La Gestión de los Riesgos

Tecnológicos y los
Desafíos de la Privacidad
de la Información.

Marcelo Hector Gonzalez, CISA, CRISC

La tecnología en la empresa y el hogar

¿Conocemos el alcance de los que hacemos?

El riesgo de la tecnología y la privacidad

Conocer, accionar, controlar

Hablemos - Preguntas
 Evolución de la tecnología

CONVERGENCIA

COMPUTACION

COMUNICACIONES

1985 1990 1995 2000 20….

Un mundo pequeño – Todos con todos
 Gestión de la privacidad e identidad
digital

• Cada vez que publicamos algo en una

red social perdemos el control sobre
ese contenido. !!Aunque lo
borremos!!.
• Perdemos control de los que otros
publican de nosotros.
• Ser conscientes de la “identidad
digital”.
• Que información colectan las redes
sociales de nosotros y comparten con
otros. ¿Sabemos?
• Permisos en las aplicaciones.
• ¿Por que los móviles cada vez mas no
se les puede remover la batería?.
 Derecho de Protección de Datos
Personales en el Mundo

Los países latinoamericanos con reconocimiento en sede

constitucional del derecho a la protección de datos personales: Perú,
Venezuela, Argentina, Brasil, Colombia, Ecuador, Guatemala,
Nicaragua y México.

Tiene leyes de protección de datos personales a nivel federal y

provincial.

Tiene regulaciones sectoriales “Privacy Act” (safe harbour), pero no

reconoce el derecho como tal, ni cuenta con una autoridad
independiente en la materia.

• Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal:

• Autoridad independiente: Agencia Española de Protección de Datos.
 Un mundo pequeño – Todos con todos

El contexto, internet y el desarrollo de las redes sociales están

cambiando la importancia del marco legal en el que se desarrollan las
comunicaciones.

• Globalidad y jurisdicción
• Cambio de rol de los usuarios
• Poca madurez digital!
• Aparición de nuevos dispositivos
• Cambio en las prácticas de las organizaciones
• Cambio en las prácticas de los individuos
• Big data
• Internet de las cosas.
• Trazabilidad de movimientos-> Geolocalización
• Nueva tipología de delitos (phising)
 Las tecnologías emergentes cambian todo,
como trabajamos, como vivimos, como nos
comunicamos

¿Cómo evoluciona el comportamiento de las

empresas y de sus clientes?

Algunas organizaciones fallarán,

otras sobrevivirán, y otras
evolucionarán.
 “Internet of Things”

Los consumidores ahora controlan cosas

como cerraduras de las puertas,
termostatos y dispositivos de
acondicionamiento físico a través de los
sensores y las redes que conectan a casi
cualquier cosa a un teléfono inteligente.
¿Se quedarán fuera los bancos?.
 “Internet of Things”

Los clientes realizarán sus

transacciones financieras desde
cualquier dispositivo de su hogar.

Es más un segmento de ellos ya

intentan realizarlas.
Amenazas en el Internet of Things
 “Organization of Things”

Entorno “algo” controlado Entorno casi incontrolado

 Nos siempre nos adaptamos al ritmo
necesario

La constante innovación tecnología produce una

constante introducción de nuevos riesgos.
Siempre con nuevas amenazas
Siempre con nuevas amenazas
 Riesgos del Social Networking

Fan, Friend or Foe?

 Amenazas de punta

• Virus,
• Worm,
• Trojan Horse,
• Bombas lógicas,
• Ingeniería social,
• Phishing = email falsos,
• Pharming = Web falsas,
• Rootkits,
• Botnets / Zombies, etc., etc., …
 Facilitadores

• Internet permite atacar desde cualquier parte del planeta.

