Fundamentos básicos de la evaluación y tratamiento de riesgos según ISO Ponente: Antonio Segovia

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Fundamentos básicos de la evaluación y tratamiento de riesgos según ISO Ponente: Antonio Segovia"

Lourdes Fuentes Páez
hace 6 años
Vistas:

1 Fundamentos básicos de la evaluación y tratamiento de riesgos según ISO Ponente: Antonio Segovia

2 Panel de control de GoToWebinar Abra y cierre su Panel Vea, Seleccione y pruebe su audio Envíe sus preguntas; serán tratadas durante la sesión Levante la mano 5

3 Cuales son los pasos básicos en el análisis y tratamiento de riesgos de ISO 27001? Si estás planificando empezar el análisis de riesgos. para hacerlo bien, necesitas entender la importancia de la gestión de riesgos, y aprender lo que es aceptable según el estándar 3

4 La gestión de riesgos es el primer paso crucial en la implementación de la ISO Determina todo lo que sucederá después 4

5 Agenda Por qué la gestión de riesgos? El proceso de la gestión de riesgos Elementos del análisis de riesgos Identificación de activos Amenazas y vulnerabilidades Impacto y probabilidad 4 opciones para el tratamiento de riesgos Mayores retos con la gestión de riesgos 5

6 Por qué la gestión de riesgos? Gestión de la seguridad de la información (ISO 27001) Gestión de riesgos (ISO 27005) Salvaguardas (ISO 27002) Medición (ISO 27004) 6

7 El proceso de gestión de riesgos Your Text Metodología de análisis de riesgos Your Text Mandatory Análisis procedures de riesgos Your Text Analyze and assess Tratamiento de riesgos 7

8 El proceso de gestión de riesgos Your Declaración Text de Aplicabilidad (SoA) Your Text Mandatory procedures Plan de Tratamiento de Riesgos 8

9 Elementos del análisis de riesgos Identificación del riesgo Propieta rio del riesgo Análisis de riesgos Activo Amenaza Vulnerabil idad Impacto Probabi lidad Riesgo = Impacto x Probabilidad (o) Riesgo = Impacto + Probabilidad 9

10 Activos Qué protegemos? Ejemplos: Hardware Software Información (electrónica, papel, etc.) Infraestructura Personas! etc. Identificación de propietarios de activos 10

11 Amenazas Qué puede pasar? Ejemplos: Fuego Terremoto Virus informáticos Amenaza de bomba Mal funcionamiento del equipamiento Personas clave dejan la empresa 11

12 Vulnerabilidades Por qué pueden ocurrir? Ejemplos: Falta un sistema de extinción de fuego Faltan planes de continuidad de negocio Falta software anti-virus Faltan procedimientos de respuesta ante incidentes Equipamiento obsoleto Falta de recambio 12

13 Impacto y probabilidad Ejemplo de escala de análisis: Alto Medio Bajo O: 1 a 5 1 a 10 13

14 Ejemplo de tabla de análisis de riesgos Activo Propietar io Servidor Admin. Falla de electricidad Amenaza Vulnerabilidad Impact o (1-5) Fuego Contrato Director Visualizado por personas no autorizadas Admin de sistemas Fuego Probabili dad (1-5) Risgo (=I+P) No existe UPS No existe extintor El contrato se ha dejado en la mesa No existe protección contra fuego Jefe TI Acidente Nadie más conoce sus contraseñas

15 4 opciones para el tratamiento del riesgo Aplicar controles apropiados Aceptar el riesgo Evitar el riesgo Transferir el riesgo 15

16 Mayores retos con la gestión de riesgos Determinar riesgos Determinar el alcance Consensuar criticidad de activos Considerar todos los riesgos Tener apoyo de alta dirección 16

17 Conclusión No te saltes el análisis y tratamiento de riesgos sin este tipo de análisis la seguridad de tu información estará llena de brechas! 17

18 P & R Antonio Segovia

Documentos relacionados

Desarrollo de una estrategia de continuidad de negocio de acuerdo a la ISO Ponente: Antonio Jose Segovia

Desarrollo de una estrategia de continuidad de negocio de acuerdo a la ISO 22301 Ponente: Antonio Jose Segovia Panel de Control de GoToWebinar Abra y cierre su Panel Vea, seleccione y prueba su audio Envíe