GESTIÓN DE RIESGOS EN TECNOLOGÍAS DE LA INFORMACIÓN 1 Agenda 2 1 2 3 4 5 6 Fundamentos de la Gestión de Riesgos - Conceptos Marco de Referencia Genérico en la Gestión de Riesgos - ISO 31000:2018 Gestión de Riesgos en la Gestión del Servicio – ISO/IEC 20000 Gestión de Riesgos en la Seguridad de la Información – ISO/IEC 27005 Gestión de Riesgos de TI desde el enfoque de Gobierno Empresarial – Cobit 5 Gestión de Riesgos en la Gestión del Servicio – ITSM (ITIL v3) 2. ISO 31000 : 2018 Gestión del Riesgo - Directrices 3 ISO 27001 : 2013 ISO 9001 : 2015 De riesgos y oportunidades asociados con el context y los objetivos de la organización Evaluación y tratamiento los riesgos de seguridad información adaptados a necesidades de organización. de de las la ISO 31000 : 2009 Principios y directrices para la gestión de cualquier tipo de riesgo de una manera sistemática, transparente y creíble, dentro de cualquier ámbito y contexto. Realización de la evaluación de risgos que consiste en la identificación de riesgos, análisis y evaluación. 4 Concepto Gestión de Riesgo Norma ISO 31000 : 2009 5 Norma ISO 31000 : 2018 Integrada Mejora Continua Factores Humanos y Culturales Estructurada y exhaustiva Creación y Protección del Valor Adaptada Integración Mejor información disponible Diseño Mejora Liderazgo y Compromiso Inclusiva Dinámica Principios Implementación Valoración 6 Marco de Referencia Proceso Beneficios Base confiable Mejorar los controles 2 Tratamiento del riesgo 3 Eficiacia y Eficiencia 4 6 7 1 Prevención y Manejo Capacidad de recuperación 5 1. COBIT 5 PARA RIESGOS Visión general 8 “ ◆ COBIT = Control Objectives for Information and related Technology (Objetivos de Control para la información y tecnología relacionada). ◆ ISACA = Information Systems Audit and Control Association (Asociación de Control y Auditoria de Sistemas de Información) para la gestión de la TI y el Gobierno de TI. 9 COBIT Es un conjunto de herramientas de soporte que permite a la gerencia de las organizaciones, cerrar la brecha entre los requerimientos de control, problemas técnicos y los riesgos del negocio. (IT Governance Institute, 2007) 10 Evolución de COBIT 5 Evolución del Alcance Gobierno Corporativo de TI Gobierno de TI Val IT 2.0 Administración (2008) Control Risk IT (2009) Auditoría COBIT1 1996 11 Un Marco Empresarial de ISACA, en www.isaca.org/cobit COBIT2 1998 COBIT3 2000 © 2012 ISACA® Todos los derechos reservados. COBIT4.0/4.1 2005/7 COBIT 5 2012 Principios COBIT 5 4. 2. Hacer posible un Enfoque Holístico Cubrir la empresa extremo a extremo 5. 1. Satisfacer las necesidades de las partes interesadas 12 3. Aplicar un Marco de Referencia Único Intregrado Separar al Gobierno de la Gestión Principio 1 - COBIT 5 Satisfacer las necesidades de las partes interesadas Necesidades de las partes interesadas Objetivos del Gobierno: Realización de Beneficios 13 Creación de Valor Optimización de Riesgos Optimización de Recursos Fuente: COBIT® 5. 2012 ISACA® Todos los derechos reservados. Principio 2 - COBIT 5 Objetivo del Gobierno: Creación de Valor Realización de Beneficios Optimización de Riesgos Optimización de Recursos Cubrir la empresa extremo a extremo Habilitadores de Gobierno Alcance del Gobierno Los Componentes Claves de un Sistema de Gobierno Roles, Actividades y Relaciones Fuente COBIT® 5, 2012 ISACA® Todos los derechos reservados. Roles, Actividades y Relaciones Dueños y Partes Interesadas 14 Delegan Ente Regulador Rendición de Cuentas Fijar Directivas Administración Instruir y Alinear Monitorear Fuente COBIT® 5, 