• De acuerdo a www.SANS.org, las principales causas de

vulnerabilidades para el fraude informático y cyber crimen,
son:

– Problemas en Web Browser,

– Clientes de IM (Instant Messaging),
– Aplicaciones Web,
– Excesivos derechos de usuarios.
Perspectiva global
Pérdida de Privacidad
Lo peor, ya no sólo le pasa al otro
 Más nocivas con mayor facilidad

Packet forging/
spoofing
Alto
Stealth diagnostics

Sweepers
Sofisticación de
Back
doors herramientas
Sniffers
Exploiting known
vulnerabilities Hijacking
sessions
Disabling
audits
Self replicating
code
Password
cracking Conocimiento
requerido
Password
guessing

Bajo 1980 2000 20..

 Y que nos puede pasar

Pérdida de Privacidad Denegación de Servicio

Aquí hay info financiera Les hago perder mucho

con esta baja de servicio

Falsa Identidad Pérdida de Integridad

Soy el director de Deposito $100 Deposito $ 1000
finanzas, hágame la
transferencia a la
cuenta ahora.

Cliente Banco
Lo tradicional ya no sirve
 Security Risk Management

• Riesgo = Función (Amenaza, Impacto)

• Gestión del Riesgo:

– Valoración del Riesgo.
• Calculo del riesgo.
– Manejo del riesgo:
• Mitigación, Aceptación, Transferencia, Ignorar.
– Tolerancia al riesgo.

• Implementar y mantener un conjunto de controles:

– Administrativos, técnicos y controles físicos.
 Hay un gran desafío

NEGOCIO ¿Cual es el punto justo?

¿Cómo utilizar las modernas

tecnologías para obtener
beneficios?

TECNOLOGIA
¿Cómo establecer y mantener
una infraestructura confiable y
segura, acorde a estándares y
cumpliendo regulaciones?

26
 Y debemos gestionarlo

Negocios
Probabilidad Amenazas

Riesgo
Frecuencia
El gran reto es la complejidad del Residual
problema que se enfrenta.
Activos Riesgo
Hay muchos elementos que considerar Análisis de
y si no se es muy riguroso, las Riesgo de TI
conclusiones serán de poca utilidad.
Riesgo
Impacto
Repercutido

Riesgo
Degradación
Acumulado

Controles Valoración
Conocer el riesgo al que están sometidos los
recursos de TI es imprescindible para
gestionarlos y tomar acciones y decisiones
acertadas
 Evaluar el mapa de riesgos

Riesgos

• Riesgo de mercado
Otros • Riesgo de crédito Riesgo
Riesgos • Riesgo de tasa de interés Operacional
• Riesgo de moneda

• Procesos de negocio
Riesgos • Personas y capacidades Riesgos
No de IT • Medio ambiente de IT
• Infraestructura física

Riesgo de Riesgo de Riesgo de Riesgo de Riesgo de Riesgo de

seguridad disponibilidad rendimiento escalabilidad recuperación cumplimiento

• Cyber Crimen • Cambios de • Arq. distribuidas • Crecimiento del • Fallas de hardware • Regulaciones
configuración negocio y/o software
• Fraude interno • Picos de demanda • Políticas corporativas
• Falta de redundancia • Cuellos de botella • Amenazas externas
• Cyber terrorismo • Diversidad tecnológica • Leyes
• Errores humanos • Arquitecturas • Desastres naturales
obsoletas • Política interna
Gestión de los riesgos
 Elementos del riesgo

Amenaza + Motivo + Método + Vulnerabilidad = RIESGO

Políticas de
Buena seguridad pues
control y
prevenir algunos
seguridad
ataques

Amenazas
no nocivas

Una pobre
política de
Métodos y
seguridad puede
herramientas
permitir ataques

ACTIVOS
Amenazas Motivos y Métodos y
nocivas objetivos herramientas

Vulnerabilidades

Métodos y
herramientas
Sin políticas de seguridad podría
ser problemático
Eventos
naturales
 Seamos metódicos, y …

