Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Unidad:
Análisis de riesgo e implementación de SGSI
Importancia
Conocer sobre riesgos y SGSI te permitirá proteger los activos
de información, cumplir con la normativa vigente entre otros.
Contenido general
2.1. Realización del análisis de riesgo.
• Aplicación de ISO 3100 – ISO 27035
2.2. Modelo de un SGSI
• Sistema de gestión de la seguridad de la información. Fases de
un SGSI
2.3. Componentes de un SGSI.
• Consideraciones de diseño e implementación.
Gracias
Docente: Luis Gastulo Salazar
Realización del análisis de riesgo
• Aplicación de ISO 3100 – ISO 27035
¿Qué es el Riesgo?
Es la posibilidad de que se produzca un inconveniente, error o
incidente que ocasione algún daño o perjuicio a un activo de
información de la entidad.
Gestión del Riesgo de SGSI - Amenaza y vulnerabilidad
Amenaza: Vulnerabilidad:
Cosa, persona o evento que Debilidad o falta de medidas
puede causar daño o de protección a alguien o algo,
incidente a alguien o algo. y que es usado por una
amenaza para causar daño.
RIESGO
Amenaza:
Riesgo:
- Personal de Servicio
Perdida de la
Vulnerabilidad: confidencialidad de la
- Documentación e información expuesta en
información no protegida el escritorio e impresora.
adecuadamente
Gestión del Riesgo de SGSI - Plan de tratamiento de Riesgos
Eliminar
No aplica
controles
Aceptar
Correctivo
Reducir
Aplica Detectivo
Estrategia de Controles
Compartir
Tratamiento
Preventivo
Mitiga riesgo
Riesgo Residual
Plan de tratamiento de Riesgos
Gracias
Docente: Luis Gastulo Salazar
A continuación, veremos unos tres ejemplos sobre riesgos.
Riesgo 1
Control asociado a la
Cód. Riesgo Vulnerabilidad Impacto ISO 27002:2013 Objetivos de control y controles
Código Nombre Control
Control asociado a la
Cód. Riesgo Vulnerabilidad Impacto ISO 27002:2013 Objetivos de control y controles
Código Nombre Control
Control asociado a la
Cód. Riesgo Vulnerabilidad Impacto ISO 27002:2013 Objetivos de control y controles
Código Nombre Control
Los entornos de
desarrollo, pruebas y
No cuenta con
Pérdida de Separación de los operaciones deben ser
Fuga de una adecuada
R3 clientes en A 12.1.4 entornos de desarrollo, separados para reducir
información segmentación de
la entidad. pruebas y operaciones los riesgos de acceso no
la red
autorizado o cambios al
entorno operativo.
Gracias
Docente: Luis Gastulo Salazar
Modelo de un SGSI
• Sistema de gestión de la seguridad de la información. Fases de un
SGSI
Sistema de gestión de la seguridad de la información. Fases de un SGSI
(PLAN) PLANEAR
(DO) HACER
D Implementar procesos.
(CHECK) VERIFICAR
(ACT) ACTUAR
1. Planificar
Iniciando el SGSI
Comprensión de la organización
Ámbito de aplicación
Política de Seguridad
Evaluación de riesgo
Declaración de aplicabilidad
Fases de un SGSI
2. Hacer
Estructura de la Organización
Gestión de documentos
Comunicación
Sensibilización y Capacitación
Gestión de Incidentes
Gestión de Operaciones
Fases de un SGSI
3. Verificar
Supervisión, Medición,
Análisis y Evaluación
Auditoria Interna 2
4. Actuar
Tratamiento de no conformidades
1
2 Mejora Continua
Gracias
Docente: Luis Gastulo Salazar
Componentes de un SGSI
Consideraciones de diseño e implementación.
Consideraciones de diseño e
implementación
Políticas de Seguridad en
la información
Organización de Seguridad
de la Información
Seguridad de los
Recursos Humanos
Gestión de Activos
Consideraciones de diseño e
implementación
Control de Acceso
Criptografía
Seguridad de las
operaciones
Consideraciones de diseño e
implementación
Seguridad de las
Comunicaciones
Adquisición, desarrollo y
mantenimiento de sistemas
Gestión de entrega de
Servicios del proveedor
Consideraciones de diseño e
implementación
Aspectos de seguridad de la
información en la gestión de
continuidad de negocio
Gestión de incidentes de
Seguridad de la información
Cumplimiento
Gracias
Docente: Luis Gastulo Salazar
Conclusiones
• La implementación de un Sistema de Gestión de la Seguridad de la
Información se implementa en base a la ISO 27001
• Se utiliza el ciclo de Deaming (PDCA) como metodología para el
desarrollo del Sistema de Gestión de Seguridad de la Información.
• Se puede utilizar la ISO 3100 o ISO 27005 para la gestión de riesgos.
Gracias
Docente: Luis Gastulo Salazar