivos del
negocio, algunos de ellos tecnológicos, otros no.
• ¿Qué información se necesita para el desarrollo del proceso?
• ¿Qué información se genera producto del desarrollo del proceso?
• ¿Cuáles son los activos de información donde está almacenada la información que
necesita o la que genera durante el desarrollo del proceso?
23 Business Risk Management Seminar Series
© 2010 Deloitte Touche Tohmatsu
Identificación de activos de información
• Toda la información de un proceso es generada, procesada o resguardada en uno o
varios activos de información.
24 Business Risk Management Seminar Series
24
Contabilidad Tesorería Gestión de
costos Compras Mantenimiento
© 2010 Deloitte Touche Tohmatsu
Clasificación de activos de información
• Los activos de información son clasificados de acuerdo con la importancia que tengan
para el negocio.
• El valor asignado a cada activo de información (impacto) sirve posteriormente como
insumo para evaluar las alternativas de tratamiento del riesgo.
25 Business Risk Management Seminar Series
Impacto de 1 a 3 Impacto
1 ≤ Impacto < 1,67 Bajo
1,67 ≤ Impacto < 2,34 Medio
2,34 ≤ Impacto ≤ 3 Alto
© 2010 Deloitte Touche Tohmatsu
Evaluación de riesgos
• La evaluación de riesgos usualmente ocurre sobre los activos de información cuyo
valor de clasificación es más alto (principio de Pareto) por un principio de priorización
de recursos requeridos para establecer controles.
26 Business Risk Management Seminar Series
Activos de información
identificados
Activos de información críticos
© 2010 Deloitte Touche Tohmatsu
Evaluación de riesgos
• Un riesgo consiste en la probabilidad de que una amenaza explote una vulnerabilidad y
genere un impacto negativo al negocio.
Amenaza: condición que existe en el entorno del activo de información
Vulnerabilidad: debilidad o ausencia de control
• Cada dupla amenaza / vulnerabilidad está asociada a uno o varios controles
probables que podrían reducir dicha probabilidad de que el riesgo ocurra.
• Hay que determinar si existen los controles de seguridad requeridos para reducir la
probabilidad de que una amenaza explote una vulnerabilidad en un activo de información
dado.
27 Business Risk Management Seminar Series
© 2010 Deloitte Touche Tohmatsu
Evaluación de riesgos
• El nivel de riesgo es la combinación de:
• La magnitud de impacto producido si el activo es afectado en su confidencialidad,
integridad o disponibilidad
• La probabilidad de que una fuente de amenaza procure aprovechar una
vulnerabilidad
• En función de si los controles existen o no se establece la probabilidad de
que una amenaza explote una vulnerabilidad potencial.
• El impacto corresponde al impacto de cada activo de información
28 Business Risk Management Seminar Series
Fuente: NIST 800-30
© 2010 Deloitte Touche Tohmatsu
Tratamiento de riesgos
• El ciclo concluye con el tratamiento de los riesgos más relevantes:
• Implementación de controles
• Fortalecimiento de controles existentes
• Trasferencia de riesgos
• Eliminar el riesgo, que implica eliminar el activo de información o transformarlo (p. e.
convertir un activo de información de papel en un medio electrónico eliminaría el
riesgo de que la tinta del papel se deteriore con el tiempo)
29 Business Risk Management Seminar Series
0
1
2
3
0 1 2 3 Probabilidad
Mapa de riesgos de Activos de Información
Alto
Medio
Bajo
Imp
ac
to
Baja Media Alta
¿Cuáles son las amenazas?
© 2010 Deloitte Touche Tohmatsu
¿Cuales son las amenazas?
31
Dejar laptops o equipos
móviles sin seguridad (sin
password)
Inadecuado manejo de
papeles que contienen
información confidencial
Instalación de software
poco conocido
© 2010 Deloitte Touche Tohmatsu
¿Cuáles son las amenazas?
32
Problemas de
comunicaciones
Ataques
Virus/ software
malicioso
Obsolescencia
Errores de hardware
y software
Corrupción de datos
Terremotos
Inundaciones
Contaminación
Pandemias
Incendio
Tormentas
Robo de información
Sabotajes
Fraude
Riesgos
Operacionales
Errores no
intencionales
Espionaje Industrial
Terrorismo
Ingeniería social
Eventos
técnicos
Eventos
naturales
Eventos
humanos Información
© 2010 Deloitte Touche Tohmatsu
¿Cuáles son las amenazas?
Phising
33
© 2010 Deloitte Touche Tohmatsu
¿Cuáles son las amenazas?
Sniffing (wired and wireless)
34
¿Cuáles son las amenazas?
Amenazas en la computación móvil
¿Cuáles son las amenazas?
Malware
¿Cuáles son las amenazas?
Ingeniería social
© 2010 Deloitte Touche Tohmatsu
¿Cuáles son las amenazas?
Ingeniería social
© 2010 Deloitte Touche Tohmatsu
Preguntas / Comentarios
Jorge A. Hernández O. Tel. +57 (1) 5461842
jorgehernandez@deloitte.com 1-5461810