fundamentos de análisis y tratamiento de riesgos de ... · •¿por qué la gestión de riesgos?...

Fundamentos de Análisis y Tratamiento de Riesgos de

acuerdo a ISO 27001

Ponente: Antonio Segovia

©2016 27001Academy www.advisera.com/27001academy

Panel de control de GoToWebinar

• Abra y cierre su Panel

• Vea, Seleccione y pruebe su audio

• Envíe sus preguntas; serán tratadas durante la sesión

• Levante la mano

5

©2016 27001Academy www.advisera.com/27001academy 3

¿Cuales son los pasos básicos en el análisis y tratamiento de riesgos de ISO 27001?

Si estás planificando empezar el análisis de riesgos….

… para hacerlo bien, necesitas entender la importancia de la gestión de riesgos, y aprender lo que es aceptable según el estándar

©2016 27001Academy www.advisera.com/27001academy 4

La gestión de riesgos es el primer paso crucial en la implementación de la ISO 27001 – Determina todo lo que

sucederá después


Agenda

5

• ¿Por qué la gestión de riesgos?

• El proceso de la gestión de riesgos

• Elementos del análisis de riesgos

• Identificación de activos

• Amenazas y vulnerabilidades

• Impacto y probabilidad

• 4 opciones para el tratamiento de riesgos

• Mayores retos con la gestión de riesgos


¿Por qué la gestión de riesgos?

6

Gestión de la seguridad de la información (ISO 27001)

Medición

(ISO 27004)

Salvaguardas

(ISO 27002)

Gestión de

riesgos

(ISO 27005)


El proceso de gestión de riesgos…

7

Your Text Analyze and assess

Your Text Mandatory procedures

Your Text Metodología de análisis de riesgos

Your Text Análisis de riesgos

Your Text Tratamiento de riesgos


… El proceso de gestión de riesgos

8

Your Text Mandatory procedures

Your Text Declaración de

Aplicabilidad (SoA)

Your Text Plan de Tratamiento de Riesgos


Elementos del análisis de riesgos

9

Identificación del riesgo

Activo Amenaza Vulnerabil

idad

Análisis de riesgos

Impacto Probabi

lidad

Riesgo = Impacto x Probabilidad

(o) Riesgo = Impacto + Probabilidad

Propietario del riesgo


Activos – ¿Qué protegemos?

10

• Ejemplos:

• Hardware

• Software

• Información (electrónica, papel, etc.)

• Infraestructura

• ¡Personas!

• etc.

• Identificación de propietarios de activos


Amenazas – ¿Qué puede pasar?

11

Ejemplos:

• Fuego

• Terremoto

• Virus informáticos

• Amenaza de bomba

• Mal funcionamiento del equipamiento

• Personas clave dejan la empresa


Vulnerabilidades – ¿Por qué pueden ocurrir?

12

Ejemplos:

• Falta un sistema de extinción de fuego

• Faltan planes de continuidad de negocio

• Falta software anti-virus

• Faltan procedimientos de respuesta ante incidentes

• Equipamiento obsoleto

• Falta de recambio


Impacto y probabilidad

13

• Ejemplo de escala de análisis:

• Alto

• Medio

• Bajo

• O:

• 1 a 5

• 1 a 10


Ejemplo de tabla de análisis de riesgos

14

Activo Propietario

Amenaza Vulnerabilidad Impacto (1-5)

Probabilidad (1-5)

Risgo (=I+P)

Servidor Admin. Falla de electricidad

No existe UPS 4 2 6

Fuego No existe extintor

5 3 8

Contrato Director Visualizado por personas no autorizadas

El contrato se ha dejado en la mesa

4 4 8

Fuego No existe protección contra fuego

4 3 7

Admin de sistemas

Jefe TI Acidente Nadie más conoce sus contraseñas

5 3 8


4 opciones para el tratamiento del riesgo

15

Aplicar controles

apropiados

Aceptar el riesgo

Evitar el riesgo

Transferir el riesgo


Mayores retos con la gestión de riesgos

16

• Obtener apoyo de la Dirección

• Seleccionar una metodología apropiada

• Calcular impacto y la probabilidad

• Interpretar información y calcular riesgos

• Identificar amenazas y vulnerabilidades con eficacia


Conclusión

17

No te saltes el análisis y tratamiento de riesgos – sin este tipo de análisis

¡la seguridad de tu información estará llena de brechas!

P & R

Antonio Segovia

www.advisera.com/27001academy/webinars

http://www.advisera.com/27001academy/webinars



fundamentos de análisis y tratamiento de riesgos de ... · •¿por qué la gestión de riesgos?...

Documents