SEGURIDAD INFORMÁTICA

Unidad:
Análisis de riesgo e implementación de SGSI

Docente: Luis Gastulo Salazar

Logro
Al finalizar la unidad, el estudiante realiza un análisis de riesgo y
comprende la implementación de un SGSI.

Importancia
Conocer sobre riesgos y SGSI te permitirá proteger los activos
de información, cumplir con la normativa vigente entre otros.
Contenido general
2.1. Realización del análisis de riesgo.
• Aplicación de ISO 3100 – ISO 27035
2.2. Modelo de un SGSI
• Sistema de gestión de la seguridad de la información. Fases de
un SGSI
2.3. Componentes de un SGSI.
• Consideraciones de diseño e implementación.
 Gracias
Docente: Luis Gastulo Salazar
Realización del análisis de riesgo
• Aplicación de ISO 3100 – ISO 27035
¿Qué es el Riesgo?
Es la posibilidad de que se produzca un inconveniente, error o
incidente que ocasione algún daño o perjuicio a un activo de
información de la entidad.
Gestión del Riesgo de SGSI - Amenaza y vulnerabilidad

Amenaza:
Cosa, persona o evento que
puede causar daño o
incidente a alguien o algo.
Vulnerabilidad:
Debilidad o falta de medidas
de protección a alguien o algo,
y que es usado por una
amenaza para causar daño.

RIESGO

Amenaza:
Riesgo:
- Personal de Servicio
Perdida de la
Vulnerabilidad: confidencialidad de la
- Documentación e información expuesta en
información no protegida el escritorio e impresora.
adecuadamente
Gestión del Riesgo de SGSI - Plan de tratamiento de Riesgos

Eliminar
No aplica
controles
Aceptar
Correctivo
Reducir
Aplica Detectivo
Estrategia de Controles
Compartir
Tratamiento
Preventivo

Mitiga riesgo

Riesgo Residual
Plan de tratamiento de Riesgos
 Gracias
Docente: Luis Gastulo Salazar
A continuación, veremos unos tres ejemplos sobre riesgos.
Riesgo 1

Control asociado a la
Cód. Riesgo Vulnerabilidad Impacto ISO 27002:2013 Objetivos de control y controles
Código Nombre Control

Acceso a Los usuarios deben

No se restringe
información de Pérdida de tener acceso solamente
ni cuenta con
la Entidad por confidencialidad Acceso a redes y a la red y a servicios de
R1 políticas de A 9.1.2
personal no de la servicios de red red que hayan sido
acceso
autorizado y información específicamente
establecidas
sin privilegios autorizados a usar.
Riesgo 2

Control asociado a la
Cód. Riesgo Vulnerabilidad Impacto ISO 27002:2013 Objetivos de control y controles
Código Nombre Control

Pérdida de Grupos de servicios de

No cuenta con
Escaneo de confidencialidad información, usuarios y
una adecuada
R2 toda la red de los A 13.1.3 Segregación en redes sistemas de
segmentación de
de la Entidad dispositivos de información deben ser
la red
red segregados en redes.
Riesgo 3

Control asociado a la
Cód. Riesgo Vulnerabilidad Impacto ISO 27002:2013 Objetivos de control y controles
Código Nombre Control

Los entornos de
desarrollo, pruebas y
No cuenta con
Pérdida de Separación de los operaciones deben ser
Fuga de una adecuada
R3 clientes en A 12.1.4 entornos de desarrollo, separados para reducir
información segmentación de
la entidad. pruebas y operaciones los riesgos de acceso no
la red
autorizado o cambios al
entorno operativo.
 Gracias
Docente: Luis Gastulo Salazar
Modelo de un SGSI
• Sistema de gestión de la seguridad de la información. Fases de un
SGSI
Sistema de gestión de la seguridad de la información. Fases de un SGSI

(PLAN) PLANEAR

P Establecer los objetivos y procesos necesarios para conseguir los resultados

de acuerdo con los requisitos del cliente y las políticas de la empresa.

(DO) HACER

D Implementar procesos.

(CHECK) VERIFICAR

C Realizar el seguimiento y los procesos respecto a políticas, objetivos y

requisitos del producto e informar los resultados.

(ACT) ACTUAR

A Tomar acciones para mejorar continuamente el desempeño-

Fases de un SGSI

1. Planificar

Iniciando el SGSI

Comprensión de la organización

Diseño de controles y procedimientos

Liderazgo y aprobación del proyecto

Ámbito de aplicación
Política de Seguridad

Evaluación de riesgo

Declaración de aplicabilidad
Fases de un SGSI

2. Hacer

Estructura de la Organización

Gestión de documentos

Diseño de controles y procedimientos

Liderazgo y Aprobación del Proyecto

Comunicación

Sensibilización y Capacitación

Aplicación de los controles

Gestión de Incidentes

Gestión de Operaciones
Fases de un SGSI

3. Verificar

Supervisión, Medición,
Análisis y Evaluación

Auditoria Interna 2

Revisión por la dirección

Fases de un SGSI

4. Actuar

Tratamiento de no conformidades
1

2 Mejora Continua
 Gracias
Docente: Luis Gastulo Salazar
Componentes de un SGSI
Consideraciones de diseño e implementación.
Consideraciones de diseño e
implementación
Políticas de Seguridad en
la información

Organización de Seguridad
de la Información

Seguridad de los
Recursos Humanos

Gestión de Activos
Consideraciones de diseño e
implementación

Control de Acceso

Criptografía

Seguridad física y ambiental

Seguridad de las
operaciones
Consideraciones de diseño e
implementación

Seguridad de las
Comunicaciones

Adquisición, desarrollo y
mantenimiento de sistemas

Gestión de entrega de
Servicios del proveedor
Consideraciones de diseño e
implementación

Aspectos de seguridad de la
información en la gestión de
continuidad de negocio

Gestión de incidentes de
Seguridad de la información

Cumplimiento
 Gracias
Docente: Luis Gastulo Salazar
Conclusiones
• La implementación de un Sistema de Gestión de la Seguridad de la
Información se implementa en base a la ISO 27001
• Se utiliza el ciclo de Deaming (PDCA) como metodología para el
desarrollo del Sistema de Gestión de Seguridad de la Información.
• Se puede utilizar la ISO 3100 o ISO 27005 para la gestión de riesgos.
 Gracias
Docente: Luis Gastulo Salazar