Académique Documents
Professionnel Documents
Culture Documents
1
Tabla de Contenidos
1. Bienvenida
• Presentación
• Datos del Curso
• Evaluación
2. Gestión de Riesgos de Seguridad de la
Información
2
Presentación
3
Datos del Curso
Curso :
Gestión de Riesgos de Seguridad de la
Información
Código :
051SB9A1
Horario :
Martes 19:50 – 21:30
Miércoles 18:10 – 19:50
Aula :
BA203
4
Evaluación
•Participación activa en clase
•Trabajo individual
•Trabajo Grupal
•Examen
•Proyecto
•Promedio Unidad:
PU = PA*0.10 + TI*0.15 + TG*0.15 + EX*0.3 + PY*0.3
5
Gestión de Riesgos de Seguridad de
la Información
6
Introducción
7
Introducción
8
Gestión de Riesgos
9
Introducción
10
¿Por qué hablar de Seguridad de la
Información?
11
La información puede estar:
• Impreso o escrito en papel.
• Almacenado electrónicamente.
• Enviado por correo ordinario o por e-mail.
• Videos corporativos.
• Verbal - en conversaciones
12
La informacion puede ser:
Creada
Guardada
Destruida
Procesada
Transmitida
Usada – (Para propósitos correctos & impropios)
Corrompida
Perdida
Robada
13
Conceptos Fundamentales
14
Información a proteger
15
Seguridad de la Información
16
Dominios de la Información
• Confidencialidad: La
información debe ser accesible
solo a aquellos que se
encuentren debidamente Confidencialidad
autorizados
• Integridad: La información
debe ser completa, exacta y
válida.
Integridad Disponibilidad
• Disponibilidad: La
información debe estar
disponible en formar organizada
para los usuarios autorizados
cuando sea requerida.
17
¿Porqué hablar de la Seguridad de
la Información?
18
¿Porqué hablar de la Seguridad de
la Información?
•Porque la seguridad tiene un costo, …pero la
INSEGURIDAD es mucho más costosa
19
Problema / Necesidad
Necesidad de
asegurar la
confidencialidad,
la disponibilidad
y la integridad de
la información
manejada.
20
Problema / Necesidad
La empresa no
era 100%
consciente de
cuáles eran sus
verdaderos
ACTIVOS
21
Problema / Necesidad
No se era
consciente de todas
las circunstancias
que podían
provocar
problemas en el
Sistema de
Información ni sus
posibles efectos en
el Sistema de
Información
22
Problema / Necesidad
No se habían
analizado ni
evaluado en
ningún momento
los riesgos a los
que podía estar
expuesta el
Sistema de
Información de la
empresa.
23
Problema / Necesidad
Poca información
y sensibilización
del personal en
cuanto a la
importancia del
Sistema de
Información y su
adecuado
tratamiento
24
¿Cómo
superar estos
problemas?
25
Solución
Proceso de
consultoría con el
fin de implementar
en la organización
una sistemática de
trabajo que
permitiera alcanzar
los objetivos
planteados.
26
¿Riesgos?
Esto no real.
Lo que sucede es que hoy
sabemos muy poco.
27
Amenazas
Escalamiento de privilegios
Password cracking
Puertos vulnerables abiertos Exploits
Man in the middle
Violación de la privacidad de los empleados
Ingeniería social
Mails anónimos con agresiones
Programas “bomba, troyanos”
Interrupción de los servicios Destrucción de soportes documentales
Acceso clandestino a redes Robo o extravío de notebooks, palms
29
Vulnerabilidades Comunes
Inadecuado compromiso de la dirección.
Personal inadecuadamente capacitado y concientizado.
Inadecuada asignación de responsabilidades.
Ausencia de políticas/ procedimientos.
Ausencia de controles
(físicos/lógicos)
(disuasivos/preventivos/detectivos/correctivos)
Ausencia de reportes de incidentes y vulnerabilidades.
Inadecuado seguimiento y monitoreo de los controles.
30
Seguridad de la Información
La información es un activo que como otros activos
importantes tiene valor y requiere en consecuencia una
protección adecuada.
31
¿Seguridad de la Información ?
