Gestión de riesgos de seguridad de la información - ISO 27005


Ges3ón de Riesgos de Seguridad de la Información

Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción

Maricarmen García de Ureña Director General Secure Informa3on Technologies 10 de Abril de 2014


Maricarmen García, de Ureña, es socio fundador de Secure Informa3on Technologies, es empresaria, catedrá3co y consultor especialista en temas de Ges3ón de Riesgos, Con3nuidad del Negocio, Seguridad de la Información y Servicios de Tecnología de Información, así como auditora especialista en control de TI. Cuenta con una Maestría en Administración de Servicios de TI de la Universidad Iberoamericana en la Ciudad de México y la Especialización en Alta Dirección en Informá3ca Gubernamental por el Ins3tuto Nacional de Administración Pública. Es instructor oficial del BSI (Bri3sh Standards Ins3tu3on) para los cursos de Auditor Líder de las normas ISO22301 e ISO27001 y miembro del consejo asesor editorial de la revista del DRJ en español Ganadora del Premio de la Asociación La3noamericana de Con3nuidad ,ALCONT 2013 al “Liderazgo e innovación en Con3nuidad del Negocio” .


Riesgos


Epidemia de influenza!

+!Terremoto!

+!Falla en energía eléctrica!

Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción Derechos reservados. Secure Informa3on Technologies 2014. Prohibida su reproducción

El Apocalipsis...


Riesgos



Riesgos


h"p://www.cdc.gov/phpr/zombies.htm#/


Riesgos


• Conocer los riesgos a los que nos enfrentamos para saber como tratarlos…

… ADECUADAMENTE


¿Que es un Riesgo de Seguridad de la Información?

Potencial de que cierta amenaza pueda explotar las vulnerabilidades de un ac3vo o

grupo de ac3vos y causar daño a la organización

ISO 27005:2008


¿Que es un Riesgo?

Efecto de la incer3dumbre en los obje3vos

ISO 31000:2009


Principales definiciones ¿Que NO es un Análisis de Riesgos?

ü Escaneo de vulnerabilidades ü Pruebas de penetración ü Hackeo é3co ü Auditoría de seguridad ü Evaluación de controles


Estándares relacionados

Guide 73 ISO 31000 ISO 31010 ISO 27005


Guía 73:2009

Áreas cubiertas: -‐  Términos relacionados con riesgo (1) -‐  Términos relacionados con ges3ón de riesgos (4) -‐  Términos relacionados con el proceso de ges3ón de riesgos (1) -‐  Términos relacionados con la comunicación y consulta (3) -‐  Términos relacionados con el contexto (4) -‐  Términos relacionados con la evaluación de riesgos (assessment) (1) -‐  Términos relacionados con la iden3ficación de riesgos (6) -‐  Términos relacionados con el análisis de riesgos (9) -‐  Términos relacionados con la evaluación de riesgos (evalua3on) (7) -‐  Términos relacionados con el tratamiento de riesgos (8) -‐  Términos relacionados con el monitoreo y medición (6)


ISO 27005:2008 •  Provee guías para la ges3ón de riesgos de seguridad de la información.

•  Soporta los principales conceptos especificados en ISO/IEC 27001 y ha sido diseñado para asis3r en la implementación sa3sfactoria de seguridad de la información basada en un enfoque de ges3ón de riesgos.

•  Para un entendimiento completo de éste estándar, se requiere el conocimiento de los conceptos, modelos, procesos y terminologías descritas en ISO/IEC 27001.

•  Aplica a todo 3po de organización que intente ges3onar riesgos que pudieran comprometer la seguridad de la información de la organización.


ISO 31000:2009

Ges3ón de Riesgos – Principios y Guías Estándar internacional Primera edición – 15 de Noviembre de 2009 Para organizaciones de cualquier 3po y tamaño


ISO 31000:2009

Puede ser aplicado a toda la organización, así como a funciones, proyectos y ac3vidades específicas. Cada sector específico debe tomar en cuenta necesidades individuales, audiencias, percepciones y criterios.


