Documentos de Académico
Documentos de Profesional
Documentos de Cultura
www.bureauveritasformacion.com
Se deben documentar los clculos y ratios utilizados en cada uno de los pasos que completan la evaluacin de riesgos.
Se debe hacer un seguimiento continuo de la seguridad para asegurarse de que las medidas de seguridad se desempean adecuadamente. El proceso de evaluacin debe realizarse siempre que sea necesario.
Escenarios de Amenazas
Ejemplos de Aplicacin
Dao/destruccin del activo (incluyendo transportes).
1. Introducir y/o tomar control de Dao/destruccin de una meta exterior utilizando el un activo (incluyendo activo o los bienes. transportes) en la cadena de Causar alteraciones civiles o econmicas. suministro. Tomar rehenes/matar gente. 2. Usar la cadena de suministro como un medio de hacer contrabando. 3. Manipulacin informacin. de Armas ilegales entrando/saliendo del pas/economa. Terroristas entrando o saliendo del pas/economa.
Conseguir el acceso local o remoto a la la informacin/documentacin de la cadena de suministro, con el propsito de perturbar las operaciones o facilitar actividades ilegales. Manipulacin, sabotaje y/o robo con fines terroristas. Realizar operaciones en la cadena de suministro internacional para facilitar un incidente terrorista (por ejemplo, utilizando los medios de transporte como un arma). Hace referencia a cualquier otro escenario que la Organizacin considere necesario identificar en funcin de su actividad, cadena de suministro en la que opera, etc.
4. Integridad de la carga.
5. Uso no autorizado.
6. Otro.
En los locales de la Organizacin en la cadena de suministro, incluyendo los alrededores de los permetros definidos. En los medios de transporte (camin, ferrocarril, avin, barcaza, barco, etc.). En la informacin. Operacin normal. Talleres de mantenimiento (almacenes, locales de reparacin, etc.). Cambios debidos, por ejemplo, a averas. Cambio de un medio de transporte por otro. Medios de transporte en reposo o reparacin. Utilizacin de medios de transporte como arma. Carga. Fabricacin. Almacenaje (incluyendo tambin almacenaje intermedio durante el transporte). Transferencia. Descarga. Desconsolidacin/consolidacin (entrada y salida de la carga del contenedor). Por aire. Carretera. Ferrocarril. Aguas interiores. Aguas martimas. Antivirus. Instalacin de sistemas de deteccin de intrusos. Durante inspecciones de vehculos. Durante el transporte.
Control de Acceso
Medios de Transporte
Manipulacin
Transporte de Bienes
Empleados Utilizacin de Socios Comunicacin Interna/Externa Manipulacin o Procesado de la Informacin sobre la Carga o las Rutas de Transporte
Legal. rdenes de las autoridades. Prcticas de la industria/sector de actividad. Accidentes e incidentes. Capacidad de primera respuesta y tiempos de respuesta.
Informacin Externa
ISO 28001 recomienda la utilizacin de escalas cualitativas para la clasificacin de las consecuencias de cada incidente de seguridad evaluado en la cadena de suministro. Si bien se pueden usar sistemas numricos en el proceso de evaluacin, los resultados deben transformarse en trminos cualitativos, en concreto, alto, medio o bajo.
Alto
Consecuencia que sera Impacto econmico: daos mayores a un activo inaceptable en todas las y/o infraestructura impidiendo operaciones situaciones salvo en las posteriores. de probabilidad baja. Impacto ambiental: destruccin completa de mltiples aspectos del ecosistema de una gran rea.
Fallecimiento y lesiones: prdida de vidas. Impacto econmico: daos a un activo y/o infraestructura necesitando reparaciones. Impacto ambiental: daos a largo plazo en un ecosistema. Fallecimiento y lesiones: daos pero no prdida de vidas. Impacto econmico: daos mnimos a un activo, infraestructura o Sistema. Impacto ambiental: algn dao ambiental.
Medio
Bajo
Asignacin de Valores (Alto, Medio, Valores excesivamente altos en los umbrales de valor, pueden ocasionar que se omitan contramedidas para escenarios de amenazas a la Bajo) seguridad que impliquen consecuencias que la Organizacin (o el gobierno en el que opera) no pueda tolerar.
El uso de umbrales de valores excesivamente bajos, puede ocasionar la exigencia de tener que desarrollar contramedidas para ms escenarios de amenazas a la seguridad de los necesarios.
Aceptabilidad No es Sinnimo de Una consecuencia considerada como aceptable por la Organizacin o Aprobacin gobierno, incluye la posibilidad de un cierto nivel de dao que puede ser no deseable pero s aceptable.