2012 ISACA® Todos los derechos reservados. Informar Operaciones y Ejecución Principio 3 - COBIT 5 Aplicar un Marco de Referencia Único Intregrado 15 Fuente:https://es.slideshare.net/RevistaSG/introduccin-a-cobit-5-24068563?qid=38a695a6-ea84-48a4-be78-0d5723a2d07e&v=&b=&from_ search=4 Administración del Desempeño de los Habilitadores Hacer posible un Enfoque Holístico Dimensión de Habilitadores Principio 4 - COBIT 5 16 Partes Interesadas • Internas • Externas ¿Se atienden las Necesidades de las Partes Interesadas? Metas • Calidad Intrínseca • Calidad Contextual (Relevancia, Efectividad) • Accesabilidad y Seguridad ¿Se Logran las Metas de los Habilitadores? Métricas para el Logro de las Metas (Indicadores de Resultados) Ciclo de Vida Buenas Prácticas • Planificar • Diseñar •Construir/Adquirir/ Crear/Implementar • Usar/Operar • Evaluar/Monitorear • Actualizar/Disponer • Prácticas • Productos de Trabajo (Entradas/Salidas) ¿Se administra el Ciclo de Vida? ¿Se aplican Buenas Prácticas? Métricas para la Aplicación de Prácticas (Indicadores de Desempeño) Fuente: COBIT® 5, 2012 ISACA® Todos derechos reservados. Principio 5 - COBIT 5 Necesidades del Negocio Separar al Gobierno de la Gestión Gobierno Evaluar Dirijir Retroalimentación Gerencial Monitorear Administración Planificar (APO) Construir (BAI) Operar (DSS) Fuente: COBIT® 5, 2012 ISACA® Todos derechos reservados. 17 Monitorear (MEA) Habilitadores de COBIT 5 2. Procesos 3. Estructuras Organizacionales 4. Cultura, Ética y Comportamiento 1. Principios, Políticas y Marcos 5. Información 6. Servicios, Infraestructura y Aplicaciones 7. Personas, Habilidades y Competencias RECURSOS 18 Fuente: COBIT® 5, 2012 ISACA® Todos los Derechos Reservados Procesos de Gobierno de TI Empresarial Procesos relacionados con la Gestión del Riesgo Procesos que apoyan la Gestión del Riesgo 19 Fuente: COBIT® 5, 2012 ISACA® Todos derechos reservados. Ciclo de Vida de Implementación • Gestión del Programa (anillo exterior) • Habilitación del Cambio (anillo medio) • Ciclo de Vida de Mejora Continua (anillo interior) 20 Fuente: COBIT® 5, 2012 ISACA® Todos los Derechos Reservados Metodologías para Gestión de Riesgos OCTAVE ◆ OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) se encuentra disponible gratuitamente (en inglés) y es un conjunto de herramientas, técnicas y métodos para desarrollar análisis de riesgos basados en gestión y la planeación estratégica de la organización. MAGERIT ◆ 21 MAGERIT es una metodología de Análisis de Riesgos de carácter público elaborada por el Ministerio de Administraciones Públicas, siendo probablemente la metodología más utilizada en España. El nombre de MAGERIT responde a "Metodología de Análisis y Gestión de Riesgos de IT”. Metodologías para Gestión de Riesgos COSO ERM ◆ 22 Incluye los métodos y procesos utilizados por las organizaciones para gestionar los riesgos y aprovechar las oportunidades relacionadas con el logro de sus objetivos. Fuente: https://www.emprendedorinteligente.com/que-significa-coso-en-erm/ Proceso en la Gestión de Riesgos NOMBRAMIENTO DE RESPONSABLES ANÁLISIS DE LOS RIESGOS • Delegar a coordinación de labores. • Grupos de trabajo no mayores a 10 miembros. • Establecer una valoración y priorización de los riesgos. • Diseñar escalas cualitativas. 1 • • • • • DEFINICIÓN DE OBJETIVOS Objetivos del Proceso. Alcance. Difusión. Presupuesto. Recursos necesarios. 