ndice

- Introduccin
- Metodologas
- Gestin de riesgos
- Anlisis de riesgos
- Tratamiento de riesgos
- Herramientas
- BS 7799-3 (ISO 27005)
- Experiencia practica Nextel, S.A.
- Conclusiones

INTRO: ISO 27001 Implementacin

Necesidades

Solucin

Alcance

Identificacin de procesos clave y de soporte

Identificacin y valuacin de activos (en su contexto de uso o empleo)
Amenazas ? Vulnerabilidades ? Probabilidades ? Impactos ? Restauracin? ? Riesgos
Grado de seguridad / Niveles aceptables de riesgo
Seleccin de objetivos de control y controles

Anlisis previo (Opcional)

Definicin de mtodo de implementacin de cada control (si el existente no es satisfactorio)

Definir el Estado de aplicabilidad (SOA) (o Resumen de controles)
Implementacin de controles de seguridad personales, procedimentales, fsicos, y tcnicos
Auditoria y revisin

Oportunidades de mejora

INTRO: Gestin de riesgos en

ISO 27001

La organizacin demostrara que ha definido e identificado un

mtodo de anlisis de riesgo adecuado, y que ha llevado a
cabo un anlisis de riesgo cubriendo todos los activos de
informacin, tal y como indica la clusula 4.2.1 de ISO 27001

INTRO: Gestin de riesgos y

negocio (I)

Es necesario establecer y comprender la organizacin y sus

posibilidades, as como sus objetivos y la estrategia para
lograr esos objetivos.
Hay que establecer la relacin entre la organizacin y su
entorno, identificando sus fortalezas, debilidades,
oportunidades y amenazas (DAFO)

INTRO: Gestin de riesgos y

negocio (II)

Identificar los clientes externos e internos y considerar sus

objetivos.
La organizacin debera determinar los elementos esenciales
que soportan o impiden su capacidad para gestionar los
riesgos de seguridad de la informacin que afronta.
Hay que determinar el Alcance y los parmetros de las
actividades de la organizacin, en relacin con el proceso de
gestin de riesgos.

INTRO: Gestin de riesgos y

negocio (III)

El proceso de anlisis de riesgos debera de buscar el

equilibrio entre los costos de los controles y su efectividad
reduciendo el riesgo (Relacin calidad/precio)
Hay que establecer y prever los recursos y registros
necesarios para la operatividad del proceso de gestin de
riesgos.

METODOLOGAS: Elementos

ISO 13335-1:2004
ISO 73
AS 4360 (Australia)
NIST SP 800-30 (USA)
MAGERIT 2.0 (Espaa)
EBIOS (Francia)
OCTAVE (Cert)

BS 7799-3:2006

METODOLOGAS: Consideraciones

Identifica amenazas y vulnerabilidades?

Intenta evaluar la probabilidad de que las amenazas
ocurran?
Podra alguien usando los mismos datos llegar a las
mismas conclusiones?
El proceso es repetible y coherente?
Permite el anlisis del impacto de los cambios?

GESTIN DE RIESGOS

ANLISIS DE RIESGOS
+
TRATAMIENTO DE RIESGOS
=
GESTIN DE RIESGOS

ANLISIS DE RIESGOS:
Expectativas
El proceso debera identificar cualquier riesgo significativo en
todos los activos de informacin, y dentro de su contexto de uso.
El proceso debera proporcionar un informe comprensible por la
Direccin de la organizacin.
El informe debera de establecer una cosificacin de riesgos de
acuerdo con el impacto potencial de estos en la organizacin y
sus clientes internos o externo.
Debera identificar cualquier eliminacin de riesgo inmediata
donde sea posible para obtener una reduccin de riesgo rpida y
barata.
Debera, si es posible identificar soluciones alternativas y sus
ventajas y desventajas.

ANLISIS DE RIESGOS: Esquema

Identificacin de activos
y valoracin
Identificacin de
amenazas

Anlisis de riesgos
Identificacin de
Vulnerabilidades

Evaluacin de impacto
Riesgos de
negocio

Clasificacin de riesgos

Grado de
aseguramiento

Tratamiento de riesgo

ANLISIS DE RIESGOS:
Identificacin de activos

Realizar un anlisis por procesos nos servir para separar las

actividades o procesos en un grupo de elementos y poder
establecer un Registro de activos.
Esto nos proporcionara un esquema lgico para identificacin
y anlisis, y nos asegurara que no dejamos de analizar algn
riesgo significativo.

ANLISIS DE RIESGOS: Valor de

activos

Una vez identificados los activos sujetos a anlisis, el Comit

de seguridad valuara los activos desde el punto de vista de la
seguridad de la informacin, como activos de informacin, y
no en base a su valor intrnseco.
Este ser el primer factor de los tres que nos
proporcionaran el Nivel de riesgo.

