Gestion de Riesgos Iso 27005 Completo

Gestión de Riesgos de Seguridad
de la información
ISO/IEC 27005:2008
Objetivos del Curso
Al terminar el curso el participante deberá:
• Comprender el marco de referencia de gestión

de riesgos de ISO/IEC 27005:2008.
• Reconocer los usos y beneficios de la norma.
• Comprender y tener los conocimientos
necesarios para poder desarrollar un análisis y
evaluación de riesgos de seguridad de la
información y su gestión.
Conceptos básicos- Seguridad de
la Información y Riesgos
¿Qué es la información?
“La información es un activo que, cómo otros
activos de negocio importantes, es esencial para
el negocio de una organización y
consecuentemente necesita estar protegido
adecuadamente.”
[ISO/IEC 27002:2005]
¿Qué es la información?
• La información puede existir en muchas formas:
▫ Impresa o escrita en papel
▫ Almacenada electrónicamente
▫ Transmitida por correo, mensajería o por medios
electrónicos.
▫ Mostrada en video
▫ Hablada en una conversación.
• Sin importar en que medio o forma se encuentre la

información, ésta deberá ser protegida
apropiadamente.
Seguridad de la información
• “Preservación de la Confidencialidad, Integridad
y Disponibilidad; adicionalmente, otras
propiedades tales como autenticidad,
imputabilidad, no repudio y confiabilidad
pueden estar involucradas.”
[ISO/IEC 27005:2005]
Riesgos de seguridad de la información
• El estándar define en riesgo de seguridad de la

información como:
“el potencial de que una cierta amenaza explote

vulnerabilidades de un activo o grupo de activos
y así cause daño a la organización”
[ISO/IEC 27005:2008]
Factores de riesgo
Activo: Un activo es algo que tiene valor para la
organización y por lo tanto requiere protección.
Vulnerabilidad: Debilidad inherente al activo. Su

presencia no causa daño por sí misma, ya que necesita
haber una amenaza que la explote. La falta de un control
también puede considerarse una vulnerabilidad.
Amenaza: Una circunstancia o evento que tiene el

potencial de causar daño a un activo y por lo tanto a la
organización.
Impacto: Daño causado por una amenaza que explota

una vulnerabilidad en un activo y que afecta
adversamente el logro de los objetivos de negocio.
Factores de riesgo
RIESGO
Impacto
Eventos
Activo
Amenazas
Vulnerabilidades
• Un riesgo se mide en términos de:
▫ La probabilidad de un evento
▫ Sus consecuencias
Gestión de Riesgos
“Actividades coordinadas para dirigir y controlar
una organización con relación al riesgo.”
[ISO/IEC Guide 73:2002]
• La gestión de riesgos permite a una organización

identificar qué necesita proteger, cómo debe
protegerse y cuánta protección necesita, y así
invertir sus esfuerzos y recursos efectivamente.
Gestión de Riesgos-Beneficios
• Realizar la gestión de riesgos de seguridad de la
información es considerado como una mejor
practica por organizaciones internacionales y
nacionales y puede ser parte de un
requerimiento legal o regulatorio que debe
cumplirse.
• Cualquiera que sea la razón para adoptar la

gestión de riesgos, la organización obtendrá
beneficios significativos.
• Los beneficios directos:
▫ Conocer los riesgos de seguridad y así poder tomar

decisiones de acuerdo a las necesidades y
capacidades de la organización.
▫ Reducir incertidumbre, número de incidentes y su

impacto a la organización.
• Otros beneficios incluyen:
▫ Una visión completa de los riesgos asistirá a la
planeación estratégica y toma de decisiones.
▫ Demuestra conciencia de seguridad y da tranquilidad a
los interesados.
▫ Los requerimientos de seguridad de la información y
requerimientos del negocio son alineados.
▫ La concientización de seguridad de la información
aumenta en la organización.
▫ Mejora continua en el proceso de análisis y
tratamiento de riesgos.
▫ Mayor probabilidad de alcanzar los objetivos de
negocio.
Ejercicio 1
Factores de riesgo
FACTORES DE RIESGO (activo, amenaza, vulnerabilidad, impacto)
Aire Acondicionado Línea de comunicación desprotegidas
Base de datos Números de Tarjetas de Crédito
Código Malicioso Página Web
Contraseñas débiles PC
Contratos Pérdida de clientes
Corrupción de datos Pérdida de confidencialidad
Edificio Pérdida de electricidad
Error en el software Pérdida de ventaja competitiva
Facturas Pérdida de reputación
Falta de documentación Plan de Marketing
Falta de política de seguridad Red inalámbrica
Fraude Robo de equipo
Gerente de Finanzas Susceptible de fuego
Ingeniería Social Interfaz de usuario complicada
Acceso no autorizado Interrupción al negocio
Introducción a la
Serie ISO/IEC 27000
Serie ISO/IEC 27000
• Familia de estándares de seguridad de la
información publicados en conjunto por la
International Organization for Standardization
(ISO) y la International Electrotechnical
Commission (IEC)
• Provee recomendaciones de mejores prácticas
para obtener y preservar la seguridad de la
información dentro del contexto de un Sistema
de Gestión de Seguridad de la Información
(ISMS, por sus siglas en inglés).
Serie ISO/IEC 27000
• Como parte de esta serie se han publicado los
siguientes estándares:
▫ 27001:2005-Requerimiento para un ISMS
▫ 27002:2005-Código de práctica para la administración

de la seguridad de la información.
▫ 27005:2008-Gestión de riesgos de seguridad de la

información.
▫ 27006:2007-Requerimientos para las organizaciones

que proveen auditoría y certificación de ISMS.
Serie ISO/IEC 27000
• Además, los siguientes estándares, entre otros, están en
proceso para ser publicados:
▫ 27000- Visión general y vocabulario
▫ 27003- Guía de implementación para un ISMS
▫ 27004- Métricas para la gestión de la seguridad de la

información.
▫ 27007- Lineamientos para auditar ISMS
▫ 27011- Telecomunicaciones
ISO/IEC 27001:2005
• Provee un modelo para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar un Sistema de
Gestión de Seguridad de la Información (ISMS) dentro de un
enfoque de gestión de riesgos.
• Especifica los requerimientos para un ISMS y provee una lista

de objetivos de control y controles específicos.
• Las organizaciones pueden buscar certificación de

conformidad con el estándar.
• Utiliza un enfoque de procesos y adopta el modelo Planear-

Hacer-Verificar-Actuar (PHVA o PDCA por sus siglas en
inglés).
ISO/IEC 27001:2005
Partes Planear Partes
Interesadas Establecer el Interesadas
ISMS
Hacer Implementar Mantener y

y operar el mejorar el Actuar
ISMS ISMS
Requerimientos
y expectativas de Monitorear y
la seguridad de revisar el ISMS Seguridad de la
la información Información
Verificar
gestionada
Modelo PDCA aplicado a los procesos de ISMS
ISO/IEC 27002:2005
• Código de práctica para la implementación de la seguridad de la
información.
• Establece lineamientos y principios generales (recomendaciones)

para la gestión de la seguridad de la información, así como guías
para la implementación de objetivos de control y controles en
función de un proceso de análisis y tratamiento de riesgos.
• Funciona como apoyo para la implementación de los controles

definidos en el Anexo A del ISO/IEC 27001.
• La nomenclatura del ISO/IEC17799:2005 fue cambiada a ISO/IEC

