Taller Gestion de Riesgos PDF

Taller de Gestin de Riesgos
Ing. CIP Maurice Frayssinet Delgado

LI 27001, LA 27001
Oficina Nacional de Gobierno Electrnico e Informtica
Agenda
www.ongei.gob.pe
Introduccin
Definiciones
Enfoque a procesos
Que son los riesgos?
Gestin del Riesgo
Gestin de riesgos de seguridad de
la informacin
Norma ISO/IEC 27005
Norma ISO/IEC 31000
Metodologa de Gestin de Riesgos
Taller practico
ONGEI - Seguridad de la Informacin
Introduccin
Introduccin
www.ongei.gob.pe
La gestin del Riesgo

La gestin de riesgos (traduccin del ingls Risk management)
es un enfoque estructurado para manejar la incertidumbre relativa
a una amenaza, a travs de una secuencia de actividades.
Las estrategias incluyen transferir el riesgo a otra parte, evadir el
riesgo, reducir los efectos negativos del riesgo y aceptar algunas
o todas las consecuencias de un riesgo particular.
Algunas veces, el manejo de riesgos se centra en la contencin
de riesgo por causas fsicas o legales (por ejemplo, desastres
naturales o incendios, accidentes, muerte o demandas).
Por otra parte, la gestin de riesgo financiero se enfoca en los
riesgos que pueden ser manejados usando instrumentos
financieros y comerciales
Definiciones
Definiciones
ISO/IEC GUA 73:2009 (1.1)
Riesgo:
Efecto de la incertidumbre sobre la
consecucin de los objetivos.
NOTA 1 Un efecto es una desviacin, positiva y/o negativa,
respecto a lo previsto.
NOTA 2 Los objetivos pueden tener diferentes aspectos

(tales como financieros, de salud y seguridad, o ambientales)
y se pueden aplicar a diferentes niveles (tales como, nivel
estratgico, nivel de un proyecto, de un producto, de un
proceso o de una organizacin completa).
NOTA 3 Con frecuencia, el riesgo se caracteriza por
referencia a sucesos potenciales y a sus consecuencias , o a
una combinacin de ambos.
NOTA 4 Con frecuencia, el riesgo se expresa en trminos de
combinacin de las consecuencias de un suceso (incluyendo
los cambios en las circunstancias) y de su probabilidad
(3.6.1.1).
NOTA 5 La incertidumbre es el estado, incluso parcial, de
deficiencia en la informacin relativa a la comprensin o al
conocimiento de un suceso, de sus consecuencias o de su
probabilidad.
Definiciones
ISO/IEC GUA 73:2009 (2.1)
Gestin del riesgo:

Actividades coordinadas para dirigir y
controlar una organizacin en lo relativo
al riesgo.
Definiciones
ISO/IEC GUA 73:2009 (2.1.1, 2.1.2, 2.1.3))
Marco de trabajo de la gestin del riesgo:
Conjunto de elementos que proporcionan los
fundamentos y las disposiciones de la
organizacin para el diseo, la implantacin, el
seguimiento, la revisin y la mejora continua de
la gestin del riesgo en toda la organizacin.
Poltica de gestin del riesgo:
Declaracin de las intenciones y orientaciones
generales de una organizacin en relacin con la
gestin del riesgo.
Plan de gestin del riesgo:
Esquema incluido en el marco de trabajo de la
gestin del riesgo que especifica el enfoque, los
componentes de gestin y los recursos a aplicar
para la gestin del riesgo).
Definiciones
ISO/IEC GUA 73:2009 (3.1)
Proceso de gestin del riesgo:
Aplicacin sistemtica de polticas,
procedimientos y prcticas de gestin a las
actividades de comunicacin, consulta,
establecimiento del contexto, e
identificacin, anlisis, evaluacin,
tratamiento, seguimiento y revisin del
riesgo.
Definiciones
ISO/IEC GUA 73:2009 (3.6.1, 3.6.1.1,3.6.1.2,3.6.1.5)
Anlisis del riesgo:
Proceso que permite comprender la naturaleza
del riesgo y determinar el nivel de riesgo).
Probabilidad (likehood):
Posibilidad de que algn hecho se produzca.
Exposicin:
Grado al que se somete una organizacin y/o
una parte interesada en caso de un suceso.
Consecuencia:
Resultado de un suceso que afecta a los
objetivos.
Frecuencia:
Nmero de sucesos o de efectos en una unidad
de tiempo definida.
Definiciones
ISO/IEC GUA 73:2009 (3.6.1.6,3.6.1.7,3.6.1.8)
Vulnerabilidad:
Propiedades intrnsecas de que algo
produzca como resultado una sensibilidad
a una fuente de riesgo que puede
conducir a un suceso con una
consecuencia .
Matriz de riesgo:
Herramienta que permite clasificar y
visualizar los riesgos , mediante la
definicin de categoras de
consecuencias y de su probabilidad.
Nivel de riesgo:
Magnitud de un riesgo o combinacin de
riesgos, expresados en trminos de la
combinacin de las consecuencias y de
su probabilidad.
Definiciones
ISO/IEC GUA 73:2009 (3.7.1,3.7.1.1,3.7.1.2)
Evaluacin del riesgo:
Proceso de comparacin de los resultados
del anlisis del riesgo con los criterios
de riesgo para determinar si el riesgo y/o
su magnitud son aceptables o tolerables.
Actitud ante el riesgo:
Enfoque de la organizacin para apreciar
un riesgo y eventualmente buscarlo,
retenerlo, tomarlo o rechazarlo.
Apetito por el riesgo:

Cantidad y tipo de riesgo que una
organizacin est preparada para buscar o
retener.
Definiciones
ISO/IEC GUA 73:2009 (3.7.1.3,3.7.1.4,3.7.1.5,3.7.1.6)
Tolerancia al riesgo:
Disponibilidad de una organizacin o de las
partes interesadas para soportar el riesgo
despus del tratamiento del riesgo con objeto
de conseguir sus objetivos.
Aversin al riesgo:
Actitud de rechazar el riesgo
Agregacin de riesgos:
Combinacin de un nmero de riesgos en un
solo riesgo para desarrollar una comprensin
ms completa del riesgo general.
Aceptacin del riesgo:

Decisin informada en favor de tomar un
riesgo particular.
Enfoque a
Procesos
Enfoque a procesos
ISO 9000 (2.4)
Cualquier actividad, o conjunto de
actividades, que utiliza recursos para
transformar elementos de entrada en
resultados puede considerarse como un
proceso.
Para que las organizaciones operen de

manera eficaz, tienen que identificar y
gestionar numerosos procesos
interrelacionados y que interactan. A
menudo el resultado de un proceso
constituye directamente el
elemento de entrada del siguiente proceso.
La identificacin y gestin sistemtica de
los procesos empleados
en la organizacin y en particular las
interacciones entre tales procesos se
conoce como "enfoque basado en
procesos".
Enfoque a procesos
Qu es un proceso?
Un proceso es un conjunto de actividades recurrentes mediante
las cuales se transforma un grupo de entradas en un grupo de
salidas valiosas para un cliente (interno o externo)
Enfoque a procesos
Ejemplo de procesos
Ventas
Compras
Produccin
Presupuesto
Cierre Contable
Enfoque a procesos
Detalle de procesos
MacroProcesos
Gestin
Logstica
Enfoque a procesos
Ejemplo 1: Proceso Comercial (simple)

Estudiante que compra cuadernos en una librera
Identificacin del Cliente

Identificacin de las entradas del Proceso
Identificacin de las actividades principales del proceso
Identificacin de las salidas/resultados del proceso
Enfoque a procesos
Enfoque a procesos
Enfoque a procesos
Ejemplo 2: Proceso Abastecimiento
Requerimiento de compra de papel

para fabricar Cuadernos
Trabajo individual
5 minutos
Enfoque a procesos
Enfoque a procesos
Enfoque a procesos
Procesos y estructura
Los procesos atraviesan reas o unidades (departamentos) dentro de una

empresa. Varias reas o unidades de una empresa pueden realizar
actividades de un mismo proceso. Los procesos son annimos.
Enfoque a procesos
Elementos de un Proceso
En todos los casos debemos:
1. Identificar el objetivo del proceso
2. Identificar el cliente (interno o externo)
3. Identificar el desde y el hasta (alcance)
4. Identificar las entradas
5. Definir los sub procesos, actividades, etapas,
etc. (Niveles de detalle)
6. Describirlos (presentando las interrelaciones)
7. Identificar las salidas
Enfoque a procesos
Ejemplo de elementos de un Proceso de compras
Objetivo: Gestionar las compras de insumos y materiales necesarios para
realizar las actividades de la empresa, en tiempo y forma, cumpliendo adems
con las especificaciones de calidad, precios, fecha y lugar de entrega.
Entradas: Pedido de insumos de las distintas reas de
la empresa
Actividades principales:
Solicitar cotizaciones
Seleccionar proveedor
Recepcionar y controlar insumos
Entregar insumos al Area solicitante de la empresa
Pagar al Proveedor
Enfoque a procesos
Ejemplo de elementos de un Proceso de compras
Tareas de Solicitar una cotizacin:
Buscar datos de los proveedores
Completar el formulario de pedido de cotizacin
Enviar por fax a cada proveedor
Archivar el pedido de cotizacin
Pasos en la tarea de Completar pedido de cotizacin:

