SlideShare una empresa de Scribd logo

Gestión del riesgos de seguridad de la información

Descargar como PPTX, PDF
R
ROBERTH CHAVEZ

Este documento presenta una agenda para un curso de dos días sobre gestión de riesgos de seguridad de la información. El primer día cubre conceptos, normas, marcos y metodologías, implementación de un programa de gestión de riesgos, identificación y estimación de riesgos. El segundo día cubre evaluación de riesgos, tratamiento de riesgos, comunicación de riesgos, monitoreo y revisión de riesgos. También incluye conceptos clave como riesgo, activos, amenazas, vulnerabilidades e impacto. Presenta marcos

Educación
1 de 67
Descargado 1157 veces
1
2
3
4
5
6
7
8
9
Lo más leído
10
11
Lo más leído
12
13
Lo más leído
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
Gestión del Riesgos de Seguridad de la Información Controlando lo impredecible Septiembre 2013
Agenda DÍA 1 • Conceptos • Normas, marcos y metodologías • Implementación de un programa de gestión de riesgos • Identificación de riesgos • Estimación de riesgos • Taller
Agenda DÍA 2 • Evaluación de Riesgos • Tratamiento de Riesgos y Riesgo Residual • Comunicación de Riesgos • Monitoreo, Revisión y Mejora de Riesgos • Taller
Conceptos
Conceptos Riesgo Atributos Estratégicos Activo Amenazas Vulnerabilid ades Impacto Seguridad de la Información
Conceptos • Seguridad de la Información: ¿por qué? – Porque el negocio se sustenta a partir de la información que maneja. – Porque no sólo es un tema “tecnológico”. – Porque la seguridad de la información tiene un costo, pero la inseguridad tiene un costo aún mayor. – Principales fallas de seguridad • Violaciones de seguridad que involucra a terceros - 25 % • Errores de los empleados u omisiones - 20 % • Adaptación tardía a nuevas tecnologías - 18 % • Abuso del empleado de los sistemas e información de TI - 17 % • Otros - 20% Informe TMT Predicciones 2012 de Deloitte
Conceptos • Seguridad de la Información: conjunto de medidas para salvaguardar la información preservando su confidencialidad, integridad y disponibilidad.
Conceptos • Riesgo: ¿por qué? • Cada vez más las compañías dependen de la automatización e integración. • Se necesita integrar a TI al negocio. • Importante para integrar con las prácticas existentes de negocio.
Conceptos • Atributos estratégicos de negocio: Son aquellos criterios que deben ser tomados en cuenta al momento de evaluar el riesgo de seguridad de la información. • También conocido como “criterios básicos”, los podemos encontrar en: – La estrategia y planes estratégicos de la compañía – La visión y misión – El entorno operacional y regulatorio – Las expectativas de interesados
Conceptos • Activo de información: Los activos de información generan, procesan y/o almacenan la información necesaria para la operación y el cumplimiento de los objetivos de la compañía – Tiene valor para la compañía. • Existen varios tipos: – Procesos – Documentos físicos y electrónicos – Software – Hardware – Personas
Conceptos • Amenaza: Causa potencial de un incidente no deseado, el cual puede causar daño a un sistema u organización [ISO/IEC 27002:2005] • Vulnerabilidad: Debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas [ISO/IEC 27002:2005] • Impacto: cambio adverso a los objetivos del negocio esperados [ISO/IEC 27005:2008]
Conceptos • Riesgo aceptable: Decisión de aceptar el riesgo [ISO/IEC 27001:2005] • Riesgo residual: Riesgo remanente después del tratamiento del riesgo [ISO/IEC 27001:2005] • Control: Medio para manejar el riesgo; incluyendo políticas, procedimientos, lineamientos, prácticas o estructuras organizacionales, las cuales pueden ser administrativas, técnicas, de gestión o de naturaleza legal [ISO/IEC 27002:2005]
Conceptos • Riesgo de Seguridad de la Información: El potencial de que una amenaza dada explote las vulnerabilidades de un activo o grupo de activos, causando pérdida o daño a la organización [ISO/IEC 27005:2008] • Combinación de la probabilidad de un evento y sus consecuencias [ISO/IEC 27002:2005]
Conceptos CONTROLES Disminuye
AMENAZAOBJETIVO DE CONTROL CONTROLRIESGOVULNERABILIDADRIESGO RESIDUAL RIESGO INHERENTE ESTÁNDAR Conceptos
Conceptos • Control: Medio para manejar el riesgo; incluyendo políticas, procedimientos, lineamientos, prácticas o estructuras organizacionales, las cuales pueden ser administrativas, técnicas, de gestión o de naturaleza legal [ISO/IEC 27002:2005] – Tratamiento de Riesgos • Riesgo aceptable: Riesgo en un nivel con el cual la organización se siente cómoda [ISO/IEC 27001:2005] • Riesgo residual: Riesgo remanente después del tratamiento del riesgo [ISO/IEC 27001:2005]
Conceptos La siguientes son las atributos de seguridad de la información: • Confidencialidad: La información se revela únicamente si así está estipulado, a personas, procesos o entidades autorizadas y en el momento autorizado. • Integridad: La información es precisa, coherente y completa desde su creación hasta su destrucción. • Disponibilidad: La información es accedida por las personas o sistemas autorizados en el momento y en el medio que se requiere. DISPONIBILIDAD INFORMACION
Normas, marcos y metodologías en la Gestión de Riesgos
ISO/IEC 27005:2008 • ISO/ IEC 27005: 2008 Tecnología de la Información - Técnicas de seguridad - Gestión del riesgo de seguridad de la información • Complemento a las normas ISO/IEC 27001:2005 e ISO/IEC 27002:2005 • Se basa en los informes técnicos ISO TR 13335-3:1998 e ISO TR 13335-4:2000, que quedaron obsoletos desde su publicación
ISO/IEC 27005:2008 • ISO/IEC 27005:2008: Proceso de gestión de riesgos de seguridad de la información
ISO/IEC 27005:2008 • Enfoquémonos en la evaluación de riesgos:
ISO/IEC 27005:2008 • Ciclo de Deming aplicado a la gestión de riesgos de seguridad de la información: Ciclo de Deming Proceso de gestión de riesgos de seguridad de la información Planificar Establecimiento del contexto Valoración de riesgos Desarrollo del plan de tratamiento de riesgos Aceptación de riesgos Hacer Implantación del plan de tratamiento de riesgos Verificar Monitorización y revisión continua de riesgos Actuar Mantenimiento y mejora del proceso de gestión de riesgos de seguridad de la información
NIST SP800-30 • La NIST SP 800-30 (National Institute of Standards and Technology Special Report 800-30) es una guía que permite administrar riesgos de TI (enfocado en sistemas de información – SDLC) • Sus principales objetivos son: - Proteger la habilidad de la organización para alcanzar su misión (no sólo los activos de TI) - Una función esencial de administración (no sólo administración técnica) - Proveer lineamientos para el desarrollo de un programa de administración de riesgos - Proveer información con controles de seguridad efectivos
NIST SP800-30 • Sus principales actividades son:
UNE 71504:2008 • UNE 71504:2008 Metodología de análisis y gestión de riesgos para los sistemas de información • Desarrollada por el comité técnico AEN/CTN 71 Tecnología de la información de AENOR • Se compone de 4 fases: – Método de análisis • Tareas preparatorias • Caracterización de activos • Caracterización de las amenazas • Cálculo del riesgo potencial • Cálculo de las salvaguardas • Cálculo del riesgo residual – Evaluación de riesgos – Tratamiento de riesgos – Administración de la gestión de riesgos
UNE 71504:2008 • UNE 71504:2008: Metodología
AS/NZS 4360:2004 • AS/NZS 4360:2004 Gestión de riesgos • Primera norma internacional publicada para la realización de análisis de riesgos de seguridad de la información (si no se considera el informe técnico ISO TR 13335-3.98), cuyo esquema es:
MAGERIT • MAGERIT Metodología de Análisis y Gestión de Riesgos de TI • Desarrollada por el Consejo Superior de Administración Electrónica, y publicada por el Ministerio de Administraciones Pública de España • La primera versión se publicó en 1997 y la versión vigente en la actualidad es la versión 2.0 publicada en 2006 • Se compone de tres volúmenes: – Volumen I – Método: aspectos conceptuales y prácticos de la metodología de trabajo – Volumen II - Catálogo de elementos: guía sobre elementos de metodología – Volumen III - Guía de técnicas: guías generales para análisis de riegos y proyectos de gestión (análisis costo-beneficio)
MAGERIT • Modelo MAGERIT
Otros métodos, metodologías • OCTAVE: (Operationally Critical Threat, Asset and Vulnerability Evaluation). Modelo para la creación de metodologías de análisis de riesgos desarrollado por la Universidad de Carnegie Mellon. Última versión es Octave Alegro (Junio 2007) • FAIR: método utilizado para realizar análisis de riesgos cualitativos y algo más sofisticados por lo que, en ocasiones, suele complementar otras metodologías • TARA: desarrollada por Intel, se centra en el seguimiento y la evaluación continua de los controles de seguridad, incluyendo documentación de cambios en los sistemas, la realización de análisis de impacto a los cambios asociados, y la premisa de informar sobre el estado de seguridad a los empleados o participantes de la organización (terceros) de una forma regular • Ebios (Expression des Besoins et Identification des Objectifs de Sécurité): publicada por la Administración Pública francesa. Incorpora una herramienta de soporte. • ISO TR 13335:1997: estándar internacional (que comenzó como un reporte técnico o TR por sus siglas en inglés Technical Report) y fue reemplazado en el 2008 por la norma ISO 27005:2008 dedicada exclusivamente a la gestión de riesgos de TI
Implementación de un Programa de Gestión de Riesgos de Seguridad de la Información basado en ISO 27005:2008
¿Por qué es importante? • Permite identificar las necesidades de la organización sobre los requisitos de seguridad de la información • Ayuda a crea un sistema de gestión de seguridad de la información (SGSI) eficaz • Abordar los riesgos de manera eficaz y oportuna, dónde y cuándo sea necesario • Es parte integrante de todas las actividades de gestión de seguridad de la información, tanto para su aplicación como para su operación continua de un SGSI
Contribución a la Seguridad de la Información • Identificación de riesgos • Evaluación de los riesgos en términos de impacto y probabilidad de ocurrencia • Comunicación y entendimiento del impacto y probabilidad de los riesgos • Definición de la prioridad para el tratamiento de riesgos • Priorización de las acciones a tomar para reducir el riesgo • Partes interesadas estén informadas sobre los riesgos y medidas de mitigación adoptadas
Sistema de Gestión de Seguridad de la Información • Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de procesos, políticas, y procedimientos organizados de manera lógica y soportados por objetivos a nivel estratégico del negocio: – Permite organizar las medidas de seguridad de acuerdo a objetivos de negocio y reducir los riesgos a niveles aceptables, cambiando el escenario actual donde la seguridad es un gasto y transformándola en una herramienta para viabilizar negocios más seguros y mejor gestionados. – Adopta el ciclo de Deming (Planear-Hacer-Revisar-Actuar) para su gestión. Base de todas las normas ISO para mejora continua.
Sistema de Gestión de Seguridad de la Información SGSI Conjunto de políticas, objetivos, procesos y procedimientos relevantes para administrar la Seguridad de la Información Implementar y operar el SGSI Monitorear y revisar el SGSI Planear Hacer Revisar Actuar Establecer el SGSI Mantener y mejorar el SGSI Tomado de la norma BS ISO/IEC 27001:2005 interesados Seguridad de la información administrada Interesados Requerimientos y expectativas de la seguridad de la información - Implantar mejoras - Acciones preventivas - Acciones correctivas - Comprobar eficacia de las acciones - Revisar el SGSI - Medir la eficacia de los controles - Revisar riesgos residuales - Realizar auditorías internas del SGSI - Registrar acciones y eventos - Definir plan de tratamiento de riesgos - Implantar plan de tratamiento de riesgos - Implementar los controles - Formación y concientización - Operar el SGSI - Definir el alcance del SGSI - Definir la Política de Seguridad - Metodología de Evaluación de Riesgos - Inventario de activos - Identificar amenazas y vulnerabilidades - Identificar impactos - Análisis y evaluación de riesgos - Selección de Controles y SOA
Sistema de Gestión de Seguridad de la Información Para finales del año 2013 se espera un nuevo estándar ISO 27001, el cual ha sufrido algunas modificaciones. Entre las más relevantes tenemos: 1. El enfoque PDCA no es la única forma de mejora continua. 2. Secciones se han estandarizado con otras normas recientes (ISO 22301). Entre las nuevas tenemos: Liderazgo, Planeación, Soporte y Mejora. 3. Varios requisitos han sido redactados de forma más general para permitir libertad a las organizaciones: mejora continua, evaluación de riesgos, otros. 4. Nuevo requisito relacionado con “Comunicación”. 5. Cambios con respecto a manejo de documentos y registros: se elimina el término, se eliminan los otros dando más libertad a las organizaciones (excepto SOA). 6. Menos controles y más dominios (de 133 se pasó a 114, y de 11 dominios pasó a 14 – Relación con proveedores, Equipamiento, Seguridad Lógica, Seguridad Física (se separaron), Seguridad en Comunicaciones.
Gestión de Riesgos
Que no es Gestión de Riesgos • Las siguientes iniciativas no son gestión de riesgos pero aportan información para el proceso de gestión de riesgos: – Hackeo Ético – Auditoría de Seguridad – Evaluaciones de Controles
La norma ISO/IEC 27005:2008 • Gestión de Riesgos de Seguridad de la Información • Se compone de 12 cláusulas: – Alcance (1) – Normativas de referencia (2) – Términos y definiciones (3) – Estructura (4) – Antecedentes (5) – Visión del proceso de gestión de riesgos de seguridad de la información (6) – Establecimiento del contexto (7) – Valoración de riesgos de seguridad de la información (8) – Tratamiento de riesgos de seguridad de la información (9) – Aceptación de riesgos de seguridad de la información (10) – Comunicación de riesgos de seguridad de la información (11) – Monitoreo y revisión de riesgos de seguridad de la información (12)
La norma ISO/IEC 27005:2008 (cont.) • Adicionalmente cuenta con 6 anexos: – Anexo A: Definición del alcance y límites del proceso de gestión de riesgos de seguridad de la información – Anexo B: Identificación y valoración de activos y valoración de impacto – Anexo C: Ejemplos de amenazas típicas – Anexo D: Vulnerabilidades y métodos para evaluación de vulnerabilidades – Anexo E: Enfoques para la valoración de riesgos de seguridad de la información – Anexo F: Restricciones para la reducción del riesgo
Proceso de gestión de riesgos Cláusula 8 Cláusula 9 Cláusula 7 Cláusula 10 Cláusula 11 Cláusula 12
Proceso de gestión de riesgos Cláusula 8 Cláusula 9 Cláusula 7 Cláusula 10 Cláusula 11 Cláusula 12
