Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de...
Transcript of Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de...
![Page 1: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/1.jpg)
www.cuevavaliente.com
Herramienta para la gestión de Riesgos Deliberados Físicos e Informáticos
![Page 2: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/2.jpg)
Índice
1. ¿Por qué?
2. ¿Para qué?
3. Evolución
4. Metodología
5. Funcionamiento
6. Licencias y Servicios
7. Desarrollos planificados
8. Ejemplos de cuadros de mando
2
![Page 3: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/3.jpg)
La Seguridad ante riesgos de origen deliberado (Security) tiene
un origen común: la voluntad de hacer daño a la empresa por
agentes externos y/o internos.
El modo de hacerlo puede ser físico (Robos, atracos, sabotajes,
etc.), lógico (Intrusiones informáticas, denegación de servicio,
troyanos, etc.) o una combinación de ambos, pero el origen y el
fin es el mismo.
3
1.- ¿Por qué?
![Page 4: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/4.jpg)
Desde las instituciones, esta necesidad de hacer frente a las
amenazas físicas y lógicas, ha sido abordada con la publicación
de la Ley para la Protección de las Infraestructuras Críticas y la
creación del Centro Nacional de Protección Infraestructuras
Críticas.
Ley y organismo ven a la seguridad como un todo y no como la
suma de dos ámbitos distintos, dando un impulso a la
necesidad de tener planes de Seguridad Integral.
4
1.- ¿Por qué?
![Page 5: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/5.jpg)
En este contexto, la elaboración de un análisis de riesgos es vital para hacer frente a las exigencias de la ley y de la sociedad. GR2Sec ha sido desarrollado por profesionales en al ámbito de la Seguridad Integral para ayudar a las empresas a elaborar su análisis de riesgos de Seguridad ante riesgos deliberados (Security) que den respuesta a las amenazas y necesidades de la sociedad actual. Adaptado a las necesidades de Análisis de Riesgos de los Planes de Protección Específicos (PPE) a realizar por los Operadores Críticos según la Legislación PIC.
5
2.- ¿Para qué?
![Page 6: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/6.jpg)
GR2Sec se centra en los riesgos deliberados, permitiendo a sus usuarios:
• Conocer sus riesgos
• Conocer el estado de sus medidas y controles de Seguridad
• Hacer benchmarking entre sus instalaciones y en el tiempo
• Planificar inversiones de Seguridad
• Gestionar con criterios armonizados la Seguridad Integral de acuerdo a las normas , ISO 31000 e ISO 27001.
• Realizar los Análisis de Riesgos de los Planes de Protección Específicos (PPE) según la Legislación PIC.
6
2.- ¿Para qué?
![Page 7: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/7.jpg)
Principales ventajas de GR2Sec:
• Relación AR con Propuestas de Controles y Medidas Seguridad
• Enfoque integral, físico y lógico
• Apegado a estándares internacionales • ISO 31000 • ISO 27001 • MAGERIT II • AS/NZS 4640
• Permite ciclos PDCA’s de mejora continua en la gestión de riesgos
• Proporcionalidad de los controles de Seguridad propuestos
• Enfocado a estrategias de protección: • Permite actualizar catálogos • Permite adaptarse a los best practices del cliente
• Adaptable a usos y requerimientos de cada cliente 7
2.- ¿Para qué?
![Page 8: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/8.jpg)
2007 2010 2015
GRSec 31000 ARG07
8
3.- Evolución GR2Sec
![Page 9: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/9.jpg)
9
3.- Evolución GR2Sec
ARG07 GRSec 31000 Conferencia
Carnahan 2007
Ottawa, Canada
2010 2011 2014
SGSC
2007 2008 2009 2012 2013
Conferencia
Enise 2011
León, España
Conferencia
Carnahan 2011
Mataró, España
![Page 10: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/10.jpg)
• Acorde a la Guía de Buenas Prácticas para los Planes de Protección Específicos de la Legislación PIC.
• Integración de las metodologías más utilizadas.
10
4.- Metodología
• Esquema general.
• Propuesta de controles de ISO 27002.
• Identificación de activos.
• Lista de amenazas.
MAGERIT ISO 31000
• Esquema general.