27002:2005 a mediados de 2007 para integrarlo a la familia de
estándares ISO/IEC 27000. El contenido no sufrió cambios
ISO/IEC 27006:2006
• ISO/IEC 27006 especifica requerimientos y
provee una guía para las organizaciones que
proveen certificación o auditoria de los ISMS,
incluyendo a BSI.
• Estas organizaciones deben seguir los

requerimientos de esta norma para demostrar su
competencia y confiabilidad, en conjunto con los
requerimientos contenidos en el ISO/IEC
17021:2006 e ISO/IEC 27001:2005.
Introducción a
ISO/IEC 27005:2008
ISO/IEC 27005:2008
• Publicado en Junio 2008
• Provee lineamientos para la gestión de riesgos.
• No es una técnica o metodología (ver Margerit y

Octave).
• Soporta la ISO/IEC 27001, sin embargo, puede

implementarse independientemente.
Descripción
• Es un estándar internacional que describe un
marco de referencia para gestionar los riesgos de
seguridad de la información.
• Esta diseñado para poder ser aplicado en

cualquier organización.
Descripción
• No está alineado a una metodología de gestión
de riesgos en específico, ni sugiere alguna.
• Cada empresa debe seleccionar la metodología

que cumpla con sus requerimientos y objetivos.
• Sin embargo, si especifica un proceso

estructurado y sistemático ISO/IEC para
gestionar los riesgos.
Aplicaciones
• ISO/IEC 27005 cubre las especificaciones de
ISO/IEC 27001 para la gestión de riesgos.
• Puede implementarse independientemente o

para otros propósitos.
Aplicaciones
Rol en un ISMS
• Asiste en cualquier implementación de un Sistema

de Gestión de Seguridad de la Información (ISMS).
• Se debe realizar análisis y evaluaciones de riesgos

para identificar los riesgos a los que está expuesta
una organización y tratarlos de acuerdo a los
criterios y requerimientos que ésta determine.
Aplicaciones
Además del soporte a un ISMS, las aplicaciones de este
estándar incluyen:
• Cumplimiento legal o regulatorio y evidencia de atención

y cuidado prestado a la seguridad de la información.
• Sirve como base para el desarrollo de un Plan de

continuidad del negocio y/o Plan de respuesta a
incidentes.
• Descripción de los requerimientos de seguridad de un

producto, servicio o mecanismo.
Ejercicio 2
Serie de estándares ISO/IEC
27000
• ¿Qué ventajas tiene utilizar estándares
internacionales? ¿Desventajas?
• Si una organización desea obtener un certificado
para proporcionar a sus socios de negocio como
evidencia de que protege su información
apropiadamente, ¿Qué estándar debe seguir
principalmente?
• Una organización quiere implementar controles
de seguridad en la empresa ¿Qué estándar le
ayuda a seleccionar controles comúnmente
utilizados? Si el presupuesto es limitado qué
estándar le ayuda a priorizar?
Proceso de Gestión de Riesgos de
Seguridad de la Información
Proceso de ESTABLECIMIENTO DEL CONTEXTO
Gestión de
MONITOREO Y REVISIÓN DE RIESGOS

ANÁLISIS Y EVALUACIÓN
Riesgos de DE RIESGOS
COMUNICACIÓN DE RIESGOS
Seguridad de ANÁLISIS DE RIESGOS
IDENTIFICACIÓN DE RIESGOS
la
Información ESTIMACIÓN DE RIESGOS
EVALUACIÓN DE RIESGOS
No
PUNTO DE DECISIÓN DE RIESGOS 1
Satisfacción del Análisis y Evaluación
Si
TRATAMIENTO DE RIESGOS
PUNTO DE DECISIÓN DE RIESGOS 2 No

Satisfacción del Tratamiento
Si
ACEPTACIÓN DE RIESGOS
FIN DE PRIMERA O
SUBSECUENTES ITERACIONES
Proceso
• ISO/IEC 27005:2008 divide el proceso de gestión de
riesgos de seguridad de la información en las siguientes
actividades:
▫ Establecimiento del contexto
▫ Análisis y evaluación de riesgos (Risk assessment)
▫ Tratamiento de riesgos
▫ Aceptación de riesgos
▫ Comunicación de riesgos
▫ Monitoreo y revisión de riesgos
• Éste estándar permite iteraciones entre las actividades

para alcanzar los resultados deseados y la mejora
continua.
Relación con ISO/IEC 27001
• Recordemos el modelo PDCA utilizado para el
ISMS especificado en ISO/IEC 27001.
Partes Planear Partes
Interesadas Establecer el Interesadas
ISMS
Hacer Implementar Mantener y

y operar el mejorar el Actuar
ISMS ISMS
Requerimientos
y expectativas de Monitorear y
la seguridad de revisar el ISMS Seguridad de la
la información Información
Verificar
Gestionada
Relación con ISO/IEC 27001
• La Tabla 1 del estándar muestra la alineación
entre el proceso de ISMS y el de Gestión de
Riesgos.
Proceso Proceso de Gestión de Riesgos de Seguridad de
ISMS la Información
Planear Establecer el contexto
Análisis y evaluación de riesgos
Desarrollar el plan de tratamiento de riesgos
Aceptación de riesgos
Hacer Implementación del plan de tratamiento de riesgos
Verificar Monitoreo y revisión continuo de riesgos
Actuar Mantener y mejorar el Proceso de Gestión de Riesgos de
Seguridad de la Información
Relación con BS 7799-3
• BS 7799-3 fue publicado en 2006.
• Ambos estándares proveen lineamientos para la Gestión de

Riesgos de Seguridad de la Información y ambos soportan los
requerimientos del estándar ISO/IEC 27001:2005.
• BS 7799-3 no se transforma en ISO/IEC 27005:2008. Ambos

estándares siguen vigentes
• ISO/IEC 27005:2008 reemplaza ISO/IEC TR 13335-3:1998 e

ISO/IEC TR 13335-4:2000, reportes técnicos que formaban
parte del ISO/IEC 13335 para la Gestión de Riesgos de
Seguridad de TI.
ESTABLECIMIENTO DEL CONTEXTO
ANÁLISIS Y EVALUACIÓN
MONITOREO Y REVISIÓN DE
DE RIESGOS
ANÁLISIS DE RIESGOS
Proceso ISO/IEC 27005
RIESGOS
ESTIMACIÓN DE RIESGOS
PUNTO DE DECISIÓN DE RIESGOS 1
No
Satisfacción del Análisis y Evaluación
Si
TRATAMIENTO DE
RIESGOS
PUNTO DE DECISIÓN DE RIESGOS 2 No
Satisfacción del Tratamiento
Si
FIN DE PRIMERA O
SUBSECUENTES ITERACIONES
Cláusula 5- Análisis y Cláusula 7- Actividades
evaluación de riesgo continuas de gestión de
riesgos
Analizar y
evaluar los Mantener y
mejorar los
Proceso BS 7799-3
riesgos
controles de
riesgo
Seleccionar,
implementar y
operar
controles para Monitorear y
tratar los revisar los
riesgos riesgos
Cláusula 7- Actividades
Cláusula 6- Tratamiento de
continuas de gestión de
riesgos y toma de decisiones
riesgos
Ejercicio 3
Proceso general del ISO/IEC 27005 y su
relación con ISO/IEC 27001
Actividades de Gestión de Riesgos
de Seguridad de la Información
Actividades
• Cada una de las 6 actividades del proceso de
Gestión de Riesgos se encuentra definida en las
cláusulas 7-12 del estándar.
▫ Cláusula 7. Establecimiento del contexto.