Establecimiento del contexto (C.7) • Consideraciones generales (7.1) – Entrada: toda la información de la organización – Acción: El contexto para la gestión de riesgos de seguridad de la información debería ser establecida: • Criterios básicos (7.2) – Criterios de evaluación de riesgos – Criterios de impacto – Criterios de aceptación de riesgos • Alcance y límites (7.3) • Organización de gestión de riesgos de seguridad de la información – Cargos: Responsable y Administrador del proceso de gestión de riesgos – Roles y responsabilidades – Nivel de reporte – Registros – Salida: Criterios básicos, alcance y límites y organización para proceso de gestión de riesgos de seguridad
Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) – Identificación de Riesgos (8.2.1) • Identificación de activos (8.2.1.2) – Entrada: Alcance y límites para gestión de riesgos de TI, lista de componentes con propietarios, ubicación, función. – Acción: Los activos deberían ser identificados dentro del alcance establecido: » Activo » Propietario » Custodio* Existen varios tipos de activos: » Software » Hardware » Documentos Electrónicos y Físicos » Personas » Procesos – Salida: Lista de activos de información con propietarios
Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) – Identificación de Riesgos (8.2.1) • Identificación de amenazas (8.2.1.3) – Entrada: Información de amenazas obtenida de revisión de incidentes, propietarios de activos, usuarios y otras fuentes. – Acción: Amenazas y sus fuentes deberían ser identificadas: – Salida: Una lista de amenazas con la identificación de tipo de amenaza y fuente • Identificación de controles existentes (8.2.1.4) – Entrada: Documentación de controles, plan de implementación de tratamiento de riesgos. – Acción: Los controles existentes y planificados deberían ser identificadas: – Salida: Una lista de controles existentes y planificados, su estado de implementación y uso Análisis de Brecha (GAPAnálisis)
Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) – Identificación de Riesgos (8.2.1) • Identificación de vulnerabilidades (8.2.1.5) – Entrada: Lista de amenazas conocidas, lista de activos de información y controles existentes. – Acción: Las vulnerabilidades que pueden ser explotadas y causar daños a los activos de información de la organización deberían ser identificadas. – Salida: Una lista de vulnerabilidades en relación a activos de información, amenazas y controles. • Identificación de consecuencias (8.2.1.6) – Entrada: Lista de activos, amenazas y vulnerabilidades. – Acción: Las consecuencias que pérdidas de confidencialidad, integridad y disponibilidad puedan causar a los activos de información deberían ser identificadas. – Salida: Una lista de consecuencias con respecto a los activos de información
Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) – Identificación de Riesgos (8.2.1) 8.2.1.3 8.2.1.5 8.2.1.6 AMENAZAS VULNERABILIDADES ACTIVOS DE INFORMACIÓN CONSECUENCIAS
Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) – Estimación de Riesgos (8.2.2) • Valoración de consecuencias (8.2.2.2) – Entrada: Lista de escenarios, incluyendo amenazas, vulnerabilidades, activos afectados y consecuencias de activos. – Acción: Las afectaciones al negocio de posibles incidentes de seguridad deberían ser identificadas tomando en consideración las consecuencias tales como pérdidas de confidencialidad, integridad y disponibilidad. – Salida: Una lista de consecuencias con base en activos y criterios de impacto.
Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) – Estimación de Riesgos (8.2.2) • Valoración de consecuencias (8.2.2.2) Activo Innovación Participación/Merc. Rentabilidad C I D C I D C I D S. FACT 1,6 2,0 1,6 2,6 2,0 1,6 2,0 2,4 2,0 Activo Confidencialidad Integridad Disponibilidad IMPACTO S. FACT 2,1 2,1 1,7 1,9 R = I x P/VI I >= 2
Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) – Estimación de Riesgos (8.2.2) • Valoración de probabilidad de incidentes (8.2.2.3) – Entrada: Lista de escenarios de incidentes relevantes incluyendo amenazas, vulnerabilidades, activos afectados. Controles implementados y planificados, su estado y uso – Acción: Se debería evaluar los controles y su estado de implementación para determinar el nivel de probabilidad de ocurrencia de una vulnerabilidad. Los controles a evaluar son: » Administrativo » Operativo/Gestión » Técnico – Salida: Probabilidad de ocurrencia de escenarios de incidentes. R = I x P/VP/V
Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) • Estimación de Riesgos (8.2.2) • Nivel de estimación de riesgos (8.2.2.4) – Entrada: Impactos y consecuencias/probabilidades – Acción: Se debe asignar un valor a la probabilidad y consecuencias (impacto) del riesgo. – Salida: Lista de riesgos con valores asignados. R = I x P/V
R = I x P/V Activo: Sistema FACT Tipo: Software
Taller
Valoración de Riesgos de SI (C.8) • Evaluación de Riesgos (8.3)**** • Entrada: Lista de riesgos con valores asignados y criterios de evaluación de riesgos • Acción: Se debería comparar el nivel de riesgos con el criterio de evaluación para determinar su tratamiento. • Salida: Lista de riesgos priorizados de acuerdo a evaluación. ACEPTABLE NO ACEPTABLE
Valoración de Riesgos de SI (C.8) • Evaluación de Riesgos (8.3)**** ACEPTABLE NO ACEPTABLE 1 2 3 3 2 1 Impacto P/V
Valoración de Riesgos de SI (C.8) • Evaluación de Riesgos (8.3)****
Tratamiento de Riesgos de SI (C.9) • Descripción general de tratamiento de riesgos (9.1) – Entrada: Lista de riesgos priorizados de acuerdo a la evaluación de riesgos – Acción: Se deberían seleccionar controles para reducir, retener, evitar y transferir; produciendo el plan de tratamiento de riesgos. – Salida: Plan de tratamiento de riesgos y riesgos residuales.
Tratamiento de Riesgos de SI (C.9) • Descripción general de tratamiento de riesgos (9.1) Resultados Valoración Riesgos Valoración Satisfactoria Opciones de Tratamiento de Riesgos Reducción Retención Evasión Transferencia Riesgo Residual Valoración Satisfactoria
Tratamiento de Riesgos de SI (C.9) • Descripción general de tratamiento de riesgos (9.1)
Tratamiento de Riesgos de SI (C.9) • Descripción general de tratamiento de riesgos (9.1)
Aceptación de Riesgos de SI (C.10) – Entrada: Plan de tratamiento de riesgos y valoración de riesgos residuales sujeto aceptación de la alta administración – Acción: La decisión de aceptar los riesgos y responsabilidades de la decisión debería hacerse y formalmente registrarse (Req. ISO 27001). – Salida: Lista de riesgos aceptados con la respectiva justificación para aquellos que no cumplen con el criterio de aceptación normal.
1 2 3 3 2 1 Impacto P/V Aceptación de Riesgos de SI (C.10)
Comunicación de Riesgos de SI (C.11) – Entrada: Todos los riesgos de seguridad de la información producto de la valoración – Acción: La información sobre los riesgos debería ser intercambiada y comunicada con la Alta Administración y otros interesados. – Salida: Comprensión continua del proceso de gestión de riesgos de seguridad de la información.
Revisión y Monitoreo de Riesgos de SI (C.12) • Revisión y monitoreo de factores de riesgo (12.1) • Entrada: Todos los riesgos de seguridad de la información producto de la valoración • Acción: Se debería realizar una revisión periódica para determinar si se mantiene pertinentes. • Salida: Alineación continua de la gestión de riesgos con los objetivos de la organización y criterios de aceptación de riesgos.
Revisión y Monitoreo de Riesgos de SI (C.12) • Revisión, monitoreo y mejora de gestión de riesgos (12.2) • Entrada: Todos los riesgos de seguridad de la información producto de la valoración • Acción: El proceso de gestión de riesgos de seguridad de la información debería ser continuamente monitoreada, revisada y mejorada si se requiere. • Salida: Proceso de gestión de riesgos relevante para la organización.
Taller
Preguntas / Comentarios