• Análisis de Riesgos según AS/NZS 4360.
• Lista de amenazas y de Medidas de
Seguridad según GRSec31000.
![Page 11: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/11.jpg)
Gestión de la Seguridad Cumplimiento LPIC
Seguridad Física ISO 31000 Seguridad Lógica ISO 27001
11
• ISO 31000 • ISO 27001 • ISO 27002 • MAGERIT II • AS/NZS 4360
Normativas Internacionales base:
Decisión y Compromiso
Diseño del Marco de Actuación del
SGSF
Implementación del SGSF
Seguimiento y Revisión del
SGSF
Mejora continua del SGSF
Plan del SGSI
Mantenimiento y mejora del SGSI
Implementación del SGSI
Seguridad de la Información gestionada
Requerimientos de la Seguridad de la
Información
Planificación
Implementación
Medición
Actuación
MODELO SGSC SGSC: Sistema de Gestión Corporativa de Seguridad
Requerimientos Políticas
SGSI: Sistema de Gestión de Seguridad de la Información
SGSF: Sistema de Gestión de Seguridad Física
Medición del SGSI
4.- Metodología
![Page 12: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/12.jpg)
Planificación
Implementación
Medición
Actuación
MODELO SGSC SGSC: Sistema de Gestión Corporativa de Seguridad
Requerimientos Políticas
Gestión de la Seguridad Cumplimiento LPIC
12
4.- Metodología
![Page 13: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/13.jpg)
Contexto
Identificación Activos
Identificación
Amenazas
Identificación
Tiempos
Identificación de
Riesgos
Análisis de
Riesgos
Probabilidad
Inherente
Impacto
Nivel Riesgo
Inherente
Evaluación de
Riesgos
Situaciones de
Riesgo
Asignación
Dimensiones
Tratamiento de Riesgos
PLAN DO
Propuesta de Controles
Evaluación Controles Existentes
Nivel de Riesgo Residual
13
4.- Metodología
Agrupación de
Riesgos
Gestión de
Riesgos
![Page 14: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/14.jpg)
• A,B, C, D o E • Decisión:
• Evitar o Eliminar • Transmitir • Aceptar • Mitigar
• Dimensión Física • Confidencialidad • Integridad • Disponibilidad • Trazabilidad de Datos • Trazabilidad de Servicio • Autenticidad de Datos • Autenticidad de Servicio
• Frecuencia histórica • Explotar vulnerabilidad • Nivel de Amenaza • Variables Seg. Física: • Atractivo • Vulnerabilidad
• Según CMMI • Riesgos Físicos:
• Cobertura • Nivel de implantación • Apego a mejores prácticas
• Ámbitos afectados: • Definidos internamente • Definidos por terceros (CNPIC)
• Riesgos Físicos Deliberados: • Delincuencia Ordinaria • Crímenes Agresivos y violentos • Terrorismo/Crimen Organizado
• Riesgos Lógicos Deliberados
• Información/Datos • Personas • Software • Hardware • Dispositivos/soporte información • Comunicaciones • Instalaciones • Servicios Prestados • Terceros
14
4.- Metodología
CONTROLES EXISTENTES
ACTIVOS
IMPACTO
DIMENSIONES
SITUACIONES DE RIESGO
AMENAZAS
NIVEL DE RIESGO INTRÍNSECO
PROPUESTA DE CONTROLES
NIVEL DE RIESGO RESIDUAL
MADUREZ DE CONTROLES
PROBABILIDAD DE OCURRENCIA
AGRUPACIÓN DE RIESGOS
Afectan a:
Producen:
Reducen:
Mitigar:
TIEMPOS
![Page 15: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/15.jpg)
15
5.- Funcionamiento GR2Sec
Presentación de ejemplo: GR2Sec en Cloud
![Page 16: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/16.jpg)
16
6.- Licencias y Servicios
Existirán dos opciones de implantación: • En Cloud. • En instalaciones del cliente. Para ambas, existirán tres escalas de derechos de uso de licencia: • Sencilla: 1 proyecto en una única ubicación y hasta 100 activos. • Múltiple: Hasta 25 proyectos o un número menor hasta 2.000 activos. • Ilimitada: Sin límite de proyectos ni de activos.
