Gestión de Riesgos de Seguridadde la información ISO/IEC 27005:2008 Objetivos del Curso Al terminar el curso el participante deberá: • Comprender el marco de referencia de gestión de riesgos de ISO/IEC 27005:2008. • Reconocer los usos y beneficios de la norma. • Comprender y tener los conocimientos necesarios para poder desarrollar un análisis y evaluación de riesgos de seguridad de la información y su gestión. Conceptos básicos- Seguridad de la Información y Riesgos es esencial para el negocio de una organización y consecuentemente necesita estar protegido adecuadamente. cómo otros activos de negocio importantes.¿Qué es la información? “La información es un activo que.” [ISO/IEC 27002:2005] . ¿Qué es la información? • La información puede existir en muchas formas: ▫ Impresa o escrita en papel ▫ Almacenada electrónicamente ▫ Transmitida por correo. • Sin importar en que medio o forma se encuentre la información. ▫ Mostrada en video ▫ Hablada en una conversación. . mensajería o por medios electrónicos. ésta deberá ser protegida apropiadamente. imputabilidad. Integridad y Disponibilidad. otras propiedades tales como autenticidad.” [ISO/IEC 27005:2005] . no repudio y confiabilidad pueden estar involucradas. adicionalmente.Seguridad de la información • “Preservación de la Confidencialidad. Riesgos de seguridad de la información • El estándar define en riesgo de seguridad de la información como: “el potencial de que una cierta amenaza explote vulnerabilidades de un activo o grupo de activos y así cause daño a la organización” [ISO/IEC 27005:2008] . Amenaza: Una circunstancia o evento que tiene el potencial de causar daño a un activo y por lo tanto a la organización. La falta de un control también puede considerarse una vulnerabilidad.Factores de riesgo Activo: Un activo es algo que tiene valor para la organización y por lo tanto requiere protección. Vulnerabilidad: Debilidad inherente al activo. ya que necesita haber una amenaza que la explote. . Impacto: Daño causado por una amenaza que explota una vulnerabilidad en un activo y que afecta adversamente el logro de los objetivos de negocio. Su presencia no causa daño por sí misma. Factores de riesgo RIESGO Impacto Eventos Activo Amenazas Vulnerabilidades . • Un riesgo se mide en términos de: ▫ La probabilidad de un evento ▫ Sus consecuencias . y así invertir sus esfuerzos y recursos efectivamente. .” [ISO/IEC Guide 73:2002] • La gestión de riesgos permite a una organización identificar qué necesita proteger. cómo debe protegerse y cuánta protección necesita.Gestión de Riesgos “Actividades coordinadas para dirigir y controlar una organización con relación al riesgo. .Gestión de Riesgos-Beneficios • Realizar la gestión de riesgos de seguridad de la información es considerado como una mejor practica por organizaciones internacionales y nacionales y puede ser parte de un requerimiento legal o regulatorio que debe cumplirse. • Cualquiera que sea la razón para adoptar la gestión de riesgos. la organización obtendrá beneficios significativos. número de incidentes y su impacto a la organización. .Gestión de Riesgos-Beneficios • Los beneficios directos: ▫ Conocer los riesgos de seguridad y así poder tomar decisiones de acuerdo a las necesidades y capacidades de la organización. ▫ Reducir incertidumbre. . ▫ Los requerimientos de seguridad de la información y requerimientos del negocio son alineados. ▫ Demuestra conciencia de seguridad y da tranquilidad a los interesados. ▫ Mejora continua en el proceso de análisis y tratamiento de riesgos. ▫ Mayor probabilidad de alcanzar los objetivos de negocio.Gestión de Riesgos-Beneficios • Otros beneficios incluyen: ▫ Una visión completa de los riesgos asistirá a la planeación estratégica y toma de decisiones. ▫ La concientización de seguridad de la información aumenta en la organización. Ejercicio 1 Factores de riesgo . amenaza. impacto) Aire Acondicionado Línea de comunicación desprotegidas Base de datos Números de Tarjetas de Crédito Código Malicioso Página Web Contraseñas débiles PC Contratos Pérdida de clientes Corrupción de datos Pérdida de confidencialidad Edificio Pérdida de electricidad Error en el software Pérdida de ventaja competitiva Facturas Pérdida de reputación Falta de documentación Plan de Marketing Falta de política de seguridad Red inalámbrica Fraude Robo de equipo Gerente de Finanzas Susceptible de fuego Ingeniería Social Interfaz de usuario complicada Acceso no autorizado Interrupción al negocio .FACTORES DE RIESGO (activo. vulnerabilidad. Introducción a la Serie ISO/IEC 27000 . por sus siglas en inglés).Serie ISO/IEC 27000 • Familia de estándares de seguridad de la información publicados en conjunto por la International Organization for Standardization (ISO) y la International Electrotechnical Commission (IEC) • Provee recomendaciones de mejores prácticas para obtener y preservar la seguridad de la información dentro del contexto de un Sistema de Gestión de Seguridad de la Información (ISMS. . ▫ 27006:2007-Requerimientos para las organizaciones que proveen auditoría y certificación de ISMS. ▫ 27005:2008-Gestión de riesgos de seguridad de la información. .Serie ISO/IEC 27000 • Como parte de esta serie se han publicado los siguientes estándares: ▫ 27001:2005-Requerimiento para un ISMS ▫ 27002:2005-Código de práctica para la administración de la seguridad de la información. los siguientes estándares.Guía de implementación para un ISMS ▫ 27004.Serie ISO/IEC 27000 • Además.Telecomunicaciones .Lineamientos para auditar ISMS ▫ 27011. están en proceso para ser publicados: ▫ 27000.Métricas para la gestión de la seguridad de la información. ▫ 27007.Visión general y vocabulario ▫ 27003. entre otros. • Especifica los requerimientos para un ISMS y provee una lista de objetivos de control y controles específicos.ISO/IEC 27001:2005 • Provee un modelo para establecer. buscar certificación de • Utiliza un enfoque de procesos y adopta el modelo PlanearHacer-Verificar-Actuar (PHVA o PDCA por sus siglas en inglés). mantener y mejorar un Sistema de Gestión de Seguridad de la Información (ISMS) dentro de un enfoque de gestión de riesgos. implementar. operar. . • Las organizaciones pueden conformidad con el estándar. monitorear. revisar. ISO/IEC 27001:2005 Partes Interesadas Planear Establecer el ISMS Hacer Implementar Mantener y mejorar el Actuar ISMS y operar el ISMS Requerimientos y expectativas de la seguridad de la información Partes Interesadas Monitorear y revisar el ISMS Verificar Modelo PDCA