fundamentos de analisis y tratamiento riesgos de acuerdo a iso 27001 presentation deck

8/17/2019 Fundamentos de Analisis y Tratamiento Riesgos de Acuerdo a ISO 27001 Presentation Deck

http://slidepdf.com/reader/full/fundamentos-de-analisis-y-tratamiento-riesgos-de-acuerdo-a-iso-27001-presentation 1/19

Ponente: Antonio Segovia

Fundamentos básicos de laevaluación y tratamiento de

riesgos segúnISO 27001



©2016 27001Academy www.advisera.com/27001academy

Panel de control de GoToWebinar

• Abra y cierre suPanel

• Vea, Seleccione ypruebe su audio

• Envíe sus preguntas;serán tratadasdurante la sesión

• Levante la mano

5



©2016 27001Academy www.advisera.com/27001academy 3

¿Cuales son los pasos básicos en elanálisis y tratamiento de riesgos de ISO27001?

Si estás planificando empezar el análisisde riesgos….

… para hacerlo bien, necesitas entender laimportancia de la gestión de riesgos, yaprender lo que es aceptable según elestándar



©2016 27001Academy www.advisera.com/27001academy 4

La gestión de riesgos es el primer

paso crucial en la implementación dela ISO 27001 – Determina todo lo quesucederá después




Agenda

5

• ¿Por qué la gestión de riesgos? • El proceso de la gestión de riesgos • Elementos del análisis de riesgos

• Identificación de activos • Amenazas y vulnerabilidades• Impacto y probabilidad

• 4 opciones para el tratamiento de riesgos• Mayores retos con la gestión de riesgos




¿Por qué la gestión de riesgos?

6

Gestión de la seguridad de la información (ISO 27001)

Medición (ISO27004)

Salvaguardas(ISO 27002)

Gestión deriesgos (ISO

27005)




El proceso de gestión de riesgos…

7

Your TextAnalyze and assess

Your TextMandatory procedures

Your TextMetodología de análisis de riesgos

Your TextAnálisis de riesgos

Your TextTratamiento de riesgos




… El proceso de gestión deriesgos

8

Your TextMandatory procedures

Your TextDeclaración deAplicabilidad (SoA)

Your TextPlan de Tratamiento de Riesgos




Elementos del análisis de riesgos

9

Identificación del riesgo

Activo Amenaza Vulnerabilidad

Análisis de riesgos

Impacto Probabilidad

Riesgo = Impacto x Probabilidad

(o) Riesgo = Impacto + Probabilidad

Propietario delriesgo




Activos – ¿Qué protegemos?

10

• Ejemplos:• Hardware• Software• Información (electrónica, papel, etc.) • Infraestructura• ¡Personas! • etc.

• Identificación de propietarios de activos




Amenazas – ¿Qué puede pasar?

11

Ejemplos:• Fuego• Terremoto• Virus informáticos • Amenaza de bomba

• Mal funcionamiento del equipamiento• Personas clave dejan la empresa




Vulnerabilidades – ¿Por quépueden ocurrir?

12

Ejemplos:• Falta un sistema de extinción de fuego

• Faltan planes de continuidad de negocio• Falta software anti-virus• Faltan procedimientos de respuesta ante

incidentes• Equipamiento obsoleto• Falta de recambio




Impacto y probabilidad

13

• Ejemplo de escala de análisis: • Alto

• Medio• Bajo

• O:

• 1 a 5• 1 a 10




Ejemplo de tabla de análisis deriesgos

14

Activo Propietario

Amenaza Vulnerabilidad Impacto (1-5)

Probabilidad (1-5)

Risgo(=I+P)

Servidor Admin. Falla deelectricidad

No existe UPS 4 2 6

Fuego No existeextintor 5 3 8

Contrato Director Visualizadopor personasnoautorizadas

El contrato se hadejado en lamesa

4 4 8

Fuego No existeproteccióncontra fuego

4 3 7

Admin desistemas

Jefe TI Acidente Nadie másconoce sus

contraseñas

5 3 8




4 opciones para el tratamiento delriesgo

15

Aplicarcontroles

apropiados

Aceptar elriesgo

Evitar elriesgo Transferir elriesgo




Mayores retos con la gestión deriesgos

16

• Obtener apoyo de la Dirección • Definir el alcance

• Subjetividad del evaluador• Interpretar información y calcular riesgos • Identificar amenazas y vulnerabilidades

con eficacia




Conclusión

17

No te saltes el análisis y tratamientode riesgos – sin este tipo de análisis

¡la seguridad de tu informaciónestará llena de brechas!



P & R

Antonio Segovia



www.advisera.com/27001academy/webinars

http://www.advisera.com/27001academy/webinars




fundamentos de analisis y tratamiento riesgos de acuerdo a iso 27001 presentation deck

Documents