PDF de programación - ANALISIS DE RIESGOS en Tecnología y Seguridad de la Información

ANALISIS DE RIESGOS

en Tecnología y Seguridad de la Información

¿Cuál es el Riesgo de TI para la Organización?

Una Auditoría a diferentes áreas de TI de una empresa ha
realizado las siguientes observaciones:


- Existen 5 usuarios correspondientes a funcionarios que ya no

trabajan en la Organización.

- El Servidor de Base de Datos no cuenta con todas las

Actualizaciones (parches) al día, cuando el Proveedor ha
declarado dos de ellas como extremadamente críticas.

- En un ejercicio de EH, se han detectado vulnerabilidades que al

explotarlas nos permitió acceso a información de la Empresa.

- El Administrador de la Base de Datos tiene acceso a modificar

datos en Producción.

¿RIESGOS O CONSECUENCIAS?

¿Cuál es el Riesgo de TI para la Organización?

En los últimos diez meses se han experimentado fallas
graves en los Sistemas de Información de la Empresa.
Desde errores en los valores procesados y transacciones
erróneas, hasta estar casi 30 horas sin sistemas.

Pese a las excusas y acciones tomadas por el hasta hace
poco Gerente de Sistemas, y explicaciones, consultores y
elevados gastos del hace tres meses ingresado Gerente
de Sistemas, a la fecha se siguen experimentando las
mismas fallas, sin síntomas de mejora.

La Gerencia General se encuentra desconcertada ante
esta situación….

A QUE NOS DEDICAMOS?

A QUE NOS DEDICAMOS?

Tradicional



Diseño

Contenido
Materiales

SATISFACCION
FUNCIONAL

PRODUCTO
FISICO (pf)

PRODUCTO

ECONOMICO (pe)

Producto
Económico



Percepción de

Valor

(No Precio)

SATISFACCION
ECONOMICA

PRODUCTO

IMAGINARIO (pi)

pf + pi = pe

Sentimiento – Simbólico – Marca

SATISFACCION DEL DESEO

A QUE NOS DEDICAMOS?

PRECIO

=

COSTO

VALOR PERCIBIDO

< = COMMODITY

>= PRODUCTO IMAGINARIO
MARCA – IMAGEN – EXPERIENCIA – FISIOLOGIA – FILOSOFIA - ALCANCE

A QUE NOS DEDICAMOS?

MISION



PROVEER

A LA DIRECCION (Cliente)



LOS RESULTADOS DE

UN ANALISIS DE RIESGOS (Físico)



QUE PERMITA

UNA ADECUADA TOMA DE DECISIÓN (Valor)



PARA MAXIMIZAR

LOS RESULTADOS DEL NEGOCIO (Imaginario)

¿Cuál es el Riesgo de TI para la Organización?

¿Cuál es el Riesgo de TI para la Organización?



S
O
T
N
E
I
M
R
E
U
Q
E
R

I

NEGOCIO

RIESGOS

-Eficacia
-Eficiencia
-Integridad

-Disponibilidad
-Confidencialidad

-Cumplimiento
-Confiabilidad

Tecnología de la

Información



O
F
E
R
T
A
D
E
S
E
R
V
I
C
I
O
S



¿Cuál es el Riesgo de TI para la Organización?

- Contribuye a los Objetivos de la Organización?

- Es eficiente en la utilización de los Recursos?

- Es confiable en cuanto a la Prestación de Servicios? (Calidad)

- La Información que se maneja en los Sistemas:


- Es confiable? Puede ser manipulada? (Integridad)
- Va a estar disponible? (Disponibilidad)
-Quiénes pueden accederla? (Confidencialidad)


- Cumple con Leyes, Regulaciones y/o Contratos?

¿Cuál es el Riesgo de TI para la Organización?

Se puede realizar una evaluación técnica de la Infraestructura
Tecnológica:


Revisión de la Configuración de Servidores

Revisión de Arquitectura y Configuración de la Red

+

+

Ethical Hacking

+

Revisión de Código de Aplicaciones

+

Revisión de Cuentas de Usuarios

…….

