Está en la página 1de 18

Fundamentos básicos de la

evaluación y tratamiento de
riesgos según
ISO 27001

Ponente: Antonio José Segovia


¿Cuales son los pasos básicos en el
análisis y tratamiento de riesgos de ISO
27001?

Si estás planificando empezar el análisis


de riesgos….

… para hacerlo bien, necesitas entender la


importancia de la gestión de riesgos, y
aprender lo que es aceptable según el
estándar

©2019 27001Academy www.advisera.com/27001academy 2


La gestión de riesgos es el primer
paso crucial en la implementación de
la ISO 27001 – Determina todo lo que
sucederá después

©2019 27001Academy www.advisera.com/27001academy 3


Agenda

• ¿Por qué la gestión de riesgos?


• El proceso de la gestión de riesgos
• Elementos del análisis de riesgos
• Identificación de activos
• Amenazas y vulnerabilidades
• Impacto y probabilidad
• 4 opciones para el tratamiento de riesgos
• Mayores retos con la gestión de riesgos

©2019 27001Academy www.advisera.com/27001academy 4


¿Por qué la gestión de riesgos?

Gestión de la seguridad de la información (ISO 27001)

Gestión de
riesgos Salvaguardas
(ISO 27002)
(ISO 27005)

Medición
(ISO 27004)

©2019 27001Academy www.advisera.com/27001academy 5


El proceso de gestión de riesgos…

Your Text
Metodología de análisis de riesgos

Your Text
Mandatory procedures
Análisis de riesgos

Your
YourText
Text
Analyze and assess
Tratamiento de riesgos

©2019 27001Academy www.advisera.com/27001academy 6


… El proceso de gestión de
riesgos

Declaración
Your Text de
Aplicabilidad (SoA)

Your Text
Plan de Tratamiento
Mandatory de Riesgos
procedures

©2019 27001Academy www.advisera.com/27001academy 7


Elementos del análisis de riesgos

Propieta
Identificación del riesgo rio del Análisis de riesgos
riesgo

Vulnerabil Probabi
Activo Amenaza
idad Impacto
lidad

Riesgo = Impacto x Probabilidad


(o) Riesgo = Impacto + Probabilidad
©2019 27001Academy www.advisera.com/27001academy 8
Activos – ¿Qué protegemos?

• Ejemplos:
• Hardware
• Software
• Información (electrónica, papel, etc.)
• Infraestructura
• ¡Personas!
• etc.
• Identificación de propietarios de activos
©2019 27001Academy www.advisera.com/27001academy 9
Amenazas – ¿Qué puede pasar?

Ejemplos:
• Fuego
• Terremoto
• Virus informáticos
• Amenaza de bomba
• Mal funcionamiento del equipamiento
• Personas clave dejan la empresa

©2019 27001Academy www.advisera.com/27001academy 10


Vulnerabilidades – ¿Por qué
pueden ocurrir?

Ejemplos:
• Falta un sistema de extinción de fuego
• Faltan planes de continuidad de negocio
• Falta software anti-virus
• Faltan procedimientos de respuesta ante
incidentes
• Equipamiento obsoleto
• Falta de recambio
©2019 27001Academy www.advisera.com/27001academy 11
Impacto y probabilidad

• Ejemplo de escala de análisis:


• Alto
• Medio
• Bajo
• O:
•1 a5
• 1 a 10

©2019 27001Academy www.advisera.com/27001academy 12


Ejemplo de tabla de análisis de
riesgos
Activo Propietar Amenaza Vulnerabilidad Impact Probabili Risgo
io o (1-5) dad (1-5) (=I+P)
Servidor Admin. Falla de No existe UPS 4 2 6
electricidad
Fuego No existe 5 3 8
extintor
Contrato Director Visualizado El contrato se ha 4 4 8
por personas dejado en la
no mesa
autorizadas
Fuego No existe 4 3 7
protección
contra fuego
Admin de Jefe TI Acidente Nadie más 5 3 8
sistemas conoce sus
contraseñas 13

©2019 27001Academy www.advisera.com/27001academy


4 opciones para el tratamiento del
riesgo

Aplicar
Aceptar el
controles
riesgo
apropiados

Evitar el Transferir el
riesgo riesgo
©2019 27001Academy www.advisera.com/27001academy 14
Mayores retos con la gestión de
riesgos

• Tener conocimiento adecuado


• Seleccionar metodología adecuada
• Determinar amenazas
• Implementar medidas de control
• Apoyo de la alta dirección

©2019 27001Academy www.advisera.com/27001academy 15


Conclusión

No te saltes el análisis y tratamiento


de riesgos – sin este tipo de análisis
¡la seguridad de tu información
estará llena de brechas!

©2019 27001Academy www.advisera.com/27001academy 16


P&R

Antonio José Segovia


www.advisera.com/27001academy/webinars