Más contenido relacionado

PDF
Gestión de riesgos de seguridad de la información - ISO 27005
Maricarmen García de Ureña
 
PPTX
Estructura en un área de seguridad informática
personal
 
PDF
Iso 27005-espanol
Daniel Arevalo
 
PDF
Resumen de Controles ISO 27002 - CNSD.pdf
GeovanyHerrera3
 
PPTX
Seguridad fisica y logica
Ing. LucioJAP
 
PPTX
Magerit Metodologia
Andres Soto Suarez
 
PPTX
Iso 27001 iso 27002
Tensor
 
PPTX
Seguridad En Profundidad, Defense in Depth (DiD)
Melvin Jáquez
 
Gestión de riesgos de seguridad de la información - ISO 27005
Maricarmen García de Ureña
 
Estructura en un área de seguridad informática
personal
 
Iso 27005-espanol
Daniel Arevalo
 
Resumen de Controles ISO 27002 - CNSD.pdf
GeovanyHerrera3
 
Seguridad fisica y logica
Ing. LucioJAP
 
Magerit Metodologia
Andres Soto Suarez
 
Iso 27001 iso 27002
Tensor
 
Seguridad En Profundidad, Defense in Depth (DiD)
Melvin Jáquez
 

La actualidad más candente (20)

PPTX
Presentación iso 27001
Johanna Pazmiño
 
PPT
Curso SGSI
José María Apellidos
 
PDF
Presentacion SGSI
GLORIA VIVEROS
 
PDF
Gobierno TI
Pilar Pardo Hidalgo
 
PDF
27001:2013 Seguridad orientada al negocio
Fabián Descalzo
 
PDF
Planificación Auditoria Informática
Luis Eduardo Aponte
 
PPTX
Pentesting
Eventos Creativos
 
PPT
Iso 27001 gestion de riesgos v 2020
Primala Sistema de Gestion
 
PDF
ISO 27001 cambios 2005 a 2013
Jaime Andrés Bello Vieda
 
DOCX
Analisis de riesgo informatico
Jordy Luna Palacios
 
PDF
Evento vs Incidente de Seguridad de la Información
J. Gustavo López
 
PPTX
Introducción a la Norma ISO 27001
Yesith Valencia
 
PPTX
Proyectos de seguridad informática
Raúl Díaz
 
PPTX
Seguridad de la informacion
alexaloaiza
 
PDF
AI04 ISO/IEC 27001
Pedro Garcia Repetto
 
PPTX
Hacking ético
Paulo Colomés
 
PDF
Seguridad de la Informacion
Angel Ricardo Marchan Collazos
 
PPTX
Seguridad en redes
Jaime Abraham Rivera
 
PPTX
Norma iso 17799
Freddy Fernando Cajamarca Sarmiento
 
PPTX
Iso 27001
navidisey
 
Presentación iso 27001
Johanna Pazmiño
 
Curso SGSI
José María Apellidos
 
Presentacion SGSI
GLORIA VIVEROS
 
Gobierno TI
Pilar Pardo Hidalgo
 
27001:2013 Seguridad orientada al negocio
Fabián Descalzo
 
Planificación Auditoria Informática
Luis Eduardo Aponte
 
Pentesting
Eventos Creativos
 
Iso 27001 gestion de riesgos v 2020
Primala Sistema de Gestion
 
ISO 27001 cambios 2005 a 2013
Jaime Andrés Bello Vieda
 
Analisis de riesgo informatico
Jordy Luna Palacios
 
Evento vs Incidente de Seguridad de la Información
J. Gustavo López
 
Introducción a la Norma ISO 27001
Yesith Valencia
 
Proyectos de seguridad informática
Raúl Díaz
 
Seguridad de la informacion
alexaloaiza
 
AI04 ISO/IEC 27001
Pedro Garcia Repetto
 
Hacking ético
Paulo Colomés
 
Seguridad de la Informacion
Angel Ricardo Marchan Collazos
 
Seguridad en redes
Jaime Abraham Rivera
 
Norma iso 17799
Freddy Fernando Cajamarca Sarmiento
 
Iso 27001
navidisey
 
Publicidad

Similar a Gestión del riesgos de seguridad de la información (20)

PPT
Iso 27001 gestion de riesgos
Primala Sistema de Gestion
 
PDF
Introduccion de ISO 17799
mrcosmitos
 
PDF
gestion-de-riesgos-iso-27005-completo_compress.pdf
carlosandres865046
 
PDF
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
Miguel Cabrera
 
PDF
Introduccion iso 17799
Isaias Rubina Miranda
 
PPTX
Normas de Seguridad de la Información
Jherdy Sotelo Marticorena
 
PPTX
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
Luis Fernando Aguas Bucheli
 
PDF
Si semana11 iso_27001_v011
Jorge Pariasca
 
PPTX
Preparación -Seguridad Informática
Luis Fernando Aguas Bucheli
 
PDF
CIBERSEGURIDAD COMPENSAR ENERO sesion 2.pdf
RicardoSusa2
 
PDF
Gestion de Riesgos de Seguridad de la Informacion
NellyMoya
 
DOCX
Dumar resumen analitico investigativo sobre el iso 27005
ffffffffe23
 
DOCX
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
DOCX
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
DOCX
NORMAS ISO
paokatherine
 
DOCX
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
PPTX
Seguridad
Fipy_exe
 