aplicado a los procesos de ISMS Seguridad de la Información gestionada . ISO/IEC 27002:2005 • Código de práctica para la implementación de la seguridad de la información. • Establece lineamientos y principios generales (recomendaciones) para la gestión de la seguridad de la información, así como guías para la implementación de objetivos de control y controles en función de un proceso de análisis y tratamiento de riesgos. • Funciona como apoyo para la implementación de los controles definidos en el Anexo A del ISO/IEC 27001. • La nomenclatura del ISO/IEC17799:2005 fue cambiada a ISO/IEC 27002:2005 a mediados de 2007 para integrarlo a la familia de estándares ISO/IEC 27000. El contenido no sufrió cambios ISO/IEC 27006:2006 • ISO/IEC 27006 especifica requerimientos y provee una guía para las organizaciones que proveen certificación o auditoria de los ISMS, incluyendo a BSI. • Estas organizaciones deben seguir los requerimientos de esta norma para demostrar su competencia y confiabilidad, en conjunto con los requerimientos contenidos en el ISO/IEC 17021:2006 e ISO/IEC 27001:2005. Introducción a ISO/IEC 27005:2008 puede implementarse independientemente. • Soporta la ISO/IEC 27001. • No es una técnica o metodología (ver Margerit y Octave).ISO/IEC 27005:2008 • Publicado en Junio 2008 • Provee lineamientos para la gestión de riesgos. sin embargo. . • Esta diseñado para poder ser aplicado en cualquier organización. .Descripción • Es un estándar internacional que describe un marco de referencia para gestionar los riesgos de seguridad de la información. ni sugiere alguna. • Sin embargo. • Cada empresa debe seleccionar la metodología que cumpla con sus requerimientos y objetivos. . si especifica un proceso estructurado y sistemático ISO/IEC para gestionar los riesgos.Descripción • No está alineado a una metodología de gestión de riesgos en específico. • Puede implementarse independientemente o para otros propósitos.Aplicaciones • ISO/IEC 27005 cubre las especificaciones de ISO/IEC 27001 para la gestión de riesgos. . • Se debe realizar análisis y evaluaciones de riesgos para identificar los riesgos a los que está expuesta una organización y tratarlos de acuerdo a los criterios y requerimientos que ésta determine. .Aplicaciones Rol en un ISMS • Asiste en cualquier implementación de un Sistema de Gestión de Seguridad de la Información (ISMS). servicio o mecanismo. • Sirve como base para el desarrollo de un Plan de continuidad del negocio y/o Plan de respuesta a incidentes. las aplicaciones de este estándar incluyen: • Cumplimiento legal o regulatorio y evidencia de atención y cuidado prestado a la seguridad de la información. • Descripción de los requerimientos de seguridad de un producto.Aplicaciones Además del soporte a un ISMS. . Ejercicio 2 Serie de estándares ISO/IEC 27000 . ¿Qué estándar debe seguir principalmente? • Una organización quiere implementar controles de seguridad en la empresa ¿Qué estándar le ayuda a seleccionar controles comúnmente utilizados? Si el presupuesto es limitado qué estándar le ayuda a priorizar? .• ¿Qué ventajas tiene utilizar estándares internacionales? ¿Desventajas? • Si una organización desea obtener un certificado para proporcionar a sus socios de negocio como evidencia de que protege su información apropiadamente. Proceso de Gestión de Riesgos de Seguridad de la Información . COMUNICACIÓN DE RIESGOS ESTABLECIMIENTO DEL CONTEXTO ANÁLISIS Y EVALUACIÓN DE RIESGOS ANÁLISIS DE RIESGOS IDENTIFICACIÓN DE RIESGOS ESTIMACIÓN DE RIESGOS EVALUACIÓN DE RIESGOS PUNTO DE DECISIÓN DE RIESGOS 1 Satisfacción del Análisis y Evaluación No Si TRATAMIENTO DE RIESGOS No PUNTO DE DECISIÓN DE RIESGOS 2 Satisfacción del Tratamiento Si ACEPTACIÓN DE RIESGOS FIN DE PRIMERA O SUBSECUENTES ITERACIONES MONITOREO Y REVISIÓN DE RIESGOS Proceso de Gestión de Riesgos de Seguridad de la Información . .Proceso • ISO/IEC 27005:2008 divide el proceso de gestión de riesgos de seguridad de la información en las siguientes actividades: ▫ ▫ ▫ ▫ ▫ ▫ Establecimiento del contexto Análisis y evaluación de riesgos (Risk assessment) Tratamiento de riesgos Aceptación de riesgos Comunicación de riesgos Monitoreo y revisión de riesgos • Éste estándar permite iteraciones entre las actividades para alcanzar los resultados deseados y la mejora continua. Partes Interesadas Planear Hacer Implementar Mantener y mejorar el Actuar ISMS y operar el ISMS Requerimientos y expectativas de la seguridad de la información Partes Interesadas Establecer el ISMS Monitorear y revisar el ISMS Verificar Seguridad de la Información Gestionada .Relación con ISO/IEC 27001 • Recordemos el modelo PDCA utilizado para el ISMS especificado en ISO/IEC 27001. Proceso ISMS Planear Hacer Verificar Actuar Proceso de Gestión de Riesgos de Seguridad de la Información Establecer el contexto Análisis y evaluación de riesgos Desarrollar el plan de tratamiento de riesgos Aceptación de riesgos Implementación del plan de tratamiento de riesgos Monitoreo y revisión continuo de riesgos Mantener y mejorar el Proceso de Gestión de Riesgos de Seguridad de la Información .Relación con ISO/IEC 27001 • La Tabla 1 del estándar muestra la alineación entre el proceso de ISMS y el de Gestión de Riesgos. • Ambos estándares proveen lineamientos para la Gestión de Riesgos de Seguridad de la Información y ambos soportan los requerimientos del estándar ISO/IEC 27001:2005. • BS 7799-3 no se transforma en ISO/IEC 27005:2008.Relación con BS 7799-3 • BS 7799-3 fue publicado en 2006. reportes técnicos que formaban parte del ISO/IEC 13335 para la Gestión de Riesgos de Seguridad de TI. Ambos estándares siguen vigentes • ISO/IEC 27005:2008 reemplaza ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000. . Relación con BS 7799-3 ANÁLISIS Y EVALUACIÓN DE RIESGOS ANÁLISIS DE RIESGOS IDENTIFICACIÓN DE RIESGOS ESTIMACIÓN DE RIESGOS EVALUACIÓN DE RIESGOS PUNTO DE DECISIÓN DE RIESGOS 1 Satisfacción del Análisis y Evaluación No Si TRATAMIENTO DE RIESGOS No PUNTO DE DECISIÓN DE RIESGOS 2 Satisfacción del Tratamiento Si ACEPTACIÓN DE RIESGOS FIN DE PRIMERA O SUBSECUENTES ITERACIONES MONITOREO Y REVISIÓN DE RIESGOS Proceso ISO/IEC 27005 COMUNICACIÓN DE RIESGOS ESTABLECIMIENTO DEL CONTEXTO . Relación con BS 7799-3 Cláusula 5.Tratamiento de riesgos y toma de decisiones Cláusula 7. implementar y operar controles para tratar los riesgos Cláusula 6.Análisis y evaluación de riesgo Analizar y evaluar los riesgos Seleccionar.Actividades continuas de gestión de riesgos Proceso BS 7799-3 .Actividades continuas de gestión de riesgos Mantener y mejorar los controles de riesgo Monitorear y revisar los riesgos Cláusula 7. Ejercicio 3 Proceso general del ISO/IEC 27005 y su relación con ISO/IEC 27001 . Actividades de Gestión de Riesgos de Seguridad de la Información . Tratamiento de riesgos Cláusula 10. ▫ ▫ ▫ ▫ ▫ ▫ Cláusula 7. Cláusula 8. Comunicación de riesgos Cláusula 12. Análisis y evaluación de riesgos Cláusula 9. Establecimiento del contexto. Aceptación de riesgos Cláusula 11. Monitoreo y revisión de riesgos .Actividades • Cada una de las 6 actividades del proceso de Gestión de Riesgos se encuentra definida en las cláusulas 7-12 del estándar. .Actividades • En cada actividad se describen los siguientes elementos: Guía de implementación Entrada Acción Salida • Información adicional y ejemplos se presentan en los anexos informativos A-F. Actividades de Gestión de Riesgos de Seguridad de la Información Cláusula 7. Establecimiento del contexto . Establecimiento del contexto Información relevante de la organización ESTABLECIMIENTO DEL CONTEXTO Establecimiento del contexto Criterios básicos Alcance y limites Organización . Establecimiento del contexto • Para establecer el contexto debe conocerse la información relevante de la organización. el propósito de la implementación del estándar y las limitantes o restricciones. • El Anexo A proporciona información y ejemplos al respecto ESTABLECIMIENTO DEL CONTEXTO . la política del ISMS y el enfoque del análisis de riesgos. ▫ Si se esta utilizando este estándar como apoyo para la implementación de ISO/IEC 27001.2.Establecimiento del contexto • Durante esta actividad debe: ▫ Establecerse los criterios básicos para la gestión de los riesgos de seguridad de la información. ESTABLECIMIENTO DEL CONTEXTO . el contexto de la gestión de riesgos deberá estar alineado con los requerimientos establecidos en el punto 4.1 del ISMS. ▫ Definirse el alcance y los límites ▫ Establecerse la organización para operar la gestión de los riesgos de seguridad de la información. incluyendo los alcances y límites del ISM. Dentro de este enfoque deben definirse criterios básicos como: ▫ Criterios de evaluación de riesgos ▫ Criterios de impacto ▫ Criterios de aceptación de riesgos ESTABLECIMIENTO DEL CONTEXTO .Criterios Básicos • Debe establecerse el enfoque de gestión de riesgos más apropiado. • Posteriormente servirá para establecer prioridades de tratamiento. regulaciones. Confidencialidad. Criterios de evaluación de riesgos ESTABLECIMIENTO DEL CONTEXTO .Criterios de evaluación de riesgos Expectativas y percepciones y daño reputación. integridad y disponibilidad Leyes. y contratos Criticidad de activos de información Valor estratégico del proceso de negocio • ¿Cómo se determinará la prioridad de los riesgos? • Bajo estos criterios se evaluarán los riesgos y se establecerán prioridades. ▫ Los riesgos que pudieran tener un impacto mayor al x% del ingreso anual tendrán prioridad.Criterios de evaluación de riesgos • Ejemplos ▫ Los riesgos se priorizarán utilizando una escala de “Alto”. ▫ Los riesgos del proceso A tomaran prioridad sobre los riesgos del proceso B. ▫ De todos los riesgos identificados como “altos” tiene prioridad los que afectan la disponibilidad. ESTABLECIMIENTO DEL CONTEXTO . ▫ Los riesgos “medios” y “altos” que afecten el activo X deberán tener prioridad sobre los demás activos. “Medio” y “Bajo”. ▫ Los riesgos relacionados con el cumplimiento de la ley deberán tener prioridad. ▫ Los riesgos de confidencialidad no aplican para el proceso C. humanos. etc. I. técnicos. regulaciones o contratos Pérdida de negocio y valor financiero Operaciones afectadas (internas o a terceros) Violaciones a la seguridad (C. D) Clasificación del activo impactado • ¿Qué impactos se tomarán en cuenta y cómo se evaluarán? • Estos criterios ayudarán a determinar los impactos de los escenarios de incidentes y deben describirse en términos del posible daño o costos a la organización. . • Pueden expresarse en términos monetarios.Criterios de impacto ESTABLECIMIENTO DEL CONTEXTO Criterios de impacto Interrupción a los planes y fas límite Violaciones a leyes. se considerará un impacto “No significativo”. integridad y disponibilidad de los activos. entre X1% y X2% se considerará “Significativo”. ▫ Se considerará una escala de “Bajo”. ▫ El impacto a la reputación de la organización se considerará como el más significativo. “Medio” y “Alto” para evaluar el impacto.Criterios de Impacto • Ejemplos ▫ Se considerarán los impactos de acuerdo al valor de pérdida de los activos. ▫ Si el impacto financiero es igual o menor al X1% del ingreso anual. mayor a X3% se considerará “Inaceptable”. ▫ Se considera el impacto por pérdida de confidencialidad. ESTABLECIMIENTO DEL CONTEXTO . • Los criterios de aceptación de riesgo deben alcanzarse por medio del plan de tratamiento. Criterios de impacto .Criterios de aceptación de riesgos ESTABLECIMIENTO DEL CONTEXTO Factores sociales y humanos Finanzas Tecnología Operaciones Aspectos legales y regulatorios Criterios del negocio • ¿A qué nivel son aceptables los riesgos para la empresa? • Estos criterios auxilian en la determinación del nivel al que deberán tratarse los riesgos analizados y evaluados. justificadas y formalmente aprobadas por la Alta Dirección. ▫ Los riesgos que pudieran tener impacto negativo respecto al cumplimiento de la ley no deberán ser aceptados. ▫ Los riesgos de disponibilidad para los activos críticos del proceso A cuyo impacto exceda los x minutos de interrupción al proceso no podrán ser aceptados. ▫ Los riesgos “altos” sólo podrán ser aceptados si se establece formalmente un compromiso para tratarlos en el corto plazo. ESTABLECIMIENTO DEL CONTEXTO . ▫ Los riesgos que puedan representar una pérdida menor al x% de las ganancias pueden ser aceptados. Los riesgos “medios” y “altos” no deberán ser aceptados. las excepciones deben ser consideradas.Criterios de aceptación de riesgos • Ejemplos ▫ Los riesgos identificados como “bajos” podrán ser aceptados. Si está utilizándose este estándar como apoyo a la implementación de ISO/IEC 27001.Alcance y límites • Debe definirse el alcance y los límites para asegurar que se cubran todos los activos relevantes. • Las exclusiones del alcance deberán justificarse. restricciones y recursos (Ver Anexo A de ISO/IEC 27005:2008). requerimientos. Esto depende de los objetivos del negocio. • La gestión de riesgos puede implementarse en toda la organización o partes de ella. el alcance y límites estarán alineados a aquellos del ISMS ESTABLECIMIENTO DEL CONTEXTO . Organización • Deberá designarse al personal participante en la gestión de riesgos y sus roles y responsabilidades deben ser claramente establecidos y formalizados.1a) del ISMS ESTABLECIMIENTO DEL CONTEXTO .2. la organización para las operaciones de gestión de riesgos puede ser considerado como uno de los recursos requeridos en el punto 5. Si está utilizándose este estándar como apoyo a la implementación de ISO/IEC 27001. Ejercicio 4 Establecimiento del contexto . 