Avances tecnológicos del siglo XXI y ejemplos de estos
Gestión de riesgos de seguridad de la información - ISO 27005
1. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
2. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Ges3ón
de
Riesgos
de
Seguridad
de
la
Información
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Maricarmen
García
de
Ureña
Director
General
Secure
Informa3on
Technologies
10
de
Abril
de
2014
3. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Maricarmen
García,
de
Ureña,
es
socio
fundador
de
Secure
Informa3on
Technologies,
es
empresaria,
catedrá3co
y
consultor
especialista
en
temas
de
Ges3ón
de
Riesgos,
Con3nuidad
del
Negocio,
Seguridad
de
la
Información
y
Servicios
de
Tecnología
de
Información,
así
como
auditora
especialista
en
control
de
TI.
Cuenta
con
una
Maestría
en
Administración
de
Servicios
de
TI
de
la
Universidad
Iberoamericana
en
la
Ciudad
de
México
y
la
Especialización
en
Alta
Dirección
en
Informá3ca
Gubernamental
por
el
Ins3tuto
Nacional
de
Administración
Pública.
Es
instructor
oficial
del
BSI
(Bri3sh
Standards
Ins3tu3on)
para
los
cursos
de
Auditor
Líder
de
las
normas
ISO22301
e
ISO27001
y
miembro
del
consejo
asesor
editorial
de
la
revista
del
DRJ
en
español
Ganadora
del
Premio
de
la
Asociación
La3noamericana
de
Con3nuidad
,ALCONT
2013
al
“Liderazgo
e
innovación
en
Con3nuidad
del
Negocio”
.
4. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Riesgos
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Epidemia de influenza!
+!
Terremoto!
+!
Falla en energía eléctrica!
5. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
El
Apocalipsis...
6. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Riesgos
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
7. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Riesgos
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
h"p://www.cdc.gov/phpr/zombies.htm#/
8. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Riesgos
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
• Conocer
los
riesgos
a
los
que
nos
enfrentamos
para
saber
como
tratarlos…
…
ADECUADAMENTE
9. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
¿Que
es
un
Riesgo
de
Seguridad
de
la
Información?
Potencial
de
que
cierta
amenaza
pueda
explotar
las
vulnerabilidades
de
un
ac3vo
o
grupo
de
ac3vos
y
causar
daño
a
la
organización
ISO
27005:2008
10. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
¿Que
es
un
Riesgo?
Efecto
de
la
incer3dumbre
en
los
obje3vos
ISO
31000:2009
11. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Principales
definiciones
¿Que
NO
es
un
Análisis
de
Riesgos?
ü Escaneo
de
vulnerabilidades
ü Pruebas
de
penetración
ü Hackeo
é3co
ü Auditoría
de
seguridad
ü Evaluación
de
controles
12. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Estándares
relacionados
Guide
73
ISO
31000
ISO
31010
ISO
27005
13. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Guía
73:2009
Áreas
cubiertas:
-‐ Términos
relacionados
con
riesgo
(1)
-‐ Términos
relacionados
con
ges3ón
de
riesgos
(4)
-‐ Términos
relacionados
con
el
proceso
de
ges3ón
de
riesgos
(1)
-‐ Términos
relacionados
con
la
comunicación
y
consulta
(3)
-‐ Términos
relacionados
con
el
contexto
(4)
-‐ Términos
relacionados
con
la
evaluación
de
riesgos
(assessment)
(1)
-‐ Términos
relacionados
con
la
iden3ficación
de
riesgos
(6)
-‐ Términos
relacionados
con
el
análisis
de
riesgos
(9)
-‐ Términos
relacionados
con
la
evaluación
de
riesgos
(evalua3on)
(7)
-‐ Términos
relacionados
con
el
tratamiento
de
riesgos
(8)
-‐ Términos
relacionados
con
el
monitoreo
y
medición
(6)
14. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
ISO
27005:2008
• Provee
guías
para
la
ges3ón
de
riesgos
de
seguridad
de
la
información.
• Soporta
los
principales
conceptos
especificados
en
ISO/IEC
27001
y
ha
sido
diseñado
para
asis3r
en
la
implementación
sa3sfactoria
de
seguridad
de
la
información
basada
en
un
enfoque
de
ges3ón
de
riesgos.
• Para
un
entendimiento
completo
de
éste
estándar,
se
requiere
el
conocimiento
de
los
conceptos,
modelos,
procesos
y
terminologías
descritas
en
ISO/IEC
27001.
• Aplica
a
todo
3po
de
organización
que
intente
ges3onar
riesgos
que
pudieran
comprometer
la
seguridad
de
la
información
de
la
organización.
15. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
ISO
31000:2009
Ges3ón
de
Riesgos
–
Principios
y
Guías
Estándar
internacional
Primera
edición
–
15
de
Noviembre
de
2009
Para
organizaciones
de
cualquier
3po
y
tamaño
16. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
ISO
31000:2009
Puede
ser
aplicado
a
toda
la
organización,
así
como
a
funciones,
proyectos
y
ac3vidades
específicas.
Cada
sector
específico
debe
tomar
en
cuenta
necesidades
individuales,
audiencias,
percepciones
y
criterios.
17. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
ISO
31000:2009
Provee
principios
y
guías
genéricas
para
la
ges3ón
de
riesgos.
Puede
ser
aplicado
a
cualquier
3po
de
riesgo,
cualquiera
que
sea
su
naturaleza,
ya
sea
que
tenga
consecuencias
posi3vas
o
nega3vas.
