Lenin Quintana | UNTRM Marzo - 2019

1
Tabla de Contenidos
1. Bienvenida
• Presentación
• Datos del Curso
• Evaluación
2. Gestión de Riesgos de Seguridad de la
Información

2
Presentación

3
Datos del Curso
Curso :
Gestión de Riesgos de Seguridad de la
Información
Código :
051SB9A1
Horario :
Martes 19:50 – 21:30
Miércoles 18:10 – 19:50
Aula :
BA203

4
Evaluación
•Participación activa en clase
•Trabajo individual
•Trabajo Grupal
•Examen
•Proyecto

•Promedio Unidad:
PU = PA*0.10 + TI*0.15 + TG*0.15 + EX*0.3 + PY*0.3

5
Gestión de Riesgos de Seguridad de
la Información

6
Introducción

7
Introducción

8
Gestión de Riesgos

9
Introducción

10
¿Por qué hablar de Seguridad de la
Información?

Porque el negocio se sustenta a partir

de la información que maneja.....

11
La información puede estar:
• Impreso o escrito en papel.
• Almacenado electrónicamente.
• Enviado por correo ordinario o por e-mail.
• Videos corporativos.
• Verbal - en conversaciones

“……cualquier tipo de información, o

significado que se encuentre medido o
almacenado, deberá encontrarse siempre
protegido.”

– (ISO/IEC 27001: 2005)

12
La informacion puede ser:
Creada
Guardada
Destruida
Procesada
Transmitida
Usada – (Para propósitos correctos & impropios)
Corrompida
Perdida
Robada

13
Conceptos Fundamentales

¿De que información estamos hablando?

¿Qué tan expuestos estamos?

14
Información a proteger

¿Cual es la información más valiosa que

manejamos?

La información asociado a nuestros clientes.

La información asociado a nuestras ventas.
La información asociada a nuestro personal.
La información asociada a nuestros productos.
La información asociada a nuestras operaciones.

15
Seguridad de la Información

16
Dominios de la Información
• Confidencialidad: La
información debe ser accesible
solo a aquellos que se
encuentren debidamente Confidencialidad
autorizados

• Integridad: La información
debe ser completa, exacta y
válida.
Integridad Disponibilidad

• Disponibilidad: La
información debe estar
disponible en formar organizada
para los usuarios autorizados
cuando sea requerida.
17
¿Porqué hablar de la Seguridad de
la Información?

•Porque no sólo es un tema Tecnológico.

•Porque se requiere de Políticas de Seguridad
de la Información formalmente aceptadas y
conocidas por todos.

18
¿Porqué hablar de la Seguridad de
la Información?
•Porque la seguridad tiene un costo, …pero la
INSEGURIDAD es mucho más costosa

“Ninguna medicina es útil a menos que el paciente la

tome”

¿ Entonces, por donde empezar?........

19
Problema / Necesidad

Necesidad de
asegurar la
confidencialidad,
la disponibilidad
y la integridad de
la información
manejada.

20
Problema / Necesidad

La empresa no
era 100%
consciente de
cuáles eran sus
verdaderos
ACTIVOS

21
Problema / Necesidad

No se era
consciente de todas
las circunstancias
que podían
provocar
problemas en el
Sistema de
Información ni sus
posibles efectos en
el Sistema de
Información

22
Problema / Necesidad

No se habían
analizado ni
evaluado en
ningún momento
los riesgos a los
que podía estar
expuesta el
Sistema de
Información de la
empresa.

23
Problema / Necesidad

Poca información
y sensibilización
del personal en
cuanto a la
importancia del
Sistema de
Información y su
adecuado
tratamiento

24
¿Cómo
superar estos
problemas?

25
Solución

Proceso de
consultoría con el
fin de implementar
en la organización
una sistemática de
trabajo que
permitiera alcanzar
los objetivos
planteados.

26
¿Riesgos?

Pero si nunca pasó nada!!.

Esto no real.
Lo que sucede es que hoy
sabemos muy poco.

La empresa necesita contar con

información sobre la cual tomar
decisiones a los efectos de establecer
controles necesarios y eficaces.

27
Amenazas
Escalamiento de privilegios
Password cracking
Puertos vulnerables abiertos Exploits
Man in the middle
Violación de la privacidad de los empleados

Servicios de log inexistentes o que no son chequeados

Fraudes informáticos
Denegación de servicio Backups inexistentes
Últimos parches no instalados Destrucción de equipamiento

Desactualización Keylogging Port scanning

Hacking de Centrales Telefónicas

28
Más Amenazas!!
Spamming
Violación de contraseñas
Captura de PC desde el exterior
Virus Incumplimiento de leyes y regulaciones

Ingeniería social
Mails anónimos con agresiones
Programas “bomba, troyanos”
Interrupción de los servicios Destrucción de soportes documentales
Acceso clandestino a redes Robo o extravío de notebooks, palms

Acceso indebido a documentos impresos

Robo de información
Indisponibilidad de información clave
Intercepción de comunicaciones voz y
Falsificación de información wireless
Agujeros de seguridad de redes conectadas
para terceros

29
Vulnerabilidades Comunes
 Inadecuado compromiso de la dirección.
 Personal inadecuadamente capacitado y concientizado.
 Inadecuada asignación de responsabilidades.
 Ausencia de políticas/ procedimientos.
 Ausencia de controles
 (físicos/lógicos)
 (disuasivos/preventivos/detectivos/correctivos)
 Ausencia de reportes de incidentes y vulnerabilidades.
 Inadecuado seguimiento y monitoreo de los controles.

