Gestión de riesgos de seguridad de la información - ISO 27005
-
Upload
maricarmen-garcia-de-urena -
Category
Technology
-
view
299 -
download
2
Transcript of Gestión de riesgos de seguridad de la información - ISO 27005
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Ges3ón de Riesgos de Seguridad de la Información
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Maricarmen García de Ureña Director General Secure Informa3on Technologies 10 de Abril de 2014
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Maricarmen García, de Ureña, es socio fundador de Secure Informa3on Technologies, es empresaria, catedrá3co y consultor especialista en temas de Ges3ón de Riesgos, Con3nuidad del Negocio, Seguridad de la Información y Servicios de Tecnología de Información, así como auditora especialista en control de TI. Cuenta con una Maestría en Administración de Servicios de TI de la Universidad Iberoamericana en la Ciudad de México y la Especialización en Alta Dirección en Informá3ca Gubernamental por el Ins3tuto Nacional de Administración Pública. Es instructor oficial del BSI (Bri3sh Standards Ins3tu3on) para los cursos de Auditor Líder de las normas ISO22301 e ISO27001 y miembro del consejo asesor editorial de la revista del DRJ en español Ganadora del Premio de la Asociación La3noamericana de Con3nuidad ,ALCONT 2013 al “Liderazgo e innovación en Con3nuidad del Negocio” .
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Riesgos
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Epidemia de influenza!
+!Terremoto!
+!Falla en energía eléctrica!
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
El Apocalipsis...
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Riesgos
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Riesgos
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
h"p://www.cdc.gov/phpr/zombies.htm#/
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Riesgos
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
• Conocer los riesgos a los que nos enfrentamos para saber como tratarlos…
… ADECUADAMENTE
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
¿Que es un Riesgo de Seguridad de la Información?
Potencial de que cierta amenaza pueda explotar las vulnerabilidades de un ac3vo o
grupo de ac3vos y causar daño a la organización
ISO 27005:2008
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
¿Que es un Riesgo?
Efecto de la incer3dumbre en los obje3vos
ISO 31000:2009
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Principales definiciones ¿Que NO es un Análisis de Riesgos?
ü Escaneo de vulnerabilidades ü Pruebas de penetración ü Hackeo é3co ü Auditoría de seguridad ü Evaluación de controles
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Estándares relacionados
Guide 73 ISO 31000 ISO 31010 ISO 27005
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Guía 73:2009
Áreas cubiertas: -‐ Términos relacionados con riesgo (1) -‐ Términos relacionados con ges3ón de riesgos (4) -‐ Términos relacionados con el proceso de ges3ón de riesgos (1) -‐ Términos relacionados con la comunicación y consulta (3) -‐ Términos relacionados con el contexto (4) -‐ Términos relacionados con la evaluación de riesgos (assessment) (1) -‐ Términos relacionados con la iden3ficación de riesgos (6) -‐ Términos relacionados con el análisis de riesgos (9) -‐ Términos relacionados con la evaluación de riesgos (evalua3on) (7) -‐ Términos relacionados con el tratamiento de riesgos (8) -‐ Términos relacionados con el monitoreo y medición (6)
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
ISO 27005:2008 • Provee guías para la ges3ón de riesgos de seguridad de la información.
• Soporta los principales conceptos especificados en ISO/IEC 27001 y ha sido diseñado para asis3r en la implementación sa3sfactoria de seguridad de la información basada en un enfoque de ges3ón de riesgos.
• Para un entendimiento completo de éste estándar, se requiere el conocimiento de los conceptos, modelos, procesos y terminologías descritas en ISO/IEC 27001.
• Aplica a todo 3po de organización que intente ges3onar riesgos que pudieran comprometer la seguridad de la información de la organización.
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
ISO 31000:2009
Ges3ón de Riesgos – Principios y Guías Estándar internacional Primera edición – 15 de Noviembre de 2009 Para organizaciones de cualquier 3po y tamaño
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
ISO 31000:2009
Puede ser aplicado a toda la organización, así como a funciones, proyectos y ac3vidades específicas. Cada sector específico debe tomar en cuenta necesidades individuales, audiencias, percepciones y criterios.