1. Con ayuda del Anexo A. 3. estructura. 3. Tiempo: 45minutos Ejercicio 4a Ejercicio 4b 1. . organigrama. Establezca la organización (con los roles y responsabilidades) para la gestión de riesgos de seguridad de la información en la empresa.) 2. 2. estrategia y restricciones. valores.Ejercicio 4. misión. (Ej: un banco. Identifique una organización de su elección. un proveedor de internet. identifique vagamente el propósito de la empresa. su negocio. Redacte el alcance y los limites. Para la organización del ejercicio 4a. establezca los criterios de evaluación. impacto y aceptación. Considere qué productos o servicios ofrece la organización. EJEMPLO. Medio. UMBRELES DE RIESGO ALTO MEDIO BAJO Buena práctica .Ejercicio 4 Criterios de evaluación de riesgos La evaluación de riesgos se hará considerando umbrales de riesgo y se clasifican los riesgos en Alto. o Bajo. sensibilidad = impacto. así como los impactos al negocio.EJEMPLO. • En esta fase de gestión de riesgos se identificaran impactos considerando el nivel de sensibilidad de los activos. Buena práctica . integridad y disponibilidad.Ejercicio 4 Criterios de impacto • Considerar el impacto a la información en términos de confidencialidad. • En este caso. EJEMPLO. ▫ Contar con un registro de la justificación. . • Si se desea aceptar un riesgo en nivel “Medio” o “Alto”. deberá: ▫ Existir la debida aprobación de la Gerencia.Ejercicio 4 Criterios de aceptación • Se podrán aceptar los riesgos de nivel “Bajo”. Inc. • Límites: “No se incluirá en el alcance los activos administrados por Tercero. Y.EJEMPLO.” . Z y Cuentas por cobrar”.Ejercicio 4 Alcances y límites • Alcance: “Los procesos críticos del negocio incluyendo: X. Ejercicio 4 Organización Administrador de riesgos Comité de riesgos Responsable Identificación de riesgos Responsable Cálculo de riesgos Responsable Tratamiento de riesgos Responsable Monitoreo de riesgos .EJEMPLO. Actividades de Gestión de Riesgos de Seguridad de la Información Cláusula 8. Análisis y evaluación de riesgos . Análisis y evaluación de riesgos Criterios básicos Alcance y limites Organización ANÁLISIS Y EVALUACIÓN DE RIESGOS Identificar. estimar y priorizar los riesgos Lista de riesgos analizados y priorizados de acuerdo a los criterios de evaluación . ANÁLISIS Y EVALUACIÓN DE RIESGOS .Análisis y evaluación de riesgos • El análisis y evaluación de riesgos (Risk assessment) describe cuantitativamente o cualitativamente los riesgos. incluyendo la implementación efectiva de controles y la toma de decisiones. • Esto facilita la gestión de la seguridad de la información. • Cada organización debe definir su propio enfoque para ésta actividad. Análisis y evaluación de riesgos Consiste en las siguientes actividades: • Análisis de riesgos ▫ Identificación de riesgos ▫ Estimación de riesgos • Evaluación de riesgos ANÁLISIS Y EVALUACIÓN DE RIESGOS . 2.1.1.2.3) Controles existentes (8. • Para hacer esto se debe identificar: ▫ ▫ ▫ ▫ ▫ Activos (8.2.2.4) Vulnerabilidades (8.2) Amenazas (8.1.2.Identificación de riesgos • Durante la identificación de riesgos se colecta informacion con el objetivo de identificar posibles escenarios que puedan causar un impacto negativos en la organización.5) Consecuencias/impactos (8.6) • La forma de realizarlo depende del enfoque del análisis de riesgos ANÁLISIS Y EVALUACIÓN DE RIESGOS ANÁLISIS DE RIESGOS IDENTIFICACIÓN DE RIESGOS .1.1. Identificación de activos • La identificación de activos de información de la organización debe realizarse a un nivel de detalle apropiado. • Debe también identificarse los dueños de los activos y los procesos de negocio a los que pertenecen.1 del estándar ISO/IEC 27005:2008 Hardware Software Red Personal Sitio Estructura organizacional las de . • El estándar distingue siguiente clasificación activos: Activos Activos primarios Procesos y actividades de negocio Información Activos de soporte • Puede encontrarse más información y ejemplos en el Anexo B. Identificación de activos Identificar proceso. Identificar actividades involucradas en el proceso Buena práctica Identificar activos involucrados en la ejecución de las actividades . etc. cheques. aplicar descuentos. cheques impresos. Buena práctica Activos (imprimir cheques): Tesorero.Identificación de activos Proceso: Nómina Actividades: Calcular nómina. impresora. Excel. información de pagos. PC Tesorero. aplicar bonos. . imprimir cheques. Facturación PC Facturación Mail Teléfono PC C Y C Factura Mensajería Personal C y C Facturas Impresa Impresora Factura s Sistema Contable Cliente Sistema Contable PC Tesorería Hojas de Facturación Cliente Sistema Contable Personal Facturación Hoja de Facturación PC Contabilidad Modem Cliente Sistema Banco PC Tesorería Gerente de contabilidad Sistema Banco Impresora Estado de cuenta Clientes .Mapa de procesos para riesgos Mail Inf. Mapa de procesos para riesgos Simbología Actividad Entidad Aplicación Plataforma Buena práctica Red 1 Dispositivo de comunicaciones Base de Datos Proceso Documento Físico Elemento Físico Sistema Información (Archivo) Externo al proceso . Identificación de activos Tesorero ENTIDAD Buena práctica . Identificación de activos Cheques impresos Tesorero Imprimir cheques INICIO/ ORIGEN DE ACTIVIDAD Buena práctica ACTIVIDAD FIN/DESTINO DE ACTIVIDAD . de pagos Cheques Excel PC Tesorero Imprimir cheques Buena práctica ACTIVOS INVOLUCRADOS Impresora Cheques impresos .Identificación de activos Tesorero Inf. de pagos Activo Tipo Tesorero Gerente Cheques Información de pagos (pagos.xls) Información Cheques Información PC Tesorero PC Tesorero Infraestructura Excel Excel Aplicaciones Impresora Impresora Infraestructura Cheques impresos Información Cheques impresos .Identificación de activos Tesorero Buena práctica INVENTARIO DE ACTIVOS Inf. Identificación de activos • Aplicaciones: Los sistemas automatizados para los usuarios o procedimientos manuales que permiten procesar información • Información: Los datos de