PROPUESTA METODOLGICA DE GESTIN DE RIESGOS TECNOLGICOS PARA
- Slides: 36
PROPUESTA METODOLÓGICA DE GESTIÓN DE RIESGOS TECNOLÓGICOS PARA EMPRESAS DEL SECTOR DE LAS TELECOMUNICACIONES. Maestría en Evaluación y Auditoría de Sistemas Tecnológicos II AUTORES: Ing. Rubén Fernández. Ing. Nelson Monteros. Noviembre 2014 TUTOR: Ing. Paulo Bermeo
Planteamiento del problema No existe un panorama global sobre el nivel y madurez con el cual las TELCO locales afrontan o están preparadas en sus procesos de administración de riesgos tecnológicos. Heterogeneidad de las empresas de telecomunicaciones tanto en infraestructura, servicios y cobertura; cuyo negocio principal depende directamente de las TICs. Control a los ISP en Ecuador no está orientado hacia los procesos internos de estas empresas o a las políticas que tengan implementadas.
Formulación del problema ¿Cuál es el nivel de gestión de riesgos en las empresas proveedoras de servicios de Internet en la ciudad de Quito? ¿En términos de TI una empresa del sector corre un alto riesgo si no define una metodología para la gestión del riesgo informático? ¿En qué medida, disponer de una propuesta metodológica contribuiría a la gestión de riesgos tecnológicos?
OBJETIVO GENERAL Elaborar una propuesta metodológica de gestión del riesgo tecnológico para empresas del sector de las telecomunicaciones dedicadas a la provisión del servicio de Internet (ISP).
OBJETIVOS ESPECIFICOS Determinar el nivel con el que se administran los riesgos tecnológicos en ISP en el D. M. Quito Desarrollar una metodología de gestión de riesgos (necesidad y escenario local). Aplicar la metodología de gestión de riesgos sobre un caso de estudio: ISP. Presentar recomendaciones y estrategias al ISP para administración de sus riesgos tecnológicos.
HIPÓTESIS La aplicación de la propuesta metodológica de gestión de riesgos tecnológicos permite contar con indicadores para minimizar los riesgos tecnológicos.
OPERACIONALIZACIÓN DE VARIABLES OBJETIVO VARIABLES Elaborar una propuesta metodológica de gestión de riesgos tecnológicos para empresas del sector de las Nivel con el que administran los riesgos tecnológicos los ISP en el DM Quito. DIMENSIONES INDICADORES Campo de Muestra de ISP investigación. participantes. Técnicas de Entrevistas y encuestas investigación. efectuadas. Nivel madurez de ISP Generación de en Quito respecto a modelo de madurez. gestión del riesgo telecomunicaciones dedicadas a la provisión del servicio de Internet (ISP) y aplicarla sobre un caso de estudio. tecnológico. Propuesta metodológica para la gestión de riesgos tecnológicos. Gestión de riesgos. Riesgos residuales estimados.
CULTURA DE ADMINISTRACIÓN DE RIESGOS TECNOLÓGICOS EN EMPRESAS ISP DE LA CIUDAD DE QUITO
MODELO DE MADUREZ Empresas ISP de la ciudad de Quito Metodología de COBIT Niveles de Madurez 0 -5 Herramienta de investigación: encuesta
ESCALA DE NIVEL DE MADUREZ NIVEL DEFINICIÓN 0 No dispone. 1 No se piensa en ello de manera esencial. 2 Ocasional y/o solo en ciertos proyectos. 3 Procedimientos definidos y documentados. 4 Medido y gestionado. 5 Optimizado.
MODELO DE MADUREZ Políticas y prácticas de Gerencia de Riesgos Comunicación El presente modelo está orientado a indagar en ASPECTOS A Amenazas y Riesgos cinco aspectos CONSIDERAR representativos. Herramientas y Tecnología Gobierno y Control
MODELO DE MADUREZ DE GESTIÓN DE RIESGOS TECNOLÓGICOS DOMINIOS POLÍTICAS Y PRÁCTICAS DE SCORE/5 1, 81 1 GERENCIA DE RIESGOS 2 COMUNICACIÓN 2, 08 3 AMENAZAS Y RIESGOS 1, 23 4 HERRAMIENTA Y TECNOLOGÍA 2, 06 5 GOBIERNO / CONTROL 1, 96 Tabulación
DIAGRAMA DE RADAR MODELO POLÍTICAS DE MADUREZ Y PRÁCTICAS DE GERENCIA DE RIESGOS GOBIERNO / CONTROL HERRAMIENTA Y TECNOLOGÍA 5. 00 4. 50 4. 00 3. 50 3. 00 2. 50 2. 00 1. 50 1. 00 0. 50 0. 00 COMUNICACIÓN AMENAZAS Y RIESGOS Empresas
CONCLUSIÓN Se determina que la gestión de riesgos tecnológicos en empresas proveedoras de Internet (ISP) de la ciudad de Quito no se encuentra implementada en el nivel y madurez con el que se requeriría en una organización cuyo objetivo primordial del negocio depende directamente de la tecnología.
