![Page 1: Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck](https://reader031.vdocuments.mx/reader031/viewer/2022021221/577c7e181a28abe054a0897e/html5/thumbnails/1.jpg)
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 1/19
Ponente: Antonio Segovia
Fundamentos básicos de laevaluación y tratamiento de
riesgos segúnISO 27001
![Page 2: Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck](https://reader031.vdocuments.mx/reader031/viewer/2022021221/577c7e181a28abe054a0897e/html5/thumbnails/2.jpg)
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 2/19
©2016 27001Academy www.advisera.com/27001academy
Panel de control de GoToWebinar
• Abra y cierre suPanel
• Vea, Seleccione ypruebe su audio
• Envíe sus preguntas;serán tratadasdurante la sesión
• Levante la mano
5
![Page 3: Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck](https://reader031.vdocuments.mx/reader031/viewer/2022021221/577c7e181a28abe054a0897e/html5/thumbnails/3.jpg)
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 3/19
©2016 27001Academy www.advisera.com/27001academy 3
¿Cuales son los pasos básicos en elanálisis y tratamiento de riesgos de ISO27001?
Si estás planificando empezar el análisisde riesgos….
… para hacerlo bien, necesitas entender laimportancia de la gestión de riesgos, yaprender lo que es aceptable según elestándar
![Page 4: Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck](https://reader031.vdocuments.mx/reader031/viewer/2022021221/577c7e181a28abe054a0897e/html5/thumbnails/4.jpg)
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 4/19
©2016 27001Academy www.advisera.com/27001academy 4
La gestión de riesgos es el primer
paso crucial en la implementación dela ISO 27001 – Determina todo lo quesucederá después
![Page 5: Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck](https://reader031.vdocuments.mx/reader031/viewer/2022021221/577c7e181a28abe054a0897e/html5/thumbnails/5.jpg)
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 5/19
©2016 27001Academy www.advisera.com/27001academy
Agenda
5
• ¿Por qué la gestión de riesgos? • El proceso de la gestión de riesgos • Elementos del análisis de riesgos
• Identificación de activos • Amenazas y vulnerabilidades• Impacto y probabilidad
• 4 opciones para el tratamiento de riesgos• Mayores retos con la gestión de riesgos
![Page 6: Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck](https://reader031.vdocuments.mx/reader031/viewer/2022021221/577c7e181a28abe054a0897e/html5/thumbnails/6.jpg)
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 6/19
©2016 27001Academy www.advisera.com/27001academy
¿Por qué la gestión de riesgos?
6
Gestión de la seguridad de la información (ISO 27001)
Medición (ISO27004)
Salvaguardas(ISO 27002)
Gestión deriesgos (ISO
27005)
![Page 7: Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck](https://reader031.vdocuments.mx/reader031/viewer/2022021221/577c7e181a28abe054a0897e/html5/thumbnails/7.jpg)
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 7/19
©2016 27001Academy www.advisera.com/27001academy
El proceso de gestión de riesgos…
7
Your TextAnalyze and assess
Your TextMandatory procedures
Your TextMetodología de análisis de riesgos
Your TextAnálisis de riesgos
Your TextTratamiento de riesgos
![Page 8: Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck](https://reader031.vdocuments.mx/reader031/viewer/2022021221/577c7e181a28abe054a0897e/html5/thumbnails/8.jpg)
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 8/19
©2016 27001Academy www.advisera.com/27001academy
… El proceso de gestión deriesgos
8
Your TextMandatory procedures
Your TextDeclaración deAplicabilidad (SoA)
Your TextPlan de Tratamiento de Riesgos
![Page 9: Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck](https://reader031.vdocuments.mx/reader031/viewer/2022021221/577c7e181a28abe054a0897e/html5/thumbnails/9.jpg)
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 9/19
©2016 27001Academy www.advisera.com/27001academy
Elementos del análisis de riesgos
9
Identificación del riesgo
Activo Amenaza Vulnerabilidad
Análisis de riesgos
Impacto Probabilidad
Riesgo = Impacto x Probabilidad
(o) Riesgo = Impacto + Probabilidad
Propietario delriesgo
![Page 10: Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck](https://reader031.vdocuments.mx/reader031/viewer/2022021221/577c7e181a28abe054a0897e/html5/thumbnails/10.jpg)
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 10/19
©2016 27001Academy www.advisera.com/27001academy
Activos – ¿Qué protegemos?