entrada. Estos pueden ser internos o contratados. implantar. soportar. monitorear y evaluar los sistemas de información y servicios.. redes multimedia. sistemas operativos. Buena práctica • Infraestructura: La tecnología y las instalaciones (por ejemplo: hardware. procesados y terminados por los sistemas de información en cualquier forma. . organizar . y el ambiente que lo resguarda y los soporta) que permite el procesamiento de información por las aplicaciones. entregar . adquirir. sistemas de administración de bases de datos. etc. • Gerente: El personal requerido para planear . • Deben identificarse tanto las vulnerabilidades intrínsecas como extrínsecas al activo. . • Ejemplos: Susceptibilidad a la humedad. uso inadecuado de controles físicos de acceso. Es decir.Identificación de vulnerabilidades • Recordemos que la mera presencia de una vulnerabilidad no es dañina. pueden ser propias del activo o por otras situaciones como la falta o falla de un control o el uso inapropiado del activo. falta de copias de respaldos.… • Puede encontrarse más información y ejemplos en el Anexo D del estándar. necesita existir una amenaza que la explote. Identificación de vulnerabilidades • Ejemplos de vulnerabilidades V= Se encuentra en un área que se puede inundar. Buena práctica V= Consumible V=Puede sufrir daños físicos . V= Almacenamiento desprotegido. V= Inflamable A=Facturas V=No se encuentran concentrados en un mismo lugar. .Identificación de controles existentes • Deben identificarse los controles existentes o planeados. la documentación de controles y los reportes de auditorias internas. • Para esto pueden revisar se los planes de tratamiento previos. y además verificar su efectividad. además de preguntar a los encargados de seguridad de la información y usuarios y hacer revisiones en sitio para verificar la documentación. estadísticas. etc. catálogos de amenazas externas. • Para cubrir todas las amenazas y mantener limitado el volumen de trabajo requerido.Identificación de amenazas • La información sobre amenazas puede obtenerse de los incidentes pasados.: Robo de información. sismo. usuarios y otras fuentes incluyendo especialistas de seguridad. cuando sea apropiado. dueños de activos. etc. identificar amenazas individuales dentro de la clase genérica. • Las amenazas pueden ser deliberadas. falla de equipo. • Puede encontrarse más información y ejemplos en el Anexo C del estándar ISO/IEC 27005:2005. Ej. • Debe también identificarse el tipo y fuente de la amenaza. accidentales o ambientales(naturales). autoridades. el estándar señala que las amenazas deben identificarse genéricamente y por tipo y después. . Una entidad puede actuar o causar que un evento de amenaza ocurra al explotar una o más vulnerabilidades en un sistema. modificación . destrucción y/o negación de servicio.Un evento cuya ocurrencia causará daño a un sistema mediante su divulgación.Identificación de amenazas • Agente de Amenaza. • Evento de Amenaza. Buena práctica . V= Inflamable A=Facturas E=Incendio E=Pérdida V= Almacenamiento desprotegido.Identificación de amenazas V= Se encuentra en un área que se puede inundar. V= Consumible Buena práctica E=Inundación A= Empleado A= Empleado A= Visitantes A= Personal E=Daño A= Personal A= Impresora . E=Robo E=Uso V=Puede sufrir daños físicos A= Agua A= Fuego V=No se encuentran concentrados en un mismo lugar. Identificación de consecuencias • Esta actividad identifica los daños o consecuencias a la organización causados por un escenario de incidente, tomando en cuenta las consecuencias que pueda traer al activo la pérdida de confidencialidad, integridad y disponibilidad. • El impacto de los escenarios de incidente debe ser consistente con los criterios de impacto definidos. • Un impacto puede tener efectos inmediatos (operacionales) o futuros (del negocio). • Ejemplos: perdida de efectividad, condiciones operativas adversas, pérdida del negocio, daño a la reputación, etc. • Puede encontrarse más información y ejemplos en el Anexo B.3 del estándar. Identificación de impactos • Identificar impactos considerando el nivel de sensibilidad de los activos y las vulnerabilidades identificadas. • Considerar el impacto a la información en términos de pérdida de confidencialidad, integridad y disponibilidad, así como los impactos al negocio. Buena práctica Ejercicio 5 Identificación de riesgos 3. Apóyese del Anexo B.1. . Seleccione uno de los procesos e identifique sus actividades. Identificación de activos 1.Proceso:___________________ Actividades: _________________________ _________________________ Activo Clasificación Servidores Hardware Internet Network Ejercicio 5a. Identifique los activos del proceso elegido y lístelos junto con su clasificación. Identifique los procesos de negocio dentro del alcance definido en el Ejercicio 4b. 2. Seleccione uno de los activos e identifique amenazas que le puedan dañar.Ejercicio 5b. . Apóyese del Anexo C. D equipo de telecomunicaci ones Inundación E. Liste las amenazas junto con su tipo y fuente. A 1. Identificación de amenazas Activo: Servidores Fuentes (Agente) T1 T2 T3 T4 T5 Personas Agua Amenazas (Evento) Tipo Falla en el A. 2. . Identifique las vulnerabilidades que Pueden ser puedan ser explotadas explotadas por por las amenazas T1 identificadas y causar daño al activo. T3 T4 T5 2. Liste las vulnerabilidades en relación al activo y amenazas previamente identificados. T2 Apóyense del Anexo D. Identificación de vulnerabilidades Activo: Servidores Vulnerabilidades Puntos únicos de falla en la Red Ubicación en áreas susceptibles de inundación 1.Ejercicio 5c. en relación al activo y proceso de negocio seleccionados en los ejercicios anteriores. . integridad Amenaza Vulnerabilidad y disponibilidad pudieran tener en los activos. Identificación de consecuencias 1. Liste las consecuencias junto a los escenarios de incidentes. daño al activo 2. Identifique las consecuencias que la pérdida de Escenarios Consecuencias confidencialidad. equipo falla Servicio Activo: S1 Servidores telecomunicaciones S2 S3 S4 Inundación Ubicación en áreas inundables Interrupción de servicio. Falla Puntos únicos de Interrupción del Apóyese del Anexo B.Ejercicio 5d.3. EJEMPLO-Ejercicio 5 Identificación de activos Área de negocio Proceso Área de negocio 01 Proceso 01 SISTEMA X 5 -Aplicaciones Área de negocio 09 Proceso 28 RED 2 –Red/ Telecomunicaciones Cuentas por cobrar Facturación FACTURAS 4 – Información/ Datos/ Documentos Buena práctica Activo Capa . EJEMPLO-Ejercicio 5 Identificación de vulnerabilidades Proceso Proceso 01 SISTEMA X Proceso 28 RED Facturación FACTURAS Buena práctica Vulnerabilidades Activo … V1-EXPOSICIÓN A VIRUS Y CÓDIGO MALICIOSO V57-SUSCEPTIBILIDAD A FALLAS V10-ALMACENAMIENTO DESPROTEGIDO . VISITANTES E14.ROBO .INFECCIÓN POR VIRUS INFORMÁTICO A53.VIRUS INFORMÁTICO E1.FALLA EN COMPONENTE DE TECNOLOGÍA A3.EJEMPLO-Ejercicio 5 Identificación de amenazas Proceso Activo Proceso 01 SISTEMA X Proceso 28 RED Facturación FACTURAS Agentes de amenaza Buena práctica Eventos de amenaza A1.DISPERSORES DE AGUA E34. pérdidas de control .EJEMPLO-Ejercicio 5 Identificación de impactos Proceso Activo Proceso 01 SISTEMA X Proceso 28 RED Facturación FACTURAS Buena práctica Descripción de posibles impactos al negocio … Descripción de posibles impactos al negocio Descripción de posibles impactos al negocio Pérdidas económicas. 