▫ Cláusula 8. Análisis y evaluación de riesgos
▫ Cláusula 9. Tratamiento de riesgos
▫ Cláusula 10. Aceptación de riesgos
▫ Cláusula 11. Comunicación de riesgos
▫ Cláusula 12. Monitoreo y revisión de riesgos
Actividades
• En cada actividad se describen los siguientes
elementos:
Guía de
implementación
Entrada Acción Salida
• Información adicional y ejemplos se presentan

en los anexos informativos A-F.
Cláusula 7. Establecimiento del

contexto
Establecimiento del contexto
Criterios básicos
Alcance y limites
Información relevante
Organización
de la organización Establecimiento del
contexto

• Para establecer el contexto debe conocerse la
información relevante de la organización, el
propósito de la implementación del estándar y
las limitantes o restricciones.
• El Anexo A proporciona información y ejemplos

al respecto

• Durante esta actividad debe:
▫ Establecerse los criterios básicos para la gestión de
los riesgos de seguridad de la información.
▫ Definirse el alcance y los límites
▫ Establecerse la organización para operar la gestión
de los riesgos de seguridad de la información.
▫ Si se esta utilizando este estándar como apoyo para la

implementación de ISO/IEC 27001, el contexto de la
gestión de riesgos deberá estar alineado con los
requerimientos establecidos en el punto 4.2.1 del
ISMS, incluyendo los alcances y límites del ISM, la
política del ISMS y el enfoque del análisis de riesgos.
Criterios Básicos
• Debe establecerse el enfoque de gestión de
riesgos más apropiado. Dentro de este enfoque
deben definirse criterios básicos como:
▫ Criterios de evaluación de riesgos
▫ Criterios de impacto
▫ Criterios de aceptación de riesgos

Criterios de evaluación de riesgos
• ¿Cómo se determinará la prioridad de los riesgos?
• Bajo estos criterios se evaluarán los riesgos y se
establecerán prioridades.
• Posteriormente servirá para establecer prioridades de
tratamiento.
Criticidad de activos
percepciones y daño
Leyes, regulaciones,
Confidencialidad,
Valor estratégico
de información
disponibilidad
Expectativas y
del proceso de
integridad y
reputación.
y contratos
negocio

• Ejemplos
▫ Los riesgos se priorizarán utilizando una escala de “Alto”,
“Medio” y “Bajo”.
▫ Los riesgos relacionados con el cumplimiento de la ley deberán
tener prioridad.
▫ Los riesgos del proceso A tomaran prioridad sobre los riesgos del
proceso B.
▫ Los riesgos de confidencialidad no aplican para el proceso C.
▫ De todos los riesgos identificados como “altos” tiene prioridad los
que afectan la disponibilidad.
▫ Los riesgos “medios” y “altos” que afecten el activo X deberán
tener prioridad sobre los demás activos.
▫ Los riesgos que pudieran tener un impacto mayor al x% del
ingreso anual tendrán prioridad.

Criterios de impacto
• ¿Qué impactos se tomarán en cuenta y cómo se evaluarán?
• Estos criterios ayudarán a determinar los impactos de los
escenarios de incidentes y deben describirse en términos
del posible daño o costos a la organización.
• Pueden expresarse en términos monetarios, técnicos,
humanos, etc.
Violaciones a leyes,
Pérdida de negocio
afectadas (internas
seguridad (C, I, D)
planes y fas límite

Interrupción a los
y valor financiero
activo impactado
Clasificación del
Violaciones a la
regulaciones o
Operaciones
o a terceros)
contratos
Criterios de Impacto
• Ejemplos
▫ Se considerarán los impactos de acuerdo al valor de pérdida
de los activos.
▫ Se considera el impacto por pérdida de confidencialidad,
integridad y disponibilidad de los activos.
▫ Se considerará una escala de “Bajo”, “Medio” y “Alto” para
evaluar el impacto.
▫ El impacto a la reputación de la organización se considerará
como el más significativo.
▫ Si el impacto financiero es igual o menor al X1% del ingreso
anual, se considerará un impacto “No significativo”, entre
X1% y X2% se considerará “Significativo”, mayor a X3% se
considerará “Inaceptable”.
Criterios de aceptación de riesgos
• ¿A qué nivel son aceptables los riesgos para la empresa?
• Estos criterios auxilian en la determinación del nivel al
que deberán tratarse los riesgos analizados y evaluados.
• Los criterios de aceptación de riesgo deben alcanzarse
por medio del plan de tratamiento.
Factores sociales
Aspectos legales
y regulatorios
Operaciones
Criterios del
Tecnología
y humanos
Finanzas
negocio

Criterios de aceptación de riesgos
• Ejemplos
▫ Los riesgos identificados como “bajos” podrán ser aceptados. Los
riesgos “medios” y “altos” no deberán ser aceptados; las
excepciones deben ser consideradas, justificadas y formalmente
aprobadas por la Alta Dirección.
▫ Los riesgos que puedan representar una pérdida menor al x% de
las ganancias pueden ser aceptados.
▫ Los riesgos que pudieran tener impacto negativo respecto al
cumplimiento de la ley no deberán ser aceptados.
▫ Los riesgos “altos” sólo podrán ser aceptados si se establece
formalmente un compromiso para tratarlos en el corto plazo.
▫ Los riesgos de disponibilidad para los activos críticos del proceso
A cuyo impacto exceda los x minutos de interrupción al proceso
no podrán ser aceptados.

Alcance y límites
• Debe definirse el alcance y los límites para asegurar
que se cubran todos los activos relevantes.
• La gestión de riesgos puede implementarse en toda
la organización o partes de ella. Esto depende de los
objetivos del negocio, requerimientos, restricciones
y recursos (Ver Anexo A de ISO/IEC 27005:2008).
• Las exclusiones del alcance deberán justificarse.
Si está utilizándose este estándar como apoyo a la

implementación de ISO/IEC 27001, el alcance y límites
estarán alineados a aquellos del ISMS
Organización
• Deberá designarse al personal participante en la
gestión de riesgos y sus roles y responsabilidades
deben ser claramente establecidos y
formalizados.
Si está utilizándose este estándar como apoyo a la

implementación de ISO/IEC 27001, la organización para
las operaciones de gestión de riesgos puede ser
considerado como uno de los recursos requeridos en el
punto 5.2.1a) del ISMS
Ejercicio 4
Ejercicio 4. Tiempo: 45minutos
Ejercicio 4a Ejercicio 4b
1. Identifique una organización 1. Para la organización del
de su elección. (Ej: un banco, ejercicio 4a, establezca los
un proveedor de internet.) criterios de evaluación,
2. Considere qué productos o impacto y aceptación.
servicios ofrece la 2. Redacte el alcance y los
organización. limites.
3. Con ayuda del Anexo A, 3. Establezca la organización
identifique vagamente el (con los roles y
propósito de la empresa, su responsabilidades) para la
negocio, misión, valores, gestión de riesgos de
estructura, organigrama, seguridad de la información
estrategia y restricciones. en la empresa.
EJEMPLO- Ejercicio 4
La evaluación de riesgos se hará considerando umbrales de
riesgo y se clasifican los riesgos en Alto, Medio, o Bajo.
UMBRELES DE RIESGO
ALTO
MEDIO
BAJO
Buena
práctica
• Considerar el impacto a la información en términos
de confidencialidad, integridad y disponibilidad, así
como los impactos al negocio.
• En esta fase de gestión de riesgos se identificaran

impactos considerando el nivel de sensibilidad de los
activos.
• En este caso, sensibilidad = impacto.