==========================================================

Gran número de recomendaciones técnicas=Foto instantánea



¿Cuál es el Riesgo Real que esto representa?

¿Cuál es el Riesgo de TI para la Organización?

Procesos de Negocio

Servicios de TI

Procesos de TI

Recursos de TI

Plan Estratégico de SI

Análisis de Servicios

Análisis de Procesos

Análisis Técnico

¿Cuál es el Riesgo de TI para la Organización?

El Objetivo consiste en determinar que



La Tecnología de la Información

se encuentra Administrada de forma tal que

garantice razonablemente

su Contribución a los Objetivos del Negocio,

optimizando la utilización de los recursos,

en forma confiable y segura.

¿Cuál es el Riesgo de TI para la Organización?

PLAN ESTRATEGICO INSTITUCIONAL

GERENCIA GENERAL y DIRECCION GENERAL

REQUERIMIENTOS

ESTRATÉGICOS

OFERTA DE
SERVICIOS

COMITÉ ESTRATEGICO DE TECNOLOGÍA

CAPACIDAD

ACTUAL INSTALADA

PLAN ESTRATEGICO

DE TI

DIRECCION/COMITÉ/PMO DE TECNOLOGIA

PLAN TACTICO DE TI



GESTION DE PROYECTOS TI

a
c
i
t
á
m
r
o
f
n

I


d
a
d
i
r
u
g
e
S

Desarrollo
Soluciones
(SW&HW)

Gestión

del

Cambio

Entrega y
Soporte

de

Soluciones

USUARIOS
FINALES

MESA DE
AYUDA

GESTION DE INCIDENTES Y PROBLEMAS

GESTION DE LA CALIDAD



E
T
R
O
P
O
S
E
D
S
O
S
E
C
O
R
P



o
n
a
m
u
H
o
t
n
e
a
T

l



l

e
d
o



l
l

o
r
r
a
s
e
D

¿Cuál es el Riesgo de TI para la Organización?

PLAN ESTRATEGICO INSTITUCIONAL

GERENCIA GENERAL y DIRECCION GENERAL

REQUERIMIENTOS

ESTRATÉGICOS

OFERTA DE
SERVICIOS

COMITÉ ESTRATEGICO DE TECNOLOGÍA

X

CAPACIDAD

ACTUAL INSTALADA

PLAN ESTRATEGICO

X

DE TI

DIRECCION/COMITÉ/PMO DE TECNOLOGIA

PLAN TACTICO DE TI



E
T
R
O
P
O
S
E
D
S
O
S
E
C
O
R
P



o
n
a
m
u
H
o
t
n
e
a
T

l



l

e
d
o



l
l

o
r
r
a
s
e
D



a
c
i
t
á
m
r
o
f
n

I


d
a
d
i
r
u
g
e
S

GESTION DE INCIDENTES Y PROBLEMAS
GESTION DE PROYECTOS TI

Desarrollo
Soluciones
(SW&HW)

Gestión

del

Cambio

Entrega y
Soporte

de

Soluciones

USUARIOS
FINALES

MESA DE
AYUDA

GESTION DE INCIDENTES Y PROBLEMAS

GESTION DE LA CALIDAD

X

¿Cuál es el Riesgo de TI para la Organización?


PLANIFICACION DE LA TECNOLOGIA DE LA INFORMACION


PO1 – Definir el Plan Estratégico de TI
PO2 – Definir la Arquitectura de la Información
PO3 – Determinar la Dirección Tecnológica
PO4 – Definir Procesos, Organización y Relaciones
PO5 – Administrar la Inversión en TI
PO6 – Comunicar Aspiración y Dirección de la Gerencia
PO7 – Administrar RRHH de TI
PO8 – Administrar Calidad
PO9 – Evaluar y Administrar Riesgos de TI
PO10 – Administrar Proyectos

¿Cuál es el Riesgo de TI para la Organización?