Buscar la libreta de formularios de pedido de cotizacin
Escribir la fecha
Escribir el nombre del primer proveedor a consultar
Especificar los datos de la mercadera
Firmar el formulario
A diferencia de las tareas, los pasos no tienen resultados por s mismos
Enfoque a procesos
Herramientas para la descripcin de Procesos
Tabla de actividades por rea interviniente
Enfoque a procesos
Representacin grfica (Flujograma)
Se sugiere usar notacin BPM

Enfoque a procesos
Dibujogramas
Se sugiere usar notacin BPM

Enfoque a procesos
Categoras de Procesos
Enfoque a procesos
Cadena de Valor
La CADENA de VALOR es una forma de representar al MODELO de PROCESOS
de la empresa
Enfoque a procesos
Mapa de Procesos
Que son los

riesgos?
Qu son los riesgos?

Riesgos Comunes
Qu son los riesgos?

Peligro y Riesgo
Qu son los riesgos?

Definicin
Riesgo se puede definir
como: La exposicin a las
consecuencias de la
incertidumbre.
La incertidumbre puede
originarse en factores
internos o externos.
Riesgo es
la vulnerabilidad ante un
potencial perjuicio o dao
para las unidades,
personas, organizaciones o
entidades.
RIESGO = PROBABILIDAD X IMPACTO

Qu son los riesgos?

Manera de expresar el riesgo
Qu son los riesgos?

Escalas
Probabilidad
1=Muy baja
2=Baja
3=Mediana
4=Alta
5=Muy Alta
Qu son los riesgos?
Probabilidad
0.01 a 0.33 = Baja

0.34 a 0.66 = Media
0.67 a 1.00 = Alta
Probabilidad
Peligro
y Riesgo
Muy baja
Baja
Mediana
Alta
Muy Alta
Gestin del
Riesgo
Gestin del Riesgo

Definicin
Es un proceso de toma de decisiones.

Enfrentar eventos que afectan los objetivos
del negocio.
Asegurar que las decisiones se implementan
en forma de controles.
Gestin del Riesgo

La gestin
Gestin del Riesgo

Sistema de Gestin
Estructura conceptual formada por
diversos elementos (poltica,
procesos, recursos, estructura
organizacional, documentos).
Los elementos estn relacionados
de tal manera que permiten:
Planificar
Implementar
Controlar y
Tomar accin para la mejora continua.
Gestin del Riesgo

Evolucin
Instinto Natural.
Gestin de Prstamos.
Siglo 17: Primeros aseguradores, el riesgo como negocio.
1963: los profesores de la Universidad de Illinois, Robert Mehr and Bob
Hedges, publican Risk Management in the Business Enterprise.
Gestin de Riesgos = Gestin de Seguros (Riesgos Puros).
1970: riesgos financieros y de mercado. Enfoque de silos.
1980 y 1990: Gestin de riesgo parte de objetivos estratgicos y creacin de valor
para el accionista.
2000: grandes fraudes Enron, WorldCom.
Mayor enfoque en control financiero y contable, Gobierno Corporativo,
LeySabarnes-Oxley, COSO, FERMA, ANZI.
Enfoque holstico, parte fundamental del planeamiento, estrategia y reporte de las
empresas. Surge el concepto EWRM.
2009: aparece ISO 31000 como norma unificada.
Gestin del Riesgo

Tipos de anlisis de riesgos
Gestin del Riesgo

Tipos de anlisis de riesgos
Gestin de riesgos de
seguridad de la
informacin
Gestin de Riesgo de la SI
Seguridad de la informacin Por qu?
Porque el negocio se sustenta a partir de la informacin que maneja.
Porque no slo es un tema tecnolgico.
Porque la seguridad de la informacin tiene un costo, pero la
inseguridad tiene un costo an mayor.
Principales fallas de seguridad
Violaciones de seguridad que involucra a terceros - 25 %

