fundamentos de analisis y tratamiento riesgos de acuerdo a iso 27001 presentation deck
Post on 06-Jul-2018
221 Views
Preview:
TRANSCRIPT
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 1/19
Ponente: Antonio Segovia
Fundamentos básicos de laevaluación y tratamiento de
riesgos segúnISO 27001
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 2/19
©2016 27001Academy www.advisera.com/27001academy
Panel de control de GoToWebinar
• Abra y cierre suPanel
• Vea, Seleccione ypruebe su audio
• Envíe sus preguntas;serán tratadasdurante la sesión
• Levante la mano
5
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 3/19
©2016 27001Academy www.advisera.com/27001academy 3
¿Cuales son los pasos básicos en elanálisis y tratamiento de riesgos de ISO27001?
Si estás planificando empezar el análisisde riesgos….
… para hacerlo bien, necesitas entender laimportancia de la gestión de riesgos, yaprender lo que es aceptable según elestándar
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 4/19
©2016 27001Academy www.advisera.com/27001academy 4
La gestión de riesgos es el primer
paso crucial en la implementación dela ISO 27001 – Determina todo lo quesucederá después
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 5/19
©2016 27001Academy www.advisera.com/27001academy
Agenda
5
• ¿Por qué la gestión de riesgos? • El proceso de la gestión de riesgos • Elementos del análisis de riesgos
• Identificación de activos • Amenazas y vulnerabilidades• Impacto y probabilidad
• 4 opciones para el tratamiento de riesgos• Mayores retos con la gestión de riesgos
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 6/19
©2016 27001Academy www.advisera.com/27001academy
¿Por qué la gestión de riesgos?
6
Gestión de la seguridad de la información (ISO 27001)
Medición (ISO27004)
Salvaguardas(ISO 27002)
Gestión deriesgos (ISO
27005)
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 7/19
©2016 27001Academy www.advisera.com/27001academy
El proceso de gestión de riesgos…
7
Your TextAnalyze and assess
Your TextMandatory procedures
Your TextMetodología de análisis de riesgos
Your TextAnálisis de riesgos
Your TextTratamiento de riesgos
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 8/19
©2016 27001Academy www.advisera.com/27001academy
… El proceso de gestión deriesgos
8
Your TextMandatory procedures
Your TextDeclaración deAplicabilidad (SoA)
Your TextPlan de Tratamiento de Riesgos
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 9/19
©2016 27001Academy www.advisera.com/27001academy
Elementos del análisis de riesgos
9
Identificación del riesgo
Activo Amenaza Vulnerabilidad
Análisis de riesgos
Impacto Probabilidad
Riesgo = Impacto x Probabilidad
(o) Riesgo = Impacto + Probabilidad
Propietario delriesgo
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 10/19
©2016 27001Academy www.advisera.com/27001academy
Activos – ¿Qué protegemos?
10
• Ejemplos:• Hardware• Software• Información (electrónica, papel, etc.) • Infraestructura• ¡Personas! • etc.
• Identificación de propietarios de activos
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 11/19
©2016 27001Academy www.advisera.com/27001academy
Amenazas – ¿Qué puede pasar?
11
Ejemplos:• Fuego• Terremoto• Virus informáticos • Amenaza de bomba
• Mal funcionamiento del equipamiento• Personas clave dejan la empresa
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 12/19
©2016 27001Academy www.advisera.com/27001academy
Vulnerabilidades – ¿Por quépueden ocurrir?
12
Ejemplos:• Falta un sistema de extinción de fuego
• Faltan planes de continuidad de negocio• Falta software anti-virus• Faltan procedimientos de respuesta ante
incidentes• Equipamiento obsoleto• Falta de recambio
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 13/19
©2016 27001Academy www.advisera.com/27001academy
Impacto y probabilidad
13
• Ejemplo de escala de análisis: • Alto
• Medio• Bajo
• O:
• 1 a 5• 1 a 10
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 14/19
©2016 27001Academy www.advisera.com/27001academy
Ejemplo de tabla de análisis deriesgos
14
Activo Propietario
Amenaza Vulnerabilidad Impacto (1-5)
Probabilidad (1-5)
Risgo(=I+P)
Servidor Admin. Falla deelectricidad
No existe UPS 4 2 6
Fuego No existeextintor 5 3 8
Contrato Director Visualizadopor personasnoautorizadas
El contrato se hadejado en lamesa
4 4 8
Fuego No existeproteccióncontra fuego
4 3 7
Admin desistemas
Jefe TI Acidente Nadie másconoce sus
contraseñas
5 3 8
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 15/19
©2016 27001Academy www.advisera.com/27001academy
4 opciones para el tratamiento delriesgo
15
Aplicarcontroles
apropiados
Aceptar elriesgo
Evitar elriesgo Transferir elriesgo
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 16/19
©2016 27001Academy www.advisera.com/27001academy
Mayores retos con la gestión deriesgos
16
• Obtener apoyo de la Dirección • Definir el alcance
• Subjetividad del evaluador• Interpretar información y calcular riesgos • Identificar amenazas y vulnerabilidades
con eficacia
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 17/19
©2016 27001Academy www.advisera.com/27001academy
Conclusión
17
No te saltes el análisis y tratamientode riesgos – sin este tipo de análisis
¡la seguridad de tu informaciónestará llena de brechas!
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 18/19
P & R
Antonio Segovia
8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck
http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 19/19
www.advisera.com/27001academy/webinars
top related