Iso 27001 gestion de riesgos v 2020

1. Gestión de los riesgos de seguridad de la información Sistema de Gestión de Seguridad de la Información ISO 27001 V 2020

2. Gestión de la Seguridad de la Información • La Gestión Seguridad de la Información tiene como fin la protección de la información y de los sistemas de la información, del acceso, uso, divulgación, interrupción o destrucción no autorizada.

3. Gestión de la Seguridad de la Información • Las nuevas tecnologías nos permiten estar conectados en todo momento, pero también abren la puerta a nuevas amenazas a nuestra privacidad, a la gestión de nuestros datos, de nuestros información • ¿Cómo afrontar esta situación? • Sólo hay una forma de gestionar de forma adecuada la seguridad: Identificar, analizar, evaluar, y gestionar los riesgos de seguridad de la información a los que se enfrenta la organización, y tomar las acciones técnicas, organizativas y legales necesarias.

4. Amenaza Evento Daño Recuperación Prevención Reducción Detección Represión Gestión del Incidente Continuidad Recuperación Evaluación Los elementos básicos que conforman la Seguridad de la Información son: 1. Las acciones necesarias para reducir el riesgo antes de un evento indeseado. 2. Las acciones que indiquen como responder durante el evento. 3. Las acciones que describan como recuperarse después de que el evento se ha presentado. Gestión de la Seguridad de la Información

5. Gestión de la Seguridad de la Información • Un Sistema de Gestión de Seguridad de la Información según la ISO27001 genera una garantía con la que sabemos poder realizar una adecuada gestión de la seguridad de la información en la organización. • Para ello, se debe realizar un tratamiento según los diferentes niveles de riesgos determinados como consecuencia de considerar los distintos efectos que se pueden producir sobre la información de la organización.

6. Un Sistema de Gestión de Seguridad de la Información se encuentra basado en la norma ISO-27001. Este estándar internacional presenta un sistema de gestión basado en el ciclo de Deming: Planificar, Hacer, Verificar y Actuar, cuyas siglas en inglés son PDCA. El ciclo Deming o ciclo PDCA, supone la implementación de un Sistema de Gestión que se centra en la mejora continua.

7. PLANIFICAR Definir la política de seguridad Establecer al alcance del SGSI Realizar el análisis de riesgo Seleccionar los controles Definir competencias Establecer un mapa de procesos Definir autoridades y responsabilidades HACER Implantar el plan de gestión de riesgos Implantar el SGSI Implantar los controles CONTROLAR Revisar internamente el SGSI Realizar auditorías internas del SGSI Poner en marcha indicadores y métricas Hacer una revisión por parte de la Dirección ACTUAR Adoptar acciones correctivas Adoptar acciones de mejora

8. En base a este sistema PDCA, la norma ISO 27001 establece las siguientes fases para elaborar un SGSI 1. Análisis y evaluación de riesgos. 2. Implementación de controles 3. Definición de un plan de tratamiento de los riesgos o esquema de mejora 4. Alcance de la gestión 5. Contexto de organización 6. Partes interesadas 7. Fijación y medición de objetivos 8. Proceso documental 9. Auditorías internas y externas

9. El propósito de un Sistema de Gestión de la Seguridad de la Información es, por lo tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma sistemática, documentada y estructurada

10. Gestión de los Riesgos • ISO 27001 establece un Sistema de Gestión de Seguridad de la Información, cuyo elemento más importante es la Gestión de los Riesgos

11. Términos y definiciones 3.61 riesgo Efecto de la incertidumbre sobre los objetivos ISO/IEC 27000 :2018 • Nota 1 a la entrada: Un efecto es una desviación respecto a lo previsto. Puede ser positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y amenazas. • Nota 2 a la entrada: Los objetivos pueden tener diferentes aspectos y categorías, y se pueden aplicar a diferentes niveles. • Nota 3 a la entrada: Con frecuencia, el riesgo se expresa en términos de fuentes de riesgo , eventos potenciales, sus consecuencias y sus probabilidades . Gestión de los Riesgos

12. Gestión de los Riesgos “Efecto de la incertidumbre” es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad DESVIACION DE LO ESPERADO Término común y definición esencial para las normas de sistemas de gestión que se proporcionan en Anexo SL de Directivas ISO/IEC Riesgo

13. Gestión de los Riesgos Términos y definiciones • Confidencialidad: Propiedad por la cual la información no esté disponible ni sea divulgada a individuos no autorizados, entidades o procesos. ISO 27000:2018, cláusula 3.10 • Integridad: Propiedad de proteger la precisión y la totalidad de los activos. ISO 27000:2018, cláusula 3.36 • Disponibilidad: Propiedad de estar accesible y ser utilizable a demanda por parte de una entidad autorizada ISO 27000:2018, cláusula 3.7

14. Gestión de los Riesgos Términos y definiciones 3.28 Seguridad de la información Preservación de la confidencialidad, integridad y disponibilidad de la información. Nota : además de otras propiedades, que también pueden estar involucradas como la autenticación, registro de responsabilidad (accountability), el no repudio y la confiabilidad. ISO 27000:2018

15. Gestión de los Riesgos Términos y definiciones Activo: Aquello que tenga valor para la organización Amenaza: causa potencial de un incidente no deseado, que puede dar lugar a daños en un sistema o en una organización Vulnerabilidad: debilidad de un activo o control que puede ser explotada por una o más amenazas Degradación: cuán perjudicado resultaría el activo. La degradación mide el daño causado por un incidente en el supuesto de que ocurriera. Frecuencia: cada cuánto se materializa la amenaza

16. Gestión de los Riesgos Términos y definiciones Análisis de Riesgos: proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización Tratamiento de riesgo: proceso de selección e implementación de medidas (controles) para modificar un riesgo Control: medio de gestionar el riesgo, incluyendo políticas, procedimientos, guías, prácticas o estructuras organizativas, que pueden ser de naturaleza administrativa, técnica, de gestión, o legal.