ANLISIS DE RIESGOS:
Identificacin

Vulnerabilidades son debilidades asociadas a activos de

informacin. En si mismas no causan dao.
Esas debilidades pueden ser explotadas por Amenazas,
que pueden causar una rotura de seguridad que tenga como
consecuencia dao o perdida de esos activos de informacin.

ANLISIS DE RIESGOS: Impacto y

probabilidad

El objetivo del anlisis de riesgos es separar los riesgos

menores de los mayores, y proveer de informacin para poder
evaluar y controlar el riesgo.
El anlisis de riesgos incluye consideraciones sobre el origen
del riesgo, la determinacin de la consecuencia (IMPACTO) y
la probabilidad de que esas consecuencias sucedan
(PROBABILIDAD).

ANLISIS DE RIESGOS: Impacto (I)

Este elemento es subjetivo y ser necesario considerar el

resultado de una amenaza aprovechando una vulnerabilidad.
La organizacin debe de establecer el resultado de incidente sobre
un proceso o activos, en trminos de confidencialidad, integridad
o disponibilidad.
Es conveniente tener en cuenta que el punto de vista de diferentes
personas de la organizacin puede variar a la hora de establecer
el impacto de la perdida de activos.
Las preguntas son:
Qu sucede si ese activo o proceso se pierde?
Cunto tiempo podemos estar sin el?

ANLISIS DE RIESGOS: Impacto (II)

La organizacin establecer un mtodo consistente para

evaluar el impacto de una rotura en la seguridad en relacin a
sus objetivos y dentro del contexto de su negocio.
Cuando se mida el Impacto, es importante considerar la
perdidas del activo en su totalidad, y su importancia en el
alcance.
Este ser el segundo factor de los tres que nos
proporcionarn el Nivel de riesgo.

ANLISIS DE RIESGOS:
Probabilidad

Este elemento es a menudo subjetivo y necesitara ser

evaluado en colaboracin con el propietario de activos, y
quizs, con asesoramiento experto.
Las principales cuestiones son:
Cual es la probabilidad de que suceda
Como de a menudo sucede
Cuando sucede?
Este ser el tercer factor de los tres que nos
proporcionaran el Nivel de riesgo.

ANLISIS DE RIESGOS: Nivel de

riesgo

VALOR (1- 5)
X
IMPACTO (1- 5)
X
PROBABILIDAD (1 5)

NIVEL DE RIESGO (1 125)

ANLISIS DE RIESGOS:
Clasificacin de riesgo

Nivel de
factor de
Riesgo

Valores

1 a 32

33 a 63

64 a 94

95 a 125

Grado de aseguramiento

ISO 27001 Clusula 4.2.1 C. establece que Hay que

desarrollar criterio para la aceptacin del riesgo e identificar el
nivel de riesgo aceptable.
Versiones previas de BS 7799-2 usaban el termino Grado de
aseguramiento (que es requerido para los objetivos de control
y los controles).
Aunque este termino ya no se usa en el estndar, en un
concepto til para cunado definimos como un objetivo de
control y/o un control debe de ser implementado. (El estndar
establece Que no Como).

TRATAMIENTO DE RIESGOS: Base

RIESGOS:
Aceptar
Transferir
Gestionar

TRATAMIENTO DE RIESGOS:
Criterio

El criterio segn el cual los riesgos de seguridad de la

informacin deben de ser evaluados debe de ser establecido.
Las decisiones en relacin a la aceptacin del riesgo y a los
controles necesarios deben de estar basadas en alcanzar los
objetivos de direccin, de organizacin y de estrategia.

TRATAMIENTO DE RIESGOS:
Esquema
Identificacin y valoracin de
activos
Identificacin de
amenazas
Evaluacin de impacto
Riesgo de
negocio

Anlisis de riesgo
Identificacin de
vulnerabilidades

Clasificacin de riesgos
Grado de aseguramiento
Revisin de controles
Tratamiento de riesgo
de seguridad
Identificacin de
existentes
nuevos controles de
Poltica y
seguridad
Gap analysis
Procedimientos
Implementacin y
Aceptacin de riesgo
reduccin del riesgo
(Riesgo residual)

TRATAMIENTO DE RIESGOS:
Anlisis previo

Acciones inmediatas pueden incluir algo tan simple como controlar el

acceso fsico cerrando una puerta.
Eliminacin de activos
Controles ISO 27001
Controles especficos

TRATAMIENTO DE RIESGOS:
Seleccin de controles

La importancia de investigar
ISO 27001 Clusula 4.2.1g) establece que los objetivos de control y
controles debern ser seleccionados del Anexo A de este estndar
Adems establece que los objetivos de control y controles listados en el
Anexo A no son exhaustivos y que se podran elegir controles
adicionales no relacionados en este anexo.