30
Seguridad de la Información
 La información es un activo que como otros activos
importantes tiene valor y requiere en consecuencia una
protección adecuada.

 La información puede estar:

 Impresa o escrita en papel.
 Almacenada electrónicamente.
 Trasmitida por correo o medios electrónicos
 Mostrada en filmes.
 Hablada en conversación.

 Debe protegerse adecuadamente cualquiera que

sea la forma que tome o los medios por los que se
comparte o almacene.

31
¿Seguridad de la Información ?
La seguridad de la información se caracteriza aquí como la
preservación de:

su confidencialidad, asegurando que sólo quienes estén

autorizados pueden acceder a la información;

su integridad, asegurando que la información y sus

métodos de proceso son exactos y completos.

su disponibilidad, asegurando que los usuarios

autorizados tienen acceso a la información y a sus activos
asociados cuando lo requieran.

32
Normas Internacionalmente
reconocidas

•Reconocimiento internacional

33
33
Normas aplicables
• Entre los distintos organismos relacionados comercial y/o
institucionalmente con los temas de Seguridad de la Información,
podemos encontrar los siguientes:

ISACA: COBIT
British Standards Institute: BSI
International Standards Organization: Normas ISO

- Departamento de Defensa de USA: Orange Book / Common

Criteria
- ITSEC – Information Technology Security Evaluation Criteria:
White Book
- Sarbanes Oxley Act, HIPAA

34
Riesgo
NCI-CGR RC 320-2006-CG
La posibilidad de que ocurra un evento adverso que afecte el
logro de los objetivos.

COSO 2013
Posibilidad de que un evento ocurra y
afecte negativamente a la consecución de
los objetivos
ISO 31000
“Efecto de la incertidumbre en los
objetivos”.

35
Gestión de Riesgos - Definición
La gestión de riesgos es un proceso de gestión para
identificar, analizar y responder a los riesgos que afecten los
objetivos de la entidad a nivel institucional y de los diferentes
niveles orgánicos, tiene la finalidad de administrar los riesgos
en la entidad.

Se desarrolla en base a las actividades siguientes:

- Identificación de los riesgos
- Valoración de los riesgos
- Respuesta al riesgo

Fuente: Normas de Control Interno RC N° 320-2006 y Guía para la Implementación y Fortalecimiento del Sistema de
Control Interno en las Entidades del Estado, aprobada con RC N° 004-2017-CG.

36
PROCESO DE GESTIÓN DE
RIESGOS
Planeamiento Identificación Análisis del Respuesta al
de riesgos riesgo riesgo
La dirección
Los riesgos se
- Determinación del selecciona las
analizan
área o gerencia posibles
considerando su
responsable de la respuestas -
Identificación de probabilidad e
administración de evitar, aceptar,
riesgos a nivel de impacto como
riesgos. reducir o
la entidad y por base para
-Desarrollar plan de compartir los
procesos usando: determinar cómo
administración del riesgos -
-Herramientas y deben ser
riesgo. desarrollando
técnicas. gestionados.
-Metodología de una serie de
-Clasificación del -Evaluación de
gestión del riesgo acciones para
riesgo. riesgos; análisis
-Determinación del alinearlos con el
-Registro de cuantitativo y
alcance o procesos riesgo aceptado
riesgos. cualitativo y
priorizados y la
determinación de
- Seguimiento y tolerancia al
matriz.
monitoreo. riesgo de la
-Riesgo residual.
entidad.

Fuente: Normas de Control Interno RC N° 320-2006 y Guía para la Implementación y Fortalecimiento del Sistema de
Control Interno en las Entidades del Estado, aprobada con RC N° 004-2017-CG.

37
Principales actividades a desarrollar
para implementar la gestión de riesgos
• Incorporara a la gestión de riesgos como parte de la gestión
Institucional.
• Establecer la unidad orgánica responsable y la organización de la
gestión de riesgos en la entidad.
• Formular la política de riesgos institucional.
• Establecer un procedimiento interno de gestión de riesgos
• Establecer la metodología estándar de la gestión de riesgos
• Establecer los procesos priorizados para la intervención
• Formulación del Plan de gestión de riesgos.
• Seguimiento y monitoreo de la gestión de riesgos
• Mejora continua de la gestión de riesgos.

38
CLASIFICACIÓN DE RIESGOS
• Riesgo estratégicos.
• Riesgo operativo.
• Riesgo financiero.
• Riesgos de cumplimiento.
• Riesgos de corrupción.
• Riesgos de tecnología.

Fuente: Normas de Control Interno RC N° 320-2006 y Guía para la Implementación y Fortalecimiento del Sistema de
Control Interno en las Entidades del Estado, aprobada con RC N° 004-2017-CG.

39
CLASIFICACIÓN DE RIESGOS
Externos Internos

• Económicos. • Infraestructura
• Entorno natural. • Dirección o gestión
• Regulatorio. • Personal
• Sociales. • Acceso a activos
• Tecnológicos. • Tecnología
• Corrupción. • Fraude y/o Corrupción

Fuente: Normas de Control Interno RC N° 320-2006 y Guía para la Implementación y Fortalecimiento del Sistema de
Control Interno en las Entidades del Estado, aprobada con RC N° 004-2017-CG.

40
Muchas gracias!

41