Buena
práctica
Criterios de aceptación
• Se podrán aceptar los riesgos de nivel “Bajo”.
• Si se desea aceptar un riesgo en nivel “Medio” o
“Alto”, deberá:
▫ Existir la debida aprobación de la Gerencia.

▫ Contar con un registro de la justificación.
Alcances y límites
• Alcance: “Los procesos críticos del negocio
incluyendo: X, Y, Z y Cuentas por cobrar”.
• Límites: “No se incluirá en el alcance los activos

administrados por Tercero, Inc.”
Organización
Administrador
de riesgos
Comité de
riesgos
Responsable Responsable Responsable Responsable

Identificación Cálculo de Tratamiento Monitoreo de
de riesgos riesgos de riesgos riesgos
Cláusula 8. Análisis y evaluación
de riesgos
Lista de riesgos
Criterios básicos analizados y priorizados
Alcance y limites de acuerdo a los
Identificar, estimar criterios de evaluación
Organización
y priorizar los
riesgos
ANÁLISIS Y EVALUACIÓN DE RIESGOS

• El análisis y evaluación de riesgos (Risk
assessment) describe cuantitativamente o
cualitativamente los riesgos.
• Esto facilita la gestión de la seguridad de la

información, incluyendo la implementación
efectiva de controles y la toma de decisiones.
• Cada organización debe definir su propio

enfoque para ésta actividad.
Consiste en las siguientes actividades:
• Análisis de riesgos
▫ Identificación de riesgos
▫ Estimación de riesgos
• Evaluación de riesgos

Identificación de riesgos
• Durante la identificación de riesgos se colecta informacion
con el objetivo de identificar posibles escenarios que puedan
causar un impacto negativos en la organización.
• Para hacer esto se debe identificar:

▫ Activos (8.2.1.2)
▫ Amenazas (8.2.1.3)
▫ Controles existentes (8.2.1.4)
▫ Vulnerabilidades (8.2.1.5)
▫ Consecuencias/impactos (8.2.1.6)
• La forma de realizarlo depende del enfoque del análisis de

riesgos
Identificación de activos
• El estándar distingue las
• La identificación de activos de
siguiente clasificación de
información de la organización
activos:
debe realizarse a un nivel de
detalle apropiado. Activos
• Debe también identificarse los Activos primarios

dueños de los activos y los Procesos y actividades de
procesos de negocio a los que negocio
pertenecen. Información
Activos de soporte
• Puede encontrarse más Hardware

información y ejemplos en el Software
Anexo B.1 del estándar Red
ISO/IEC 27005:2008 Personal
Sitio
Estructura organizacional
Identificar proceso.
Identificar actividades involucradas

en el proceso
Buena
Identificar activos involucrados en
práctica la ejecución de las actividades
Proceso:
Nómina
Actividades:
Calcular nómina, aplicar descuentos, aplicar
bonos, imprimir cheques, etc.
Activos (imprimir cheques):

Buena Tesorero, información de pagos, cheques, PC
práctica Tesorero, Excel, impresora, cheques impresos.
Mapa de procesos para riesgos
Mail Inf. Mail
PC Facturación Facturación Teléfono Clientes
PC C Y C
Factura Mensajería
Personal C y C
Factura Cliente
Facturas Sistema Modem
Impresora s Sistema Contable
Impresa Contable
PC Tesorería Cliente
Hojas de Sistema Banco
Facturación
PC Tesorería
Cliente Sistema
Sistema Contable Banco
Gerente de
PC Contabilidad contabilidad
Hoja de Impresora
Personal Facturación
Facturación
Estado de
cuenta
Mapa de procesos para riesgos
Simbología
Entidad Proceso Sistema

Actividad
Aplicación Base Documento Información

de Físico (Archivo)
Plataforma
Datos
Buena Red 1 Externo al

práctica Elemento
Dispositivo de proceso
Físico
comunicaciones
Tesorero
ENTIDAD
Buena
práctica
Cheques
Tesorero impresos
Imprimir cheques
INICIO/
FIN/DESTINO
ORIGEN DE ACTIVIDAD
DE ACTIVIDAD
ACTIVIDAD
Buena
práctica
Inf. de Excel Cheques

Tesorero Cheques Impresora impresos
pagos PC Tesorero
Imprimir cheques
Buena ACTIVOS INVOLUCRADOS

práctica
Tesorero
INVENTARIO DE ACTIVOS
Inf. de
Activo Tipo
pagos Tesorero Gerente
Información de Información
Cheques pagos (pagos.xls)
Cheques Información
PC Tesorero PC Tesorero Infraestructura
Excel Excel Aplicaciones
Impresora Impresora Infraestructura
Buena Cheques impresos Información
práctica Cheques
impresos
• Aplicaciones: Los sistemas • Infraestructura: La tecnología y
automatizados para los usuarios o las instalaciones (por ejemplo:
procedimientos manuales que hardware, sistemas operativos,
permiten procesar información sistemas de administración de
bases de datos, redes multimedia,
• Información: Los datos de etc., y el ambiente que lo resguarda
entrada, procesados y terminados y los soporta) que permite el
por los sistemas de información procesamiento de información por
en cualquier forma. las aplicaciones.
• Gerente: El personal requerido

para planear , organizar , adquirir,
implantar, entregar , soportar,
monitorear y evaluar los sistemas
Buena de información y servicios. Estos
práctica pueden ser internos o contratados.
Identificación de vulnerabilidades
• Recordemos que la mera presencia de una vulnerabilidad no
es dañina, necesita existir una amenaza que la explote.
• Deben identificarse tanto las vulnerabilidades intrínsecas

como extrínsecas al activo. Es decir, pueden ser propias del
activo o por otras situaciones como la falta o falla de un
control o el uso inapropiado del activo.
• Ejemplos: Susceptibilidad a la humedad, falta de copias de
respaldos, uso inadecuado de controles físicos de acceso,…
• Puede encontrarse más información y ejemplos en el Anexo D

del estándar.
• Ejemplos de vulnerabilidades
V= Se encuentra en un área
que se puede inundar.
V= Inflamable
A=Facturas V=No se encuentran concentrados

en un mismo lugar.
V= Almacenamiento desprotegido.
Buena V= Consumible
práctica
V=Puede sufrir daños físicos
Identificación de controles existentes
• Deben identificarse los controles existentes o
planeados, y además verificar su efectividad.
• Para esto pueden revisar se los planes de

tratamiento previos, la documentación de
controles y los reportes de auditorias internas,
además de preguntar a los encargados de
seguridad de la información y usuarios y hacer
revisiones en sitio para verificar la
documentación.
Identificación de amenazas
• La información sobre amenazas puede obtenerse de los incidentes pasados,
dueños de activos, usuarios y otras fuentes incluyendo especialistas de
seguridad, autoridades, catálogos de amenazas externas, estadísticas, etc.
• Las amenazas pueden ser deliberadas, accidentales o

ambientales(naturales). Ej.: Robo de información, falla de equipo, sismo,
etc.
• Debe también identificarse el tipo y fuente de la amenaza.
• Para cubrir todas las amenazas y mantener limitado el volumen de trabajo

requerido, el estándar señala que las amenazas deben identificarse
genéricamente y por tipo y después, cuando sea apropiado, identificar
amenazas individuales dentro de la clase genérica.
• Puede encontrarse más información y ejemplos en el Anexo C del estándar

