Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gestion de Riesgos Iso 27005 Completo
Gestion de Riesgos Iso 27005 Completo
de la información
ISO/IEC 27005:2008
Objetivos del Curso
Al terminar el curso el participante deberá:
[ISO/IEC 27002:2005]
¿Qué es la información?
• La información puede existir en muchas formas:
▫ Impresa o escrita en papel
▫ Almacenada electrónicamente
▫ Transmitida por correo, mensajería o por medios
electrónicos.
▫ Mostrada en video
▫ Hablada en una conversación.
Eventos
Activo
Amenazas
Vulnerabilidades
• Un riesgo se mide en términos de:
▫ La probabilidad de un evento
▫ Sus consecuencias
Gestión de Riesgos
“Actividades coordinadas para dirigir y controlar
una organización con relación al riesgo.”
[ISO/IEC Guide 73:2002]
▫ 27011- Telecomunicaciones
ISO/IEC 27001:2005
• Provee un modelo para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar un Sistema de
Gestión de Seguridad de la Información (ISMS) dentro de un
enfoque de gestión de riesgos.
Requerimientos
y expectativas de Monitorear y
la seguridad de revisar el ISMS Seguridad de la
la información Información
Verificar
gestionada
Modelo PDCA aplicado a los procesos de ISMS
ISO/IEC 27002:2005
• Código de práctica para la implementación de la seguridad de la
información.
COMUNICACIÓN DE RIESGOS
Seguridad de ANÁLISIS DE RIESGOS
IDENTIFICACIÓN DE RIESGOS
la
Información ESTIMACIÓN DE RIESGOS
EVALUACIÓN DE RIESGOS
No
PUNTO DE DECISIÓN DE RIESGOS 1
Satisfacción del Análisis y Evaluación
Si
TRATAMIENTO DE RIESGOS
ACEPTACIÓN DE RIESGOS
FIN DE PRIMERA O
SUBSECUENTES ITERACIONES
Proceso
• ISO/IEC 27005:2008 divide el proceso de gestión de
riesgos de seguridad de la información en las siguientes
actividades:
▫ Establecimiento del contexto
▫ Análisis y evaluación de riesgos (Risk assessment)
▫ Tratamiento de riesgos
▫ Aceptación de riesgos
▫ Comunicación de riesgos
▫ Monitoreo y revisión de riesgos
Requerimientos
y expectativas de Monitorear y
la seguridad de revisar el ISMS Seguridad de la
la información Información
Verificar
Gestionada
Relación con ISO/IEC 27001
• La Tabla 1 del estándar muestra la alineación
entre el proceso de ISMS y el de Gestión de
Riesgos.
Proceso Proceso de Gestión de Riesgos de Seguridad de
ISMS la Información
Planear Establecer el contexto
Análisis y evaluación de riesgos
Desarrollar el plan de tratamiento de riesgos
Aceptación de riesgos
Hacer Implementación del plan de tratamiento de riesgos
Verificar Monitoreo y revisión continuo de riesgos
Actuar Mantener y mejorar el Proceso de Gestión de Riesgos de
Seguridad de la Información
Relación con BS 7799-3
• BS 7799-3 fue publicado en 2006.
