Gestin de Riesgos

ISO 27001/27005 & ISO 31000

Seguridad de la Informacin

Germn Castro Arvalo

CROSS BORDER TECHNOLOGY

Abril 15, 2013

 Agenda

Introduccin
Conceptos bsicos sobre seguridad de la informacin
Gestin de riesgos (ISO 27001 / 27005 - ISO 31000)
Avance al interior del SENA
Introduccin
Panorama actual

4
Panorama actual
 Panorama actual

Que preocupa a las Organizaciones?

ESET Security Report Latinoamerica 2012

8
 Panorama actual
Tendencias del mercado
Estndares y buenas prcticas adoptadas:

Encuesta Latinoamericana en Seguridad de la Informacin 2012

9
Conceptos bsicos
 Gestin en Seguridad de la Informacin

Gestin en Seguridad de la
Informacin
Confidencialidad
Personas
Tecnologa
Integridad Informacin Procesos
Infraestructura
Polticas y normas
Disponibilidad Estndares
Buenas prcticas
Regulaciones
Requerimientos
 Modelo PHVA ISO 27001

Mejoramiento Continuo del Sistema de Gestin

Alcance
Planear
Acciones
Poltica Establecer Correctivas y
Partes Evaluacin de el SGSI Preventivas Partes
Interesadas Riesgos
Prep. SOA Interesadas

Hacer Act.
Implementar y Mantener y
Operar el SGSI Mejorar el SGSI

Requerimientos
Gestin
y expectativas
de Seguridad
de Seguridad
de la
de la Monitorear Informacin
Informacin el SGSI

Verificar
Tratamiento de Auditorias Int.
Riesgos - Controles Revisin Dir.
Entrenamiento Informes
Gest. Incidentes
Gestin de Riesgos

ISO 27001 / ISO 27005

ISO 31000
 Gestin de Riesgos - ISO 27001

Tecnologa Personas Servicios

Vulnerabilidades

Activos de
Amenazas Informacin

ISO 31000 Identificacin, anlisis y

ISO 27005 valoracin de riesgos
 Trtamiento de Riesgos ISO 27001

Riesgos identificados y valorados

Alto Implementar
Controles
Tratamiento Anexo A
Medio - Alto ISO 27001
de Riesgos &
Medio ISO 27002
Nivel de Riesgo
Aceptable
Bajo - Medio
Aceptar Riesgos
Bajo

Aprobacin y Evaluacin Continua

 ISO 27001 Anexo A ISO 27002

Nivel superior
Dominios
11

Agrupacin de los controles

Objetivos de 39
control

Detalle de los controles

Controles
133
 ISO 27001 Anexo A ISO 27002

A.7
Dominio
Gestin de activos

A.7.1 - Responsabilidad de los activos

Objetivo: Lograr y mantener la proteccin adecuada de los activos
Objetivo de organizacionales
control

A.7.1.1 Inventario de activos

Todos los activos deben estar claramente identificados y se debe
Control elaborar y mantener un inventario de todos los activos importantes
 ISO 31000

Principios Marco de referencia Proceso

Crear valor Comando y

compromiso Establecimiento del
Es parte integral de los (4.2) contexto (5.3)
procesos de la
organizacin

Es parte de la toma de
decisiones Valoracin del riesgo (5.4)
Diseo del marco
Aborda explcitamente de referencia para
la incertidumbre la gestin del riesgo Identificacin del

Comunicacin y consulta (5.2)

Monitoreo y revisin (5.6)

(P) riesgo (5.4.2)
Es sistemtica,
estructurada y oportuna

Se basa en la mejor Mejora continua Implementacin

informacin disponible del marco de de la gestin del Anlisis del riesgo (5.4.3)
referencia riesgo
Est adaptado
(A) (H)
Toma en cosideracin a Evaluacin del riesgo
los factores humanos y (5.4.4)
culturales

Es transparente e Monitoreo y
inclusiva revisin del marco
(V) Tratamiento del riesgo
Es dinmica, reiterativa (5.5)
y receptiva al cambio

Facilita la mejora y
realza a la organizacin
 ISO 27005
ISO 31000 Proceso
Proceso ESTABLECIMIENTO
DEL CONTEXTO

Establecimiento del VALORACIN DEL RIESGO

contexto (5.3)
ANLISIS DEL RIESGO

Identificacin del riesgo

Comunicacin del riesgo

Valoracin del riesgo (5.4)

Monitoreo y revisin (5.6)

Identificacin del riesgo Estimacin del riesgo
Comunicacin y consulta (5.2)

Monitoreo y revisin (5.6)

(5.4.2)

