AUDITORIA

INFORMÁTICA

Gestión de Riesgos
1
2
3
El simple conocimiento de los riesgos de
una actividad ya supone una ventaja al
facilitar un estado de alerta sobre los
mismos que disminuye sus consecuencias
indeseables en caso de producirse 4
5
6
7
 RIESGO TECNOLÓGICO

La contingencia de que la interrupción,

alteración, o falla de la infraestructura de
TI, sistemas de información, BD y procesos
de TI, provoque pérdidas financieras a la
institución.
Es uno de los componentes de riesgo
operacional.

8
 RIESGO TECNOLÓGICO

LOS VISIBLES LOS NO VISIBLES

✓ Virus ✓ Fraude en línea
✓ Spyware ✓ Espionaje digital
✓ Spam ✓ Privacidad y
✓ Ataques a páginas protección de
Web datos
✓ Robo de equipo ✓ Robo de
✓ Imposibilidad de identidad
restablecer las ✓ Continuidad de
operaciones en el operaciones
centro de datos
9
 COMPRENDER EL RIESGO CIBERNÉTICO

La sociedad actual vive en un camino

constante hacia la digitalización, con el
uso masivo de los smartphones, la
comunicación diaria a través de internet,
el uso de la inteligencia artificial, el Big
Data, e incluso el IoT, donde los
electrodomésticos también se vuelven
inteligentes y se conectan a la red.
10
En los últimos años, los gobiernos, las
empresas y los ciudadanos se han vuelto
críticamente dependientes del Internet y
de las TIC´s. Tenemos la creencia que
siempre funcionarán los servicios
esenciales para el ciudadano, como la
energía y las telecomunicaciones, y que
los bienes, servicios, datos y capital
cruzarán fronteras sin inconvenientes.
11
La realidad, sin embargo, es que muchos
sistemas e infraestructuras en red son
vulnerables y están siendo explotados.
Organizaciones de todo tipo están
sufriendo mayores violaciones a sus
datos, actividad criminal, interrupción del
servicio y destrucción de su propiedad.
Colectivamente, nuestra inseguridad está
creciendo.
12
Los ciberdelincuentes pueden causar
daños a las infraestructuras en red de
gobiernos y de la industria. Los objetivos
varían según el actor, desde:
✓ el activismo político;
✓ fraude y delito informático;
✓ robo de propiedad intelectual (PI);
✓ espionaje;
✓ interrupción del servicio;
✓ destrucción de bienes y activos. 13
¡vivimos en un mundo de inseguridad
cibernética!
¡los países y las empresas tienen que
comprender que en el centro de su
estrategia y agenda digital debe estar un
enfoque disciplinado de gestión de
riesgos!
¡El riesgo de inacción es demasiado
grande! 14
El riesgo se define en términos de tiempo,
cuando algo o alguien está expuesto a un
peligro, daño o pérdida. La condición de
riesgo puede cambiar en función de las
acciones realizadas por al menos dos
actores:
✓ el atacante, que obtiene y utiliza la capacidad de
causar daño;
✓ el objetivo pretendido, que puede tomar
precauciones para resistir o frustrar el peligro
pretendido por el atacante 15
Por ejemplo, se puede comprar software
malicioso por Bs. 10 y se puede lanzar un
ataque distribuido de denegación de
servicio, por menos de Bs. 7.000.
Ataques sofisticados de ransomware
(secuestro de archivos a cambio de un
rescate) están disponibles por Bs. 1.200 y
servicios maliciosos de correo electrónico no
deseado se consiguen por
aproximadamente Bs. 2.500.- 16
En junio de 2017, se lanzó NotPetya, otro
malware (un software malintencionado) más
destructivo. NotPetya se extendió entre las
empresas en red del mundo a través de un
mecanismo de actualización de software
para un programa de contabilidad
ampliamente utilizado (doc.me). En cuestión
de minutos, el software malintencionado
infectó decenas de miles de sistemas
conectados a Internet en más de 65 países.
17
Existe una necesidad urgente de
que los gobiernos y organizaciones
participen en procesos efectivos de
gestión de riesgos cibernéticos y
aborden los riesgos digitales dentro
de sus procesos de planificación
estratégica.

18
A pesar de los diversos modelos y marcos ahora
disponibles, para poder identificar, analizar y
valorar y reducir el riesgo cibernético, el
mejorar la seguridad cibernética a nivel
nacional sigue siendo un desafío. Debemos
reconocer que necesitamos una economía
digital confiable y que funcione bien. Por tanto,
las instituciones deben asignar fondos para el
funcionamiento y estar aptos para resistir y
recuperarnos rápidamente de todos los riesgos
19
20
 ¿Qué es la ISO 31000?

Es un documento
PRÁCTICO que pretende
ayudar a las organizaciones
en el desarrollo de su propio
enfoque a la GESTIÓN DEL
RIESGO. Pero esto no es
un estándar donde las
organizaciones pueden
solicitar la certificación.

21
Mediante la implementación
de la norma ISO 31000, las
organizaciones pueden
COMPARAR sus prácticas
de gestión de riesgos con un
punto de referencia
reconocido
INTERNACIONALMENTE,
proporcionando sólidos
principios para una gestión
eficaz. 22
Se trata de un estándar que puede
aplicarse a cualquier tipo de
organización. A través de una serie de
directrices y principios, la norma busca
que cada empresa implemente un
Sistema de Gestión del Riesgo para
reducir los obstáculos que impiden la
consecución de sus objetivos, siendo
compatible con cada sector.
23
Esta norma para la Gestión de Riesgos
ha sido simplificada. Permitirá a las
empresas y organizaciones revaluar sus
metodologías de gestión sobre cualquier
tipo de riesgo. La norma se centra de
forma exhaustiva en la atención de la
gestión del riesgo, como una herramienta
para minimizar de forma anticipada las
posibles inseguridades que pudieran
producirse. 24
Antecedentes de la ISO 31000:2018

25
26
Estructura de la ISO 31000:2018

27
28
Términos y definiciones

29
30
31
32
33
Tipos de Riesgos

34
Análisis Bow Tie - Riesgos

35
 Identificación de riesgos
Nro Causa Evento Consecuencia

1 Materia prima no Elevados costos unitarios Pérdida de nichos de

renovable mercado
2 Uso de tecnología Nivel tecnológico bajo Demora en el
obsoleta procesamiento
3 Inadecuada Alta rotación de personal Personal no
segregación de subcontratado comprometido con la
funciones institución

4 Publicidad y Concepto de marca poco Demora en posicionarse

Marketing sin socializado en el mercado
recursos

36
Reflexiones ……
✓ Algunas organizaciones piensan que son
inmunes.
✓ Las amenazas existen y son reales.
✓ Existen y aparecerán más riesgos tecnológicos
para pretender mitigarlos todos.
✓ Cada día los entes reguladores y los clientes
exigirán más que las organizaciones protejan sus
datos personales.
✓ Asignar recursos a tiempo completo, a velar por
la seguridad de información no es opcional. 37