COMUNICACIÓN DE RIESGOS
MONITOREO Y REVISIÓN DE
DE RIESGOS
ANÁLISIS DE RIESGOS
IDENTIFICACIÓN DE RIESGOS
Proceso ISO/IEC 27005
RIESGOS
ESTIMACIÓN DE RIESGOS
EVALUACIÓN DE RIESGOS
PUNTO DE DECISIÓN DE RIESGOS 1
No
Satisfacción del Análisis y Evaluación
Si
TRATAMIENTO DE
RIESGOS
PUNTO DE DECISIÓN DE RIESGOS 2 No
Satisfacción del Tratamiento
Si
ACEPTACIÓN DE RIESGOS
FIN DE PRIMERA O
SUBSECUENTES ITERACIONES
Relación con BS 7799-3
Cláusula 5- Análisis y Cláusula 7- Actividades
evaluación de riesgo continuas de gestión de
riesgos
Analizar y
evaluar los Mantener y
mejorar los
Proceso BS 7799-3
riesgos
controles de
riesgo
Seleccionar,
implementar y
operar
controles para Monitorear y
tratar los revisar los
riesgos riesgos
Cláusula 7- Actividades
Cláusula 6- Tratamiento de
continuas de gestión de
riesgos y toma de decisiones
riesgos
Ejercicio 3
Proceso general del ISO/IEC 27005 y su
relación con ISO/IEC 27001
Actividades de Gestión de Riesgos
de Seguridad de la Información
Actividades
• Cada una de las 6 actividades del proceso de
Gestión de Riesgos se encuentra definida en las
cláusulas 7-12 del estándar.
Criterios básicos
Alcance y limites
Información relevante
Organización
de la organización Establecimiento del
contexto
▫ Criterios de impacto
Criticidad de activos
percepciones y daño
Leyes, regulaciones,
Confidencialidad,
Valor estratégico
de información
disponibilidad
Expectativas y
del proceso de
integridad y
reputación.
y contratos
negocio
Violaciones a leyes,
Pérdida de negocio
afectadas (internas
seguridad (C, I, D)
Violaciones a la
regulaciones o
Operaciones
o a terceros)
contratos
ESTABLECIMIENTO DEL CONTEXTO
Criterios de impacto
Criterios de Impacto
• Ejemplos
▫ Se considerarán los impactos de acuerdo al valor de pérdida
de los activos.
▫ Se considera el impacto por pérdida de confidencialidad,
integridad y disponibilidad de los activos.
▫ Se considerará una escala de “Bajo”, “Medio” y “Alto” para
evaluar el impacto.
▫ El impacto a la reputación de la organización se considerará
como el más significativo.
▫ Si el impacto financiero es igual o menor al X1% del ingreso
anual, se considerará un impacto “No significativo”, entre
X1% y X2% se considerará “Significativo”, mayor a X3% se
considerará “Inaceptable”.
ESTABLECIMIENTO DEL CONTEXTO
Criterios de aceptación de riesgos
• ¿A qué nivel son aceptables los riesgos para la empresa?
• Estos criterios auxilian en la determinación del nivel al
que deberán tratarse los riesgos analizados y evaluados.
• Los criterios de aceptación de riesgo deben alcanzarse
por medio del plan de tratamiento.
Factores sociales
Aspectos legales
y regulatorios
Operaciones
Criterios del
Tecnología
y humanos
Finanzas
negocio
UMBRELES DE RIESGO
ALTO
MEDIO
BAJO
Buena
práctica
EJEMPLO- Ejercicio 4
Criterios de impacto
• Considerar el impacto a la información en términos
de confidencialidad, integridad y disponibilidad, así
como los impactos al negocio.
Administrador
de riesgos
Comité de
riesgos
Lista de riesgos
Criterios básicos analizados y priorizados
Alcance y limites de acuerdo a los
Identificar, estimar criterios de evaluación
Organización
y priorizar los
riesgos
Buena
Identificar activos involucrados en
práctica la ejecución de las actividades
Identificación de activos
Proceso:
Nómina
Actividades:
Calcular nómina, aplicar descuentos, aplicar
bonos, imprimir cheques, etc.