Licencias
![Page 17: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/17.jpg)
17
6.- Licencias y Servicios
EN CLOUD EN CLIENTE OPCIONAL
Personalización
Logo de cliente 2 colores de fondo Tipo de letra a elegir de un repertorio de tipos de letra
Lenguaje seleccionable: inglés o español
Lenguaje seleccionable: otros
Implantación
En PC o servidor mediante acceso remoto Adaptarse a login común Desplazarse físicamente a instalaciones Adaptarse a procedimiento de implantación/Seguridad
Parametrización Aplicación vacía, sin datos iniciales Consultoría e introducción de datos por externos
Formación Entrega de manual específico de la aplicación
Formación presencial
Mantenimiento
Notificación de actualizaciones de Seguridad Suministro de nueva versión al menos cada año Consultas en horario 8x5 Otros niveles de servicio
![Page 18: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/18.jpg)
GR2Sec está en continua evolución, introduciendo mejoras y nuevas funcionalidades que se incorporarán en las sucesivas actualizaciones del producto. Dentro de los futuros desarrollos ya planificados, se encuentran las siguientes mejoras:
• Multiproyectos que permiten el benchmarking o la comparación en el tiempo de una misma instalación.
• Introducción de datos en modo tabla.
• Modificación desde el perfil de administración de parámetros de inteligencia del sistema (asignación de dimensiones, asociación de controles a amenazas, etc.).
• Árboles de activos y anidamiento de impactos.
• Incorporación de nuevos gráficos de cuadros de mando desarrollados para diversos clientes. 18
7.- Desarrollos planificados
![Page 19: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/19.jpg)
En el siguiente esquema se pueden observar los bloques de introducción, cálculo y muestra de datos de GR2Sec, y los próximos desarrollos:
19
7.- Desarrollos planificados
Contexto
Tablas de amenazas,
activos, dimensiones
y controles
Identificación
Amenazas (listado)
Generación columnas
de Impacto
Identificación de
Riesgos
Análisis de
Riesgos
Probabilidad
Inherente
Impacto
Nivel Riesgo
Inherente
Evaluación de
Riesgos
Situaciones de
Riesgo
Asignación
Dimensiones
Propuesta de Controles y
evaluación de los mismos en su
estado actual
Nivel de Riesgo Residual
Agrupación de
Riesgos
Gestión de Riesgos
y resultado de nivel
de riesgo inherente
Identificación
Tiempos
Identificación Activos
Niveles de Riesgo Inherente y
Residual, con valoración de
controles
Cuadro de mando a medida de
cada empresa
Motor de cálculo. Editable en el futuro Datos introducidos por consultor/usuario Datos calculados automáticamente Resultados mostrados + introducción de datos Resultados mostrados Resultados mostrados. Pendiente de desarrollo
Tratamiento de Riesgos
![Page 20: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/20.jpg)
Uno de los aspectos más importantes de GR2Sec es la presentación de información a los responsables de las áreas de Seguridad o Riesgos. Dado que la información puede presentarse de diversas maneras, se prevé la generación de un cuadro de mando específico para cada cliente. Esta adaptación se realizaría para los clientes que instalen en sus propios servidores la aplicación GR2Sec. Aunque existirán opciones estándar para generar cuadros de mandos adaptados, existirá la posibilidad adicional de generar tablas y gráficos no previstos. A continuación se muestran algunas de las opciones consideradas de gráficos a incluir en los cuadros de mando.