3) y sus consecuencias (8.Estimación de riesgos • En esta etapa se asigna un valor a los riesgos.2.2. • Para cada riesgo: ▫ ¿Qué tan probable es que la amenaza explote la vulnerabilidad del activo? ▫ ¿Qué consecuencias tendrá hacia el negocio la ocurrencia de un escenario? ANÁLISIS Y EVALUACIÓN DE RIESGOS ANÁLISIS DE RIESGOS ESTIMACIÓN DE RIESGOS .2).2.2. • Recordemos que un riesgo se mide en términos de la probabilidad de un evento (8. Estimación de riesgos • La metodología para la estimación depende del enfoque del análisis de riesgos y debe estar relacionado directamente con las circunstancias de la organización. ANÁLISIS Y EVALUACIÓN DE RIESGOS ANÁLISIS DE RIESGOS ESTIMACIÓN DE RIESGOS . así como el propósito del análisis de riesgos. • La evaluación de la probabilidad y consecuencias del riesgo pueden ser cuantitativo o cualitativo (o ambas). • Información útil y ejemplos se presentan en el anexo E. Ésta valuación puede obtenerse por medio de un Análisis de Impacto al Negocio (BIA) • Por otro lado. el impacto está relacionado con el grado de éxito de un incidente. Los controles que se implementan reducirán significativamente el impacto. • Puede encontrarse más información y ejemplos en el Anexo B. • La valuación de los activos puede determinarse utilizando dos medidas: ▫ Valor de reemplazo del activo ▫ Consecuencias al negocio por la pérdida o comprometimiento de un activo.Evaluación de consecuencias • La evaluación de consecuencias está relacionada con la valuación de los activos y la evaluación del impacto.3 del estándar. . la facilidad de explotación será Baja . • Por ejemplo: la probabilidad de infección por código malicioso puede ser Alta según las estadísticas. pero si existen controles como software antivirus actualizados.Evaluación de probabilidad • Debe evaluarse la probabilidad de que ocurra cada escenario de incidente e impacto • Debe tomarse en cuenta qué tan comúnmente ocurren la amenazas y que tan fácil es explotar las vulnerabilidades. • Pueden utilizarse diferentes métodos o enfoques para realizar esto. A continuación se muestran las tablas ejemplo incluidas en el estándar.Estimación de niveles de riesgo • El nivel de riesgo es una combinación de la probabilidad del escenario de incidente y sus consecuencias. . 1 a) del estándar ISO/IEC 27005:2008 Valor de Amenaza Valor del activo Bajo Medio Alto Facilidad de explotación L M H L M H L M H 0 0 1 2 1 2 3 2 3 4 1 1 2 3 2 3 4 3 4 5 2 2 3 4 3 4 5 4 5 6 3 3 4 5 4 5 6 5 6 7 4 4 5 6 5 6 7 6 7 8 .Estimación de niveles de riesgo • Tabla E. Estimación de niveles de riesgo • Tabla E.1 b) del estándar ISO/IEC 27005:2008 Impacto al Negocio Probabilidad del escenario de incidencia Muy Bajo (Muy improbable) Bajo (Improbable) Medio (Posible) Alto (Probable) Muy Alto (Frecuente) Muy Bajo 0 1 2 3 4 Bajo 1 2 3 4 5 Medio 2 3 4 5 6 Alto 3 4 5 6 7 Muy Alto 4 5 6 7 8 . Activos La sensibilidad de los activos se obtiene en términos de pérdida de su: • Confidencialidad • Integridad • Disponibilidad Buena práctica . privacidad y/o competitividad de la empresa. Buena práctica Rango (suma de valores por pérdida de confidencialidad.Sensibilidad • Se utiliza la siguiente tabla para evaluar la sensibilidad: Valor Descripción 1 La brecha puede resultar en poca o nula pérdida o daño 2 La brecha puede resultar en una pérdida o daño menor. o en un daño critico a un individuo o al bienestar. reputación. y los procesos del negocio pueden fallar o interrumpirse. Los procesos del negocio fallarán. 5 La brecha puede resultar en altas pérdidas de dinero. 3 La brecha puede resultar en una pérdida o daño serio. y los procesos del negocio pueden verse afectados negativamente. 4 La brecha puede resultar en una pérdida o daño serio. integridad y disponibilidad) Valor 3-5 Bajo (1) 6-10 Medio (2) 11-15 Alto (3) . No incrementa la probabilidad de que vulnerabilidades adicionales sean explotadas.Vulnerabilidades Valor Severidad Exposición 1 Severidad Menor: Se requiere una cantidad significativa de recursos para explotar la vulnerabilidad y tiene poco potencial de pérdida o daño en el activo. La explotación de la vulnerabilidad aumenta la probabilidad de explotar vulnerabilidades adicionales. o se requieren pocos recursos para explotar la vulnerabilidad y tiene un potencial moderado de pérdida o daño en el activo. 2 Severidad Moderada: Se requiere una cantidad significativa de recursos para explotar la vulnerabilidad y tiene un potencial significativo de pérdida o daño en el activo. Buena práctica . La explotación de la vulnerabilidad aumenta significativamente la probabilidad de explotar vulnerabilidades adicionales. Exposición Menor: Los efectos de la vulnerabilidad son mínimos. Exposición Moderada: La vulnerabilidad puede afectar a más de un elemento o componente del sistema. 3 Severidad Alta: Se requieren pocos recursos para explotar las vulnerabilidades y tienen un potencial significativo de pérdida o daño en el activo Exposición Alta: La vulnerabilidad afecta a la mayoría de los componentes del sistema. Vulnerabilidades Severidad Exposición 1 2 3 1 1 2 3 2 2 3 4 3 3 4 5 . Casi seguro que intentará el ataque. pero conocimiento y habilidades limitadas. suficientes recursos. O. tiene se le pide o provoca. habilidades y recursos necesarios para realizar un ataque Altamente motivado.Amenazas Valor Capacidad Motivación 1 Poca o nula capacidad de realizar el ataque Poca o nula motivación. 2 Capacidad moderada. No se está inclinado a actuar. Se actuará si el ataque. Capacidad Buena práctica Motivación 1 2 3 1 1 2 3 2 2 3 4 3 3 4 5 . 