PROPUESTA METODOLÓGICA PARA GESTIONAR RIESGOS TECNOLÓGICOS
FASES ESTABLECIMIENTO DEL CONTEXTO ANÁLISIS DE RIESGOS EVALUACIÓN DE RIESGOS TRATAMIENTO DE RIESGOS MO NIT OR EO
Actividad EC 1 PLANIFICACIÓN FASE 1. ESTABLECIMIENTO DEL CONTEXTO • • • Misión, Visión. Objetivos estratégicos. Organigrama. Posicionamiento. Exigencias. (…) Revisión / Análisis • • Plan estratégico de la empresa Mapa de procesos Políticas de seguridad Gestión administrativa Determinación del alcance Actividad EC 3 COMUNICACIÓN Actividad EC 2 APROBACIÓN PLAN DE TRABAJO ALCANCE PLAN DE TRABAJO APROBACIÓN DE LA GERENCIA SITUACIÓN ACTUAL DE LA EMPRESA Tarea EC 1. 1 ALCANCE DISPONIBILIDAD RECURSOS Tarea EC 1. 2 Tarea EC 1. 3 Definición del Plan de Trabajo PLAN DE TRABAJO Presentación Análisis DTI APROBACIÓN DTI Tarea EC 2. 1 Presentación Análisis GERENCIA APROBACIÓN DE LA GERENCIA Tarea EC 2. 2 Presentación Comunicación CONOCIMIENTO Y APOYO DE LOS INVOLUCRADOS Tarea EC 3. 1
FASE 2. ANÁLISIS DE RIESGOS ACTIVOS PARA GESTIÓN DE RIESGOS a PROCESOS RELACIONADOS CON ACTIVOS b Identificación de amenazas LISTA DE AMENAZAS: TIPO Y ORIGEN c Tarea AR 1. 2 Identificación de controles existentes ESTADO DE IMPLEMENTACIÓN DE CONTROLES d Tarea AR 1. 3 Identificación de vulnerabilidades VULNERABILIDADES e Tarea AR 1. 4 ALCANCE COMPONENTES Y PROPIETARIOS Identificación de activos Actividad AR 1 IDENTIFICACIÓN DE RIESGOS UBICACIÓN/FUNCIÓN DE COMPONENTES AMENAZAS: Propietarios, usuarios, incidentes. CONTROLES PLANES DE TRATAMIENTO a b c d Tarea AR 1. 1
FASE 2. ANÁLISIS DE RIESGOS Actividad AR 2 ESTIMACIÓN DE RIESGOS PLAN DE TRABAJO a b c d Estimación de riesgo METODOLOGÍA CUALITATIVA / CUANTITATIVA Tarea AR 2. 1 Valoración de incidentes (Probabilidad) PROBABILIDAD DE UN ESCENARIO DE INCIDENTE Tarea AR 2. 2 Valoración de las consecuencias (Impacto) LISTA DE CONSECUENCIAS (VALORADA) Tarea AR 2. 3 Estimación del riesgo PROBABILIDAD vs IMPACTO RIESGOS VALORADOS Tarea AR 2. 4 e LISTA DE AMENAZAS: TIPO Y ORIGEN PROBABILIDAD DE UN ESCENARIO DE INCIDENTE LISTA DE CONSECUENCIAS (VALORADA)
Actividad ER 1 EVALUACIÓN Y PRIORIZACIÓN DE RIESGOS FASE 3. EVALUACIÓN DE RIESGOS VALORADOS Evaluación / Priorización RIESGOS PRIORIZADOS Tarea ER 1. 1 CRITERIOS DE EVALUACIÓN Actividad TR 1 TRATAMIENTO DE RIESGOS FASE 4. TRATAMIENTO DE RIESGOS OPCIONES DE TRATAMIENTO: RIESGOS PRIORIZADOS • • Reducción del riesgo. Aceptación del riesgo. Evitación del riesgo. Transferencia del riesgo. PLANES PARA TRATAMIENTO DE RIESGOS Tarea TR 1. 1
APLICACIÓN Empresa de la ciudad de Quito Alcance – lo que involucra en el proceso. Metodología cualitativa para la gestión del riesgo. Información de la situación actual de la empresa para cada fase.