Errores de los empleados u omisiones - 20 %
Adaptacin tarda a nuevas tecnologas - 18 %
Abuso del empleado de los sistemas e informacin de TI - 17 %
Otros - 20%
Informe TMT Predicciones 2012 de Deloitte
Seguridad de la informacin Por qu?
Seguridad de la Informacin: conjunto de medidas para

salvaguardar la informacin preservando su confidencialidad,
integridad y disponibilidad.
Activo de Informacin
Activo de informacin: Los activos de informacin generan,
procesan y/o almacenan la informacin necesaria para la
operacin y el cumplimiento de los objetivos de la compaa
Tiene valor para la compaa.
Existen varios tipos:
Procesos
Documentos fsicos y electrnicos
Software
Hardware
Personas
Riesgo de SI
Riesgo de Seguridad de la
Informacin: El potencial de que
una amenaza dada explote las
vulnerabilidades de un activo o
grupo de activos, causando
prdida o dao a la organizacin
[ISO/IEC 27005:2008]
Combinacin de la probabilidad
de un evento y sus consecuencias
[ISO/IEC 27002:2005]
Riesgo de SI
Principios o pilares de la SI
La siguientes son las atributos de seguridad
de la informacin:
Confidencialidad: La informacin se revela

nicamente si as est estipulado, a
personas, procesos o entidades autorizadas
y en el momento autorizado.
Integridad: La informacin es precisa,

coherente y completa desde su creacin
hasta su destruccin.
Disponibilidad: La informacin es accedida

por las personas o sistemas autorizados en
el momento y en el medio que se requiere.
INFORMACION
DISPONIBILIDAD
Norma
ISO/IEC 27005
Norma ISO/IEC 27005

Definicin
ISO/IEC 27005 es el estndar internacional

que se ocupa de la gestin de riesgos de
seguridad de informacin.
La norma suministra las directrices para la
gestin de riesgos de seguridad de la
informacin en una empresa, apoyando
particularmente los requisitos del sistema de
gestin de seguridad de la informacin
definidos en ISO 27001.
Norma ISO/IEC 27005

Definicin
ISO-27005 es aplicable a todo tipo de

organizaciones que tengan la intencin de
gestionar los riesgos que puedan complicar la
seguridad de la informacin de su
organizacin.
No recomienda una metodologa concreta,
depender de una serie de factores, como el
alcance real del Sistema de Gestin de
Seguridad de la Informacin (SGSI), o el sector
comercial de la propia industria.
Norma ISO/IEC 27005

Estructura
Prefacio
Introduccin
Referencias normativas.
Trminos y definiciones.
Estructura.Fondo.
Descripcin del proceso de ISRM.
Establecimiento Contexto.
Informacin sobre la evaluacin de
riesgos de seguridad (ISRA).
Tratamiento de Riesgos Seguridad de la
Informacin.
Admisin de Riesgos
Seguridad de la informacin.
Comunicacin de riesgos de seguridad
de informacin.
Informacin de seguridad Seguimiento
de Riesgos y Revisin.
Anexo A: Definicin del alcance del
proceso.
Anexo B: Valoracin de activos y
evaluacin de impacto.
Anexo C: Ejemplos de amenazas
tpicas.
Anexo D: Las vulnerabilidades y
mtodos de evaluacin de la
vulnerabilidad.
Anexo E: Enfoques ISRA
Norma ISO/IEC 27005

Procesos
Norma
ISO/IEC 31000
Norma ISO/IEC 31000

Definiciones
La ISO 31000 es una norma internacional que ofrece las
directrices y principios para gestionar el riesgo de las
organizaciones.
Esta norma fue publicada en noviembre del 2009 por la
Organizacin Internacional de Normalizacin (ISO) en
colaboracin con IEC, y tiene por objetivo que organizaciones
de todos los tipos y tamaos puedan gestionar los riesgos en
la empresa de forma efectiva, por lo que recomienda que las
organizaciones desarrollen, implanten y mejoren
continuamente un marco de trabajo cuyo objetivo es integrar
el proceso de gestin de riesgos en cada una de sus
actividades.
Norma ISO/IEC 31000

Estructura
1.
2.
3.
4.
5.
Alcance
Trminos y definiciones
Principios
Framework
Procesos
Norma ISO/IEC 31000

Visin General
Norma ISO/IEC 31000

Procesos
Metodologa de
Gestin de
Riesgos
Metodologa de Gestin de Riesgo

Octave
http://www.cert.org/resilience/products-services/octave/
OCTAVE (Operationally Critical Threat, Asset, and
Vulnerability Evaluation) se encuentra disponible
gratuitamente (en ingls) y es un conjunto de
herramientas, tcnicas y mtodos para desarrollar
anlisis de riesgos basados en gestin y la planeacin
estratgica de la organizacin.
Son todas las acciones que necesitan ser llevadas a cabo
dentro de la organizacin para realizar la gestin de
activos, conocer posibles amenazas y evaluar
vulnerabilidades.

