Fundamentos básicos de la evaluación y tratamiento de

Ponente: Antonio Segovia

Fundamentos básicos de la evaluación y tratamiento de

riesgos según ISO 27001

©2018 27001Academy www.advisera.com/27001academy

Panel de control de GoToWebinar

• Abra y cierre su Panel

• Vea, Seleccione y pruebe su audio

• Envíe sus preguntas; serán tratadasdurante la sesión

• Levante la mano

5

©2018 27001Academy www.advisera.com/27001academy 3

¿Cuales son los pasos básicos en el análisis y tratamiento de riesgos de ISO 27001?

Si estás planificando empezar el análisis de riesgos….

… para hacerlo bien, necesitas entender la importancia de la gestión de riesgos, y aprender lo que es aceptable según el estándar

©2018 27001Academy www.advisera.com/27001academy 4

La gestión de riesgos es el primer paso crucial en la implementación de la ISO 27001 – Determina todo lo que

sucederá después


Agenda

5

• ¿Por qué la gestión de riesgos?

• El proceso de la gestión de riesgos

• Elementos del análisis de riesgos

• Identificación de activos

• Amenazas y vulnerabilidades

• Impacto y probabilidad

• 4 opciones para el tratamiento de riesgos

• Mayores retos con la gestión de riesgos


¿Por qué la gestión de riesgos?

6

Gestión de la seguridad de la información (ISO 27001)

Medición (ISO 27004)

Salvaguardas (ISO 27002)

Gestión de riesgos

(ISO 27005)


El proceso de gestión de riesgos…

7

Your TextAnalyze and assess

Your TextMandatory procedures

Your TextMetodología de análisis de riesgos

Your TextAnálisis de riesgos

Your TextTratamiento de riesgos


… El proceso de gestión de riesgos

8

Your TextMandatory procedures

Your TextDeclaración de Aplicabilidad (SoA)

Your TextPlan de Tratamiento de Riesgos


Elementos del análisis de riesgos

9

Identificación del riesgo

Activo AmenazaVulnerabil

idad

Análisis de riesgos

ImpactoProbabi

lidad

Riesgo = Impacto x Probabilidad

(o) Riesgo = Impacto + Probabilidad

Propietario del riesgo


Activos – ¿Qué protegemos?

10

• Ejemplos:

• Hardware

• Software

• Información (electrónica, papel, etc.)

• Infraestructura

• ¡Personas!

• etc.

• Identificación de propietarios de activos


Amenazas – ¿Qué puede pasar?

11

Ejemplos:

• Fuego

• Terremoto

• Virus informáticos

• Amenaza de bomba

• Mal funcionamiento del equipamiento

• Personas clave dejan la empresa


Vulnerabilidades – ¿Por qué pueden ocurrir?

12

Ejemplos:

• Falta un sistema de extinción de fuego

• Faltan planes de continuidad de negocio

• Falta software anti-virus

• Faltan procedimientos de respuesta ante incidentes

• Equipamiento obsoleto

• Falta de recambio


Impacto y probabilidad

13

• Ejemplo de escala de análisis:

• Alto

• Medio

• Bajo

• O:

• 1 a 5

• 1 a 10


Ejemplo de tabla de análisis de riesgos

14

Activo Propietar

io

Amenaza Vulnerabilidad Impact

o (1-5)

Probabili

dad (1-5)

Risgo

(=I+P)

Servidor Admin. Falla de

electricidad

No existe UPS 4 2 6

Fuego No existe

extintor

5 3 8

Contrato Director Visualizado

por personas

no

autorizadas

El contrato se ha

dejado en la

mesa

4 4 8

Fuego No existe

protección

contra fuego

4 3 7

Admin de

sistemas

Jefe TI Acidente Nadie más

conoce sus

contraseñas

5 3 8


4 opciones para el tratamiento del riesgo

15

Aplicar

controles

apropiados

Aceptar el

riesgo

Evitar el

riesgo

Transferir el

riesgo


Mayores retos con la gestión de riesgos

16

• Determinar riesgos

• Determinar el alcance

• Consensuar criticidad de activos

• Considerar todos los riesgos

• Tener apoyo de alta dirección


Conclusión

17

No te saltes el análisis y tratamiento de riesgos – sin este tipo de análisis

¡la seguridad de tu información estará llena de brechas!

P & R

Antonio Segovia

www.advisera.com/27001academy/es/webinars

https://advisera.com/27001academy/es/webinars/

Documents

Fundamentos básicos de la evaluación y tratamiento de