23 2 ALCANCE, CONTEXTO Y CRITERIOS 3 IDENTIFICACIÓN DE LOS RIESGOS 4 • Factores que influyen en los procesos. • Priorizar factores en EVALUACIÓN función del impacto. DEL RIESGO PLAN DE TRATAMIENTO 5 • • • • • • Mejora de los controles. Monitoreo. Actualización. Intervención. Corto plazo. Evaluaciones periódicas o auditorías. DEFINICIÓN DE LAS RESPUESTAS • • • • • Supresión. Transferencia. Mitigación. Explotación. Aceptación. 6 TRATAMIENTO DEL RIESGO Parámetros de Valoración de Riesgos Matriz de Valoración del Riesgo 24 Criterios de Aceptación del Riesgo In two or three columns 25 Yellow Blue Red Is the color of gold, butter and ripe lemons. In the spectrum of visible light, yellow is found between green and orange. Is the colour of the clear sky and the deep sea. It is located between violet and green on the optical spectrum. Is the color of blood, and because of this it has historically been associated with sacrifice, danger and courage. A picture is worth a thousand words A complex idea can be conveyed with just a single still image, namely making it possible to absorb large amounts of data quickly. 26 Use charts to explain your ideas White 27 Gray Black And tables to compare data A B C Yellow 10 20 7 Blue 30 15 10 5 24 16 Orange 28 89,526,124 Whoa! That’s a big number, aren’t you proud? 29 89,526,124$ That’s a lot of money 185,244 users And a lot of users 100% 30 Total success! Our process is easy first 31 second last Let’s review some concepts 32 Yellow Blue Red Is the color of gold, butter and ripe lemons. In the spectrum of visible light, yellow is found between green and orange. Is the colour of the clear sky and the deep sea. It is located between violet and green on the optical spectrum. Is the color of blood, and because of this it has historically been associated with sacrifice, danger and courage. Yellow Blue Red Is the color of gold, butter and ripe lemons. In the spectrum of visible light, yellow is found between green and orange. Is the colour of the clear sky and the deep sea. It is located between violet and green on the optical spectrum. Is the color of blood, and because of this it has historically been associated with sacrifice, danger and courage. Place your screenshot here Android project Show and explain your web, app or software projects using these gadget templates. 33 Place your screenshot here iPhone project Show and explain your web, app or software projects using these gadget templates. 34 Place your screenshot here Tablet project Show and explain your web, app or software projects using these gadget templates. 35 Place your screenshot here Desktop project Show and explain your web, app or software projects using these gadget templates. 36 Thanks! Any questions? You can find me at @username & [email protected] 37 Bibliografía ◆ ISOTools. Norma ISO 31000 El Valor de la Gestion de Riesgos en las Organizaciones. ISOTools Plataforma Tecnológica para la Gestión de la Excelencia. Recuperado de, https://www.isotools.org/pdfs-pro/ebook-iso-3 ◆ Yrigoyen, G. (2012). COBIT 5 Implementación COBIT 5 an ISACA Framework. Academia. Recuperado de, https://www.academia.edu/14438434/COBIT5_ Implementation_ Spanish ◆1000-gestion-riesgos-organizaciones.pdf 38 SlidesCarnival icons are editable shapes. This means that you can: ● Resize them without losing quality. ● Change fill color and opacity. ● Change line color, width and style. Isn’t that nice? :) Examples: 39 😉 Now you can use any emoji as an icon! And of course it resizes without losing quality and you can change the color. How? Follow Google instructions https://twitter.com/googledocs/status/730087240156643328 ✋👆👉👍👤👦👧👨👩👪💃🏃💑❤😂 😉😋😒😭👶😸🐟🍒🍔💣📌📖🔨🎃🎈 🎨🏈🏰🌏🔌🔑 and many more... 40