PDF
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
Miguel Cabrera
 
PDF
Análisis comparativo
Abby Ramirez
 
PPT
Iso 27001 2013
Primala Sistema de Gestion
 
Iso 27001 gestion de riesgos
Primala Sistema de Gestion
 
Introduccion de ISO 17799
mrcosmitos
 
gestion-de-riesgos-iso-27005-completo_compress.pdf
carlosandres865046
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
Miguel Cabrera
 
Introduccion iso 17799
Isaias Rubina Miranda
 
Normas de Seguridad de la Información
Jherdy Sotelo Marticorena
 
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
Luis Fernando Aguas Bucheli
 
Si semana11 iso_27001_v011
Jorge Pariasca
 
Preparación -Seguridad Informática
Luis Fernando Aguas Bucheli
 
CIBERSEGURIDAD COMPENSAR ENERO sesion 2.pdf
RicardoSusa2
 
Gestion de Riesgos de Seguridad de la Informacion
NellyMoya
 
Dumar resumen analitico investigativo sobre el iso 27005
ffffffffe23
 
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
NORMAS ISO
paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
Seguridad
Fipy_exe
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
Miguel Cabrera
 
Análisis comparativo
Abby Ramirez
 
Iso 27001 2013
Primala Sistema de Gestion
 
Publicidad

Último (20)

PDF
Metodologías Activas con herramientas IAG
Osman Villanueva
 
PDF
SESION 12 INMUNIZACIONES - CADENA DE FRÍO- SALUD FAMILIAR - PUEBLOS INDIGENAS...
LeslyAntonellaRicseM
 
PDF
benveniste-problemas-de-linguistica-general-i-cap-6 (1)_compressed.pdf
marianelaferro3
 
PDF
Híper Mega Repaso Histológico Bloque 3.pdf
danigalis07
 
PDF
Lección 6 Escuela Sab. A través del mar rojo.pdf
Alejandrino Halire Ccahuana
 
PDF
Unidad de Aprendizaje 5 de Educacion para el Trabajo EPT Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
Punto Critico - Brian Tracy Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
Didactica de la Investigacion Educativa SUE Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
Guia de Tesis y Proyectos de Investigacion FS4 Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
Breve historia de los Incas -- Patricia Temoche [Temoche, Patricia] -- Breve ...
Darwin Del Castillo
 
PDF
biología es un libro sobre casi todo el tema de biología
bolhfhdu
 
PDF
PFB-MANUAL-PRUEBA-FUNCIONES-BASICAS-pdf.pdf
LiliGuerraCuevas
 
PPT
Cosacos y hombres del Este en el Heer.ppt
Torres Saavedra Nelson Alberto
 
PDF
DI, TEA, TDAH.pdf guía se secuencias didacticas
claudializandro6
 
PDF
Salcedo, J. et al. - Recomendaciones para la utilización del lenguaje inclusi...
Arturo Salcedo
 
PDF
el - LIBRO-PACTO-EDUCATIVO-GLOBAL-OIEC.pdf
Erny Cuba Arcaya
 
PDF
OK OK UNIDAD DE APRENDIZAJE 5TO Y 6TO CORRESPONDIENTE AL MES DE AGOSTO 2025.pdf
milo060459
 
PDF
Cronograma de clases de Práctica Profesional 2 2025 UDE.pdf
RicardoGermnRincn1
 
PDF
La Evaluacion Formativa en Nuevos Escenarios de Aprendizaje UGEL03 Ccesa007.pdf
Demetrio Ccesa Rayme
 
DOCX
V UNIDAD - PRIMER GRADO. del mes de agosto
MilberIta
 
Metodologías Activas con herramientas IAG
Osman Villanueva
 
SESION 12 INMUNIZACIONES - CADENA DE FRÍO- SALUD FAMILIAR - PUEBLOS INDIGENAS...
LeslyAntonellaRicseM
 
benveniste-problemas-de-linguistica-general-i-cap-6 (1)_compressed.pdf
marianelaferro3
 
Híper Mega Repaso Histológico Bloque 3.pdf
danigalis07
 
Lección 6 Escuela Sab. A través del mar rojo.pdf
Alejandrino Halire Ccahuana
 
Unidad de Aprendizaje 5 de Educacion para el Trabajo EPT Ccesa007.pdf
Demetrio Ccesa Rayme
 
Punto Critico - Brian Tracy Ccesa007.pdf
Demetrio Ccesa Rayme
 
Didactica de la Investigacion Educativa SUE Ccesa007.pdf
Demetrio Ccesa Rayme
 
Guia de Tesis y Proyectos de Investigacion FS4 Ccesa007.pdf
Demetrio Ccesa Rayme
 
Breve historia de los Incas -- Patricia Temoche [Temoche, Patricia] -- Breve ...
Darwin Del Castillo
 
biología es un libro sobre casi todo el tema de biología
bolhfhdu
 
PFB-MANUAL-PRUEBA-FUNCIONES-BASICAS-pdf.pdf
LiliGuerraCuevas
 
Cosacos y hombres del Este en el Heer.ppt
Torres Saavedra Nelson Alberto
 
DI, TEA, TDAH.pdf guía se secuencias didacticas
claudializandro6
 
Salcedo, J. et al. - Recomendaciones para la utilización del lenguaje inclusi...
Arturo Salcedo
 
el - LIBRO-PACTO-EDUCATIVO-GLOBAL-OIEC.pdf
Erny Cuba Arcaya
 
OK OK UNIDAD DE APRENDIZAJE 5TO Y 6TO CORRESPONDIENTE AL MES DE AGOSTO 2025.pdf
milo060459
 
Cronograma de clases de Práctica Profesional 2 2025 UDE.pdf
RicardoGermnRincn1
 
La Evaluacion Formativa en Nuevos Escenarios de Aprendizaje UGEL03 Ccesa007.pdf
Demetrio Ccesa Rayme
 
