fundamentos básicos de la evaluación y tratamiento de ...€¦ · •¿por qué la gestión de...

Ponente: Antonio José Segovia

Fundamentos básicos de la evaluación y tratamiento de

riesgos según ISO 27001

©2019 27001Academy www.advisera.com/27001academy 2

¿Cuales son los pasos básicos en el análisis y tratamiento de riesgos de ISO 27001?

Si estás planificando empezar el análisis de riesgos….

… para hacerlo bien, necesitas entender la importancia de la gestión de riesgos, y aprender lo que es aceptable según el estándar

©2019 27001Academy www.advisera.com/27001academy 3

La gestión de riesgos es el primer paso crucial en la implementación de la ISO 27001 – Determina todo lo que

sucederá después

©2019 27001Academy www.advisera.com/27001academy

Agenda

4

• ¿Por qué la gestión de riesgos?

• El proceso de la gestión de riesgos

• Elementos del análisis de riesgos

• Identificación de activos

• Amenazas y vulnerabilidades

• Impacto y probabilidad

• 4 opciones para el tratamiento de riesgos

• Mayores retos con la gestión de riesgos


¿Por qué la gestión de riesgos?

5

Gestión de la seguridad de la información (ISO 27001)

Medición(ISO 27004)

Salvaguardas (ISO 27002)

Gestión de riesgos

(ISO 27005)


El proceso de gestión de riesgos…

6

Your TextAnalyze and assess

Your TextMandatory procedures

Your TextMetodología de análisis de riesgos

Your TextAnálisis de riesgos

Your TextTratamiento de riesgos


… El proceso de gestión de riesgos

7

Your TextMandatory procedures

Your TextDeclaración de Aplicabilidad (SoA)

Your TextPlan de Tratamiento de Riesgos


Elementos del análisis de riesgos

8

Identificación del riesgo

Activo AmenazaVulnerabil

idad

Análisis de riesgos

ImpactoProbabi

lidad

Riesgo = Impacto x Probabilidad

(o) Riesgo = Impacto + Probabilidad

Propietario del riesgo


Activos – ¿Qué protegemos?

9

• Ejemplos:

• Hardware

• Software

• Información (electrónica, papel, etc.)

• Infraestructura

• ¡Personas!

• etc.

• Identificación de propietarios de activos


Amenazas – ¿Qué puede pasar?

10

Ejemplos:

• Fuego

• Terremoto

• Virus informáticos

• Amenaza de bomba

• Mal funcionamiento del equipamiento

• Personas clave dejan la empresa


Vulnerabilidades – ¿Por qué pueden ocurrir?

11

Ejemplos:

• Falta un sistema de extinción de fuego

• Faltan planes de continuidad de negocio

• Falta software anti-virus

• Faltan procedimientos de respuesta ante incidentes

• Equipamiento obsoleto

• Falta de recambio


Impacto y probabilidad

12

• Ejemplo de escala de análisis:

• Alto

• Medio

• Bajo

• O:

• 1 a 5

• 1 a 10


Ejemplo de tabla de análisis de riesgos

13

Activo Propietar

io

Amenaza Vulnerabilidad Impact

o (1-5)

Probabili

dad (1-5)

Risgo

(=I+P)

Servidor Admin. Falla de

electricidad

No existe UPS 4 2 6

Fuego No existe

extintor

5 3 8

Contrato Director Visualizado

por personas

no

autorizadas

El contrato se ha

dejado en la

mesa

4 4 8

Fuego No existe

protección

contra fuego

4 3 7

Admin de

sistemas

Jefe TI Acidente Nadie más

conoce sus

contraseñas

5 3 8


4 opciones para el tratamiento del riesgo

14

Aplicar

controles

apropiados

Aceptar el

riesgo

Evitar el

riesgo

Transferir el

riesgo


Mayores retos con la gestión de riesgos

15

• Tener conocimiento adecuado

• Seleccionar metodología adecuada

• Determinar amenazas

• Implementar medidas de control

• Apoyo de la alta dirección


Conclusión

16

No te saltes el análisis y tratamiento de riesgos – sin este tipo de análisis

¡la seguridad de tu información estará llena de brechas!

P & R

Antonio José Segovia

www.advisera.com/27001academy/webinars

http://www.advisera.com/27001academy/webinars

fundamentos básicos de la evaluación y tratamiento de ...€¦ · •¿por qué la gestión de...

Documents