3 Altamente capaz. pero pocos recursos. Se tienen los conocimientos. Se tiene el Nivel moderado de conocimiento y habilidades para realizar motivación. a través de un evento de amenaza explote la vulnerabilidad. 3 Alta. Marcador Descripción Buena práctica 1 Baja. se han presentado suficientes casos y el escenario de amenaza seguramente ocurrirá. . es decir. la probabilidad de que el agente de amenaza. 2 Media. no hay historial y es raro que el escenario de amenaza ocurra. Dicha evaluación se realiza mediante la siguiente tabla.Probabilidad • Se evalúa la probabilidad de que ocurra el escenario de amenaza. se han presentado casos y puede ocurrir el escenario de amenaza. Estimación del nivel de riesgos Riesgo = Vulnerabilidad x Amenaza x Probabilidad x Impacto Buena práctica 5 5 3 15 = 1125 1 1 1 3 =3 . Ejercicio 6 Estimación de riesgos . Ejemplo-Ejercicio 6 Sensibilidad de activos Proceso Activo Proceso 01 SISTEMA X Proceso 28 RED Facturación FACTURAS Sensibilidad de los activos Confidencialidad Integridad Disponibilidad Total1 Valor1 Valor2 5 3 3 11 Alto 3 4 3 4 11 Alto 3 4 5 4 13 Alto 3 Buena práctica . EXPOSICIÓN A VIRUS Y CÓDIGO MALICIOSO 3 3 5 V57.Ejemplo-Ejercicio 6 Análisis de vulnerabilidades Proceso Activo Proceso 01 SISTEMA X Proceso 28 RED Facturación FACTURAS … Análisis de vulnerabilidades Vulnerabilidades Buena práctica Severidad Exposición Valor3 V1.SUSCEPTIBILIDAD A FALLAS 2 3 4 V10-ALMACENAMIENTO DESPROTEGIDO 2 3 4 . Ejemplo-Ejercicio 6 Análisis de amenazas Proceso Activo Proceso 01 SISTEMA X Proceso 28 RED Facturación FACTURAS … Análisis de amenazas Buena práctica Agentes de amenazas Eventos de amenaza Capacidad Motivación Valor A1.FALLA EN COMPONENTE DE TECNOLOGÍA 2 1 2 A3.INFECCIÓN POR VIRUS INFORMÁTICO 3 3 5 A53DISPERSORES DE AGUA E34.VIRUS INFORMÁTICO E1.VISITANTES E14.ROBO 3 3 4 . Ejemplo-Ejercicio 6 Estimación de nivel de riesgos Proceso Activo Proceso 01 SISTEMA X Proceso 28 RED Facturación FACTURAS … Riesgo = Vulnerabilidad x Amenaza x Probabilidad x Impacto Buena práctica Amenaza Vulnerabilidad Probabilidad Impacto Riesgo Total 5 5 3 11 825 2 4 1 11 88 4 4 3 13 624 . ANÁLISIS Y EVALUACIÓN DE RIESGOS EVALUACIÓN DE RIESGOS . se obtiene una lista de riesgos priorizados de acuerdo a los criterios de evaluación en relación a los escenarios de incidentes que llevan a estos riesgos.Evaluación de riesgos • Durante esta etapa se comparan los riesgos estimados con los criterios de evaluación de riesgos. • Así. En este ejemplo se utilizan umbrales. y se clasifican los riesgos en Alto. Medio o Bajo. Buena práctica UMBRALES DE RIESGO LIMITE INFERIOR Límite SUPERIOR ALTO 751 1125 MEDIO 376 750 BAJO 1 375 . se priorizan los riesgos.Evaluación de riesgos De acuerdo con el criterio de evaluación de riesgos establecido. Ejercicio 7 Evaluación de riesgos Ejemplo-Ejercicios 7 Evaluación de riesgos Activo Vulnerabilidades Proceso 01 SISTEMA X V1- EXPOSICIÓN A VIRUS Y CÓDIGO MALICIOSO Proceso 28 RED Facturación FACTURAS Proceso … V57- SUSCEPTIBILIDAD A FALLAS Agentes de amenazas Eventos de amenaza A1- VIRUS INFORMÁTICO E1- INFECCIÓN POR VIRUS INFORMÁTICO A53- DISPERSORES DE AGUA E34- FALLA EN COMPONENTE DE TECNOLOGÍA A3- VISITANTES E14- ROBO … Riesgo = Vulnerabilidad x Amenaza x Probabilidad x Impacto Amenaza Vulnerabilidad Probabilidad Impacto Riesgo Total 5 5 3 11 825 2 4 1 11 88 4 4 3 13 624 Buena práctica … V10-ALMACENAMIENTO DESPROTEGIDO NIVEL BAJO MEDIO ALTO BAJO MEDIO ALTO . . . Ejercicio 7. Tiempo:15 minutos 1. Compare los niveles de riesgo obtenidos en el Ejercicio 6 con los criterios de evaluación de riesgos y cualquier otra información sobre la organización que sea pertinente. 2. Liste los riesgos en orden de prioridad y justifique su decisión. Prioridad Escenario 1 S4 2 S1 3 4 5 Justificación Tratamiento de riesgos .Actividades de Gestión de Riesgos de Seguridad de la Información Clausula 9. Tratamiento de Riesgos Lista de riesgos analizados y priorizados de acuerdo a los criterios de evaluación TRATAMIENTO DE RIESGOS Seleccionar controles y definir un plan de tratamiento Plan de tratamiento de riesgos y riesgos residuales sujetos a aceptación . TRATAMIENTO DE RIESGOS .Tratamiento de Riesgos • Una vez concluido el Análisis y Evaluación de Riesgos. • Existen cuatro opciones de tratamiento de riesgos: ▫ ▫ ▫ ▫ Reducir Aceptar Evitar Transferir • Estas opciones no son mutuamente excluyentes. la siguiente actividad es el Tratamiento de Riesgos. SATISFACCTORIOS Punto de decisión de riesgos 1 TRATAMIENTO DE RIESGOS OPCIONES DE TRATAMIENTO DE RIESGOS REDUCCIÓN DEL RIESGO ACEPTACIÓN DEL RIESGO EVASIÓN DEL RIESGO TRANSFERENCIA DEL RIESGO RIESGOS RESIDUALES Punto de decisión de riesgos 2 TRATAMIENTO SATISFACTORIO TRATAMIENTO DE RIESGOS . DE RIESGOS ANÁLISIS Y EVAL.Tratamiento de Riesgos RESULTADOS ANÁLISIS Y EVAL. • Transferencia.Se retiene el riesgo si el nivel de riesgo alcanza el criterio de aceptación de riesgos y no necesitan implementarse controles adicionales. se suprime la actividad planeada o existente o se cambian las conductas bajo las que opera la actividad. • Evasión-Se evitan los riesgos cuando los riesgos identificados se consideran demasiado altos.Se reduce el riesgo por medio de la selección de controles para que el riesgo residual sea reevaluado como aceptable.Se transfieren los riesgos cuando se toma la decisión de compartirlos con terceras partes.Opciones de tratamiento • Reducción. Entonces. • Aceptación. . o los costos de implementar otra opción de tratamiento excede los beneficios. Tratamiento de riesgos • Las opciones de tratamiento de riesgo deben seleccionarse tomando en consideración: ▫ Los resultados del análisis y evaluación de riesgos ▫ El costo esperado de la implementación ▫ Los beneficios esperados • Debe considerarse cómo perciben los riesgos las partes afectadas y la mejor forma de comunicárselos. TRATAMIENTO DE RIESGOS . además de las restricciones identificados en el establecimiento del contexto y las restricciones de reducción (Ver anexo F). • Esto se logra actualizando o haciendo otra iteración del análisis y evaluación de riesgos considerando los controles propuestos. TRATAMIENTO DE RIESGOS . • Si los riesgos residuales no alcanzan los criterios de aceptación establecidos. se requiere redefinir el tratamiento de riesgos. se deben determinar los riesgos residuales.Tratamiento de riesgos • Una vez definido el tratamiento de riesgos. Ejercicio 8 Tratamiento de riesgos . Presente sus resultados al grupo justificando las opciones seleccionadas. 