V UNIDAD - PRIMER GRADO. del mes de agosto
MilberIta
 

Gestión del riesgos de seguridad de la información

  • 1. Gestión del Riesgos de Seguridad de la Información Controlando lo impredecible Septiembre 2013
  • 2. Agenda DÍA 1 • Conceptos • Normas, marcos y metodologías • Implementación de un programa de gestión de riesgos • Identificación de riesgos • Estimación de riesgos • Taller
  • 3. Agenda DÍA 2 • Evaluación de Riesgos • Tratamiento de Riesgos y Riesgo Residual • Comunicación de Riesgos • Monitoreo, Revisión y Mejora de Riesgos • Taller
  • 6. Conceptos • Seguridad de la Información: ¿por qué? – Porque el negocio se sustenta a partir de la información que maneja. – Porque no sólo es un tema “tecnológico”. – Porque la seguridad de la información tiene un costo, pero la inseguridad tiene un costo aún mayor. – Principales fallas de seguridad • Violaciones de seguridad que involucra a terceros - 25 % • Errores de los empleados u omisiones - 20 % • Adaptación tardía a nuevas tecnologías - 18 % • Abuso del empleado de los sistemas e información de TI - 17 % • Otros - 20% Informe TMT Predicciones 2012 de Deloitte
  • 7. Conceptos • Seguridad de la Información: conjunto de medidas para salvaguardar la información preservando su confidencialidad, integridad y disponibilidad.
  • 8. Conceptos • Riesgo: ¿por qué? • Cada vez más las compañías dependen de la automatización e integración. • Se necesita integrar a TI al negocio. • Importante para integrar con las prácticas existentes de negocio.
  • 9. Conceptos • Atributos estratégicos de negocio: Son aquellos criterios que deben ser tomados en cuenta al momento de evaluar el riesgo de seguridad de la información. • También conocido como “criterios básicos”, los podemos encontrar en: – La estrategia y planes estratégicos de la compañía – La visión y misión – El entorno operacional y regulatorio – Las expectativas de interesados
  • 10. Conceptos • Activo de información: Los activos de información generan, procesan y/o almacenan la información necesaria para la operación y el cumplimiento de los objetivos de la compañía – Tiene valor para la compañía. • Existen varios tipos: – Procesos – Documentos físicos y electrónicos – Software – Hardware – Personas
  • 11. Conceptos • Amenaza: Causa potencial de un incidente no deseado, el cual puede causar daño a un sistema u organización [ISO/IEC 27002:2005] • Vulnerabilidad: Debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas [ISO/IEC 27002:2005] • Impacto: cambio adverso a los objetivos del negocio esperados [ISO/IEC 27005:2008]
  • 12. Conceptos • Riesgo aceptable: Decisión de aceptar el riesgo [ISO/IEC 27001:2005] • Riesgo residual: Riesgo remanente después del tratamiento del riesgo [ISO/IEC 27001:2005] • Control: Medio para manejar el riesgo; incluyendo políticas, procedimientos, lineamientos, prácticas o estructuras organizacionales, las cuales pueden ser administrativas, técnicas, de gestión o de naturaleza legal [ISO/IEC 27002:2005]
  • 13. Conceptos • Riesgo de Seguridad de la Información: El potencial de que una amenaza dada explote las vulnerabilidades de un activo o grupo de activos, causando pérdida o daño a la organización [ISO/IEC 27005:2008] • Combinación de la probabilidad de un evento y sus consecuencias [ISO/IEC 27002:2005]
  • 16. Conceptos • Control: Medio para manejar el riesgo; incluyendo políticas, procedimientos, lineamientos, prácticas o estructuras organizacionales, las cuales pueden ser administrativas, técnicas, de gestión o de naturaleza legal [ISO/IEC 27002:2005] – Tratamiento de Riesgos • Riesgo aceptable: Riesgo en un nivel con el cual la organización se siente cómoda [ISO/IEC 27001:2005] • Riesgo residual: Riesgo remanente después del tratamiento del riesgo [ISO/IEC 27001:2005]
  • 17. Conceptos La siguientes son las atributos de seguridad de la información: • Confidencialidad: La información se revela únicamente si así está estipulado, a personas, procesos o entidades autorizadas y en el momento autorizado. • Integridad: La información es precisa, coherente y completa desde su creación hasta su destrucción. • Disponibilidad: La información es accedida por las personas o sistemas autorizados en el momento y en el medio que se requiere. DISPONIBILIDAD INFORMACION
  • 18. Normas, marcos y metodologías en la Gestión de Riesgos
  • 19. ISO/IEC 27005:2008 • ISO/ IEC 27005: 2008 Tecnología de la Información - Técnicas de seguridad - Gestión del riesgo de seguridad de la información • Complemento a las normas ISO/IEC 27001:2005 e ISO/IEC 27002:2005 • Se basa en los informes técnicos ISO TR 13335-3:1998 e ISO TR 13335-4:2000, que quedaron obsoletos desde su publicación
  • 20. ISO/IEC 27005:2008 • ISO/IEC 27005:2008: Proceso de gestión de riesgos de seguridad de la información
  • 21. ISO/IEC 27005:2008 • Enfoquémonos en la evaluación de riesgos:
  • 22. ISO/IEC 27005:2008 • Ciclo de Deming aplicado a la gestión de riesgos de seguridad de la información: Ciclo de Deming Proceso de gestión de riesgos de seguridad de la información Planificar Establecimiento del contexto Valoración de riesgos Desarrollo del plan de tratamiento de riesgos Aceptación de riesgos Hacer Implantación del plan de tratamiento de riesgos Verificar Monitorización y revisión continua de riesgos Actuar Mantenimiento y mejora del proceso de gestión de riesgos de seguridad de la información
  • 23. NIST SP800-30 • La NIST SP 800-30 (National Institute of Standards and Technology Special Report 800-30) es una guía que permite administrar riesgos de TI (enfocado en sistemas de información – SDLC) • Sus principales objetivos son: - Proteger la habilidad de la organización para alcanzar su misión (no sólo los activos de TI) - Una función esencial de administración (no sólo administración técnica) - Proveer lineamientos para el desarrollo de un programa de administración de riesgos - Proveer información con controles de seguridad efectivos
  • 24. NIST SP800-30 • Sus principales actividades son:
  • 25. UNE 71504:2008 • UNE 71504:2008 Metodología de análisis y gestión de riesgos para los sistemas de información • Desarrollada por el comité técnico AEN/CTN 71 Tecnología de la información de AENOR • Se compone de 4 fases: – Método de análisis • Tareas preparatorias • Caracterización de activos • Caracterización de las amenazas • Cálculo del riesgo potencial • Cálculo de las salvaguardas • Cálculo del riesgo residual – Evaluación de riesgos – Tratamiento de riesgos – Administración de la gestión de riesgos
  • 26. UNE 71504:2008 • UNE 71504:2008: Metodología
  • 27. AS/NZS 4360:2004 • AS/NZS 4360:2004 Gestión de riesgos • Primera norma internacional publicada para la realización de análisis de riesgos de seguridad de la información (si no se considera el informe técnico ISO TR 13335-3.98), cuyo esquema es:
  • 28. MAGERIT • MAGERIT Metodología de Análisis y Gestión de Riesgos de TI • Desarrollada por el Consejo Superior de Administración Electrónica, y publicada por el Ministerio de Administraciones Pública de España • La primera versión se publicó en 1997 y la versión vigente en la actualidad es la versión 2.0 publicada en 2006 • Se compone de tres volúmenes: – Volumen I – Método: aspectos conceptuales y prácticos de la metodología de trabajo – Volumen II - Catálogo de elementos: guía sobre elementos de metodología – Volumen III - Guía de técnicas: guías generales para análisis de riegos y proyectos de gestión (análisis costo-beneficio)