ISO/IEC 27005:2005.
• Agente de Amenaza- Una entidad puede
actuar o causar que un evento de amenaza
ocurra al explotar una o más vulnerabilidades en
un sistema.
• Evento de Amenaza- Un evento cuya

ocurrencia causará daño a un sistema mediante
su divulgación, modificación , destrucción
y/o negación de servicio.
Buena
práctica
V= Se encuentra en un área E=Inundación A= Agua
que se puede inundar.
E=Incendio A= Fuego
V= Inflamable
A=Facturas V=No se encuentran concentrados E=Pérdida A= Empleado

en un mismo lugar.
A= Empleado
V= Almacenamiento desprotegido. E=Robo
A= Visitantes
E=Uso A= Personal
V= Consumible
V=Puede sufrir daños A= Personal

E=Daño
físicos A= Impresora
Buena
práctica
Identificación de consecuencias
• Esta actividad identifica los daños o consecuencias a la organización
causados por un escenario de incidente, tomando en cuenta las
consecuencias que pueda traer al activo la pérdida de
confidencialidad, integridad y disponibilidad.
• El impacto de los escenarios de incidente debe ser consistente con

los criterios de impacto definidos.
• Un impacto puede tener efectos inmediatos (operacionales) o

futuros (del negocio).
• Ejemplos: perdida de efectividad, condiciones operativas adversas,

pérdida del negocio, daño a la reputación, etc.
• Puede encontrarse más información y ejemplos en el Anexo B.3 del

estándar.
Identificación de impactos
• Identificar impactos considerando el nivel de
sensibilidad de los activos y las vulnerabilidades
identificadas.
• Considerar el impacto a la información en
términos de pérdida de confidencialidad,
integridad y disponibilidad, así como los
impactos al negocio.
Buena
práctica
Ejercicio 5
Identificación de riesgos
Ejercicio 5a. Identificación
Proceso:___________________
de activos
Actividades: 1. Identifique los procesos
_________________________ de negocio dentro del
_________________________ alcance definido en el
Activo Clasificación Ejercicio 4b.
2. Seleccione uno de los

Servidores Hardware procesos e identifique
sus actividades.
Internet Network
3. Identifique los activos
del proceso elegido y
lístelos junto con su
clasificación. Apóyese
del Anexo B.1.
Ejercicio 5b. Identificación
de amenazas
Activo: Servidores
1. Seleccione uno de los
Fuentes Amenazas Tipo activos e identifique
(Agente) (Evento) amenazas que le puedan
T1 Personas Falla en el A, D
dañar. Apóyese del
equipo de Anexo C.
telecomunicaci
ones 2. Liste las amenazas
T2 Agua Inundación E, A junto con su tipo y
T3 fuente.
T4
T5
Ejercicio 5c. Identificación
de vulnerabilidades
Activo: Servidores 1. Identifique las
vulnerabilidades que
Vulnerabilidades Pueden ser
explotadas por puedan ser explotadas
Puntos únicos de falla en la T1
por las amenazas
Red identificadas y causar
Ubicación en áreas T2 daño al activo.
susceptibles de inundación Apóyense del Anexo D.
T3
T4
2. Liste las
vulnerabilidades en
T5 relación al activo y
amenazas previamente
identificados.
Ejercicio 5d. Identificación
de consecuencias
Activo: Servidores 1. Identifique las
consecuencias que la
pérdida de
Escenarios Consecuencias
confidencialidad, integridad
Amenaza Vulnerabilidad y disponibilidad pudieran
S1 Falla Puntos únicos de Interrupción del tener en los activos.
equipo falla Servicio Apóyese del Anexo B.3.
telecomu-
nicaciones
2. Liste las consecuencias
S2 Inundación Ubicación en Interrupción de junto a los escenarios de
áreas inundables servicio, daño al incidentes, en relación al
activo
activo y proceso de negocio
S3 seleccionados en los
S4 ejercicios anteriores.
EJEMPLO-Ejercicio 5
Área de negocio Proceso Activo Capa
Área de negocio 01 Proceso 01 SISTEMA X 5 -Aplicaciones
Área de negocio 09 Proceso 28 RED 2 –Red/ Telecomunicaciones
Cuentas por cobrar Facturación FACTURAS 4 – Información/ Datos/
Documentos
Buena
práctica
EJEMPLO-Ejercicio 5
Proceso Activo Vulnerabilidades
Proceso 01 SISTEMA X V1-EXPOSICIÓN A VIRUS Y CÓDIGO
… MALICIOSO
Proceso 28 RED
V57-SUSCEPTIBILIDAD A FALLAS
Facturación FACTURAS
V10-ALMACENAMIENTO
DESPROTEGIDO
Buena
práctica
EJEMPLO-Ejercicio 5
Proceso Activo
Proceso 01 SISTEMA X
Proceso 28 RED
Agentes de amenaza Eventos de amenaza

A1- VIRUS E1- INFECCIÓN POR VIRUS
INFORMÁTICO INFORMÁTICO
A53- DISPERSORES DE E34- FALLA EN COMPONENTE DE
Buena AGUA TECNOLOGÍA
práctica A3- VISITANTES E14- ROBO
EJEMPLO-Ejercicio 5
Identificación de impactos
Proceso Activo Descripción de posibles impactos al negocio
Proceso 01 SISTEMA X Descripción de posibles impactos al negocio
…
Proceso 28 RED Descripción de posibles impactos al negocio
Facturación FACTURAS Pérdidas económicas, pérdidas de control
Buena
práctica
Estimación de riesgos
• En esta etapa se asigna un valor a los riesgos.
• Recordemos que un riesgo se mide en términos de la

probabilidad de un evento (8.2.2.3) y sus consecuencias
(8.2.2.2).
• Para cada riesgo:

▫ ¿Qué tan probable es que la amenaza explote la
vulnerabilidad del activo?
▫ ¿Qué consecuencias tendrá hacia el negocio la
ocurrencia de un escenario?
• La metodología para la estimación depende del enfoque
del análisis de riesgos y debe estar relacionado
directamente con las circunstancias de la organización,
así como el propósito del análisis de riesgos.
• La evaluación de la probabilidad y consecuencias del

riesgo pueden ser cuantitativo o cualitativo (o ambas).
• Información útil y ejemplos se presentan en el anexo E.

