Professional Documents
Culture Documents
Tecnológicos y los
Desafíos de la Privacidad
de la Información.
Hablemos - Preguntas
Evolución de la tecnología
CONVERGENCIA
COMPUTACION
COMUNICACIONES
• Globalidad y jurisdicción
• Cambio de rol de los usuarios
• Poca madurez digital!
• Aparición de nuevos dispositivos
• Cambio en las prácticas de las organizaciones
• Cambio en las prácticas de los individuos
• Big data
• Internet de las cosas.
• Trazabilidad de movimientos-> Geolocalización
• Nueva tipología de delitos (phising)
Las tecnologías emergentes cambian todo,
como trabajamos, como vivimos, como nos
comunicamos
• Virus,
• Worm,
• Trojan Horse,
• Bombas lógicas,
• Ingeniería social,
• Phishing = email falsos,
• Pharming = Web falsas,
• Rootkits,
• Botnets / Zombies, etc., etc., …
Facilitadores
Packet forging/
spoofing
Alto
Stealth diagnostics
Sweepers
Sofisticación de
Back
doors herramientas
Sniffers
Exploiting known
vulnerabilities Hijacking
sessions
Disabling
audits
Self replicating
code
Password
cracking Conocimiento
requerido
Password
guessing
Cliente Banco
Lo tradicional ya no sirve
Security Risk Management
TECNOLOGIA
¿Cómo establecer y mantener
una infraestructura confiable y
segura, acorde a estándares y
cumpliendo regulaciones?
26
Y debemos gestionarlo
Negocios
Probabilidad Amenazas
Riesgo
Frecuencia
El gran reto es la complejidad del Residual
problema que se enfrenta.
Activos Riesgo
Hay muchos elementos que considerar Análisis de
y si no se es muy riguroso, las Riesgo de TI
conclusiones serán de poca utilidad.
Riesgo
Impacto
Repercutido
Riesgo
Degradación
Acumulado
Controles Valoración
Conocer el riesgo al que están sometidos los
recursos de TI es imprescindible para
gestionarlos y tomar acciones y decisiones
acertadas
Evaluar el mapa de riesgos
Riesgos
• Riesgo de mercado
Otros • Riesgo de crédito Riesgo
Riesgos • Riesgo de tasa de interés Operacional
• Riesgo de moneda
• Procesos de negocio
Riesgos • Personas y capacidades Riesgos
No de IT • Medio ambiente de IT
• Infraestructura física
• Cyber Crimen • Cambios de • Arq. distribuidas • Crecimiento del • Fallas de hardware • Regulaciones
configuración negocio y/o software
• Fraude interno • Picos de demanda • Políticas corporativas
• Falta de redundancia • Cuellos de botella • Amenazas externas
• Cyber terrorismo • Diversidad tecnológica • Leyes
• Errores humanos • Arquitecturas • Desastres naturales
obsoletas • Política interna
Gestión de los riesgos
Elementos del riesgo
Políticas de
Buena seguridad pues
control y
prevenir algunos
seguridad
ataques
Amenazas
no nocivas
Una pobre
política de
Métodos y
seguridad puede
herramientas
permitir ataques
ACTIVOS
Amenazas Motivos y Métodos y
nocivas objetivos herramientas
Vulnerabilidades
Métodos y
herramientas
Sin políticas de seguridad podría
ser problemático
Eventos
naturales
Seamos metódicos, y …
Riesgo
… gestionemos los riesgos
aprovecha
indica
Cubierto por
Demos definiciones
aprovecha
Preliminarmente debe considerarse como parte
inicial, entre otros aspectos, la identificación de
los activos relevantes y críticos, para los que de
materializarse un evento de riesgo, puedan
alterar el normal funcionamiento, como
Protege contra
así
incrementa
incrementa confidencialidad y
atentar contra la integridad, expone
disponibilidad de los datos relevantes de la
organización.
mitiga Impacta contra
Entre los activos a considerar: Riesgo
Departmentos
Finanzas Registros
de IT
aprovecha
Debe analizarse la no existencia de
vulnerabilidades que expongan a los activos
considerados como críticos o relevantes.
La mera
Protege contra existencia de una vulnerabilidad,
incrementa
incrementa
no constituye una debilidad a no ser que la expone
misma exponga a niveles no aceptados de
riesgo a los activos antes mencionados.
mitiga Impacta contra
La detección de una vulnerabilidad Riesgo
debe
acompañar un procesos de análisis del
impacto que puede ocasionar su existencia;
si el daño potencia que indica
puede causar, no
Cubierto impacta
por en los activos críticos, la misma –
inicialmente – no reviste un nivel de
debilidad importante.