APLICACIÓN. Actividad EC 1 PLANIFICACIÓN FASE 1. ESTABLECIMIENTO DEL CONTEXTO • • • Misión, Visión. Objetivos estratégicos. Organigrama. Posicionamiento. Exigencias. (…) Revisión / Análisis • • Plan estratégico de la empresa Mapa de procesos Políticas de seguridad Gestión administrativa Determinación del alcance Definición del Plan de Trabajo Ver Plan de Trabajo SITUACIÓN ACTUAL DE LA EMPRESA ALCANCE DISPONIBILIDAD RECURSOS PLAN DE TRABAJO
APLICACIÓN. Actividad AR 1 IDENTIFICACIÓN DE RIESGOS FASE 2. ANÁLISIS DE RIESGOS ACTIVOS PARA GESTIÓN DE RIESGOS a PROCESOS RELACIONADOS CON ACTIVOS b Identificación de amenazas LISTA DE AMENAZAS: TIPO Y ORIGEN c Identificación de controles existentes ESTADO DE IMPLEMENTACIÓN DE CONTROLES d Identificación de vulnerabilidades VULNERABILIDADES e ALCANCE COMPONENTES Y PROPIETARIOS Identificación de activos UBICACIÓN/FUNCIÓN DE COMPONENTES AMENAZAS: Propietarios, usuarios, incidentes. CONTROLES PLANES DE TRATAMIENTO a b c d Anexo
APLICACIÓN. FASE 2. ANÁLISIS DE RIESGOS Actividad AR 2 ESTIMACIÓN DE RIESGOS PLAN DE TRABAJO a b c d Estimación de riesgo METODOLOGÍA CUALITATIVA / CUANTITATIVA Valoración de incidentes (Probabilidad) PROBABILIDAD DE UN ESCENARIO DE INCIDENTE Escalas Valoración de las consecuencias (Impacto) LISTA DE CONSECUENCIAS (VALORADA) Escalas e LISTA DE AMENAZAS: TIPO Y ORIGEN PROBABILIDAD DE UN ESCENARIO DE INCIDENTE Estimación del riesgo LISTA DE CONSECUENCIAS (VALORADA) PROBABILIDAD vs IMPACTO RIESGOS VALORADOS Anexo
APLICACIÓN. Actividad ER 1 EVALUACIÓN Y PRIORIZACIÓN DE RIESGOS FASE 3. EVALUACIÓN DE RIESGOS VALORADOS Evaluación / Priorización RIESGOS PRIORIZADOS CRITERIOS DE EVALUACIÓN Anexo Actividad TR 1 TRATAMIENTO DE RIESGOS FASE 4. TRATAMIENTO DE RIESGOS OPCIONES DE TRATAMIENTO: RIESGOS PRIORIZADOS • • Reducción del riesgo. Aceptación del riesgo. Evitación del riesgo. Transferencia del riesgo. PLANES PARA TRATAMIENTO DE RIESGOS Anexo
APLICACIÓN RIESGOS VALORADOS Y PRIORIZADOS RESULTADOS OBTENIDOS CONTROLES RECOMENDADOS RIESGOS RESIDUALES
RESULTADOS DE LA APLICACIÓN DE LA PROPUESTA METODOLÓGICA Niveles de riesgos residuales actuales NRRA Implementación Efectividad de los controles Niveles de riesgos residuales netos NRRN < NRRA Niveles Riesgo Residual “Neto” NRRN < Niveles Riesgo Residual “Actual”
RESULTADOS DE LA APLICACIÓN DE LA PROPUESTA METODOLÓGICA Automatización Efectividad de los controles Naturaleza - Automatizados - Manuales - Preventivos - Detectivos - Correctivos AUTOMATIZACIÓN NIVEL Automatizado Manual PONDERACIÓN 2 1 NATURALEZA NIVEL Preventivo Detectivo / Correctivo Anexo PONDERACIÓN 2 1 Donde, Ef: Efectividad de control. PNa: Ponderación nivel de automatización. PNc: Ponderación naturaleza del control.