ISO 31000:2009

Provee principios y guías genéricas para la ges3ón de riesgos. Puede ser aplicado a cualquier 3po de riesgo, cualquiera que sea su naturaleza, ya sea que tenga consecuencias posi3vas o nega3vas. No ha sido desarrollado con propósitos de cer3ficación


ISO 31000:2009 •  Enfoque de

procesos

•  Basado en P-‐D-‐C-‐A

•  Cualquier organización

•  Cualquier 3po de riesgo


ISO 31010:2009

Técnicas de evaluación de riesgos Incluye 31 técnicas que pueden ser u3lizadas en las diferentes etapas de la evaluación de riesgos Referencia a técnicas cualita3vas y cuan3ta3vas


Implementación de la Ges3ón Integral de Riesgos

Principios Marco de referencia Proceso Técnicas

ISO 31000 ISO 31010

ISO 27005


Principios


Principios de la Ges3ón de Riesgos a)  Crea valor b)  Parte integral de los procesos organizacionales c)  Parte de la toma de decisiones d)  A3ende explícitamente la incer3dumbre e)  Sistemá3co, estructurado y oportuno f)  Basado en la mejor información disponible g)  Hecho a la medida h)  Toma en cuenta factores humanos y culturales i)  Transparente e inclusivo j)  Dinámico, itera3vo y responde a cambios k)  Facilita la mejora con3nua de la organización




ISO 31000 ISO 31010

ISO 27005


Marco de Referencia




ISO 31000 ISO 31010

ISO 27005


Proceso


ISO 31000 vs ISO 27005

Proceso ISO 31000 Proceso ISO 27005


ISO 31000:2009 e ISO 27005:2008




ISO 31000 ISO 31010

ISO 27005


Técnicas de evaluación de riesgos ! Descripción Ü Entradas Û Salidas þ Ventajas ý Limitantes " Proceso


10 – Análisis de escenario ! Puede ser u3lizado para an3cipar como las amenazas y

oportunidades se pueden desarrollar y puede u3lizarse en las tres etapas de la evaluación de riesgos.

Ü Grupo de personas que 3enen un entendimiento de la naturaleza de los cambios relevantes (por ejemplo posibles avances en tecnología) e imaginación para pensar en el futuro.

Û Opciones para modificar el curso de acción seleccionado. þ Permite iden3ficar escenarios que no necesariamente han

ocurrido en el pasado. ý Pudieran considerarse escenarios no realistas.


10 – Análisis de escenario

FEMA -‐ Agencia Federal para la Ges3ón de Emergencias / FEMA es la agencia del Gobierno de los Estados Unidos que da respuesta a huracanes, terremotos, inundaciones y otros desastres naturales.



ALERTA SANITARIA (INFLUENZA)



ALERTA SANITARIA (INFLUENZA) +

SISMO 5.7 GRADOS



Escenario: Epidemia

Estrategia:

Parte del personal

laborando en oficinas

Estrategia:

Parte del personal

laborando desde casa comunicándose vía Internet y teléfono

Escenario: Sismo

Estrategia:

Desalojo y concentración en puntos de reunión

Posible Contagio

Escenario: Saturación de líneas

telefónicas

Escenario: Perdida de

comunicaciones Interrupción de la con3nuidad del

negocio


TRATAMIENTO DE RIESGOS


Opciones de Tratamiento de Riesgos

Aceptar / Retener Transferir / Compar3r

Terminar / Evitar Reducir* / Mi3gar


Factores crí3cos de éxito •  Formalizar un método para la evaluación de riesgos •  Iden3ficar a las audiencias involucradas •  Involucrar a dueños de proceso y dueños de riesgo •  Definir el contexto del análisis de riesgos •  Seleccionar un método y técnica de es3mación de riesgos de

acuerdo con las posibilidades y requerimientos de la organización

•  Definir la estructura y contenido del informe final antes de iniciar

•  Considerar procesos, información, personas e instalaciones •  Ges3onar expecta3vas de las partes interesadas


Preguntas y respuestas ¡Gracias!

[email protected]"

@besair_"

Maricarmen García de Ureña CBCP, ISO27001LA, BS25999LA, ISO22301

Gestión de riesgos de seguridad de la información - ISO 27005

Technology

Transcript of Gestión de riesgos de seguridad de la información - ISO 27005