Magerit
https://www.ccn-cert.cni.es/publico/herramientas/pilar5/magerit/
MAGERIT es una metodologa de Anlisis
de Riesgos de carcter pblico elaborada
por el Ministerio de Administraciones
Pblicas, siendo probablemente la
metodologa ms utilizada en Espaa.
El nombre de MAGERIT responde a
"Metodologa de Anlisis y Gestin de
Riesgos de IT, y es un mtodo formal
orientado a activos, cuya misin es
descubrir los riesgos a los que se
encuentran expuestos nuestros sistemas
de informacin y recomendar las medidas
apropiadas que deberan adoptarse para
controlar estos riesgos.

Coso ERM
http://www.coso.org/-erm.htm
COSO ERM, incluye los mtodos y procesos
utilizados por las organizaciones para gestionar los
riesgos y aprovechar las oportunidades relacionadas
con el logro de sus objetivos.
Coso ERM proporciona un marco para la gestin de
riesgos , que generalmente implica la identificacin
de eventos o circunstancias particulares pertinentes
a los objetivos de la organizacin (riesgos y
oportunidades), la evaluacin en trminos de
probabilidad y la magnitud del impacto, que
determinan una estrategia de respuesta, y el
monitoreo del progreso.
La norma ISO/IEC 27001, no especifica

que se utilice una metodologa de riesgos
en particular, de hecho usted puede crear
una propia, cumpliendo con lo estipulado
en la norma
Taller Practico
No olvide
Cuidado mucha informacin

esta en nuestros equipos
moviles ya mitigo este riesgo
Muchas Gracias
Contacto:
Ing. CIP Maurice Frayssinet Delgado
mfrayssinet@gmail.com
Telfono rpm # 963-985-125
www.ongei.gob.pe

Taller Gestion de Riesgos PDF

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Taller Gestion de Riesgos PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Taller de Gestin de Riesgos

Ing. CIP Maurice Frayssinet Delgado

ONGEI - Seguridad de la Informacin

La gestin del Riesgo

NOTA 2 Los objetivos pueden tener diferentes aspectos

Gestin del riesgo:

ONGEI - Seguridad de la Informacin

ONGEI - Seguridad de la Informacin

ONGEI - Seguridad de la Informacin

ONGEI - Seguridad de la Informacin

Apetito por el riesgo:

ONGEI - Seguridad de la Informacin

Aceptacin del riesgo:

ONGEI - Seguridad de la Informacin

Para que las organizaciones operen de

ONGEI - Seguridad de la Informacin

ONGEI - Seguridad de la Informacin

ONGEI - Seguridad de la Informacin

Ejemplo 1: Proceso Comercial (simple)

Identificacin del Cliente

ONGEI - Seguridad de la Informacin

ONGEI - Seguridad de la Informacin

Ejemplo 1: Proceso Comercial (simple)

ONGEI - Seguridad de la Informacin

Requerimiento de compra de papel

ONGEI - Seguridad de la Informacin

ONGEI - Seguridad de la Informacin

ONGEI - Seguridad de la Informacin

Los procesos atraviesan reas o unidades (departamentos) dentro de una

ONGEI - Seguridad de la Informacin

ONGEI - Seguridad de la Informacin

Pasos en la tarea de Completar pedido de cotizacin:

ONGEI - Seguridad de la Informacin

Se sugiere usar notacin BPM

Se sugiere usar notacin BPM

ONGEI - Seguridad de la Informacin

ONGEI - Seguridad de la Informacin

ONGEI - Seguridad de la Informacin

ONGEI - Seguridad de la Informacin

ONGEI - Seguridad de la Informacin

ONGEI - Seguridad de la Informacin

ONGEI - Seguridad de la Informacin

Que son los

Qu son los riesgos?

ONGEI - Seguridad de la Informacin

Qu son los riesgos?

ONGEI - Seguridad de la Informacin

Qu son los riesgos?

RIESGO = PROBABILIDAD X IMPACTO

Qu son los riesgos?

ONGEI - Seguridad de la Informacin

Qu son los riesgos?

ONGEI - Seguridad de la Informacin

Qu son los riesgos?

0.01 a 0.33 = Baja

Gestin del Riesgo

Es un proceso de toma de decisiones.

ONGEI - Seguridad de la Informacin

Gestin del Riesgo

ONGEI - Seguridad de la Informacin

Gestin del Riesgo

ONGEI - Seguridad de la Informacin