RESULTADOS DE LA APLICACIÓN DE LA PROPUESTA METODOLÓGICA El Riesgo residual corresponde a la relación entre “el grado de manifestación de los riesgos inherentes y la gestión de mitigación de riesgos establecida por la administración”. (SIGWEB, Chile). Riesgo Residual Neto NRRN Riesgo Inherente Riesgo Residual Actual NRRA Gestión de riesgos Efectividades control Ef NRRN = NRRA / Ef Anexo
RESULTADOS DE LA APLICACIÓN DE LA PROPUESTA METODOLÓGICA FASE 1 ESTABLECIMIENTO DEL CONTEXTO FASE 2 ANÁLISIS DE RIESGOS PROBABILIDAD IMPACTO P x I Riesgos priorizados HIPÓTESIS: “La aplicación de la propuesta metodológica de gestión de riesgos tecnológicos permite contar con indicadores para minimizar los riesgos tecnológicos. ”. INDICADORES FASE 3 EVALUACIÓN DE RIESGOS
RESPUESTAS. Formulación del problema. El nivel de gestión de riesgo en las empresas proveedoras del servicio de Internet en la ciudad de Quito se mide a través de un diagrama de madurez. Una empresa corre alto riesgo si no define una metodología, como se demuestra en la aplicación de la propuesta metodológica planteada, por cuanto sin una metodología fijada, la empresa posee riesgos de nivel alto (Score: 4). La propuesta metodológica planteada genera indicadores para la toma de decisiones de control. La contribución a la gestión de riesgos tecnológicos se refleja en la medida en que los riesgos residuales netos (finales) resultan menores a los riesgos residuales actuales (iniciales).
CONCLUSIONES El grado de madurez con el cual los ISP de la ciudad de Quito administran sus riesgos tecnológicos se encuentra por debajo de un valor que pueda considerarse “Administrable”. La propuesta metodológica desarrollada se ajusta al escenario local. Emplea procedimientos de estimación de riesgos acorde al deficiente nivel de madurez encontrado. La propuesta metodológica planteada se aplicó en una empresa ISP representativa de la ciudad de Quito. Permite la demostración de la hipótesis trazada usando datos e información real de la situación actual de dicha empresa. Sobre la base de LISTA DE RIESGOS PRIORIZADOS obtenida para la empresa del caso de estudio, se recomendaron controles que contribuyen a la gestión de riesgos tecnológicos
GRACIAS…
VALORACIÓN DE LA PROBABILIDAD ESCALA ESTADO NATURAL Probabilidad de ocurrencia del riesgo al no existir controles que 4 ALTA impidan el desarrollo del incidente o ataque. La materialización de la amenaza es inminente. Probabilidad de ocurrencia del riesgo ante controles cuya 3 MODERADA implementación no se encuentra documentada y/o demostrada durante evaluación. 2 MEDIA Probabilidad de ocurrencia del riesgo ante controles implementados con documentación inadecuada y/o incompleta. Probabilidad de ocurrencia del riesgo ante controles 1 BAJA implementados y que se encuentran documentados, difundidos y/o monitoreados. 0 NINGUNA No existen condiciones que impliquen riesgo. Volver
VALORACIÓN DEL IMPACTO ESCALA CRITERIO La magnitud de daño es perjudicial para la organización, puede ocasionar 4 3 2 1 MUY ALTO MEDIO BAJO importantes pérdidas debido a que el negocio depende 100% de los activos tecnológicos que se ven afectados El impacto es alto y la magnitud de daño puede influir de manera considerable a la organización provocando pérdidas en tiempo y dinero. Impactos de magnitud media que pueden ser tratados o pasar desapercibidos si el daño estimado no es perjudicial para la organización. Impactos que no son de consideración ya que la magnitud o dimensión de alteraciones dentro de la organización no afectan al negocio. No presenta ninguna alteración ni cambios negativos en los activos 0 MUY BAJO tecnológicos de la organización que puedan afectar a los procesos y servicios del negocio. Volver
