Documente Academic
Documente Profesional
Documente Cultură
Agenda
www.ongei.gob.pe
Introduccin
Definiciones
Enfoque a procesos
Que son los riesgos?
Gestin del Riesgo
Gestin de riesgos de seguridad de
la informacin
Norma ISO/IEC 27005
Norma ISO/IEC 31000
Metodologa de Gestin de Riesgos
Taller practico
Introduccin
Introduccin
www.ongei.gob.pe
Definiciones
Definiciones
ISO/IEC GUA 73:2009 (1.1)
Riesgo:
Efecto de la incertidumbre sobre la
consecucin de los objetivos.
NOTA 1 Un efecto es una desviacin, positiva y/o negativa,
respecto a lo previsto.
Definiciones
ISO/IEC GUA 73:2009 (2.1)
Definiciones
ISO/IEC GUA 73:2009 (2.1.1, 2.1.2, 2.1.3))
Marco de trabajo de la gestin del riesgo:
Conjunto de elementos que proporcionan los
fundamentos y las disposiciones de la
organizacin para el diseo, la implantacin, el
seguimiento, la revisin y la mejora continua de
la gestin del riesgo en toda la organizacin.
Poltica de gestin del riesgo:
Declaracin de las intenciones y orientaciones
generales de una organizacin en relacin con la
gestin del riesgo.
Plan de gestin del riesgo:
Esquema incluido en el marco de trabajo de la
gestin del riesgo que especifica el enfoque, los
componentes de gestin y los recursos a aplicar
para la gestin del riesgo).
Definiciones
ISO/IEC GUA 73:2009 (3.1)
Proceso de gestin del riesgo:
Aplicacin sistemtica de polticas,
procedimientos y prcticas de gestin a las
actividades de comunicacin, consulta,
establecimiento del contexto, e
identificacin, anlisis, evaluacin,
tratamiento, seguimiento y revisin del
riesgo.
Definiciones
ISO/IEC GUA 73:2009 (3.6.1, 3.6.1.1,3.6.1.2,3.6.1.5)
Anlisis del riesgo:
Proceso que permite comprender la naturaleza
del riesgo y determinar el nivel de riesgo).
Probabilidad (likehood):
Posibilidad de que algn hecho se produzca.
Exposicin:
Grado al que se somete una organizacin y/o
una parte interesada en caso de un suceso.
Consecuencia:
Resultado de un suceso que afecta a los
objetivos.
Frecuencia:
Nmero de sucesos o de efectos en una unidad
de tiempo definida.
Definiciones
ISO/IEC GUA 73:2009 (3.6.1.6,3.6.1.7,3.6.1.8)
Vulnerabilidad:
Propiedades intrnsecas de que algo
produzca como resultado una sensibilidad
a una fuente de riesgo que puede
conducir a un suceso con una
consecuencia .
Matriz de riesgo:
Herramienta que permite clasificar y
visualizar los riesgos , mediante la
definicin de categoras de
consecuencias y de su probabilidad.
Nivel de riesgo:
Magnitud de un riesgo o combinacin de
riesgos, expresados en trminos de la
combinacin de las consecuencias y de
su probabilidad.
ONGEI - Seguridad de la Informacin
Definiciones
ISO/IEC GUA 73:2009 (3.7.1,3.7.1.1,3.7.1.2)
Evaluacin del riesgo:
Proceso de comparacin de los resultados
del anlisis del riesgo con los criterios
de riesgo para determinar si el riesgo y/o
su magnitud son aceptables o tolerables.
Actitud ante el riesgo:
Enfoque de la organizacin para apreciar
un riesgo y eventualmente buscarlo,
retenerlo, tomarlo o rechazarlo.
Definiciones
ISO/IEC GUA 73:2009 (3.7.1.3,3.7.1.4,3.7.1.5,3.7.1.6)
Tolerancia al riesgo:
Disponibilidad de una organizacin o de las
partes interesadas para soportar el riesgo
despus del tratamiento del riesgo con objeto
de conseguir sus objetivos.
Aversin al riesgo:
Actitud de rechazar el riesgo
Agregacin de riesgos:
Combinacin de un nmero de riesgos en un
solo riesgo para desarrollar una comprensin
ms completa del riesgo general.
Enfoque a
Procesos
Enfoque a procesos
ISO 9000 (2.4)
Cualquier actividad, o conjunto de
actividades, que utiliza recursos para
transformar elementos de entrada en
resultados puede considerarse como un
proceso.
Enfoque a procesos
Qu es un proceso?
Un proceso es un conjunto de actividades recurrentes mediante
las cuales se transforma un grupo de entradas en un grupo de
salidas valiosas para un cliente (interno o externo)
Enfoque a procesos
Ejemplo de procesos
Ventas
Compras
Produccin
Presupuesto
Cierre Contable
Enfoque a procesos
Detalle de procesos
MacroProcesos
Gestin
Logstica
Enfoque a procesos
Enfoque a procesos
Ejemplo 1: Proceso Comercial (simple)
Enfoque a procesos
Enfoque a procesos
Ejemplo 2: Proceso Abastecimiento
Trabajo individual
5 minutos
Enfoque a procesos
Ejemplo 2: Proceso Abastecimiento
Enfoque a procesos
Ejemplo 2: Proceso Abastecimiento
Enfoque a procesos
Procesos y estructura
Enfoque a procesos
Elementos de un Proceso
En todos los casos debemos:
1. Identificar el objetivo del proceso
2. Identificar el cliente (interno o externo)
3. Identificar el desde y el hasta (alcance)
4. Identificar las entradas
5. Definir los sub procesos, actividades, etapas,
etc. (Niveles de detalle)
6. Describirlos (presentando las interrelaciones)
7. Identificar las salidas
ONGEI - Seguridad de la Informacin
Enfoque a procesos
Ejemplo de elementos de un Proceso de compras
Objetivo: Gestionar las compras de insumos y materiales necesarios para
realizar las actividades de la empresa, en tiempo y forma, cumpliendo adems
con las especificaciones de calidad, precios, fecha y lugar de entrega.