Factura Mensajería
Personal C y C
Factura Cliente
Facturas Sistema Modem
Impresora s Sistema Contable
Impresa Contable
PC Tesorería Cliente
Hojas de Sistema Banco
Facturación
PC Tesorería
Cliente Sistema
Sistema Contable Banco
Gerente de
PC Contabilidad contabilidad
Hoja de Impresora
Personal Facturación
Facturación
Estado de
cuenta
Mapa de procesos para riesgos
Simbología
Tesorero
ENTIDAD
Buena
práctica
Identificación de activos
Cheques
Tesorero impresos
Imprimir cheques
INICIO/
FIN/DESTINO
ORIGEN DE ACTIVIDAD
DE ACTIVIDAD
ACTIVIDAD
Buena
práctica
Identificación de activos
Inf. de
Activo Tipo
pagos Tesorero Gerente
Información de Información
Cheques pagos (pagos.xls)
Cheques Información
PC Tesorero PC Tesorero Infraestructura
Excel Excel Aplicaciones
Impresora Impresora Infraestructura
Buena Cheques impresos Información
práctica Cheques
impresos
Identificación de activos
• Aplicaciones: Los sistemas • Infraestructura: La tecnología y
automatizados para los usuarios o las instalaciones (por ejemplo:
procedimientos manuales que hardware, sistemas operativos,
permiten procesar información sistemas de administración de
bases de datos, redes multimedia,
• Información: Los datos de etc., y el ambiente que lo resguarda
entrada, procesados y terminados y los soporta) que permite el
por los sistemas de información procesamiento de información por
en cualquier forma. las aplicaciones.
V= Inflamable
V= Almacenamiento desprotegido.
Buena V= Consumible
práctica
V=Puede sufrir daños físicos
Identificación de controles existentes
• Deben identificarse los controles existentes o
planeados, y además verificar su efectividad.
Buena
práctica
Ejercicio 5
Identificación de riesgos
Ejercicio 5a. Identificación
Proceso:___________________
de activos
Actividades: 1. Identifique los procesos
_________________________ de negocio dentro del
_________________________ alcance definido en el
Activo Clasificación Ejercicio 4b.
T4
2. Liste las
vulnerabilidades en
T5 relación al activo y
amenazas previamente
identificados.
Ejercicio 5d. Identificación
de consecuencias
Activo: Servidores 1. Identifique las
consecuencias que la
pérdida de
Escenarios Consecuencias
confidencialidad, integridad
Amenaza Vulnerabilidad y disponibilidad pudieran
S1 Falla Puntos únicos de Interrupción del tener en los activos.
equipo falla Servicio Apóyese del Anexo B.3.
telecomu-
nicaciones
2. Liste las consecuencias
S2 Inundación Ubicación en Interrupción de junto a los escenarios de
áreas inundables servicio, daño al incidentes, en relación al
activo
activo y proceso de negocio
S3 seleccionados en los
S4 ejercicios anteriores.
EJEMPLO-Ejercicio 5
Identificación de activos
Área de negocio Proceso Activo Capa
Área de negocio 01 Proceso 01 SISTEMA X 5 -Aplicaciones
Área de negocio 09 Proceso 28 RED 2 –Red/ Telecomunicaciones
Cuentas por cobrar Facturación FACTURAS 4 – Información/ Datos/
Documentos
Buena
práctica
EJEMPLO-Ejercicio 5
Identificación de vulnerabilidades
Proceso Activo Vulnerabilidades
Proceso 01 SISTEMA X V1-EXPOSICIÓN A VIRUS Y CÓDIGO
… MALICIOSO
Proceso 28 RED
V57-SUSCEPTIBILIDAD A FALLAS
Facturación FACTURAS
V10-ALMACENAMIENTO
DESPROTEGIDO
Buena
práctica
EJEMPLO-Ejercicio 5
Identificación de amenazas
Proceso Activo
Proceso 01 SISTEMA X
Proceso 28 RED
Facturación FACTURAS
Buena
práctica
Estimación de riesgos
• En esta etapa se asigna un valor a los riesgos.
