Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Xenia Cabrejos
ISO27001LA, ISO27001LI
Marzo, 2021
Sobre el expositor
ccabrejos@kunak.com.pe
www.kunak.com.pe
2
1.
Riesgos de seguridad de la
información
3
Riesgos de seguridad de la información
No modificación No interrupción
Mantener intacta, Mantener disponible y
exacta y valida la accesible, cuando se
información de la requiera, la información
organización. de la organización.
No divulgación
Mantener protegida toda la
información confidencialidad
y sensible de (o en) custodia
por la organización.
4
Riesgos de seguridad de la información
¿Activo de información?
Es aquello que es o contiene información imprescindible para las organizaciones
que se debe proteger frente a riesgos y amenazas. Como, por ejemplo:
5
Riesgos de seguridad de la información
Riesgo
➢ Posibilidad de que se produzca un contratiempo o una desgracia, de que
alguien o algo sufra perjuicio o daño.
➢ Diversos tipos:
• Riesgo laboral
• Riesgo biológico
• Riesgo financiero
6
Riesgos de seguridad de la información
¿Riesgo de seguridad de la información?
Es la posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad
para causar una pérdida o daño en un activo de información. Como, por ejemplo:
7
Riesgos de seguridad de la información
01 La versión más reciente es la ISO/IEC 27005:2018.
Proporciona una guía para las empresas sobre cómo tratar las exigencias sobre
Tecnologías de Información y Gestión de Seguridad de la Información al mismo
02 tiempo que proporciona un marco de trabajo para gestionar de forma efectiva
los riesgos relacionados con la seguridad de la información a fin de cumplir con
los requisitos específicos de ISO/IEC 27001.
27005 04
Alineado con los requisitos de la norma ISO 27001.
8
Riesgos de seguridad de la información
Relación con otras ISO
9
Riesgos de seguridad de la información
Requisitos de la ISO 27001
ISO 27001,
cláusula 6
Asegurar que el SGSI puede logar resultados previstos, prevenir o reducir
efectos no deseados.
Establecer y mantener criterios de riesgo, y asegurar que
Determinar las evaluaciones produzcan resultados consistentes,
riesgos y válidos y comparables.
oportunidades Evaluación del
riesgo de la
seguridad de la
Tratamiento de
información
riesgos de la
seguridad de la
Seleccionar las opciones de tratamiento de riesgo,
determinar los controles . información Objetivos de la
seguridad de la
Coherentes con la política de SI, mensurables tomando en cuenta información
los requisitos, la evaluación de riesgos y tratamiento del riesgo.
10
Riesgos de seguridad de la información
Definiciones
❑ Amenaza: Causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización.
❑ Vulnerabilidad: Debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza.
❑ Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en
un activo de información.
❑ Impacto: El costo para la organización de un incidente -de la escala que sea-, que puede o no ser medido en términos
estrictamente financieros, por ejemplo, pérdida de reputación, implicaciones legales, entre otros.
❑ Probabilidad de ocurrencia: Identifica la probabilidad de que un riesgo se materialice, es decir, que la amenaza tome
ventaja de la vulnerabilidad.
❑ Nivel de Riesgo: Indicador que se obtiene de la combinación del impacto y la probabilidad de ocurrencia del riesgo.
11
Riesgos de seguridad de la información
Definiciones
❑ Evaluación de riesgos: Proceso de la comparación de los resultados del análisis de riesgos con los criterios de riesgo
para determinar si el riesgo o su magnitud es aceptable o tolerable.
❑ Riesgo Residual: Nivel de riesgo que subsiste luego de evaluar controles propuestos.
❑ Proceso de gestión de riesgos: Aplicación sistemática de políticas, procedimientos y prácticas a las actividades de
comunicación, consulta, estableciendo el contexto, e identificación, análisis, evaluación, tratamiento, seguimiento y
revisión de riesgo.
12
Riesgos de seguridad de la información
Proceso de gestión de riesgos de seguridad de la información según la
ISO/IEC 27005
13
Riesgos de seguridad de la información
Metodología de gestión de riesgos
1. Identificación de activos
2. Identificación de amenazas
3. Identificación de los
controles existentes
4. Identificación de
vulnerabilidades
5. Identificación de las
consecuencias
14
Riesgos de seguridad de la información
1. Evaluación de las
consecuencias
2. Evaluación de la
probabilidad de
incidentes
3. Determinación del
nivel de riesgos
1.-Identificación
1. Identificación 2.-Análisis
2. Análisis 3.-Estimación
3. Estimación 4.-Tratamiento
4. Tratamiento 5.-Aceptación
5. Aceptación
de de de de de
riesgos riesgos riesgos riesgos riesgos
1. Identificación de activos
2. Identificación de amenazas
3. Identificación de los
controles existentes
4. Identificación de
vulnerabilidades
5. Identificación de las
consecuencias
15
Riesgos de seguridad de la información
2.3. Determinación del nivel riesgo
➢ Probabilidad: ¿Cual es la
probabilidad que ocurra?
16
Riesgos de seguridad de la información
1. Evaluación de las
consecuencias
2. Evaluación de la
probabilidad de
incidentes
3. Determinación del
nivel de riesgos
1.-Identificación
1. Identificación 2.-Análisis
2. Análisis 3.-Estimación
3. Evaluación 4.-Tratamiento
4. Tratamiento 5.-Aceptación
5. Aceptación
de de de de de
riesgos riesgos riesgos riesgos riesgos
1. Identificación de activos
2. Identificación de amenazas 1. Evaluación de los niveles
3. Identificación de los de riesgo sobre la base
controles existentes de criterios de
4. Identificación de evaluación del riesgo.
vulnerabilidades
5. Identificación de las
consecuencias
17
Riesgos de seguridad de la información
3.1. Evaluación de los niveles de riesgos
Potencialidad de que una amenaza explote una vulnerabilidad en un activo o grupos
de activos y por lo tanto causará daño a la organización.