10
• Ejemplos:• Hardware• Software• Información (electrónica, papel, etc.) • Infraestructura• ¡Personas! • etc.
• Identificación de propietarios de activos
![Page 11: Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck](https://reader031.vdocuments.mx/reader031/viewer/2022021221/577c7e181a28abe054a0897e/html5/thumbnails/11.jpg)
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 11/19
©2016 27001Academy www.advisera.com/27001academy
Amenazas – ¿Qué puede pasar?
11
Ejemplos:• Fuego• Terremoto• Virus informáticos • Amenaza de bomba
• Mal funcionamiento del equipamiento• Personas clave dejan la empresa
![Page 12: Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck](https://reader031.vdocuments.mx/reader031/viewer/2022021221/577c7e181a28abe054a0897e/html5/thumbnails/12.jpg)
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 12/19
©2016 27001Academy www.advisera.com/27001academy
Vulnerabilidades – ¿Por quépueden ocurrir?
12
Ejemplos:• Falta un sistema de extinción de fuego
• Faltan planes de continuidad de negocio• Falta software anti-virus• Faltan procedimientos de respuesta ante
incidentes• Equipamiento obsoleto• Falta de recambio
![Page 13: Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck](https://reader031.vdocuments.mx/reader031/viewer/2022021221/577c7e181a28abe054a0897e/html5/thumbnails/13.jpg)
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 13/19
©2016 27001Academy www.advisera.com/27001academy
Impacto y probabilidad
13
• Ejemplo de escala de análisis: • Alto
• Medio• Bajo
• O:
• 1 a 5• 1 a 10
![Page 14: Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck](https://reader031.vdocuments.mx/reader031/viewer/2022021221/577c7e181a28abe054a0897e/html5/thumbnails/14.jpg)
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 14/19
©2016 27001Academy www.advisera.com/27001academy
Ejemplo de tabla de análisis deriesgos
14
Activo Propietario
Amenaza Vulnerabilidad Impacto (1-5)
Probabilidad (1-5)
Risgo(=I+P)
Servidor Admin. Falla deelectricidad
No existe UPS 4 2 6
Fuego No existeextintor 5 3 8
Contrato Director Visualizadopor personasnoautorizadas
El contrato se hadejado en lamesa
4 4 8
Fuego No existeproteccióncontra fuego
4 3 7
Admin desistemas
Jefe TI Acidente Nadie másconoce sus
contraseñas
5 3 8
![Page 15: Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck](https://reader031.vdocuments.mx/reader031/viewer/2022021221/577c7e181a28abe054a0897e/html5/thumbnails/15.jpg)
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 15/19
©2016 27001Academy www.advisera.com/27001academy
4 opciones para el tratamiento delriesgo
15
Aplicarcontroles
apropiados
Aceptar elriesgo
Evitar elriesgo Transferir elriesgo
![Page 16: Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck](https://reader031.vdocuments.mx/reader031/viewer/2022021221/577c7e181a28abe054a0897e/html5/thumbnails/16.jpg)
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 16/19
©2016 27001Academy www.advisera.com/27001academy
Mayores retos con la gestión deriesgos
16
• Obtener apoyo de la Dirección • Definir el alcance
• Subjetividad del evaluador• Interpretar información y calcular riesgos • Identificar amenazas y vulnerabilidades
con eficacia
![Page 17: Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck](https://reader031.vdocuments.mx/reader031/viewer/2022021221/577c7e181a28abe054a0897e/html5/thumbnails/17.jpg)
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 17/19
©2016 27001Academy www.advisera.com/27001academy
Conclusión
17
No te saltes el análisis y tratamientode riesgos – sin este tipo de análisis
¡la seguridad de tu informaciónestará llena de brechas!
![Page 18: Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck](https://reader031.vdocuments.mx/reader031/viewer/2022021221/577c7e181a28abe054a0897e/html5/thumbnails/18.jpg)
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 18/19
P & R
Antonio Segovia
![Page 19: Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck](https://reader031.vdocuments.mx/reader031/viewer/2022021221/577c7e181a28abe054a0897e/html5/thumbnails/19.jpg)
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 19/19
www.advisera.com/27001academy/webinars