2. selecciones las opciones de tratamiento de riesgos apropiadas para cada riesgo. Prioridad Escenario Opción de tratamiento de riesgos 1 Falla en telecomunicaciones por punto único de falla Evitar 2 Interrupción Reducir de energía por fluctuación voltaje 3 4 .Ejercicio 8. Tiempo: 20 minutos 1. Con la lista de riesgos priorizados obtenida en el ejercicio 7 y los criterios previamente establecidos. Tratamiento de riesgos … ALTO REDUCIR ACEPTAR REDUCIR . .EXPOSICIÓN A VIRUS Y CÓDIGO MALICIOSO Proceso 28 RED Facturación FACTURAS Proceso … V57.INFECCIÓN POR VIRUS INFORMÁTICO A53.VIRUS INFORMÁTICO E1.SUSCEPTIBILIDAD A FALLAS … V10-ALMACENAMIENTO DESPROTEGIDO Agentes de amenazas Eventos de amenaza A1. .FALLA EN COMPONENTE DE TECNOLOGÍA A3.EJEMPLO-Ejercicios 8 Tratamiento de riesgos Activo Vulnerabilidades Proceso 01 SISTEMA X V1.DISPERSORES DE AGUA E34.VISITANTES E14.ROBO … Riesgo = Vulnerabilidad x Amenaza x Probabilidad x Impacto Amenaza Vulnerabilidad Probabilidad Impacto Riesgo Total NIVEL 5 5 3 11 825 ALTO 2 4 1 11 88 BAJO 4 4 3 13 624 MEDIO Buena práctica BAJO MEDIO . EJEMPLO-Ejercicios 8 Riesgo residual Descripción del control Severidad Exposición Valor Control 3 1 3 Control 2 3 4 Resguardo bajo llave 2 1 2 … Riesgo = Vulnerabilidad x Amenaza x Probabilidad x Impacto Amenaza Vulnerabilidad Probabilidad Impacto Riesgo Total NIVEL BAJO 5 3 1 11 155 ALTO . 4 2 1 13 104 MEDIO . Buena práctica MEDIO Tratamiento de riesgos … ACEPTAR ACEPTAR ACEPTAR ALTO . 2 4 1 11 88 BAJO . INFECCIÓN POR VIRUS INFORMÁTICO A53DISPERSORES DE AGUA E34.EJEMPLO-Ejercicios 8 Riesgo residual Proceso Activo Vulnerabilidades Proceso 01 SISTEMA X Proceso 28 RED Facturación FACTURAS V1. REDUCIR ACEPTAR . Riesgo = Vulnerabilidad x Amenaza x Probabilidad x Impacto Amenaza Vulnerabilidad Buena 5 práctica Probabilidad Impacto Tratamiento de riesgos Riesgo Total NIVEL BAJO 3 1 11 155 ALTO . 2 4 1 11 88 BAJO .ROBO Riesgo = Vulnerabilidad x Amenaza x Probabilidad x Impacto Amenaza Vulnerabilidad Probabilidad … Riesgo Total NIVEL 5 5 3 11 825 ALTO 2 4 1 11 88 BAJO 4 4 3 13 624 MEDIO Severidad Exposición Valor Control 3 1 3 Control 2 3 4 Resguardo bajo llave 2 1 2 Descripción del control … Impacto BAJO MEDIO ALTO Tratamiento de riesgos . 4 2 1 13 104 MEDIO .FALLA EN COMPONENTE DE TECNOLOGÍA A3VISITANTES E14. MEDIO ALTO ACEPTAR … ACEPTAR ACEPTAR .SUSCEPTIBILIDAD A FALLAS V10-ALMACENAMIENTO DESPROTEGIDO Agentes de amenazas Eventos de amenaza A1.VIRUS INFORMÁTIC O E1.EXPOSICIÓN A VIRUS Y CÓDIGO MALICIOSO … … V57. REDUCIR . Aceptación de riesgos .Actividades de Gestión de Riesgos de Seguridad de la Información Cláusula 10. ACEPTACIÓN DE RIESGOS Aceptar riesgos y responsabilidad y registrarlo formalmente Lista de riesgos aceptados y justificación para los que no alcanzaron los criterios de aceptación normales .Aceptación de riesgos Plan de tratamiento de riesgos y riesgos residuales sujetos a aceptación. ACEPTACIÓN DE RIESGOS . debe revisarse. • Si por alguna razón los criterios de aceptación no contemplaron alguna situación.Aceptación de riesgos • Los responsables deben revisar y aprobar los planes de tratamiento propuestos. De no ser posible. debe proveerse una justificación al aceptar los riesgos residuales que no cumplen con los criterios establecidos. así como los riesgos residuales resultantes. Comunicación de riesgos .Actividades de Gestión de Riesgos de Seguridad de la Información Cláusula 11. Comunicación de riesgos Toda la información obtenida de las actividades de gestión de riesgos COMUNICACIÓN DE RIESGOS Intercambiar y/o compartir información sobre riesgos Entendimiento continuo del proceso y resultados de la gestión de riesgos en la organización . Comunicación de riesgos • Debe existir comunicación continua entre las partes interesadas. Implementadores Tomadores de decisiones COMUNICACIÓN DE RIESGOS Otras partes interesadas . Comunicación de riesgos • Puede formarse un comité con tomadores de decisiones y otras partes interesadas donde puedan discutirse los riesgos. la participación de la Dirección así como los reportes y documentación requerida por el estándar entran dentro de la actividad de comunicación de riesgos. Departamento de Comunicación. • Deben existir planes de comunicación de riesgos tanto para operaciones normales como para situaciones de emergencia. Si se está utilizando este estándar como apoyo para la implementación de ISO/IEC 27001. COMUNICACIÓN DE RIESGOS . su priorización y tratamiento apropiado y su aceptación. o área similar es importante. en especial en el caso de la comunicación de crisis. • La cooperación con Relaciones Publicas. Ejercicio 9 Comunicación de riesgos . Ejercicio 9 Tiempo:20 minutos • Con los resultados de los ejercicios pasados. prepare un reporte ejecutivo de Comunicación de Riesgos para la Gerencia. . Considere qué información es pertinente incluir y cómo lo presentaría. ser • La audiencia debe entender claramente lo que se le está comunicando. .Comunicación de riesgos • El método de comunicación debe seleccionado en relación a la audiencia. Actividades de Gestión de Riesgos de Seguridad de la Información Cláusula 12. Monitoreo y revisión de riesgos . revisar y mejorar el proceso de gestión de riesgos Alineación continua de la gestión de riesgos con los objetivos de negocio y criterios de aceptación Mantener la relevancia del proceso de gestión respecto a los objetivos del negocio .Monitoreo y revisión de riesgos Toda la información obtenida de las actividades de gestión de riesgos Toda la información obtenida de las actividades de gestión de riesgos MONITOREO Y REVISIÓN DE RIESGOS Monitorear y revisar riesgos y sus factores Monitorear. impactos. amenazas. vulnerabilidades. • Todos los riesgos deben revisarse regularmente y cuando ocurran cambios mayores. MONITOREO Y REVISIÓN DE RIESGOS .Monitoreo y revisión de riesgos • Los riesgos y sus factores (activos. probabilidad de ocurrencia) deben monitorearse para detectar cambios. 3. etc. de ser necesario. recursos. deben modificarse para mantener la relevancia. MONITOREO Y REVISIÓN DE RIESGOS . Si se está utilizando este estándar como apoyo para la implementación de ISO/IEC 27001.Monitoreo y revisión de riesgos • La organización debe asegurarse que el proceso de gestión de riesgos y las actividades relacionadas continúen siendo apropiadas a las circunstancias y que sean llevadas a cabo.2. deben incluirse en este monitoreo y revisión. metodología. enfoque de riesgos. el monitoreo y revisión de riesgos se incluye en la cláusula 4. criterios. y. • El contexto. Preguntas/Pensamientos Finales .