  • 30. Otros métodos, metodologías • OCTAVE: (Operationally Critical Threat, Asset and Vulnerability Evaluation). Modelo para la creación de metodologías de análisis de riesgos desarrollado por la Universidad de Carnegie Mellon. Última versión es Octave Alegro (Junio 2007) • FAIR: método utilizado para realizar análisis de riesgos cualitativos y algo más sofisticados por lo que, en ocasiones, suele complementar otras metodologías • TARA: desarrollada por Intel, se centra en el seguimiento y la evaluación continua de los controles de seguridad, incluyendo documentación de cambios en los sistemas, la realización de análisis de impacto a los cambios asociados, y la premisa de informar sobre el estado de seguridad a los empleados o participantes de la organización (terceros) de una forma regular • Ebios (Expression des Besoins et Identification des Objectifs de Sécurité): publicada por la Administración Pública francesa. Incorpora una herramienta de soporte. • ISO TR 13335:1997: estándar internacional (que comenzó como un reporte técnico o TR por sus siglas en inglés Technical Report) y fue reemplazado en el 2008 por la norma ISO 27005:2008 dedicada exclusivamente a la gestión de riesgos de TI
  • 31. Implementación de un Programa de Gestión de Riesgos de Seguridad de la Información basado en ISO 27005:2008
  • 32. ¿Por qué es importante? • Permite identificar las necesidades de la organización sobre los requisitos de seguridad de la información • Ayuda a crea un sistema de gestión de seguridad de la información (SGSI) eficaz • Abordar los riesgos de manera eficaz y oportuna, dónde y cuándo sea necesario • Es parte integrante de todas las actividades de gestión de seguridad de la información, tanto para su aplicación como para su operación continua de un SGSI
  • 33. Contribución a la Seguridad de la Información • Identificación de riesgos • Evaluación de los riesgos en términos de impacto y probabilidad de ocurrencia • Comunicación y entendimiento del impacto y probabilidad de los riesgos • Definición de la prioridad para el tratamiento de riesgos • Priorización de las acciones a tomar para reducir el riesgo • Partes interesadas estén informadas sobre los riesgos y medidas de mitigación adoptadas
  • 34. Sistema de Gestión de Seguridad de la Información • Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de procesos, políticas, y procedimientos organizados de manera lógica y soportados por objetivos a nivel estratégico del negocio: – Permite organizar las medidas de seguridad de acuerdo a objetivos de negocio y reducir los riesgos a niveles aceptables, cambiando el escenario actual donde la seguridad es un gasto y transformándola en una herramienta para viabilizar negocios más seguros y mejor gestionados. – Adopta el ciclo de Deming (Planear-Hacer-Revisar-Actuar) para su gestión. Base de todas las normas ISO para mejora continua.
  • 35. Sistema de Gestión de Seguridad de la Información SGSI Conjunto de políticas, objetivos, procesos y procedimientos relevantes para administrar la Seguridad de la Información Implementar y operar el SGSI Monitorear y revisar el SGSI Planear Hacer Revisar Actuar Establecer el SGSI Mantener y mejorar el SGSI Tomado de la norma BS ISO/IEC 27001:2005 interesados Seguridad de la información administrada Interesados Requerimientos y expectativas de la seguridad de la información - Implantar mejoras - Acciones preventivas - Acciones correctivas - Comprobar eficacia de las acciones - Revisar el SGSI - Medir la eficacia de los controles - Revisar riesgos residuales - Realizar auditorías internas del SGSI - Registrar acciones y eventos - Definir plan de tratamiento de riesgos - Implantar plan de tratamiento de riesgos - Implementar los controles - Formación y concientización - Operar el SGSI - Definir el alcance del SGSI - Definir la Política de Seguridad - Metodología de Evaluación de Riesgos - Inventario de activos - Identificar amenazas y vulnerabilidades - Identificar impactos - Análisis y evaluación de riesgos - Selección de Controles y SOA
  • 36. Sistema de Gestión de Seguridad de la Información Para finales del año 2013 se espera un nuevo estándar ISO 27001, el cual ha sufrido algunas modificaciones. Entre las más relevantes tenemos: 1. El enfoque PDCA no es la única forma de mejora continua. 2. Secciones se han estandarizado con otras normas recientes (ISO 22301). Entre las nuevas tenemos: Liderazgo, Planeación, Soporte y Mejora. 3. Varios requisitos han sido redactados de forma más general para permitir libertad a las organizaciones: mejora continua, evaluación de riesgos, otros. 4. Nuevo requisito relacionado con “Comunicación”. 5. Cambios con respecto a manejo de documentos y registros: se elimina el término, se eliminan los otros dando más libertad a las organizaciones (excepto SOA). 6. Menos controles y más dominios (de 133 se pasó a 114, y de 11 dominios pasó a 14 – Relación con proveedores, Equipamiento, Seguridad Lógica, Seguridad Física (se separaron), Seguridad en Comunicaciones.
  • 38. Que no es Gestión de Riesgos • Las siguientes iniciativas no son gestión de riesgos pero aportan información para el proceso de gestión de riesgos: – Hackeo Ético – Auditoría de Seguridad – Evaluaciones de Controles
  • 39. La norma ISO/IEC 27005:2008 • Gestión de Riesgos de Seguridad de la Información • Se compone de 12 cláusulas: – Alcance (1) – Normativas de referencia (2) – Términos y definiciones (3) – Estructura (4) – Antecedentes (5) – Visión del proceso de gestión de riesgos de seguridad de la información (6) – Establecimiento del contexto (7) – Valoración de riesgos de seguridad de la información (8) – Tratamiento de riesgos de seguridad de la información (9) – Aceptación de riesgos de seguridad de la información (10) – Comunicación de riesgos de seguridad de la información (11) – Monitoreo y revisión de riesgos de seguridad de la información (12)
  • 40. La norma ISO/IEC 27005:2008 (cont.) • Adicionalmente cuenta con 6 anexos: – Anexo A: Definición del alcance y límites del proceso de gestión de riesgos de seguridad de la información – Anexo B: Identificación y valoración de activos y valoración de impacto – Anexo C: Ejemplos de amenazas típicas – Anexo D: Vulnerabilidades y métodos para evaluación de vulnerabilidades – Anexo E: Enfoques para la valoración de riesgos de seguridad de la información – Anexo F: Restricciones para la reducción del riesgo
  • 41. Proceso de gestión de riesgos Cláusula 8 Cláusula 9 Cláusula 7 Cláusula 10 Cláusula 11 Cláusula 12
  • 42. Proceso de gestión de riesgos Cláusula 8 Cláusula 9 Cláusula 7 Cláusula 10 Cláusula 11 Cláusula 12
  • 43. Establecimiento del contexto (C.7) • Consideraciones generales (7.1) – Entrada: toda la información de la organización – Acción: El contexto para la gestión de riesgos de seguridad de la información debería ser establecida: • Criterios básicos (7.2) – Criterios de evaluación de riesgos – Criterios de impacto – Criterios de aceptación de riesgos • Alcance y límites (7.3) • Organización de gestión de riesgos de seguridad de la información – Cargos: Responsable y Administrador del proceso de gestión de riesgos – Roles y responsabilidades – Nivel de reporte – Registros – Salida: Criterios básicos, alcance y límites y organización para proceso de gestión de riesgos de seguridad