Vulne que ???
Vulnerabilidad
Vulnerabilidad
Vulnerable a las amenazas !!!
Enaprovecha
términos particulares, una amenaza es
todo aquello que tenga una posibilidad o
probabilidad de ocurrir, como causante de
daño. Y el riesgo es el producto de la
ocurrencia de la amenaza y su
Protege contra incrementa
incrementa consecuencia. Sin la ocurrencia de
amenazas el riesgo sería cero. expone
Amenazas
Vulnerabilidad
Vulnerabilidad
Riesgo, riesgo …
aprovecha
Infraestructura Riesgo es el daño
potencial que puede surgir
por un suceso presente o
Seguridad TI/SI suceso futuro. Diariamente
Protege contra incrementa en ocasiones se lo utiliza
incrementa
Gestión/Control como sinónimo exponede
probabilidad, pero el riesgo
combina la probabilidad de
Auditoría
mitiga quecontra
Impacta ocurra un evento
Riesgo negativo con cuanto daño
Integridad dicho evento causaría
(impacto). Es decir, en
Continuidad indica palabras claras, el riesgo
Cubierto por es la posibilidad de que un
peligro pueda llegar a
Proveedores materializarse.
Qué me va a pasar, si nunca paso
nada
Amenazas
Vulnerabilidad
Vulnerabilidad
Medición de impacto
IMPACTO
Insignificante Bajo Serio Muy Serio Grave
Mapeo de los riesgos
Posibilita que los riesgos sean ordenados para identificar las prioridades de acción
Matrices
Matriz de riesgo
Nos centramos en los riesgos que tienen una alta probabilidad de ocurrencia y de alto impacto
Alto
Prestamos atención
sobre el diagonal.
Impacto
Medio
Nuestra estrategia de
gestión de riesgos
conduce por debajo
Bajo de la diagonal.
Probabilidad
Priorizar esfuerzos de remediación
Riesgo • Control
CONTROL
Mitigar
Muy Alto • Falta de criterios de control de acceso
Aceptar
Bajo • Longitud mínima de clave de 6 caracteres
Métodos de evaluación
cualitativos
Gestión y
Métodos de evaluación semi-
categorización cuantitativos.
de riesgos Diagramas de procesos.
Cuestionarios de Auto-
Evaluación.
VaR cualitativo.
Indicadores (KRI, KPI, KGI).
Metodología Metodología
cualitativa cuantitativa
Métodos de evaluación
Integración de cuantitativos
metodologías Básicos estándar, avanzado,
otros.
Identificación y recogida de
eventos.
Identificación / conciliación
contable.
Determinación exposición VaR cuantitativo.
al riesgo
Dos métodos para gestionar el riesgo
Modelami Cálculo de
Mapping Captura de
ento Fase
riesgos x datos y VaR
frecuencia Sustentaci
línea de conciliacio cuantitativ
se ón
negocios nes o
impactos
El objetivo final de la
gestión cuantitativa del
riesgo operativo es la
posibilidad de calcular el
Valor Económico en
Riesgo a causa de los
eventos de pérdida y
constituir reservas de
Distrib de pérdidas de A
VaR A
VaR B
EL UL
Gestionar el riesgo
Planificación
Seguimiento y
de la Gestión
control
de Riesgos
Planificación
Identificación
de Respuesta
de Riesgos
a los Riesgos
Análisis Análisis
Cualitativo Cuantitativo
Nos ponemos a controlar
Amenazas
Vulnerabilidad
Vulnerabilidad
Comportamiento de los controles
Amenaza
Control Control
Disuasivo Crea Correctivo
Reduce Disminuyen
probabilidad de
Explota
Control
Riesgo Vulnerabilidad
Detectivo Descubre
Genera
Alimenta
Protege
Control
Impacto
Preventivo Reduce
Mejor nos ponemos a controlar
indica
Cubierto por
Si algo puede salir mal…saldrá mal
Riesgo
Acción de
Contingencia
Entrenamiento
Verificación,
Análisis de y Cumplimiento
Identificación Implementació Evaluación,
Riesgos y fortalecimiento de las Políticas
y clasificación n de Controles Seguimiento a
Plan de del y controles de
de Activos de de Seguridad la efectividad
Tratamiento conocimiento Seguridad de la
Información de Información de los
de Riesgos en Seguridad Información
Controles
de Información
61
MOMENTO DE PREGUNTAS
MUCHAS GRACIAS