Evaluación de consecuencias
• La evaluación de consecuencias está relacionada con la valuación de los
activos y la evaluación del impacto.
• La valuación de los activos puede determinarse utilizando dos medidas:

▫ Valor de reemplazo del activo
▫ Consecuencias al negocio por la pérdida o comprometimiento de un
activo.
Ésta valuación puede obtenerse por medio de un Análisis de Impacto al
Negocio (BIA)
• Por otro lado, el impacto está relacionado con el grado de éxito de un

incidente. Los controles que se implementan reducirán significativamente
el impacto.
• Puede encontrarse más información y ejemplos en el Anexo B.3 del

estándar.
Evaluación de probabilidad
• Debe evaluarse la probabilidad de que ocurra cada
escenario de incidente e impacto
• Debe tomarse en cuenta qué tan comúnmente

ocurren la amenazas y que tan fácil es explotar las
vulnerabilidades.
• Por ejemplo: la probabilidad de infección por código

malicioso puede ser Alta según las estadísticas; pero
si existen controles como software antivirus
actualizados, la facilidad de explotación será Baja
Estimación de niveles de riesgo
• El nivel de riesgo es una combinación de la
probabilidad del escenario de incidente y sus
consecuencias.
• Pueden utilizarse diferentes métodos o enfoques

para realizar esto. A continuación se muestran
las tablas ejemplo incluidas en el estándar.
• Tabla E.1 a) del estándar ISO/IEC 27005:2008
Valor de
Bajo Medio Alto
Amenaza
Facilidad de L M H L M H L M H
explotación
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
Valor del activo 2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
• Tabla E.1 b) del estándar ISO/IEC 27005:2008
Probabilidad Muy Bajo Bajo Medio Alto Muy Alto

del escenario (Muy (Improbable) (Posible) (Probable) (Frecuente)
de improbable)
incidencia
Muy Bajo 0 1 2 3 4
Bajo 1 2 3 4 5
Impacto al
Negocio Medio 2 3 4 5 6
Alto 3 4 5 6 7
Muy Alto 4 5 6 7 8
Activos
La sensibilidad de los activos se obtiene en
términos de pérdida de su:
• Confidencialidad
• Integridad
• Disponibilidad
Buena
práctica
Sensibilidad
• Se utiliza la siguiente tabla para evaluar la sensibilidad:
Valor Descripción
1 La brecha puede resultar en poca o nula pérdida o daño
2 La brecha puede resultar en una pérdida o daño menor.
3 La brecha puede resultar en una pérdida o daño serio, y los procesos del
negocio pueden verse afectados negativamente.
4 La brecha puede resultar en una pérdida o daño serio, y los procesos del
negocio pueden fallar o interrumpirse.
5 La brecha puede resultar en altas pérdidas de dinero, o en un daño critico a un
individuo o al bienestar, reputación, privacidad y/o competitividad de la empresa.
Los procesos del negocio fallarán.
Rango (suma de valores por pérdida de Valor

confidencialidad, integridad y disponibilidad)
3-5 Bajo (1)
Buena
práctica 6-10 Medio (2)
11-15 Alto (3)
Vulnerabilidades
Valor Severidad Exposición
1 Severidad Menor: Se requiere una Exposición Menor: Los efectos de la
cantidad significativa de recursos para vulnerabilidad son mínimos. No
explotar la vulnerabilidad y tiene poco incrementa la probabilidad de que
potencial de pérdida o daño en el activo. vulnerabilidades adicionales sean
explotadas.
2 Severidad Moderada: Se requiere Exposición Moderada: La
una cantidad significativa de recursos vulnerabilidad puede afectar a más de
para explotar la vulnerabilidad y tiene un elemento o componente del sistema.
un potencial significativo de pérdida o La explotación de la vulnerabilidad
daño en el activo; o se requieren pocos aumenta la probabilidad de explotar
recursos para explotar la vulnerabilidad vulnerabilidades adicionales.
y tiene un potencial moderado de
pérdida o daño en el activo.
3 Severidad Alta: Se requieren pocos Exposición Alta: La vulnerabilidad
recursos para explotar las afecta a la mayoría de los componentes
vulnerabilidades y tienen un potencial del sistema. La explotación de la
Buena significativo de pérdida o daño en el vulnerabilidad aumenta
práctica activo significativamente la probabilidad de
explotar vulnerabilidades adicionales.
Vulnerabilidades
Severidad Exposición
1 2 3
1 1 2 3
2 2 3 4
3 3 4 5
Amenazas
Valor Capacidad Motivación
1 Poca o nula capacidad de realizar el Poca o nula motivación.
ataque No se está inclinado a
actuar.
2 Capacidad moderada. Se tiene el Nivel moderado de
conocimiento y habilidades para realizar motivación. Se actuará si
el ataque, pero pocos recursos. O, tiene se le pide o provoca.
suficientes recursos, pero conocimiento y
habilidades limitadas.
3 Altamente capaz. Se tienen los Altamente motivado.
conocimientos, habilidades y recursos Casi seguro que intentará
necesarios para realizar un ataque el ataque.
Capacidad Motivación
1 2 3
Buena 1 1 2 3
práctica 2 2 3 4
3 3 4 5
Probabilidad
• Se evalúa la probabilidad de que ocurra el
escenario de amenaza; es decir, la probabilidad
de que el agente de amenaza, a través de un
evento de amenaza explote la vulnerabilidad.
Dicha evaluación se realiza mediante la siguiente
tabla. Marcador Descripción
1 Baja, no hay historial y es raro que el escenario de
amenaza ocurra.
2 Media, se han presentado casos y puede ocurrir el
escenario de amenaza.
3 Alta, se han presentado suficientes casos y el
Buena
escenario de amenaza seguramente ocurrirá.
práctica
Estimación del nivel de riesgos
Riesgo = Vulnerabilidad x Amenaza x Probabilidad x Impacto
5 5 3 15 = 1125
1 1 1 3 =3
Buena
práctica
Ejercicio 6
Ejemplo-Ejercicio 6
Sensibilidad de activos
Proceso Activo
Proceso 28 RED
Sensibilidad de los activos

Confidencialidad Integridad Disponibilidad Total1 Valor1 Valor2
5 3 3 11 Alto 3
4 3 4 11 Alto 3
4 5 4 13 Alto 3
Buena
práctica
Ejemplo-Ejercicio 6
Análisis de vulnerabilidades
Proceso Activo
Proceso 28 RED
Facturación FACTURAS …
Análisis de vulnerabilidades
Vulnerabilidades Severidad Exposición Valor3
V1- EXPOSICIÓN A VIRUS Y 3 3 5
CÓDIGO MALICIOSO
V57- SUSCEPTIBILIDAD A 2 3 4
Buena FALLAS
práctica V10-ALMACENAMIENTO 2 3 4
DESPROTEGIDO
Ejemplo-Ejercicio 6
Análisis de amenazas
Proceso Activo
Proceso 28 RED
…
Análisis de amenazas
Agentes de Eventos de Capacidad Motivación Valor
amenazas amenaza
A1- VIRUS E1- INFECCIÓN 3 3 5
INFORMÁTICO POR VIRUS
INFORMÁTICO
A53- E34- FALLA EN 2 1 2
DISPERSORES COMPONENTE
Buena DE AGUA DE
práctica TECNOLOGÍA
A3- VISITANTES E14- ROBO 3 3 4
Ejemplo-Ejercicio 6
Estimación de nivel de riesgos
Proceso Activo
Proceso 28 RED
…
Riesgo = Vulnerabilidad x Amenaza x Probabilidad x
Impacto
Amenaza Vulnerabilidad Probabilidad Impacto Riesgo
Total
5 5 3 11 825
Buena
2 4 1 11 88
práctica
4 4 3 13 624
Evaluación de riesgos
• Durante esta etapa se comparan los riesgos
estimados con los criterios de evaluación de
riesgos.
• Así, se obtiene una lista de riesgos priorizados de

acuerdo a los criterios de evaluación en relación
a los escenarios de incidentes que llevan a estos
riesgos.
De acuerdo con el criterio de evaluación de riesgos
establecido, se priorizan los riesgos. En este
ejemplo se utilizan umbrales, y se clasifican los
riesgos en Alto, Medio o Bajo.
UMBRALES DE LIMITE Límite
RIESGO INFERIOR SUPERIOR
ALTO 751 1125
MEDIO 376 750
Buena BAJO 1 375
práctica
Ejercicio 7
Ejemplo-Ejercicios 7
Proceso 01 SISTEMA X V1- EXPOSICIÓN A VIRUS Y CÓDIGO MALICIOSO
Proceso 28 RED … V57- SUSCEPTIBILIDAD A FALLAS
Facturación FACTURAS V10-ALMACENAMIENTO DESPROTEGIDO …