  • 44. Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) – Identificación de Riesgos (8.2.1) • Identificación de activos (8.2.1.2) – Entrada: Alcance y límites para gestión de riesgos de TI, lista de componentes con propietarios, ubicación, función. – Acción: Los activos deberían ser identificados dentro del alcance establecido: » Activo » Propietario » Custodio* Existen varios tipos de activos: » Software » Hardware » Documentos Electrónicos y Físicos » Personas » Procesos – Salida: Lista de activos de información con propietarios
  • 45. Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) – Identificación de Riesgos (8.2.1) • Identificación de amenazas (8.2.1.3) – Entrada: Información de amenazas obtenida de revisión de incidentes, propietarios de activos, usuarios y otras fuentes. – Acción: Amenazas y sus fuentes deberían ser identificadas: – Salida: Una lista de amenazas con la identificación de tipo de amenaza y fuente • Identificación de controles existentes (8.2.1.4) – Entrada: Documentación de controles, plan de implementación de tratamiento de riesgos. – Acción: Los controles existentes y planificados deberían ser identificadas: – Salida: Una lista de controles existentes y planificados, su estado de implementación y uso Análisis de Brecha (GAPAnálisis)
  • 46. Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) – Identificación de Riesgos (8.2.1) • Identificación de vulnerabilidades (8.2.1.5) – Entrada: Lista de amenazas conocidas, lista de activos de información y controles existentes. – Acción: Las vulnerabilidades que pueden ser explotadas y causar daños a los activos de información de la organización deberían ser identificadas. – Salida: Una lista de vulnerabilidades en relación a activos de información, amenazas y controles. • Identificación de consecuencias (8.2.1.6) – Entrada: Lista de activos, amenazas y vulnerabilidades. – Acción: Las consecuencias que pérdidas de confidencialidad, integridad y disponibilidad puedan causar a los activos de información deberían ser identificadas. – Salida: Una lista de consecuencias con respecto a los activos de información
  • 47. Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) – Identificación de Riesgos (8.2.1) 8.2.1.3 8.2.1.5 8.2.1.6 AMENAZAS VULNERABILIDADES ACTIVOS DE INFORMACIÓN CONSECUENCIAS
  • 48. Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) – Estimación de Riesgos (8.2.2) • Valoración de consecuencias (8.2.2.2) – Entrada: Lista de escenarios, incluyendo amenazas, vulnerabilidades, activos afectados y consecuencias de activos. – Acción: Las afectaciones al negocio de posibles incidentes de seguridad deberían ser identificadas tomando en consideración las consecuencias tales como pérdidas de confidencialidad, integridad y disponibilidad. – Salida: Una lista de consecuencias con base en activos y criterios de impacto.
  • 49. Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) – Estimación de Riesgos (8.2.2) • Valoración de consecuencias (8.2.2.2) Activo Innovación Participación/Merc. Rentabilidad C I D C I D C I D S. FACT 1,6 2,0 1,6 2,6 2,0 1,6 2,0 2,4 2,0 Activo Confidencialidad Integridad Disponibilidad IMPACTO S. FACT 2,1 2,1 1,7 1,9 R = I x P/VI I >= 2
  • 50. Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) – Estimación de Riesgos (8.2.2) • Valoración de probabilidad de incidentes (8.2.2.3) – Entrada: Lista de escenarios de incidentes relevantes incluyendo amenazas, vulnerabilidades, activos afectados. Controles implementados y planificados, su estado y uso – Acción: Se debería evaluar los controles y su estado de implementación para determinar el nivel de probabilidad de ocurrencia de una vulnerabilidad. Los controles a evaluar son: » Administrativo » Operativo/Gestión » Técnico – Salida: Probabilidad de ocurrencia de escenarios de incidentes. R = I x P/VP/V
  • 51. Valoración de Riesgos de SI (C.8) • Análisis de Riesgos (8.2) • Estimación de Riesgos (8.2.2) • Nivel de estimación de riesgos (8.2.2.4) – Entrada: Impactos y consecuencias/probabilidades – Acción: Se debe asignar un valor a la probabilidad y consecuencias (impacto) del riesgo. – Salida: Lista de riesgos con valores asignados. R = I x P/V
  • 52. R = I x P/V Activo: Sistema FACT Tipo: Software
  • 54. Valoración de Riesgos de SI (C.8) • Evaluación de Riesgos (8.3)**** • Entrada: Lista de riesgos con valores asignados y criterios de evaluación de riesgos • Acción: Se debería comparar el nivel de riesgos con el criterio de evaluación para determinar su tratamiento. • Salida: Lista de riesgos priorizados de acuerdo a evaluación. ACEPTABLE NO ACEPTABLE
  • 55. Valoración de Riesgos de SI (C.8) • Evaluación de Riesgos (8.3)**** ACEPTABLE NO ACEPTABLE 1 2 3 3 2 1 Impacto P/V
  • 56. Valoración de Riesgos de SI (C.8) • Evaluación de Riesgos (8.3)****
  • 57. Tratamiento de Riesgos de SI (C.9) • Descripción general de tratamiento de riesgos (9.1) – Entrada: Lista de riesgos priorizados de acuerdo a la evaluación de riesgos – Acción: Se deberían seleccionar controles para reducir, retener, evitar y transferir; produciendo el plan de tratamiento de riesgos. – Salida: Plan de tratamiento de riesgos y riesgos residuales.
  • 58. Tratamiento de Riesgos de SI (C.9) • Descripción general de tratamiento de riesgos (9.1) Resultados Valoración Riesgos Valoración Satisfactoria Opciones de Tratamiento de Riesgos Reducción Retención Evasión Transferencia Riesgo Residual Valoración Satisfactoria
  • 59. Tratamiento de Riesgos de SI (C.9) • Descripción general de tratamiento de riesgos (9.1)
  • 60. Tratamiento de Riesgos de SI (C.9) • Descripción general de tratamiento de riesgos (9.1)
  • 61. Aceptación de Riesgos de SI (C.10) – Entrada: Plan de tratamiento de riesgos y valoración de riesgos residuales sujeto aceptación de la alta administración – Acción: La decisión de aceptar los riesgos y responsabilidades de la decisión debería hacerse y formalmente registrarse (Req. ISO 27001). – Salida: Lista de riesgos aceptados con la respectiva justificación para aquellos que no cumplen con el criterio de aceptación normal.
  • 62. 1 2 3 3 2 1 Impacto P/V Aceptación de Riesgos de SI (C.10)
  • 63. Comunicación de Riesgos de SI (C.11) – Entrada: Todos los riesgos de seguridad de la información producto de la valoración – Acción: La información sobre los riesgos debería ser intercambiada y comunicada con la Alta Administración y otros interesados. – Salida: Comprensión continua del proceso de gestión de riesgos de seguridad de la información.
  • 64. Revisión y Monitoreo de Riesgos de SI (C.12) • Revisión y monitoreo de factores de riesgo (12.1) • Entrada: Todos los riesgos de seguridad de la información producto de la valoración • Acción: Se debería realizar una revisión periódica para determinar si se mantiene pertinentes. • Salida: Alineación continua de la gestión de riesgos con los objetivos de la organización y criterios de aceptación de riesgos.
  • 65. Revisión y Monitoreo de Riesgos de SI (C.12) • Revisión, monitoreo y mejora de gestión de riesgos (12.2) • Entrada: Todos los riesgos de seguridad de la información producto de la valoración • Acción: El proceso de gestión de riesgos de seguridad de la información debería ser continuamente monitoreada, revisada y mejorada si se requiere. • Salida: Proceso de gestión de riesgos relevante para la organización.