Valor de
Bajo Medio Alto
Amenaza
Facilidad de L M H L M H L M H
explotación
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
Valor del activo 2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
Estimación de niveles de riesgo
• Tabla E.1 b) del estándar ISO/IEC 27005:2008
• Confidencialidad
• Integridad
• Disponibilidad
Buena
práctica
Sensibilidad
• Se utiliza la siguiente tabla para evaluar la sensibilidad:
Valor Descripción
1 La brecha puede resultar en poca o nula pérdida o daño
2 La brecha puede resultar en una pérdida o daño menor.
3 La brecha puede resultar en una pérdida o daño serio, y los procesos del
negocio pueden verse afectados negativamente.
4 La brecha puede resultar en una pérdida o daño serio, y los procesos del
negocio pueden fallar o interrumpirse.
5 La brecha puede resultar en altas pérdidas de dinero, o en un daño critico a un
individuo o al bienestar, reputación, privacidad y/o competitividad de la empresa.
Los procesos del negocio fallarán.
5 5 3 15 = 1125
1 1 1 3 =3
Buena
práctica
Ejercicio 6
Estimación de riesgos
Ejemplo-Ejercicio 6
Sensibilidad de activos
Proceso Activo
Proceso 01 SISTEMA X
Proceso 28 RED
Facturación FACTURAS
EVALUACIÓN DE RIESGOS
Evaluación de riesgos
De acuerdo con el criterio de evaluación de riesgos
establecido, se priorizan los riesgos. En este
ejemplo se utilizan umbrales, y se clasifican los
riesgos en Alto, Medio o Bajo.
UMBRALES DE LIMITE Límite
RIESGO INFERIOR SUPERIOR
ALTO 751 1125
MEDIO 376 750
Buena BAJO 1 375
práctica
Ejercicio 7
Evaluación de riesgos
Ejemplo-Ejercicios 7
Evaluación de riesgos
Proceso Activo Vulnerabilidades
TRATAMIENTO DE RIESGOS
Tratamiento de Riesgos
• Una vez concluido el Análisis y Evaluación de
Riesgos, la siguiente actividad es el Tratamiento
de Riesgos.
• Existen cuatro opciones de tratamiento de
riesgos:
▫ Reducir
▫ Aceptar
▫ Evitar
▫ Transferir
• Estas opciones no son mutuamente excluyentes.
TRATAMIENTO DE RIESGOS
Tratamiento de Riesgos
RESULTADOS
ANÁLISIS Y EVAL. DE
RIESGOS
ANÁLISIS Y EVAL.
SATISFACCTORIOS
Punto de decisión de riesgos 1
TRATAMIENTO DE RIESGOS
OPCIONES DE TRATAMIENTO DE RIESGOS
RIESGOS
RESIDUALES
Tratamiento de riesgos
Buena ACEPTAR
práctica … ACEPTAR
ACEPTAR
EJEMPLO-Ejercicios 8 Agentes de
amenazas
Eventos de amenaza
… Control 3 1 3
Control 2 3 4
Resguardo bajo llave 2 1 2
ACEPTACIÓN DE RIESGOS
Aceptación de riesgos
• Los responsables deben revisar y aprobar los
planes de tratamiento propuestos, así como los
riesgos residuales resultantes.
COMUNICACIÓN DE RIESGOS
Comunicación de riesgos
• Debe existir comunicación continua entre las
partes interesadas.
Implementadores
Tomadores de
decisiones
Otras partes
COMUNICACIÓN DE RIESGOS
interesadas
Comunicación de riesgos
• Puede formarse un comité con tomadores de decisiones y otras
partes interesadas donde puedan discutirse los riesgos, su
priorización y tratamiento apropiado y su aceptación.
COMUNICACIÓN DE RIESGOS
Ejercicio 9
Comunicación de riesgos
Ejercicio 9
Tiempo:20 minutos
• Con los resultados de los ejercicios pasados,
prepare un reporte ejecutivo de Comunicación
de Riesgos para la Gerencia. Considere qué
información es pertinente incluir y cómo lo
presentaría.
Comunicación de riesgos
• El método de comunicación debe ser
seleccionado en relación a la audiencia.