La aceptabilidad se puede considerar como un juicio de la cantidad de dao posible que la Organizacin o gobierno bajo el que opera, est dispuesto a aceptar bajo determinadas condiciones de probabilidad.
Objetos que dificultan o detectan el acceso no autorizado a una meta. Ejemplo: alarmas, permetros de seguridad, videocmaras, etc. Personas o procedimientos que dificultan o detectan el acceso no autorizado a una meta. Ejemplo: personal de seguridad, procedimientos de seguridad, etc. planes de emergencias,
Operacionales
Las medidas de seguridad establecidas ofrecen poca resistencia a que ocurra el incidente. Las medidas de seguridad establecidas ofrecen resistencia moderada a que ocurra el incidente. Las medidas de seguridad establecidas ofrecen resistencia considerable o elevada a que ocurra el incidente.
Clasificacin de la Probabilidad
Alta Media Contramedidas Contramedidas o Considerar Cuando Sea Apropiado Documentar Baja Considerar
Alta
Contramedidas
Media
Contramedidas
Documentar
Baja
Considerar
Documentar
Transferir
Transferir el riesgo es la solucin mediante la cual un tercero asume la responsabilidad de administrar el riesgo. Puede ser a travs de subcontrata, transferencia fsica a otros lugares, tiempo, etc.
Terminar
El riesgo no es asumible, pone en peligro la continuidad de las operaciones. La Organizacin decide no continuar con la actividad.
En ciertas circunstancias la Organizacin puede tener que tolerar el riesgo, es decir, no realizar ningn esfuerzo adicional para tratar el riesgo en cuestin. Se requiere que la decisin se documente y se revisen peridicamente las actividades y evaluaciones. Ejemplo: contramedidas poco prcticas o inviables, falta de autoridad para imponer contramedidas requeridas u otros factores insalvables.
Tolerar
Riesgos derivados de requisitos legales o reglamentarios u otros de obligado cumplimiento. Aquellos contrarios a las opiniones de grupos de presin. Los que pongan en tela de juicio la poltica de Gestin de la Seguridad. Aquellos que pudieran exceder algn otro umbral de tolerancia.
Las contramedidas deben ser ejecutadas de manera que supongan una solucin prctica. Su efectividad debe ser verificada de forma independiente, por ejemplo, mediante ejercicios y auditoras.
En la actualidad la repetitividad de actos delictivos, piratera y ataques terroristas, demuestran que los atacantes aprenden y buscan nuevas vas y tcnicas para amenazar a las cadenas de suministro. Por ello las contramedidas deben ser constantemente revisadas y auditadas con el fin de mejorarlas.
Medio
Consecuencia El robo de informacin confidencial contenida en ordenadores puede suponer un impacto econmico importante para la Organizacin.
3. CLASIFICACIN DE LA PROBABILIDAD
Consideracin de Medidas de Seguridad Fsicas La Organizacin cuenta con un mtodo de deteccin de intrusos en los ordenadores principales, antivirus actualizados y contraseas de seguridad para cada ordenador.
Probabilidad de Ocurrencia del Incidente Media Las medidas de seguridad establecidas ofrecen resistencia moderada. Pueden ser vulnerables a nuevas tcnicas de intrusismo y virus.
Alta
Media
Contramedidas
Baja
5. DESARROLLO DE CONTRAMEDIDAS
Tratamiento del riesgo:
Sustitucin del sistema de deteccin de intrusiones LIDS (Linux Intrusion Detection System) por el sistema de seguridad SNORT en todos los ordenadores fijos y porttiles de la Organizacin. Actualizacin mensual del sistema. Endurecimiento del cdigo tico y creacin del nuevo procedimiento de contratacin de personal, PX-00 donde se fijen claramente los pasos a seguir cuando un empleado abandone la compaa. El procedimiento incluir la eliminacin de todas las cuentas de trabajadores que abandonan la compaa incluyendo claves de acceso a los sistemas y direcciones de correo.
6. IMPLEMENTACIN DE CONTRAMEDIDAS
Aprobado por la alta Direccin (Acta de revisin por la Direccin 20 de Enero de 20XX). Compra de 30 licencias SNORT.
7. EVALUACIN DE CONTRAMEDIDAS
No se detectan incidentes a la seguridad derivados de intrusiones informticas desde 20XX. Se contina con las actualizaciones mensuales del sistema.
NOTAS
REAS DE FORMACIN
Realizar la formacin en el momento en que la empresa lo necesite. Tramitacin de la documentacin ante la Fundacin Tripartita para la subvencin de la Formacin a cargo del Crdito Anual de la empresa. En la Plataforma de Formacin www.bureauveritasformacion.com puede conocer los trmites para agrupar su empresa, ver la oferta de formacin e inscribir a trabajadores en los Cursos.