Riesgo
 … gestionemos los riesgos

aprovecha

Protege contra incrementa

incrementa
expone

mitiga Impacta contra

Riesgo

indica
Cubierto por
 Demos definiciones

aprovecha
Preliminarmente debe considerarse como parte
inicial, entre otros aspectos, la identificación de
los activos relevantes y críticos, para los que de
materializarse un evento de riesgo, puedan
alterar el normal funcionamiento, como
Protege contra
así
incrementa
incrementa confidencialidad y
atentar contra la integridad, expone
disponibilidad de los datos relevantes de la
organización.
mitiga Impacta contra
Entre los activos a considerar: Riesgo

Aplicativos de negocio considerados

relevantes (Aplicaciones);
indica

Estructura tecnológica que los soporta
Cubierto por
(Recursos de TI);

Información que los mismos administran
(Datos),

Funciones de soporte.
 ¿Tienen valor las cosas o no?

Para ser más claros en el concepto

de activo podemos mencionar que el
término proviene de la contabilidad,
siendo algo que se posee y que tiene
valor y que además puede generar
valor.

Este caso grafico, el computador es

un activo, pero también lo es el
software que contiene, los datos que
en el disco se almacenan, planillas,
fotos, videos, y otros mas.

Estos activos enunciados, pueden

tener un valor de mercado, o un valor
pero solo para el propietario.
 Dar relevancia a los activos

Departmentos
Finanzas Registros
de IT

Gestión de Aspectos Servicios Ingreso de

Riesgos Legales Al Cliente datos

Oracle Requerimientos End User

Windows Security Officer CFO Windows 7
 Somos todos vulnerables

aprovecha
Debe analizarse la no existencia de
vulnerabilidades que expongan a los activos
considerados como críticos o relevantes.

La mera
Protege contra existencia de una vulnerabilidad,
incrementa
incrementa
no constituye una debilidad a no ser que la expone
misma exponga a niveles no aceptados de
riesgo a los activos antes mencionados.
mitiga Impacta contra
La detección de una vulnerabilidad Riesgo
debe
acompañar un procesos de análisis del
impacto que puede ocasionar su existencia;
si el daño potencia que indica
puede causar, no
Cubierto impacta
por en los activos críticos, la misma –
inicialmente – no reviste un nivel de
debilidad importante.
 Vulne que ???

Vulnerabilidad

Vulnerabilidad
 Vulnerable a las amenazas !!!

Enaprovecha
términos particulares, una amenaza es
todo aquello que tenga una posibilidad o
probabilidad de ocurrir, como causante de
daño. Y el riesgo es el producto de la
ocurrencia de la amenaza y su
Protege contra incrementa
incrementa consecuencia. Sin la ocurrencia de
amenazas el riesgo sería cero. expone

Desde un punto de vista probabilístico

mitiga frecuencial, una Impacta
amenazacontra no puede ser
Riesgo
considerada un riesgo sin al menos un
incidente específico donde la amenaza se
haya concretado.
indica
Cubierto por
 No pasa nada … ¿o si?

Amenazas
Vulnerabilidad

Vulnerabilidad
 Riesgo, riesgo …

aprovecha
Infraestructura Riesgo es el daño
potencial que puede surgir
por un suceso presente o
Seguridad TI/SI suceso futuro. Diariamente
Protege contra incrementa en ocasiones se lo utiliza
incrementa
Gestión/Control como sinónimo exponede
probabilidad, pero el riesgo
combina la probabilidad de
Auditoría
mitiga quecontra
Impacta ocurra un evento
Riesgo negativo con cuanto daño
Integridad dicho evento causaría
(impacto). Es decir, en
Continuidad indica palabras claras, el riesgo
Cubierto por es la posibilidad de que un
peligro pueda llegar a
Proveedores materializarse.
 Qué me va a pasar, si nunca paso
nada

Amenazas
Vulnerabilidad

Vulnerabilidad
 Medición de impacto

Medir el impacto de un riesgo.

IMPACTO
Insignificante Bajo Serio Muy Serio Grave
 Mapeo de los riesgos

Posibilita que los riesgos sean ordenados para identificar las prioridades de acción
Matrices
 Matriz de riesgo

Nos centramos en los riesgos que tienen una alta probabilidad de ocurrencia y de alto impacto

Matriz de impacto /probabilidad

Alto

Prestamos atención
sobre el diagonal.
Impacto

Medio
Nuestra estrategia de
gestión de riesgos
conduce por debajo
Bajo de la diagonal.