No
ha
sido
desarrollado
con
propósitos
de
cer3ficación
18. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
ISO
31000:2009
• Enfoque
de
procesos
• Basado
en
P-‐D-‐C-‐A
• Cualquier
organización
• Cualquier
3po
de
riesgo
19. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
ISO
31010:2009
Técnicas
de
evaluación
de
riesgos
Incluye
31
técnicas
que
pueden
ser
u3lizadas
en
las
diferentes
etapas
de
la
evaluación
de
riesgos
Referencia
a
técnicas
cualita3vas
y
cuan3ta3vas
20. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Implementación
de
la
Ges3ón
Integral
de
Riesgos
Principios
Marco
de
referencia
Proceso
Técnicas
ISO
31000
ISO
31010
ISO
27005
21. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Implementación
de
la
Ges3ón
Integral
de
Riesgos
Principios
Marco
de
referencia
Proceso
Técnicas
ISO
31000
ISO
31010
ISO
27005
22. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Principios
23. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Principios
de
la
Ges3ón
de
Riesgos
a) Crea
valor
b) Parte
integral
de
los
procesos
organizacionales
c) Parte
de
la
toma
de
decisiones
d) A3ende
explícitamente
la
incer3dumbre
e) Sistemá3co,
estructurado
y
oportuno
f) Basado
en
la
mejor
información
disponible
g) Hecho
a
la
medida
h) Toma
en
cuenta
factores
humanos
y
culturales
i) Transparente
e
inclusivo
j) Dinámico,
itera3vo
y
responde
a
cambios
k) Facilita
la
mejora
con3nua
de
la
organización
24. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Implementación
de
la
Ges3ón
Integral
de
Riesgos
Principios
Marco
de
referencia
Proceso
Técnicas
ISO
31000
ISO
31010
ISO
27005
25. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Marco
de
Referencia
26. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Marco
de
Referencia
27. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Implementación
de
la
Ges3ón
Integral
de
Riesgos
Principios
Marco
de
referencia
Proceso
Técnicas
ISO
31000
ISO
31010
ISO
27005
28. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Proceso
29. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
ISO
31000
vs
ISO
27005
Proceso
ISO
31000
Proceso
ISO
27005
30. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
ISO
31000:2009
e
ISO
27005:2008
31. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Implementación
de
la
Ges3ón
Integral
de
Riesgos
Principios
Marco
de
referencia
Proceso
Técnicas
ISO
31000
ISO
31010
ISO
27005
32. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Técnicas
de
evaluación
de
riesgos
!
Descripción
Ü
Entradas
Û
Salidas
þ
Ventajas
ý
Limitantes
"
Proceso
33. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
10
–
Análisis
de
escenario
!
Puede
ser
u3lizado
para
an3cipar
como
las
amenazas
y
oportunidades
se
pueden
desarrollar
y
puede
u3lizarse
en
las
tres
etapas
de
la
evaluación
de
riesgos.
Ü
Grupo
de
personas
que
3enen
un
entendimiento
de
la
naturaleza
de
los
cambios
relevantes
(por
ejemplo
posibles
avances
en
tecnología)
e
imaginación
para
pensar
en
el
futuro.
Û
Opciones
para
modificar
el
curso
de
acción
seleccionado.
þ
Permite
iden3ficar
escenarios
que
no
necesariamente
han
ocurrido
en
el
pasado.
ý
Pudieran
considerarse
escenarios
no
realistas.
34. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
10
–
Análisis
de
escenario
FEMA
-‐
Agencia
Federal
para
la
Ges3ón
de
Emergencias
/
FEMA
es
la
agencia
del
Gobierno
de
los
Estados
Unidos
que
da
respuesta
a
huracanes,
terremotos,
inundaciones
y
otros
desastres
naturales.
35. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
10
–
Análisis
de
escenario
ALERTA
SANITARIA
(INFLUENZA)
37. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
10
–
Análisis
de
escenario
Escenario:
Epidemia
Estrategia:
Parte
del
personal
laborando
en
oficinas
Estrategia:
Parte
del
personal
laborando
desde
casa
comunicándose
vía
Internet
y
teléfono
Escenario:
Sismo
Estrategia:
Desalojo
y
concentración
en
puntos
de
reunión
Posible
Contagio
Escenario:
Saturación
de
líneas
telefónicas
Escenario:
Perdida
de
comunicaciones
Interrupción
de
la
con3nuidad
del
negocio
38. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
TRATAMIENTO
DE
RIESGOS
39. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Opciones
de
Tratamiento
de
Riesgos
Aceptar
/
Retener
Transferir
/
Compar3r
Terminar
/
Evitar
Reducir*
/
Mi3gar
40. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Factores
crí3cos
de
éxito
• Formalizar
un
método
para
la
evaluación
de
riesgos
• Iden3ficar
a
las
audiencias
involucradas
• Involucrar
a
dueños
de
proceso
y
dueños
de
riesgo
• Definir
el
contexto
del
análisis
de
riesgos
• Seleccionar
un
método
y
técnica
de
es3mación
de
riesgos
de
acuerdo
con
las
posibilidades
y
requerimientos
de
la
organización
• Definir
la
estructura
y
contenido
del
informe
final
antes
de
iniciar
• Considerar
procesos,
información,
personas
e
instalaciones
• Ges3onar
expecta3vas
de
las
partes
interesadas
41. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Preguntas
y
respuestas
¡Gracias!
Maricarmen.garcia@secureit.com.mx"
@besair_"
Maricarmen
García
de
Ureña
CBCP,
ISO27001LA,
BS25999LA,
ISO22301