Anlisis del riesgo (5.4.3) Evaluacin del riesgo

Evaluacin del riesgo No

(5.4.4)
Si

Tratamiento del riesgo Tratamiento del riesgo

(5.5) Si
No

ACEPTACIN DEL
RIESGO
Avance al interior del SENA
 Avance

Metodologa Riesgos seguridad de la informacin

Basada en ISO 27001 e ISO 31000
Matriz de identificacin y valoracin de riesgos
Tipologa de activos
Catlogo de vulnerabilidades y amenazas
Tipologa de riesgos
Criterios y escalas de valoracin
Alineada con la metodologa de riesgos (DAFP -
Departamento Administrativo de la Funcin Pblica)
Identificar el Activo de Informacin

Seleccione el Identifique el Nombre el

proceso tipo de activo activo

Seleccione el activo
TIPO DE ACTIVO

Seleccione el proceso PROCESO NOMBRE ACTIVO

Gestin de Formacin
Sistema de Informacin Sofia Plus
Profesional Integral

Gestin de Formacin
Documentacin Acto Acadmico
Profesional Integral

Gestin de Formacin Equipos de computo

Servicios de Outsourcing
Profesional Integral (arrendamiento)
Tipos de activos de informacin

ACTIVOS
GRUPO DE ACTIVO TIPOS DE ACTIVOS DE INFORMACIN
INFORMACIN
Ba s e s de Da tos

Docume nta ci n

SOFTWARE
Si s te ma s de I nforma ci n

He rra mi e nta Ofi m ti ca

HARDWARE
Se rvi dore s y Equi pos de Computo

Equi pos de Comuni ca ci n

Me di os de Al ma ce na mi e nto Re movi bl e

Otros Equi pos

SERVICIOS
Se rvi ci os de Outs ourci ng

Se rvi ci os Ofre ci dos por l a Enti da d

Otros Se rvi ci os

PERSONAS Funci ona ri os de pl a nta

(Rol)
Contra ti s ta s
Apre ndi ce s
Me s a s s e ctori a l e s
Pa rte s I nte re s a da s (Empre s a ri os , Enti da de s Pbl i ca s )
Prove e dore s
INFRAESTRUCTURA
Ambi e nte de Apre ndi za je

Ce ntro de Computo / Ce ntro de Da tos

Ofi ci na s

Archi vo
INTANGIBLE
I ma ge n y re puta ci n

I de a s / Conoci mi e nto
Identificacin de las amenazas y vulnerabilidades

FUENTE O AGENTE GENERADOR (Amenaza) CAUSA (Vulnerabilidad)

Ausencia o insuficiencia de disposiciones (con respecto a la

Ausencia o insuficiencia de pruebas. seguridad) en los contratos con los empleados y/o terceras
partes.

Cdigo Uso no
malicioso Arquitectur controlado
Dao a insegura
accidental de la red

Hurto o Relojes no
Catalogo de sincronizados
robo
amenazas y
vulnerabilidades

Amenaza asociada al Vulnerabilidad asociada

activo de informacin al activo de informacin
Catlogo de amenazas
Catlogo de Vulnerabilidades
Valoracin del riesgo

Probabilidad

Riesgo Inherente

Impacto
Identificacin y calificacin del control

ANEXO A
NTC-ISO
27001
CONTROL EXISTENTE
Calificar el
control
Procedimiento de backups A10.5.1

Digitalizacin de los documentos

fsicos del expendiente A10.5.1 VALORACION DE CONTROLES

TIPO NATURALEZA OFICIALIDAD CUBRIMIENTO EFECTIVIDAD

de causas o
el 70% de causas o
10% de las causas o

demostrado ser
En el tiempo que
Manual (5)

No documentado (0)
Documentado (5)

Cubre menos del

impactos (5)
Correctivo (5)

Automtico (20)

Divulgado (20)
Preventivo (20)

impactos (10)

efectiva (20)
lleva el control ha
Cubre mas del 70%
Cubre entre el 11% y
EVALUACIN
CONTROL

Qu controles existen 70 20 20 0 10 20

actualmente?
55 20 5 5 5 20
 Valoracin del riesgo

Riesgo inherente + Controles = Riesgo Residual

CALIFICACIN DEL RIESGO NUEVA CALIFICACIN DEL

RIESGO
Financiero
Reputacional

Operacional
Regulatorio/Legal

PROBABILIDAD IMPACTO EVALUACIN

PROBABILIDAD IMPACTO EVALUACIN
RIESGO
RIESGO
INHERENTE
RESIDUAL
Crtico

Probable Crtico 40 Raro Crtico 20

Moderado

Casi.Seguro Crtico 60 Probable Crtico 40

Tratamiento de riesgos
Preguntas?
Graciaspor su tiempo!!

Germn Castro Arvalo

gcastro@crossbordertech.com
CROSS BORDER TECHNOLOGY