Fundamentos de Análisis y Tratamiento de Riesgos de ......Ejemplo de tabla de análisis de riesgos...

19
Fundamentos de Análisis y Tratamiento de Riesgos de acuerdo a ISO 27001 Ponente: Antonio Segovia

Transcript of Fundamentos de Análisis y Tratamiento de Riesgos de ......Ejemplo de tabla de análisis de riesgos...

  • Fundamentos de Análisis y Tratamiento de Riesgos de

    acuerdo a ISO 27001

    Ponente: Antonio Segovia

  • ©2015 27001Academy www.advisera.com/27001academy

    Panel de control de GoToWebinar

    • Abra y cierre su Panel

    • Vea, Seleccione y pruebe su audio

    • Envíe sus preguntas; serán tratadas durante la sesión

    • Levante la mano

    5

  • ©2015 27001Academy www.advisera.com/27001academy 3

    ¿Cuales son los pasos básicos en el análisis y tratamiento de riesgos de ISO 27001?

    Si estás planificando empezar el análisis de riesgos….

    … para hacerlo bien, necesitas entender la importancia de la gestión de riesgos, y aprender lo que es aceptable según el estándar

  • ©2015 27001Academy www.advisera.com/27001academy 4

    La gestión de riesgos es el primer paso crucial en la implementación de la ISO 27001 – Determina todo lo que

    sucederá después

  • ©2015 27001Academy www.advisera.com/27001academy

    Agenda

    5

    • ¿Por qué la gestión de riesgos?

    • El proceso de la gestión de riesgos

    • Elementos del análisis de riesgos

    • Identificación de activos

    • Amenazas y vulnerabilidades

    • Impacto y probabilidad

    • 4 opciones para el tratamiento de riesgos

    • Mayores retos con la gestión de riesgos

  • ©2015 27001Academy www.advisera.com/27001academy

    ¿Por qué la gestión de riesgos?

    6

    Gestión de la seguridad de la información (ISO 27001)

    Medición (ISO

    27004)

    Salvaguardas

    (ISO 27002)

    Gestión de

    riesgos (ISO

    27005)

  • ©2015 27001Academy www.advisera.com/27001academy

    El proceso de gestión de riesgos…

    7

    Your Text Analyze and assess

    Your Text Mandatory procedures

    Your Text Metodología de análisis de riesgos

    Your Text Análisis de riesgos

    Your Text Tratamiento de riesgos

  • ©2015 27001Academy www.advisera.com/27001academy

    … El proceso de gestión de riesgos

    8

    Your Text Mandatory procedures

    Your Text Declaración de

    Aplicabilidad (SoA)

    Your Text Plan de Tratamiento de Riesgos

  • ©2015 27001Academy www.advisera.com/27001academy

    Elementos del análisis de riesgos

    9

    Identificación del riesgo

    Activo Amenaza Vulnerabil

    idad

    Análisis de riesgos

    Impacto Probabi

    lidad

    Riesgo = Impacto x Probabilidad

    (o) Riesgo = Impacto + Probabilidad

    Propietario del riesgo

  • ©2015 27001Academy www.advisera.com/27001academy

    Activos – ¿Qué protegemos?

    10

    • Ejemplos:

    • Hardware

    • Software

    • Información (electrónica, papel, etc.)

    • Infraestructura

    • ¡Personas!

    • etc.

    • Identificación de propietarios de activos

  • ©2015 27001Academy www.advisera.com/27001academy

    Amenazas – ¿Qué puede pasar?

    11

    Ejemplos:

    • Fuego

    • Terremoto

    • Virus informáticos

    • Amenaza de bomba

    • Mal funcionamiento del equipamiento

    • Personas clave dejan la empresa

  • ©2015 27001Academy www.advisera.com/27001academy

    Vulnerabilidades – ¿Por qué pueden ocurrir?

    12

    Ejemplos:

    • Falta un sistema de extinción de fuego

    • Faltan planes de continuidad de negocio

    • Falta software anti-virus

    • Faltan procedimientos de respuesta ante incidentes

    • Equipamiento obsoleto

    • Falta de recambio

  • ©2015 27001Academy www.advisera.com/27001academy

    Impacto y probabilidad

    13

    • Ejemplo de escala de análisis:

    • Alto

    • Medio

    • Bajo

    • O:

    • 1 a 5

    • 1 a 10

  • ©2015 27001Academy www.advisera.com/27001academy

    Ejemplo de tabla de análisis de riesgos

    14

    Activo Propietario

    Amenaza Vulnerabilidad Impacto (1-5)

    Probabilidad (1-5)

    Risgo (=I+P)

    Servidor Admin. Falla de electricidad

    No existe UPS 4 2 6

    Fuego No existe extintor

    5 3 8

    Contrato Director Visualizado por personas no autorizadas

    El contrato se ha dejado en la mesa

    4 4 8

    Fuego No existe protección contra fuego

    4 3 7

    Admin de sistemas

    Jefe TI Acidente Nadie más conoce sus contraseñas

    5 3 8

  • ©2015 27001Academy www.advisera.com/27001academy

    4 opciones para el tratamiento del riesgo

    15

    Aplicar controles

    apropiados

    Aceptar el riesgo

    Evitar el riesgo

    Transferir el riesgo

  • ©2015 27001Academy www.advisera.com/27001academy

    Mayores retos con la gestión de riesgos

    16

    • Obtener apoyo de los protagonistas – no tienen tiempo para responder

    • Seleccionar una metodología apropiada

    • Definir el valor del impacto y la probabilidad

    • La cantidad de información y datos obtenida es difícil de interpretar y usar

    • Identificar amenazas y vulnerabilidades con eficacia

  • ©2015 27001Academy www.advisera.com/27001academy

    Conclusión

    17

    No te saltes el análisis y tratamiento de riesgos – sin este tipo de análisis

    ¡la seguridad de tu información estará llena de brechas!

  • P & R

    Antonio Segovia

  • www.advisera.com/27001academy/webinars

    http://www.advisera.com/27001academy/webinarshttp://www.advisera.com/27001academy/webinarshttp://www.advisera.com/27001academy/webinars