Seminario: Tecnologías de la Información: Protección de las infraestructuras Criticas.
III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad - Metodología de...
18
Metodología de Análisis de Riesgos Ricardo Cañizares Sales Director de Consultoría 26 de Febrero de 2015
-
Upload
ricardo-canizares -
Category
Documents
-
view
497 -
download
2
Transcript of III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad - Metodología de...
Metodologíade
Análisis de Riesgos Ricardo Cañizares SalesDirector de Consultoría
26 de Febrero de 2015
2
CONSIDERACIONES
3
• PSO Contenidos mínimos– En virtud de lo establecido en el artículo 22.3 del Real
Decreto 704/2011, en el PSO se deberá establecer unametodología de análisis de riesgos internacionalmentereconocida que garantice la continuidad de los serviciosproporcionados por dicho operador en la que se contemple,de una manera global, tanto las amenazas físicas comológicas existentes contra la totalidad de sus activos, conindependencia de las medidas mínimas que se puedanestablecer para los Planes de Protección Específicosconforme a lo establecido por el artículo 25.
4
• Metodologías– UNE-ISO 28001
• ANEXO B (Informativo)– ISO/IEC 27005:2008 – UNE-ISO 31000:2010– MOSLER– Cuantitativo mixto– MAGERIT– …….
5
DECISION
6
• Elegir un metodología o desarrollarla
• Elegir una herramienta o desarrollarla
7
NUESTRA DECISION
8
DESARROLLAR UNA METODOLOGIA
9
• Basada en Magerit• Alineada con:
– ISO 31000– ISO 27005
• Con elementos de:– ISO 28000– ISO 22301– Guías y publicaciones de:
• Centro Criptológico Nacional (CCN-CNI)• National Institute of Standards and Technology (NIST) • U.S. Department of Homeland Security.
10
• Con una visión de seguridad integral
11
• Con un enfoque de continuidad del negocio• Análisis de Impacto en el negocio
– la identificación de las actividades que apoyan el abastecimiento de productos y servicios;
– la evaluación de los impactos en el tiempo en que no se realizan estas actividades;
– el establecimiento de plazos prioritarios para la reanudación de estas actividades a un nivel mínimo especificado que sea aceptable, teniendo en consideración el tiempo durante el cual los impactos por la no reanudación pasarían a ser inaceptables; y
– la identificación de las dependencias y de los recursos de apoyo de estas actividades, tncluidos proveedores, socios externos, y otras partes interesadas relevantes.
12
• Con un marco de trabajo Mandato y Compromiso
Diseño del Marco de Trabajo
Seguimiento y Revisión
Mejora ContinuaImplementación del
Proceso de Gestión del Riesgo
13
HERRAMIENTA
14
• Herramienta– Que aporte valor– Que soporte el marco de trabajo– Que sea útil para los operadores críticos
15
16
17
18