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
ISO 31000:2009
Provee principios y guías genéricas para la ges3ón de riesgos. Puede ser aplicado a cualquier 3po de riesgo, cualquiera que sea su naturaleza, ya sea que tenga consecuencias posi3vas o nega3vas. No ha sido desarrollado con propósitos de cer3ficación
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
ISO 31000:2009 • Enfoque de
procesos
• Basado en P-‐D-‐C-‐A
• Cualquier organización
• Cualquier 3po de riesgo
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
ISO 31010:2009
Técnicas de evaluación de riesgos Incluye 31 técnicas que pueden ser u3lizadas en las diferentes etapas de la evaluación de riesgos Referencia a técnicas cualita3vas y cuan3ta3vas
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Implementación de la Ges3ón Integral de Riesgos
Principios Marco de referencia Proceso Técnicas
ISO 31000 ISO 31010
ISO 27005
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Implementación de la Ges3ón Integral de Riesgos
Principios Marco de referencia Proceso Técnicas
ISO 31000 ISO 31010
ISO 27005
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Principios
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Principios de la Ges3ón de Riesgos a) Crea valor b) Parte integral de los procesos organizacionales c) Parte de la toma de decisiones d) A3ende explícitamente la incer3dumbre e) Sistemá3co, estructurado y oportuno f) Basado en la mejor información disponible g) Hecho a la medida h) Toma en cuenta factores humanos y culturales i) Transparente e inclusivo j) Dinámico, itera3vo y responde a cambios k) Facilita la mejora con3nua de la organización
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Implementación de la Ges3ón Integral de Riesgos
Principios Marco de referencia Proceso Técnicas
ISO 31000 ISO 31010
ISO 27005
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Marco de Referencia
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Marco de Referencia
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Implementación de la Ges3ón Integral de Riesgos
Principios Marco de referencia Proceso Técnicas
ISO 31000 ISO 31010
ISO 27005
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Proceso
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
ISO 31000 vs ISO 27005
Proceso ISO 31000 Proceso ISO 27005
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
ISO 31000:2009 e ISO 27005:2008
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Implementación de la Ges3ón Integral de Riesgos
Principios Marco de referencia Proceso Técnicas
ISO 31000 ISO 31010
ISO 27005
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Técnicas de evaluación de riesgos ! Descripción Ü Entradas Û Salidas þ Ventajas ý Limitantes " Proceso
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
10 – Análisis de escenario ! Puede ser u3lizado para an3cipar como las amenazas y
oportunidades se pueden desarrollar y puede u3lizarse en las tres etapas de la evaluación de riesgos.
Ü Grupo de personas que 3enen un entendimiento de la naturaleza de los cambios relevantes (por ejemplo posibles avances en tecnología) e imaginación para pensar en el futuro.
Û Opciones para modificar el curso de acción seleccionado. þ Permite iden3ficar escenarios que no necesariamente han
ocurrido en el pasado. ý Pudieran considerarse escenarios no realistas.
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
10 – Análisis de escenario
FEMA -‐ Agencia Federal para la Ges3ón de Emergencias / FEMA es la agencia del Gobierno de los Estados Unidos que da respuesta a huracanes, terremotos, inundaciones y otros desastres naturales.
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
10 – Análisis de escenario
ALERTA SANITARIA (INFLUENZA)
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
10 – Análisis de escenario
ALERTA SANITARIA (INFLUENZA) +
SISMO 5.7 GRADOS
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
10 – Análisis de escenario
Escenario: Epidemia
Estrategia:
Parte del personal
laborando en oficinas
Estrategia:
Parte del personal
laborando desde casa comunicándose vía Internet y teléfono
Escenario: Sismo
Estrategia:
Desalojo y concentración en puntos de reunión
Posible Contagio
Escenario: Saturación de líneas
telefónicas
Escenario: Perdida de
comunicaciones Interrupción de la con3nuidad del
negocio
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
TRATAMIENTO DE RIESGOS
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Opciones de Tratamiento de Riesgos
Aceptar / Retener Transferir / Compar3r
Terminar / Evitar Reducir* / Mi3gar
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Factores crí3cos de éxito • Formalizar un método para la evaluación de riesgos • Iden3ficar a las audiencias involucradas • Involucrar a dueños de proceso y dueños de riesgo • Definir el contexto del análisis de riesgos • Seleccionar un método y técnica de es3mación de riesgos de
acuerdo con las posibilidades y requerimientos de la organización
• Definir la estructura y contenido del informe final antes de iniciar
• Considerar procesos, información, personas e instalaciones • Ges3onar expecta3vas de las partes interesadas
Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción
Preguntas y respuestas ¡Gracias!
@besair_"
Maricarmen García de Ureña CBCP, ISO27001LA, BS25999LA, ISO22301