24 de Junio de 2011

Antonio Ayala I. VP Ejecutivo RISCCO

Evaluación de riesgos tecnológicos.

www.riscco.com

© 2009 - 2011 RISCCO

El 77% de los 2,426 profesionales de TI sondeados, admitió que sus organizaciones habían sufrido pérdidas de datos durante el pasado año.

Ponemon Institute Junio 14, 2011

© 2009 - 2011 RISCCO

PCWorld Business Center Marzo 2011

Ex empleado borra más de 300GB en archivos de video, una temporada completa, del programa para niños "Zodiac Island".

© 2009 - 2011 RISCCO

En USA, el 75% de los fraudes bancarios a pequeñas y medianas empresas, ocurre vía la banca en línea.

Abril 2011

Estudio realizado por Guardian Analytics y Ponemon Institute.

© 2009 - 2011 RISCCO

Agenda

1. Riesgos tecnológicos a los que están expuestas las organizaciones hoy día

2.  Impacto en nuestros clientes y socios

3. Administración de riesgos tecnológicos

4. Reflexiones finales

© 2009 - 2011 RISCCO

Riesgos tecnológicos a los que están expuestas las organizaciones hoy día

© 2009 - 2011 RISCCO

• Virus

• Spyware

• Spam

• Ataques a páginas Web

• Robo de equipo

• Imposibilidad de restablecer

las operaciones en el centro

de datos

Los visibles

• Fraude en línea

• Espionaje digital

• Privacidad y protección de

datos

• Robo de identidad

• Continuidad de operaciones

Los no tan visibles

© 2009 - 2011 RISCCO

Seguridad Física

Seguridad de información

Outsourcing Gestión de Activos

Gestión de Cambios

Continuidad de Negocios

Actualización de software

Gestión de Proyectos

Computación en la Nube

© 2009 - 2011 RISCCO

Impacto en nuestros clientes y socios

© 2009 - 2011 RISCCO

Impacto en nuestros clientes y socios

  Imagen/Reputación

  Incertidumbre

  Insatisfacción

  Pérdida de credibilidad

  Buscan otras alternativas en el mercado

© 2009 - 2011 RISCCO

Administración de riesgos tecnológicos

© 2009 - 2011 RISCCO

Si se desconocen los riesgos tecnológicos a los que la organización está expuesta:

 Muy difícilmente se pueden implantar controles para mitigarlos.

 Muy probablemente se opera en ambiente tecnológicamente inseguro.

© 2009 - 2011 RISCCO

La administración de riesgo es el proceso de identificar y evaluar el riesgo, reduciéndolo a un nivel aceptable, e implantar los mecanismos para mantenerlo a ese nivel.

CISSP, All in One, Shon Harris

© 2009 - 2011 RISCCO

Administración de riesgos tecnológicos

A

B

© 2009 - 2011 RISCCO

¿Cómo se hace?

1.  Valor de la información y activos de TI

2.  Identificar amenazas

3.  Análisis de riesgo cuantitativo/cualitativo

4.  Mecanismos de protección

5.  Riesgo total vs riesgo residual

6.  Manejo del riesgo

© 2009 - 2011 RISCCO

¿ y con esas actividades es suficiente?

Sorry…pero que tal si te digo que no.

© 2009 - 2011 RISCCO

¿Qué más se debe hacer?

1.  Construir e implantar las políticas, estándares y procedimientos que soporten un modelo de seguridad de información en la organización.

2.  Asignar la responsabilidad de un Gerente de Seguridad de Información.

© 2009 - 2011 RISCCO

Reflexiones finales

© 2009 - 2011 RISCCO

Reflexiones finales

  Algunas organizaciones piensan que son inmunes.

  Las amenazas existen y son reales.

  Existen y aparecerán más riesgos tecnológicos para pretender mitigarlos todos.

  Cada día los entes reguladores y los clientes exigirán más que las organizaciones protejan sus datos personales.

  Asignar recursos a tiempo completo, a velar por la seguridad de información no es opcional.

www.riscco.com