Agentes de amenazas Eventos de amenaza
A1- VIRUS INFORMÁTICO E1- INFECCIÓN POR VIRUS INFORMÁTICO
A53- DISPERSORES DE AGUA E34- FALLA EN COMPONENTE DE TECNOLOGÍA
A3- VISITANTES E14- ROBO …
NIVEL BAJO MEDIO ALTO
Total ALTO .
5 5 3 11 825
BAJO .
2 4 1 11 88
4 4 3 13 624 MEDIO .
Buena
práctica
Ejercicio 7. Tiempo:15 minutos
1. Compare los niveles de
Prioridad Escenario Justificación
riesgo obtenidos en el
Ejercicio 6 con los 1 S4
criterios de evaluación de
riesgos y cualquier otra 2 S1
información sobre la
organización que sea 3
pertinente.
4
2. Liste los riesgos en orden 5

de prioridad y justifique
su decisión.
Clausula 9. Tratamiento de riesgos
Tratamiento de Riesgos
Lista de riesgos Plan de tratamiento

analizados y priorizados de riesgos y riesgos
de acuerdo a los criterios residuales sujetos a
Seleccionar aceptación
de evaluación
controles y definir
un plan de
tratamiento
• Una vez concluido el Análisis y Evaluación de
Riesgos, la siguiente actividad es el Tratamiento
de Riesgos.
• Existen cuatro opciones de tratamiento de
riesgos:
▫ Reducir
▫ Aceptar
▫ Evitar
▫ Transferir
• Estas opciones no son mutuamente excluyentes.
RESULTADOS
ANÁLISIS Y EVAL. DE
RIESGOS
ANÁLISIS Y EVAL.
SATISFACCTORIOS
Punto de decisión de riesgos 1
OPCIONES DE TRATAMIENTO DE RIESGOS
REDUCCIÓN ACEPTACIÓN EVASIÓN TRANSFERENCIA

DEL RIESGO DEL RIESGO DEL RIESGO DEL RIESGO
RIESGOS
RESIDUALES
Punto de decisión de riesgos 2

TRATAMIENTO
SATISFACTORIO
Opciones de tratamiento
• Reducción- Se reduce el riesgo por medio de la selección de
controles para que el riesgo residual sea reevaluado como aceptable.
• Aceptación- Se retiene el riesgo si el nivel de riesgo alcanza el

criterio de aceptación de riesgos y no necesitan implementarse
controles adicionales.
• Evasión-Se evitan los riesgos cuando los riesgos identificados se

consideran demasiado altos, o los costos de implementar otra
opción de tratamiento excede los beneficios. Entonces, se suprime la
actividad planeada o existente o se cambian las conductas bajo las
que opera la actividad.
• Transferencia- Se transfieren los riesgos cuando se toma la

decisión de compartirlos con terceras partes.
Tratamiento de riesgos
• Las opciones de tratamiento de riesgo deben
seleccionarse tomando en consideración:
▫ Los resultados del análisis y evaluación de riesgos
▫ El costo esperado de la implementación
▫ Los beneficios esperados
• Debe considerarse cómo perciben los riesgos las

partes afectadas y la mejor forma de
comunicárselos, además de las restricciones
identificados en el establecimiento del contexto y las
restricciones de reducción (Ver anexo F).
• Una vez definido el tratamiento de riesgos, se
deben determinar los riesgos residuales.
• Esto se logra actualizando o haciendo otra

iteración del análisis y evaluación de riesgos
considerando los controles propuestos.
• Si los riesgos residuales no alcanzan los criterios

de aceptación establecidos, se requiere redefinir
el tratamiento de riesgos.
Ejercicio 8
Ejercicio 8. Tiempo: 20 minutos
1. Con la lista de riesgos Prioridad Escenario Opción de
tratamiento
priorizados obtenida en el de riesgos
ejercicio 7 y los criterios 1 Falla en Evitar
previamente establecidos, telecomuni-
selecciones las opciones caciones por
de tratamiento de riesgos punto único
de falla
apropiadas para cada
riesgo. 2 Interrupción Reducir
de energía
por
2. Presente sus resultados al fluctuación
grupo justificando las voltaje
opciones seleccionadas. 3
4
EJEMPLO-Ejercicios 8
Proceso 01 SISTEMA X V1- EXPOSICIÓN A VIRUS Y CÓDIGO MALICIOSO
Proceso 28 RED … V57- SUSCEPTIBILIDAD A FALLAS
Facturación FACTURAS V10-ALMACENAMIENTO DESPROTEGIDO …

Agentes de amenazas Eventos de amenaza
A1- VIRUS INFORMÁTICO E1- INFECCIÓN POR VIRUS INFORMÁTICO
A53- DISPERSORES DE AGUA E34- FALLA EN COMPONENTE DE TECNOLOGÍA
A3- VISITANTES E14- ROBO …
Total NIVEL BAJO MEDIO ALTO
5 5 3 11 825 ALTO .
2 4 1 11 88 BAJO .
4 4 3 13 624 MEDIO .
Buena Tratamiento de riesgos
práctica
… REDUCIR
ACEPTAR
REDUCIR
EJEMPLO-Ejercicios 8
Riesgo residual
Descripción del control Severidad Exposición Valor
Control 3 1 3
Control 2 3 4 …
Resguardo bajo llave 2 1 2
Riesgo = Vulnerabilidad x Amenaza x Probabilidad x

Impacto
Total NIVEL BAJO MEDIO ALTO
5 3 1 11 155 ALTO .
2 4 1 11 88 BAJO .
4 2 1 13 104 MEDIO .
Buena ACEPTAR
práctica … ACEPTAR
ACEPTAR
EJEMPLO-Ejercicios 8 Agentes de
amenazas
Eventos de amenaza
Riesgo residual A1- VIRUS

INFORMÁTIC
E1- INFECCIÓN POR
VIRUS INFORMÁTICO
O
A53- E34- FALLA EN
Proceso 01 SISTEMA X V1- EXPOSICIÓN A VIRUS Y CÓDIGO MALICIOSO DISPERSORES COMPONENTE DE
Proceso 28 RED … V57- SUSCEPTIBILIDAD A FALLAS … DE AGUA TECNOLOGÍA
Facturación FACTURAS V10-ALMACENAMIENTO DESPROTEGIDO A3- E14- ROBO

