Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ISO 27001 Gestion de Riesgos
ISO 27001 Gestion de Riesgos
- Introduccin
- Metodologas
- Gestin de riesgos
- Anlisis de riesgos
- Tratamiento de riesgos
- Herramientas
- BS 7799-3 (ISO 27005)
- Experiencia practica Nextel, S.A.
- Conclusiones
Solucin
Alcance
Oportunidades de mejora
METODOLOGAS: Elementos
ISO 13335-1:2004
ISO 73
AS 4360 (Australia)
NIST SP 800-30 (USA)
MAGERIT 2.0 (Espaa)
EBIOS (Francia)
OCTAVE (Cert)
BS 7799-3:2006
METODOLOGAS: Consideraciones
GESTIN DE RIESGOS
ANLISIS DE RIESGOS
+
TRATAMIENTO DE RIESGOS
=
GESTIN DE RIESGOS
ANLISIS DE RIESGOS:
Expectativas
El proceso debera identificar cualquier riesgo significativo en
todos los activos de informacin, y dentro de su contexto de uso.
El proceso debera proporcionar un informe comprensible por la
Direccin de la organizacin.
El informe debera de establecer una cosificacin de riesgos de
acuerdo con el impacto potencial de estos en la organizacin y
sus clientes internos o externo.
Debera identificar cualquier eliminacin de riesgo inmediata
donde sea posible para obtener una reduccin de riesgo rpida y
barata.
Debera, si es posible identificar soluciones alternativas y sus
ventajas y desventajas.
Anlisis de riesgos
Identificacin de
Vulnerabilidades
Evaluacin de impacto
Riesgos de
negocio
Clasificacin de riesgos
Grado de
aseguramiento
Tratamiento de riesgo
ANLISIS DE RIESGOS:
Identificacin de activos
ANLISIS DE RIESGOS:
Identificacin
ANLISIS DE RIESGOS:
Probabilidad
VALOR (1- 5)
X
IMPACTO (1- 5)
X
PROBABILIDAD (1 5)
ANLISIS DE RIESGOS:
Clasificacin de riesgo
Nivel de
factor de
Riesgo
Valores
1 a 32
33 a 63
64 a 94
95 a 125
Grado de aseguramiento
RIESGOS:
Aceptar
Transferir
Gestionar
TRATAMIENTO DE RIESGOS:
Criterio
TRATAMIENTO DE RIESGOS:
Esquema
Identificacin y valoracin de
activos
Identificacin de
amenazas
Evaluacin de impacto
Riesgo de
negocio
Anlisis de riesgo
Identificacin de
vulnerabilidades
Clasificacin de riesgos
Grado de aseguramiento
Revisin de controles
Tratamiento de riesgo
de seguridad
Identificacin de
existentes
nuevos controles de
Poltica y
seguridad
Gap analysis
Procedimientos
Implementacin y
Aceptacin de riesgo
reduccin del riesgo
(Riesgo residual)
TRATAMIENTO DE RIESGOS:
Anlisis previo
TRATAMIENTO DE RIESGOS:
Seleccin de controles
La importancia de investigar
ISO 27001 Clusula 4.2.1g) establece que los objetivos de control y
controles debern ser seleccionados del Anexo A de este estndar
Adems establece que los objetivos de control y controles listados en el
Anexo A no son exhaustivos y que se podran elegir controles
adicionales no relacionados en este anexo.
TRATAMIENTO DE RIESGOS:
Identificacin de nuevos controles
TRATAMIENTO DE RIESGOS:
Polticas y procedimientos
Poltica
Estndares
Legal
Escenario de
comprensin
y trabajo
Requerimientos
Regulacin
Guas
Como hacerlo
s
Viru
- up
Back
Usuarios
remotos
Fallo de
acceso
Acc
eso
s
Interne
t
Procedimientos
Como aplicar
las polticas
Inte
rne
t
Intenciones
Poltica
TRATAMIENTO DE RIESGOS:
Implementacin de controles
Metodologa:
Identificar
Control
Definir el
objetivo
Crear el
proceso
Implementar el
procedimiento
Gestionar y
revisar
Purchasing
HR
HR
FM, Owners
QA
Quality Man
TRATAMIENTO DE RIESGOS:
Riesgo residual
HERRAMIENTAS: Elementos
COMERCIALES:
COBRA (Consultative, Objective and Bi-functional Risk Analysis)
CRAMM (CCTA Risk Analysis and Management Method)
RA2
GRATUITAS
OCTAVE
EBIOS
PILAR
HERRAMIENTAS: Caractersticas
HERRAMIENTAS: Consideraciones
BS 7799-3
ISMS: Part 3: Guidelines form information
security risk management
ISO 27005
EXPERIENCIA PRACTICA:
Nextel S.A.
Formacin
Implementacin
Certificacin BS 7799-2
Consultara
Formacin
Certificacin UNE 71502
Auditora a terceros
Migracin a ISO 27001
GRACIAS
alerma@nextel.es