La seguridad de la información se caracteriza aquí como la
preservación de:
32
Normas Internacionalmente
reconocidas
•Reconocimiento internacional
33
33
Normas aplicables
• Entre los distintos organismos relacionados comercial y/o
institucionalmente con los temas de Seguridad de la Información,
podemos encontrar los siguientes:
ISACA: COBIT
British Standards Institute: BSI
International Standards Organization: Normas ISO
34
Riesgo
NCI-CGR RC 320-2006-CG
La posibilidad de que ocurra un evento adverso que afecte el
logro de los objetivos.
COSO 2013
Posibilidad de que un evento ocurra y
afecte negativamente a la consecución de
los objetivos
ISO 31000
“Efecto de la incertidumbre en los
objetivos”.
35
Gestión de Riesgos - Definición
La gestión de riesgos es un proceso de gestión para
identificar, analizar y responder a los riesgos que afecten los
objetivos de la entidad a nivel institucional y de los diferentes
niveles orgánicos, tiene la finalidad de administrar los riesgos
en la entidad.
Fuente: Normas de Control Interno RC N° 320-2006 y Guía para la Implementación y Fortalecimiento del Sistema de
Control Interno en las Entidades del Estado, aprobada con RC N° 004-2017-CG.
36
PROCESO DE GESTIÓN DE
RIESGOS
Planeamiento Identificación Análisis del Respuesta al
de riesgos riesgo riesgo
La dirección
Los riesgos se
- Determinación del selecciona las
analizan
área o gerencia posibles
considerando su
responsable de la respuestas -
Identificación de probabilidad e
administración de evitar, aceptar,
riesgos a nivel de impacto como
riesgos. reducir o
la entidad y por base para
-Desarrollar plan de compartir los
procesos usando: determinar cómo
administración del riesgos -
-Herramientas y deben ser
riesgo. desarrollando
técnicas. gestionados.
-Metodología de una serie de
-Clasificación del -Evaluación de
gestión del riesgo acciones para
riesgo. riesgos; análisis
-Determinación del alinearlos con el
-Registro de cuantitativo y
alcance o procesos riesgo aceptado
riesgos. cualitativo y
priorizados y la
determinación de
- Seguimiento y tolerancia al
matriz.
monitoreo. riesgo de la
-Riesgo residual.
entidad.
Fuente: Normas de Control Interno RC N° 320-2006 y Guía para la Implementación y Fortalecimiento del Sistema de
Control Interno en las Entidades del Estado, aprobada con RC N° 004-2017-CG.
37
Principales actividades a desarrollar
para implementar la gestión de riesgos
• Incorporara a la gestión de riesgos como parte de la gestión
Institucional.
• Establecer la unidad orgánica responsable y la organización de la
gestión de riesgos en la entidad.
• Formular la política de riesgos institucional.
• Establecer un procedimiento interno de gestión de riesgos
• Establecer la metodología estándar de la gestión de riesgos
• Establecer los procesos priorizados para la intervención
• Formulación del Plan de gestión de riesgos.
• Seguimiento y monitoreo de la gestión de riesgos
• Mejora continua de la gestión de riesgos.
38
CLASIFICACIÓN DE RIESGOS
• Riesgo estratégicos.
• Riesgo operativo.
• Riesgo financiero.
• Riesgos de cumplimiento.
• Riesgos de corrupción.
• Riesgos de tecnología.
Fuente: Normas de Control Interno RC N° 320-2006 y Guía para la Implementación y Fortalecimiento del Sistema de
Control Interno en las Entidades del Estado, aprobada con RC N° 004-2017-CG.
39
CLASIFICACIÓN DE RIESGOS
Externos Internos
• Económicos. • Infraestructura
• Entorno natural. • Dirección o gestión
• Regulatorio. • Personal
• Sociales. • Acceso a activos
• Tecnológicos. • Tecnología
• Corrupción. • Fraude y/o Corrupción
Fuente: Normas de Control Interno RC N° 320-2006 y Guía para la Implementación y Fortalecimiento del Sistema de
Control Interno en las Entidades del Estado, aprobada con RC N° 004-2017-CG.
40
Muchas gracias!
41