20
8.- Ejemplos de cuadros de mando
![Page 21: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/21.jpg)
21
MÁXIMOS NIVELES DE RIESGO, NECESIDADES DE CONTROLES Y MADUREZ, AGRUPADOS POR ACTIVOS
Max NR Inherente
Max NR Residual
Necesidad Controles
Grado Madurez
Cuarto Comunicaciones B MB M 3
Cuarto Comunicaciones no redundado M B M 3
Operadores MB MB M 4
Operadores críticos M B M 3
Pagos electrónicos MA MA A 3
Sala IT B MB M 3
Sala IT no redundada A M M 3
8.- Ejemplos de cuadros de mando
![Page 22: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/22.jpg)
22
5
4
3
2
1
0
MA
A
M
B
MB
N/A
NR
N
ECES
IDA
D C
ON
TRO
LES
GR
AD
O D
E M
AD
UR
EZ
Max. NR Inherente Max. NR Residual Necesidad de Controles Grado de Madurez de los controles
MÁXIMOS NIVELES DE RIESGO, NECESIDADES DE CONTROLES Y MADUREZ, AGRUPADOS POR ACTIVOS
8.- Ejemplos de cuadros de mando
![Page 23: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/23.jpg)
23
5
4
3
2
1
0
MA
A
M
B
MB
N/A
NR
GR
AD
O D
E M
AD
UR
EZ
Max. NR Inherente Max. NR Residual Grado de Madurez
MÁXIMOS NIVELES DE RIESGO Y MADUREZ, AGRUPADOS POR ACTIVOS
8.- Ejemplos de cuadros de mando
![Page 24: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/24.jpg)
24
MA
A
M
B
MB
N/A
NR
Max. NR Inherente Max. NR Residual
MÁXIMOS NIVELES DE RIESGO, AGRUPADOS POR ACTIVOS
8.- Ejemplos de cuadros de mando
![Page 25: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/25.jpg)
25
MA
A
M
B
MB
N/A
NR
Max. NR Inherente Max. NR Residual
MÁXIMOS NIVELES DE RIESGO, AGRUPADOS POR ACTIVOS, CON APETITO DE RIESGO
APETITO DE RIESGO
NR Inherente NR Residual
M B
8.- Ejemplos de cuadros de mando
![Page 26: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/26.jpg)
26
NÚMERO DE SITUACIONES DE RIESGO CON UNA COMBINACIÓN PROBABILIDAD-IMPACTO INHERENTES
Número de ocurrencias para una probabilidad inherente e impacto dados
Probabilidad Inherente Impacto
N M I MI G MG
MB 20 15 33 14 5 0
B 0 0 23 2 11 1
M 0 0 0 6 3 0
A 0 0 0 0 3 19
MA 0 0 0 0 0 13
8.- Ejemplos de cuadros de mando
![Page 27: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/27.jpg)
27
MG
G
MI
I
M
N
IMPA
CTO
MB B M A MA
PROBABILIDAD INHERENTE
2
23
1
3
13
14
33
15
5
20
11
6
3
19
NÚMERO DE SITUACIONES DE RIESGO CON UNA COMBINACIÓN PROBABILIDAD-IMPACTO INHERENTES
8.- Ejemplos de cuadros de mando
![Page 28: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/28.jpg)
28
MG
G
MI
I
M
N
IMPA
CTO
MB B M A MA
PROBABILIDAD INHERENTE
2
23
1
3
13
14
33
15
5
20
11
6
3
19
NIVEL DE RIESGO
NR Máximo
NR Mínimo
Impacto Máximo
Probabilidad Máxima
A B G A
NÚMERO DE SITUACIONES DE RIESGO CON UNA COMBINACIÓN PROBABILIDAD-IMPACTO INHERENTES
8.- Ejemplos de cuadros de mando
![Page 29: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/29.jpg)
29
MG
G
MI
I
M
N
IMPA
CTO
MB B M A MA
PROBABILIDAD INHERENTE
C 78
NIVEL DE RIESGO
NR Máximo
NR Mínimo
Impacto Máximo
Probabilidad Máxima
A B G A
B 20
A 35
E 35
NÚMERO DE SITUACIONES DE RIESGO CON UNA COMBINACIÓN PROBABILIDAD-IMPACTO INHERENTES
8.- Ejemplos de cuadros de mando
![Page 30: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/30.jpg)
30
NÚMERO DE SITUACIONES DE RIESGO CON UN NIVEL DE RIESGO DADO, AGRUPADO POR AÑO
Número de ocurrencias para un NR dado, inherente y residual año a año