Nota: se mide en términos de una combinación de la probabilidad de un evento y
sus consecuencias.
18
Riesgos de seguridad de la información
3.1. Evaluación de los niveles de riesgos
ISO 27005,
anexo E, tabla E
Priorización de riesgos
19
Riesgos de seguridad de la información
1. Identificación de activos
2. Identificación de amenazas 1. Evaluación de los niveles
3. Identificación de los de riesgo sobre la base
controles existentes de criterios de
4. Identificación de evaluación del riesgo.
vulnerabilidades
5. Identificación de las
consecuencias
20
Riesgos de seguridad de la información
4.1. Opciones de tratamiento de riesgos
ISO 27005,
cláusula 9
Aceptar el riesgo
Evitar el Aceptar La dirección decidió aceptar el nivel real de riesgo.
riesgo del riesgo
Evitar el riesgo
Cancelación o modificación de una actividad o conjunto
de actividades relacionadas con riesgos.
Compartir del
riesgo
Compartir el riesgo
Decisión de compartir riesgos con las partes externas:
seguros o tercerización
21
Riesgos de seguridad de la información
4.2. Plan de tratamiento de riesgos
ISO 27005,
cláusula 9.1
Se deben
Identificar y asignar los
planificar el recursos
tratamiento de necesarios al
riesgos plan de
Las actividades tratamiento
deberían
clasificarse en
orden de
prioridad
22
Riesgos de seguridad de la información
4.3. Estimación del riesgo residual
ISO 27005,
cláusula 3.8
El riesgo residual es el riesgo que queda después de que el riesgo ha sido tratado. La noción de riesgo
residual puede ser definida como el riesgo que queda después de la aplicación de los controles con el
objetivo de reducir el riesgo inherente, y puede resumirse de la siguiente manera:
El riesgo residual = riesgo inherente – riesgo tratado por los controles
1. Riesgos residuales
Riesgo resultante del tratamiento
1
de riesgo
Riesgo inherente
Todos los riesgos sin tener en
cuenta los controles
2. Riesgo tratado
2
Riesgo eliminado con controles
23
Riesgos de seguridad de la información
1. Identificación de activos
2. Identificación de amenazas 1. Evaluación de los niveles
3. Identificación de los de riesgo sobre la base 1. Aceptación del plan
controles existentes de criterios de de tratamiento de
4. Identificación de evaluación del riesgo. riesgos
vulnerabilidades 2. Aceptación del riesgo
5. Identificación de las residual
consecuencias
24
2.
Eventos e incidentes de
seguridad de la información
25
Evento e incidente de seguridad de la información
¿Cómo reportar?
Correo segurinfo@adinelsa.com.pe
TI Canal de reporte
26
Evento e incidente de seguridad de la información
¿Qué es un evento de seguridad de la información?
Un evento de seguridad de la información indica que el sistema, la seguridad o los servicios de red y de
infraestructura han sido comprometidos o vulnerados. Esto indica que los controles implementados han
fallado y/o que no se ha seguido la política de seguridad de la información de la organización.
27
Evento e incidente de seguridad de la información
¿Qué reportar?
Correos, mensajes o llamadas
01 maliciosas
Confidencialidad
29
Evento e incidente de seguridad de la información
¿Cuánto pierde una
organización ante
un incidente de SI? Daño Daño
reputacional económico
Pérdida de Acciones
Despidos
clientes legales
Evento e incidente de seguridad de la información
Incidentes de seguridad de la información en el Perú…
31
Evento e incidente de seguridad de la información
¿Qué reportar?
Acceso no autorizado, envío de archivos
01 confidenciales sin contraseña,
divulgación de credenciales de acceso
Confidencialidad
33
Evento e incidente de seguridad de la información
Tipos de incidentes de seguridad de la información
❑ Fuga de información: Incidente que pone en poder de una persona ajena a la organización, información
confidencial y que sólo debería estar disponible para integrantes de la misma (tanto todos como un grupo
reducido). Se trata de un incidente que puede ser tanto interno como externo, y a la vez intencional o no.
34
Evento e incidente de seguridad de la información
Tipos de incidentes de seguridad de la información
❑ Ataques de ingeniería social: Es un incidente de seguridad que intenta o ha vulnerado la disponibilidad,
integridad y confidencialidad. Existen diferentes tipos, como, por ejemplo:
35
3.
¿Qué debo hacer?
36
¿Qué debo hacer?
¿Quién es el principal elemento que permite
garantizar que tengamos la información segura?
37
¿Qué debo hacer?
Seguir los lineamientos generales establecidos por ADINELSA…
38
¿Qué debo hacer?
Seguir los lineamientos establecidos por ADINDELSA…
39
¿Qué debo hacer?
Seguir los lineamientos establecidos por ADINDELSA…
Verificar que tenga instalado y
actualizado el antivirus, para esto Proteger los equipos móviles mediante
deben observar un ícono de un escudo el uso de contraseñas, patrones o
amarillo con un punto verde al controles biométricos.
costado de la hora.
40
+51(1) 206-4204 Av. Dos de Mayo 516 Of. 201,Miraflores, Lima. info@kunak.com.pe
41