Remoto Posible Probable

Probabilidad
 Priorizar esfuerzos de remediación

Riesgo • Control
CONTROL

Mitigar
Muy Alto • Falta de criterios de control de acceso

• Pobre campaña de concienciación de

Alto seguridad Apetito de riesgo
• Falta de dos factores para acceso al data
Médio center.

Aceptar
Bajo • Longitud mínima de clave de 6 caracteres

Muy Bajo • Ingresos BYOD

 Metodologías aplicadas para medir
riesgos

Métodos de evaluación
cualitativos
Gestión y

Métodos de evaluación semi-
categorización cuantitativos.
de riesgos
Diagramas de procesos.

Cuestionarios de Auto-
Evaluación.

VaR cualitativo.

Indicadores (KRI, KPI, KGI).
Metodología Metodología
cualitativa cuantitativa

Métodos de evaluación
Integración de cuantitativos
metodologías
Básicos estándar, avanzado,
otros.

Identificación y recogida de
eventos.

Identificación / conciliación
contable.
Determinación exposición
VaR cuantitativo.

al riesgo
 Dos métodos para gestionar el riesgo

• Los métodos cualitativos facilitan el anticiparse, es decir son un medio

de análisis del tipo Ex – Ante.
• Permiten gestionar el RO identificando factores de riesgo (sin que
Cualitativos necesariamente se hayan producido eventos).
• Ejemplo: identificación del riesgo mediante cuestionarios (por ej.
detectar que no tenemos plan de continuidad para una actividad
concreta).

• Los métodos cuantitativos se basan en la experiencia, en lo real. Son

un medio de medición e inferencia del tipo Ex – Post.
Cuantitativos
• Permiten gestionar el RO en base a los eventos ocurridos en el pasado.
• Ejemplo: la gestión del fraude en tarjetas de debito/crédito es ex-post.
 Evaluación cualitativa de riesgos

Modelos y Desarrollo Definición

diagramas de check- Calculo del Fase
de
Fase inicio de list de VaR Sustentació
indicadores
procesos a auto- cualitativo n
alto nivel evaluación KRIs y KPIs

• Acuerdos • Identificar y evaluar • Modelos • Determinación • Determinación • Reporte

internos para la cuantitativamente detallados de de los valores de KPI, KGI, KRI • Monitoreo
aplicación de la los riesgos riesgos y controles máximos a • CMM, CMMI, • Mejora continua de
metodología operacionales según escenarios riesgo (el peor indicadores de procesos de
escogida (personas, procesos, • Desarrollo de escenario) e gestión de evaluación y
• Venta interna sistemas y sucesos soportes impacto medio proyectos. gestión de riesgos
• Comunicación externos). automatizados • VaR:Simulació • Paneles de • Mejora continua
• Entrevistas • Determinar calidad con herramientas n de control y Alertas gestión flujos de
preliminares de controles de SW Montecarlo trabajo
• Talleres de • Determinar y • Auto evaluación • Frecuencia:
preparación acordar de la línea Distribución de
• Pre modelado responsabilidades • Estimación Poisson
• Determinar reporte cuantitativa de • Impacto:
de riesgos impacto y Distribución
• Determinar apetito probabilidad Weibull
el riesgo
 Evaluación cuantitativa de riesgos

Modelami Cálculo de
Mapping Captura de
ento Fase
riesgos x datos y VaR
frecuencia Sustentaci
línea de conciliacio cuantitativ
se ón
negocios nes o
impactos