NR Riesgo
inherente
Riesgo Residual (año)
2015 2016 2017 2018
MB 86 122 122 122 122
B 37 9 17 27 30
M 9 6 8 13 15
A 22 23 20 5 0
MA 13 7 0 0 0
8.- Ejemplos de cuadros de mando
![Page 31: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/31.jpg)
31
NÚMERO DE SITUACIONES DE RIESGO CON UN NIVEL DE RIESGO DADO, AGRUPADO POR AÑO
MA
A
M
B
MB
OC
UR
REN
CIA
AS
DE
CA
DA
NR
Inherente 2015 2016 2017 2018
NR INHERENTE / AÑO ANALIZADO DE NR RESIDUAL
6
122
7
13 15
22
9
37
13
86
23
8
20 5
27 9
122 122 122
30 17
8.- Ejemplos de cuadros de mando
![Page 32: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/32.jpg)
32
NÚMERO DE SITUACIONES DE RIESGO CON UN NIVEL DE RIESGO DADO, AGRUPADO POR AÑO
140 120 100 80 60 40 20 0
OC
UR
REN
CIA
AS
DE
CA
DA
NR
Inherente 2015 2016 2017 2018
NR INHERENTE / AÑO ANALIZADO DE NR RESIDUAL
6
122
7 13 15 22
9
37
13
86
23
8 20
5
27
9
122 122 122
30 17
MB B M A MA
8.- Ejemplos de cuadros de mando
![Page 33: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/33.jpg)
33
NÚMERO DE SITUACIONES DE RIESGO CON UN NIVEL DE RIESGO DADO, AGRUPADO POR AÑO
140
120
100
80
60
40
20
0
OC
UR
REN
CIA
AS
DE
CA
DA
NR
Inherente 2015 2016 2017 2018
NR INHERENTE / AÑO ANALIZADO DE NR RESIDUAL
6
122
7 13 15
22
9
37
13
86
23
8 20
5
27
9
122 122 122
30 17
MB B M A MA
8.- Ejemplos de cuadros de mando
![Page 34: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/34.jpg)
34
GRÁFICOS DE BARRAS DINÁMICOS
140
120
100
80
60
40
20
0
OC
UR
REN
CIA
AS
DE
CA
DA
NR
NR Inherente NR Residual Datos para todos los activos, dimensiones y amenazas, para tiempo T1
6 7
22
9
37
13
86
23
122
17
MB B M A MA
SITUACIÓN DE RIESGO A MOSTRAR
Activo Tiempo Amenaza Dimensión
TODOS TODOS TODAS TODAS
AGRUPAR AGRUPAR AGRUPAR AGRUPAR
Cuarto Comunicaciones T1 Robo Física
Cuarto Comunicaciones no redundado Hurto Disponibilidad
Operadores Integridad
Operadores críticos Confidencialidad
DATO A MOSTRAR
Ocurrencias de niveles de NR Inherente NR inherente
Ocurrencias de niveles de NR Residual NR Residual
8.- Ejemplos de cuadros de mando
![Page 35: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/35.jpg)
MB B M A
MA
35
INDICADORES PUNTUALES Y/O GLOBALES DEL ANÁLISIS DE RIESGO
8.- Ejemplos de cuadros de mando
MB
B M
A
MA
MB
B M A
MA
M MA MB B A
Apetito de riesgo
NR Actual
M MA MB B A
Apetito de riesgo
NR Actual
MB
B M A
MA
NR Residual medio
NR Residual respecto apetito de riesgo
MB B M A
MA
Se considera la posibilidad de incluir indicadores de datos puntuales o de datos globales del sistema mediante termómetros, barras o gráficos de tipo velocímetro. Como posibles datos a mostrar, se podrían considerar, entre otros:
• NR residual medio
• NR respecto a apetitos de riesgo
• Nivel de amenaza actual
• Nivel medio de madurez de controles
M MA MB B A
Apetito de riesgo
NR Actual
Sala IT no redundada
Sala IT
Pagos electrónicos
Operadores NR Actual
NR Actual
NR Actual
NR Residual medio
NR Residual medio
NR residual global y apetito de riesgo
![Page 36: Herramienta para la gestión de Riesgos Deliberados ... · ... Sistema de Gestión Corporativa de Seguridad ... MODELO SGSC SGSC: Sistema de Gestión ... Necesidad de Controles Grado](https://reader031.fdocuments.co/reader031/viewer/2022022620/5bae38f409d3f2c87a8cb0a5/html5/thumbnails/36.jpg)