Entradas: Pedido de insumos de las distintas reas de
la empresa
Actividades principales:
Solicitar cotizaciones
Seleccionar proveedor
Recepcionar y controlar insumos
Entregar insumos al Area solicitante de la empresa
Pagar al Proveedor
Enfoque a procesos
Ejemplo de elementos de un Proceso de compras
Tareas de Solicitar una cotizacin:
Buscar datos de los proveedores
Completar el formulario de pedido de cotizacin
Enviar por fax a cada proveedor
Archivar el pedido de cotizacin
Enfoque a procesos
Herramientas para la descripcin de Procesos
Tabla de actividades por rea interviniente
Enfoque a procesos
Herramientas para la descripcin de Procesos
Representacin grfica (Flujograma)
Enfoque a procesos
Herramientas para la descripcin de Procesos
Dibujogramas
Enfoque a procesos
Categoras de Procesos
Enfoque a procesos
Cadena de Valor
La CADENA de VALOR es una forma de representar al MODELO de PROCESOS
de la empresa
Enfoque a procesos
Mapa de Procesos
Probabilidad
1=Muy baja
2=Baja
3=Mediana
4=Alta
5=Muy Alta
Probabilidad
Probabilidad
Peligro
y Riesgo
Muy baja
Baja
Mediana
Alta
Muy Alta
Gestin del
Riesgo
Planificar
Implementar
Controlar y
Tomar accin para la mejora continua.
Instinto Natural.
Gestin de Prstamos.
Siglo 17: Primeros aseguradores, el riesgo como negocio.
1963: los profesores de la Universidad de Illinois, Robert Mehr and Bob
Hedges, publican Risk Management in the Business Enterprise.
Gestin de Riesgos = Gestin de Seguros (Riesgos Puros).
1970: riesgos financieros y de mercado. Enfoque de silos.
1980 y 1990: Gestin de riesgo parte de objetivos estratgicos y creacin de valor
para el accionista.
2000: grandes fraudes Enron, WorldCom.
Mayor enfoque en control financiero y contable, Gobierno Corporativo,
LeySabarnes-Oxley, COSO, FERMA, ANZI.
Enfoque holstico, parte fundamental del planeamiento, estrategia y reporte de las
empresas. Surge el concepto EWRM.
2009: aparece ISO 31000 como norma unificada.
Gestin de riesgos de
seguridad de la
informacin
Gestin de Riesgo de la SI
Seguridad de la informacin Por qu?
Porque el negocio se sustenta a partir de la informacin que maneja.
Porque no slo es un tema tecnolgico.
Porque la seguridad de la informacin tiene un costo, pero la
inseguridad tiene un costo an mayor.
Principales fallas de seguridad
Gestin de Riesgo de la SI
Seguridad de la informacin Por qu?
Gestin de Riesgo de la SI
Activo de Informacin
Activo de informacin: Los activos de informacin generan,
procesan y/o almacenan la informacin necesaria para la
operacin y el cumplimiento de los objetivos de la compaa
Tiene valor para la compaa.
Procesos
Documentos fsicos y electrnicos
Software
Hardware
Personas
Gestin de Riesgo de la SI
Riesgo de SI
Riesgo de Seguridad de la
Informacin: El potencial de que
una amenaza dada explote las
vulnerabilidades de un activo o
grupo de activos, causando
prdida o dao a la organizacin
[ISO/IEC 27005:2008]
Combinacin de la probabilidad
de un evento y sus consecuencias
[ISO/IEC 27002:2005]
ONGEI - Seguridad de la Informacin
Gestin de Riesgo de la SI
Riesgo de SI
Gestin de Riesgo de la SI
Principios o pilares de la SI
La siguientes son las atributos de seguridad
de la informacin:
INFORMACION
DISPONIBILIDAD
Norma
ISO/IEC 27005
Admisin de Riesgos
Seguridad de la informacin.
Comunicacin de riesgos de seguridad
de informacin.
Informacin de seguridad Seguimiento
de Riesgos y Revisin.
Anexo A: Definicin del alcance del
proceso.
Anexo B: Valoracin de activos y
evaluacin de impacto.
Anexo C: Ejemplos de amenazas
tpicas.
Anexo D: Las vulnerabilidades y
mtodos de evaluacin de la
vulnerabilidad.
Anexo E: Enfoques ISRA
Norma
ISO/IEC 31000
1.
2.
3.
4.
5.
Alcance
Trminos y definiciones
Principios
Framework
Procesos
Metodologa de
Gestin de
Riesgos
Taller Practico
No olvide
Muchas Gracias
Contacto:
Ing. CIP Maurice Frayssinet Delgado
mfrayssinet@gmail.com
Telfono rpm # 963-985-125
www.ongei.gob.pe