5000 0 CORPORACION NACIONAL DE TELECOMUNICACIONES CNT EP SURAMERICANA DE TELECOMUNICACIONES S. A. SURATEL MEGADATOS S. A. PUNTO NET S. A. UNIVISA S. A. TRANSTELCO S. A. TELCONET S. A. PANCHONET S. A. SOLUCIONES AVANZADAS INFORMATICAS Y TELECOMUNICACIONES SAITEL CONSORCIO ECUATORIANO DE TELECOMUNICACIONES S. A. CONECEL LEVEL 3 ECUADOR LVLT S. A. (GLOBAL CROSSING) ZENIX S. A. SERVICIOS DE TELECOMUNICACIONES SATELITAL STEALTH TELECOM DEL ECUADOR BRIDGETELECOM S. A. TELECOMUNICACIONES Y RADIOCOMUNICACIONES FRANCO SALAZAR VANESA LILIANA DRIVERNET S. A PULECIO VILLALVA ALEJANDRO DARIO BASTIDAS FERNÁNDEZ MIGUEL ANGEL COMPAÑÍA BRIGHTCELL S. A. TELECOMUNICACIONES NETWORKING TELYNETWORKING C. A. MILLTEC S. A. GRUPO BRAVCO CIA. LTDA. MACIAS ZAMBRANO FERNANDO JAVIER FLATEL COMUNICACIONES CIA. LTDA. LK TRO-KOM S. A. GRUPO MICROSISTEMAS JOVICHSA S. A. COMPUATEL MANTENIMIENTO INSTALACIONES Y ASESORIA EN TELECOMUNICACIONES CIA. LTDA. AULESTIA BAEZ MARTHA PATRICIA SOCIEDAD INTERNACIONAL DE TELECOMUNICACIONES AERONÁUTICAS SITA PESANTEZ DUCHICELA LUCI CATALINA READYNET CIA. LTDA. ENTREPRENEURINC S. A. SALAS TORRES CARLOS FERNANDO INTERTEL CIA. LTDA. EQUYSUM EQUIPOS Y SUMINISTROS CIA. LTDA. VIRACOCHA TOCTAGUANO SEGUNDO NESTOR BRAINSERVICES S. A. COMPAÑIA NACIONAL DEL ECUADOR CELEC EP EBESTPHONE ECUADOR S. A. LOPEZ GARCIA JUAN CARLOS NET SERVICE GUZMÁN SANCHO CÉSAR CARLINO GAVILANES PARREÑO IRENE DEL ROCIO PARTES Y ACCESORIOS DE DESARROLLO EN NEOCOMUNICACION ELECTRONICA , PARADYNE S. A. EMTELSUR S. A SOLUVIGOTEL S. A. CABLEUNION S. A. GUEVARA LOPEZ DANILO RUBEN GEONEWSERVICE CIA. LTDA. INTEGRAL DATA SERVICIOS DE TRANSMISION INFORMATICA S. A SERVICIOS AGREGADOS Y DE TELECOMUNICACIONES NETWORK SATNET S. A. TELEHOLDING S. A. TRANSFERDATOS S. A. CUEVA YOLANDA AZUCENA TELECOMUNICACIONES FULLDATA VIRTUALTEL ISP EN QUITO - POSICIÓN DE MERCADO 6000 > 5000 ABONADOS 4000 3000 2000 1000 Volver
Tecnolgicos
Tecnolgicos
Plantilla estrategia redes sociales
Propuesta de manejo de redes sociales
Metodo william t fine
Proyecto curricular institucional ejemplos
Cuales son los sectores en el nivel inicial
Propuesta general
Entrar a eduplan
Friedrich froebel obras
Propuesta de hilda taba
Escribe en palabras cada ecuación propuesta
Elaboramos una propuesta de actividades
Aliados estrategicos
Actores sociales características
Propuesta de plan de trabajo
Modelo ecologico salud enfermedad
Diseño de primers degenerados
Como redactar una propuesta de trabajo
Propuesta de revisoria fiscal
Propuesta sindical
La propuesta actores
Pared caliente
Riesgos en instalaciones eléctricas
Trabajos en caliente riesgos
Diferencia entre accidente e incidente laboral
Riesgos asociados al lavado de activos
Riesgos asociados al lavado de activos
Riesgos asociados al lavado de activos
Riesgos del asfalto
Riesgos al soldar con arco eléctrico
Carta gantt programa
Mapa de riesgos
¿qué es un riesgo residual?
Conclusion de los riesgos psicosociales
Riesgos en ascensores
Riesgos infecto-biológicos