TRATAMIENTO DE RIESGOS:
Identificacin de nuevos controles

La organizacin seleccionara objetivos de control y controles para

gestionar los riesgos identificados en funcin del requerimiento 4 del
estndar.
Eso incluir:

Controles de ISO 27001

Controles legislativos y regulatorios,
Requerimiento de clientes
Requerimientos corporativos
Cualquier otro elemento relevante

TRATAMIENTO DE RIESGOS:
Polticas y procedimientos
Poltica

Documento de alto nivel con

visin general de intenciones.
Polticas especificas para
soportar la Poltica de
alto nivel
Reglas y regulaciones
obligatorias

Estndares
Legal

Escenario de
comprensin
y trabajo

Requerimientos

Regulacin

Herramientas para hacerlo

Guas

Como hacerlo

s
Viru

- up
Back

Usuarios
remotos

Fallo de
acceso

Acc
eso
s

Interne
t

Procedimientos

Como aplicar
las polticas
Inte
rne
t

Intenciones

Poltica

TRATAMIENTO DE RIESGOS:
Implementacin de controles

Metodologa:

Identificar
Control

Definir el
objetivo

Crear el
proceso

Implementar el
procedimiento

Gestionar y
revisar

TRATAMIENTO DE RIESGOS: Plan

de tratamiento de riesgos (I)

La organizacin identificara el MTODO para implementar los controles

para alcanzar el grado de aseguramiento requerido por la direccin de la
organizacin.
Un programa de gestin especifico en la forma de un Plan de Tratamiento
de Riesgo ser desarrollado y autorizado.

TRATAMIENTO DE RIESGOS: Plan

de tratamiento de riesgos (II)

A 10.7.3 Procedimiento de gestin de informacin

Seguridad fsica y control de documentacin de clientes: En el Anlisis
de riesgos se ha detectado que contratos y documentacin confidencial
estn almacenados en una zona no controlada, con el riesgo
consiguiente de perdida, robo o difusin:
Owner
Task 1
Task 2
Task 3
Task 4
Task 5
Task 6

Print Security Sleevs

Develop traininig course
Train Management/Staff
Distribute Security sleeves
Initiate process
Develop review process

Purchasing

HR
HR
FM, Owners

QA
Quality Man

Jan Feb Mar Apr May Jun

TRATAMIENTO DE RIESGOS:
Riesgo residual

Ningn control nos puede ofrecer nunca seguridad absoluta, y por lo

tanto, siempre quedara un riesgo residual.
La direccin de la organizacin, una vez definido el grado de
aseguramiento requerido para los controles del SGSI, deber aceptar
el riesgo residual, y esto deber ser tenido en cuenta si se produce un
incidente de seguridad.
ISO 27001 Clusula 4.2.1.h / I establece: Obtener la aprobacin de la
direccin de la organizacin para el riesgo residual propuesto y para
implementar y mantener el SGSI.

HERRAMIENTAS: Elementos

COMERCIALES:
COBRA (Consultative, Objective and Bi-functional Risk Analysis)
CRAMM (CCTA Risk Analysis and Management Method)
RA2

GRATUITAS
OCTAVE
EBIOS
PILAR

HERRAMIENTAS: Caractersticas

La organizacin puede utilizar herramientas comerciales para

realizar el anlisis de riesgos o cualquier otro mtodo apropiado
que proporcione lo siguiente:
establezca las vulnerabilidades, amenazas, y probabilidades de
las amenazas para los activos definidos.
que sea repetible y coherente
proporcione a la organizacin una medida til de riesgo.

HERRAMIENTAS: Consideraciones

Solo algunas pocas herramientas han sido desarrolladas especficamente

para ISO 27001.
Normalmente se concentran exclusivamente en activos IT.
Esta herramientas asumen otros factores de influencia, por ejemplo el
entorno y los recursos humanos.
Pueden ser demasiado complejas para tener un uso repetible y
coherente.

BS 7799-3 (ISO 27005): Gestin de

riesgos

BS 7799-3
ISMS: Part 3: Guidelines form information
security risk management

ISO 27005

EXPERIENCIA PRACTICA:
Nextel S.A.

Formacin
Implementacin
Certificacin BS 7799-2
Consultara
Formacin
Certificacin UNE 71502
Auditora a terceros
Migracin a ISO 27001

GRACIAS
alerma@nextel.es