• Eventos de pérdida • Capturas de datos • Ajuste de la • Cálculo de VaR • Reporte

para cada riesgo por de eventos de distribución de Cuantitativo • Monitoreo
línea de negocio perdida a modelar frecuencias (99,9% / 1 año) • Mejora continua
• Conciliación de (Poisson, mediante de de procesos de
series de datos Binomial Binomial distribuciones evaluación y
con la Negativa) utilizando gestión de riesgos
contabilidad • Ajuste de la simulaciones • Mejora continua
• Posibilidad de distribución de de tipo Monte gestión flujos de
incorporar series severidades Carlo trabajo
de datos externos (Weibull, • Obtención de
• Determinación de Lognormal, pérdidas
rangos y umbrales Exponencial, etc.) esperadas e
de datos • Consideración de inesperadas
distintas técnicas • KRIs
de mitigación de
riesgos
• Strees testing
• Back testing
 Evaluación cuantitativa de riesgos

El objetivo final de la
gestión cuantitativa del
riesgo operativo es la
posibilidad de calcular el
Valor Económico en
Riesgo a causa de los
eventos de pérdida y
constituir reservas de
Distrib de pérdidas de A

capital para ello.

Distrib de pérdidas de B

VaR A
VaR B

Media A Media B B Percentil 99o. A Percentil 99o.

Pérdida anual agregada
OpVaR_99.9 ($)

EL UL
 Gestionar el riesgo

Planificación
Seguimiento y
de la Gestión
control
de Riesgos

Planificación
Identificación
de Respuesta
de Riesgos
a los Riesgos

Análisis Análisis
Cualitativo Cuantitativo
 Nos ponemos a controlar

Los controles deben limitar o mitigar los

aprovecha
efectos que puedan materializarse a causa
de una vulnerabilidad existente.

Cuando se detecte una vulnerabilidad, que

Protege contra incrementa
primariamente se considera una debilidad,
incrementa
debe analizarse la existencia de controles
expone

programados y documentados, que logren

mitigar a niveles aceptables el riesgo
mitiga potencial. Impacta contra
Riesgo
Los controles, pueden ser de varias clases
como se grafican en el próximo slide, y
indica ellos deben estar formalmente
Cubierto por documentados y fácilmente evidenciables.
 Mejor prever que curar

Amenazas
Vulnerabilidad

Vulnerabilidad
 Comportamiento de los controles

Amenaza

Control Control
Disuasivo Crea Correctivo

Reduce Disminuyen
probabilidad de

Explota
Control
Riesgo Vulnerabilidad
Detectivo Descubre

Genera
Alimenta
Protege

Control
Impacto
Preventivo Reduce
 Mejor nos ponemos a controlar

Los requerimientos de seguridad son

aprovecha
aquellas definiciones o políticas de alto
nivel, que apuntan a contar con controles
de distintas categorías, a efectos de
detectar, reducir y mitigar la ocurrencia
Protege contra material deincrementa
un evento de riesgo.
incrementa
expone
Los requerimientos de seguridad y control,
deben haber surgido de análisis previos de
mitiga
vulnerabilidades yImpacta
eventos que potencien el
contra
riesgo,
Riesgode lo contrario pueden ser muy
generales, “sub” o “sobre” dimensionados.

indica
Cubierto por
 Si algo puede salir mal…saldrá mal

Evento o condición incierta

Riesgo

Acción de Acciones se realizan una vez que

Mitigación el riesgo se materializó

Acción de
Contingencia

Acciones que se planifican para

abordar el riesgo
 Perspectiva inicial

Ver Apuntar Decidir

Evitar Transferir Aceptar

Mitigar
 Que hacer ¡¡¡

Entrenamiento
Verificación,
Análisis de y Cumplimiento
Identificación Implementació Evaluación,
Riesgos y fortalecimiento de las Políticas
y clasificación n de Controles Seguimiento a
Plan de del y controles de
de Activos de de Seguridad la efectividad
Tratamiento conocimiento Seguridad de la
Información de Información de los
de Riesgos en Seguridad Información
Controles
de Información

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Sin cultura, el resto no importa
 Y por último, frase para pensar

61
MOMENTO DE PREGUNTAS

MUCHAS GRACIAS