ADQUIRIR E IMPLEMENTAR SOLUCIONES


AI1 – Identificar soluciones automatizadas
AI2 – Adquirir y Mantener Software Aplicativo
AI3 – Adquirir y Mantener Infraestructura Tecnológica
AI4 – Facilitar la Operación y el Uso
AI5 – Adquirir Recursos de TI
AI6 – Administrar Cambios
AI7 – Instalar y Validar Soluciones y Cambios

¿Cuál es el Riesgo de TI para la Organización?


ENTREGAR SOLUCIONES Y DAR SOPORTE


DS1 – Definir y administrar niveles de servicio.
DS2 – Administrar servicios de terceros.
DS3- Administrar desempeño y capacidad.
DS4- Garantizar la continuidad del servicio.
DS5- Garantizar la seguridad de los servicios.
DS6- Identificar y asignar costos.
DS7- Educar y entrenar a los usuarios.
DS8- Administrar la mesa de servicios y los incidentes.
DS9- Administrar la configuración.
DS10- Administrar los problemas.
DS11- Administrar los datos.
DS12- Administrar el ambiente físico.
DS13- Administrar las operaciones.

¿Cuál es el Riesgo de TI para la Organización?

Medir el Riesgo a través del NIVEL DE MADUREZ de los PROCESOS


0  No Existe Proceso
1  Se realiza Ad-Hoc según es requerido. No planificado
2  Se realiza regularmente pero informal.
3  Documentado. Aún depende de las personas.
4  Medido. En caso de errores o desvíos se corrige.
5  Se siguen las Mejores Prácticas y un Proceso de Mejora.



¿Cuál es el Riesgo de TI para la Organización?

La evaluación de Riesgos de Procesos se realiza a través de Entrevistas
en las cuales se desarrolla el Diagrama de cada Proceso.

En base a los Objetivos de Control definidos para cada Proceso, se
tratan de identificar los Controles existentes y el arte de su Diseño.

Una vez relevado el Proceso con los Responsables del mismo, se valida
con sus Clientes y un Challenger para validar los resultados.

Adicionalmente se puede realizar una Evaluación Técnica para soportar
los Resultados.

¿Cuál es el Riesgo de TI para la Organización?

Plan Estratégico de TI

Plan Táctico de TI

Estructura Organizacional

Desarrollo de Recursos Humanos

Monitoreo de la Gestión de TI

Gestión de Riesgos

Gestión de la Seguridad de la Información

Gestión de la Calidad

0

1

2

3

4

5

¿Cuál es el Riesgo de TI para la Organización?

Plan Estratégico de TI

Situación Actual:


0

1

2

3

4

5

Los requerimientos del Negocio a TI se realizan en forma asilada
según requerimientos de cada área, no habiendo una coordinación a
nivel de Compañía.

No hay una Priorización de Proyectos de acuerdo a los Objetivos
Estratégicos del Negocio.

¿Cuál es el Riesgo de TI para la Organización?

Plan Estratégico de TI

Impacto:


0

1

2

3

4

5

Cambio de Prioridades permanente. Falta de diferencia entre
Proyecto y Mejora o Mantenimiento.

40% de los Proyectos cancelados o suspendidos, muchos de ellos en
etapas avanzadas (costos innecesarios).

Retraso en la entrega de Soluciones. Malestar de los Usuarios.
Desmotivación del personal.

Presión en los Tiempos de Entrega. Evasión de Controles.

¿Cuál es el Riesgo de TI para la Organización?

Plan Estratégico de TI

Recomendaciones:


0

1

2

3

4

5

Establecer un Comité de Dirección que guíe el Plan Estratégico de TI,
definiendo Objetivos claros y Priorizando los Proyectos.

Mejorar el entendimiento de la Situación Actual y Posibilidades de TI
versus los Requerimientos, a fin de evaluar el Plan de Inversión.

Realizar un Seguimiento trimestral del Plan.

CONCLUSIONES

ANALISIS DE RIESGOS



UNA HERRAMIENTA DE APOYO



EN EL PROCESO DE TOMA DE DECISIONES

MUCHAS GRACIAS

Expositor: [email protected]

Contacto en Quito: [email protected]
Contacto en Guayaquil: [email protected]