VISITANTES
Total
…
NIVEL BAJO MEDIO ALTO Tratamiento de riesgos
5 5 3 11 825 ALTO . REDUCIR
2 4 1 11 88 BAJO . ACEPTAR
4 4 3 13 624 MEDIO . REDUCIR
Descripción del control Severidad Exposición Valor
… Control 3 1 3
Control 2 3 4
Resguardo bajo llave 2 1 2
Riesgo = Vulnerabilidad x Amenaza x Probabilidad x Impacto Tratamiento

de riesgos
Buena Total NIVEL BAJO MEDIO ALTO ACEPTAR
5
2
práctica
3
4
1
1
11
11
155
88
ALTO
BAJO
.
.
… ACEPTAR
4 2 1 13 104 MEDIO . ACEPTAR

Cláusula 10. Aceptación de riesgos
Lista de riesgos
Plan de tratamiento de aceptados y justificación
riesgos y riesgos para los que no
residuales sujetos a Aceptar riesgos y alcanzaron los criterios
aceptación. responsabilidad y de aceptación normales
registrarlo
formalmente
• Los responsables deben revisar y aprobar los
planes de tratamiento propuestos, así como los
riesgos residuales resultantes.
• Si por alguna razón los criterios de aceptación

no contemplaron alguna situación, debe
revisarse. De no ser posible, debe proveerse una
justificación al aceptar los riesgos residuales que
no cumplen con los criterios establecidos.
Cláusula 11. Comunicación de
riesgos
Comunicación de riesgos
Toda la información Entendimiento continuo

obtenida de las del proceso y resultados
actividades de Intercambiar y/o de la gestión de riesgos
gestión de riesgos compartir en la organización
información
sobre riesgos
• Debe existir comunicación continua entre las
partes interesadas.
Implementadores
Tomadores de
decisiones
Otras partes
interesadas
• Puede formarse un comité con tomadores de decisiones y otras
partes interesadas donde puedan discutirse los riesgos, su
priorización y tratamiento apropiado y su aceptación.
• Deben existir planes de comunicación de riesgos tanto para

operaciones normales como para situaciones de emergencia.
• La cooperación con Relaciones Publicas, Departamento de

Comunicación, o área similar es importante; en especial en el
caso de la comunicación de crisis.
Si se está utilizando este estándar como apoyo para la implementación de ISO/IEC

27001, la participación de la Dirección así como los reportes y documentación
requerida por el estándar entran dentro de la actividad de comunicación de riesgos.
Ejercicio 9
Ejercicio 9
Tiempo:20 minutos
• Con los resultados de los ejercicios pasados,
prepare un reporte ejecutivo de Comunicación
de Riesgos para la Gerencia. Considere qué
información es pertinente incluir y cómo lo
presentaría.
• El método de comunicación debe ser
seleccionado en relación a la audiencia.
• La audiencia debe entender claramente lo que se

le está comunicando.
Cláusula 12. Monitoreo y revisión
de riesgos
Monitoreo y revisión de riesgos
Toda la información Alineación continua de
obtenida de las la gestión de riesgos con
actividades de los objetivos de negocio
gestión de riesgos Monitorear y y criterios de aceptación
revisar riesgos y
sus factores
Toda la información Mantener la relevancia

obtenida de las del proceso de gestión
actividades de respecto a los objetivos
Monitorear,
gestión de riesgos del negocio
revisar y mejorar
el proceso de
gestión de riesgos

• Los riesgos y sus factores (activos, amenazas,
vulnerabilidades, impactos, probabilidad de
ocurrencia) deben monitorearse para detectar
cambios.
• Todos los riesgos deben revisarse regularmente

y cuando ocurran cambios mayores.

• La organización debe asegurarse que el proceso de
gestión de riesgos y las actividades relacionadas
continúen siendo apropiadas a las circunstancias y
que sean llevadas a cabo.
• El contexto, criterios, enfoque de riesgos,

metodología, recursos, etc. deben incluirse en este
monitoreo y revisión; y, de ser necesario, deben
modificarse para mantener la relevancia.
Si se está utilizando este estándar como apoyo para la implementación
de ISO/IEC 27001, el monitoreo y revisión de riesgos se incluye en la
cláusula 4.2.3.
Preguntas/Pensamientos Finales

Gestion de Riesgos Iso 27005 Completo

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Gestion de Riesgos Iso 27005 Completo

Cargado por

Copyright:

Formatos disponibles

Gestión de Riesgos de Seguridad

• Comprender el marco de referencia de gestión

• Sin importar en que medio o forma se encuentre la

• El estándar define en riesgo de seguridad de la

“el potencial de que una cierta amenaza explote

Vulnerabilidad: Debilidad inherente al activo. Su

Amenaza: Una circunstancia o evento que tiene el

Impacto: Daño causado por una amenaza que explota

• La gestión de riesgos permite a una organización

• Cualquiera que sea la razón para adoptar la

▫ Conocer los riesgos de seguridad y así poder tomar

▫ Reducir incertidumbre, número de incidentes y su

▫ 27001:2005-Requerimiento para un ISMS

▫ 27002:2005-Código de práctica para la administración

▫ 27005:2008-Gestión de riesgos de seguridad de la

▫ 27006:2007-Requerimientos para las organizaciones

▫ 27000- Visión general y vocabulario

▫ 27003- Guía de implementación para un ISMS

▫ 27004- Métricas para la gestión de la seguridad de la

▫ 27007- Lineamientos para auditar ISMS

• Especifica los requerimientos para un ISMS y provee una lista

• Las organizaciones pueden buscar certificación de

• Utiliza un enfoque de procesos y adopta el modelo Planear-

Hacer Implementar Mantener y

• Establece lineamientos y principios generales (recomendaciones)

• Funciona como apoyo para la implementación de los controles

• La nomenclatura del ISO/IEC17799:2005 fue cambiada a ISO/IEC

• Estas organizaciones deben seguir los

• Provee lineamientos para la gestión de riesgos.

• No es una técnica o metodología (ver Margerit y

• Soporta la ISO/IEC 27001, sin embargo, puede

• Esta diseñado para poder ser aplicado en

• Cada empresa debe seleccionar la metodología

• Sin embargo, si especifica un proceso

• Puede implementarse independientemente o

• Asiste en cualquier implementación de un Sistema

• Se debe realizar análisis y evaluaciones de riesgos

• Cumplimiento legal o regulatorio y evidencia de atención

• Sirve como base para el desarrollo de un Plan de

• Descripción de los requerimientos de seguridad de un

MONITOREO Y REVISIÓN DE RIESGOS

PUNTO DE DECISIÓN DE RIESGOS 2 No

• Éste estándar permite iteraciones entre las actividades

Hacer Implementar Mantener y

• Ambos estándares proveen lineamientos para la Gestión de

• BS 7799-3 no se transforma en ISO/IEC 27005:2008. Ambos

• ISO/IEC 27005:2008 reemplaza ISO/IEC TR 13335-3:1998 e

▫ Cláusula 7. Establecimiento del contexto.

Entrada Acción Salida

• Información adicional y ejemplos se presentan

Cláusula 7. Establecimiento del

ESTABLECIMIENTO DEL CONTEXTO

• El Anexo A proporciona información y ejemplos

ESTABLECIMIENTO DEL CONTEXTO

▫ Si se esta utilizando este estándar como apoyo para la

▫ Criterios de evaluación de riesgos

▫ Criterios de aceptación de riesgos

Criterios de evaluación de riesgos

ESTABLECIMIENTO DEL CONTEXTO

planes y fas límite

ESTABLECIMIENTO DEL CONTEXTO

ESTABLECIMIENTO DEL CONTEXTO

Si está utilizándose este estándar como apoyo a la