17. Gestión de los Riesgos • Debemos partir de la base de que los sistemas de gestión definen el riesgo como el efecto que genera la incertidumbre, puede ser positivo o negativo, debido a la falta de información de la situación, proceso o procedimiento. • De esta manera, la gestión del riesgo viene a apoyar las decisiones estratégicas que buscan prevenir las situaciones adversas futuras para transformarlas y aprovecharlas de manera eficiente para la mejora continua.

18. Gestión de los Riesgos • Gestión de los Riesgos significa que, en primer lugar es necesario identificar los riesgos que afectan a la Organización, y en segundo lugar, es necesario establecer medidas de seguridad para reducir estos riesgos. • Por tanto dentro de la Gestión de riesgos podemos diferenciar principalmente 2 etapas: Análisis y Tratamiento

19. Gestión de los Riesgos • Para desarrollar todo el proceso de análisis y tratamiento de los riesgos, hay que establecer una Metodología, la cual definirá los pasos que se tienen que seguir para llevar a cabo la Gestión de Riesgos.

20. Gestión de los Riesgos Metodologías existentes • ISO/IEC 27005:2018 forma parte de los estándares de la serie ISO/IEC 27000 • Es una Norma ISO que no especifica ningún método de análisis de riesgo concreto, contiene recomendaciones y directrices generales para la gestión de riesgos, por tanto, puede utilizarse como guía para elaborar una Metodología de gestión de riesgos propia.

21. Gestión de los Riesgos • ISO/IEC 27005:2018 nos presenta el porqué, el qué y el cómo para que las organizaciones sean capaces de gestionar sus riesgos sobre seguridad de la información de forma efectiva según los requisitos de ISO/IEC 27001. • Ayuda a demostrar a los clientes, accionistas o partes interesadas de una organización el cumplimiento de las exigencias de los procesos sobre gestión de riesgos que tienen lugar. Dándoles así confianza y probando porque deberían trabajar junto a la organización.

22. Gestión de los Riesgos Metodologías existentes ISO 31000 Al igual que la anterior, es una Norma ISO que contiene una serie de buenas prácticas para gestionar riesgos, aunque la diferencia con respecto la ISO 27005, es que esta no aplica solamente a la Seguridad de la Información, sino que aplica a cualquier tipo de riesgo, es mas general.

23. Gestión de los Riesgos La Norma ISO 27001 : 2013 destaca que el sistema de gestión SGSI de la organización considera la gestión del riesgo. ISO 27001 : 2013 no requiere evaluaciones de riesgo según algún proceso especifico. • La norma ISO 31000:2018 (Gestión del riesgo – Principios y Guías) proporciona principios y guías genéricas para la gestión del riesgo. Esta norma se complementa con la ISO Guide 73:2018 Gestión del riesgo Vocabulario.

24. Gestión de los Riesgos ISO 31000:2018 Gestión del riesgo Principios y directrices puede ser una referencia útil para organizaciones que desean o necesitan un enfoque más formal del riesgo (uso no obligatorio). Para integrar la gestión del riesgo en ISO 27001 : 2013, podemos seguir los criterios de la norma ISO 31000: 2018 ISO 31000: 2018 ISO27001: 2013

25. Gestión de los Riesgos A la hora de abordar los ciberriesgos, la serie ISO/IEC 27000 sobre sistemas de gestión de seguridad de la información, o SGSI se debe evaluar conjuntamente con la serie ISO 31000. Este planteamiento da igual peso a la tecnología y al factor humano. la serie ISO/IEC 27000 ayudará a las organizaciones a evaluar sus necesidades puramente tecnológicas, mientras que ISO 31000 ayudará a comprender el valor de la información o los productos que guardan en el ciberespacio y, por tanto, el grado de protección tecnológica que necesitará para prevenir posibles ataques.

26. Gestión de los Riesgos En otros términos : una evaluación exhaustiva del riesgo según ISO 31000 podría evitarle a cualquier organización un desembolso económico considerable si hablamos de seguridad tecnológica. Hacer caso omiso del riesgo puede llevar por igual a gastar demasiado en un sistema de protección o a no invertir lo suficiente. La inversión de una organización en ciberseguridad puede regirse por el nivel de dependencia que tiene en el sistema; una organización pequeña puede seguir utilizando (o retomar) los recibos en papel, mientras que un gigante como Amazon depende literalmente de la conectividad.

27. Gestión de los Riesgos Metodologías existentes • CRAMM Tuvo su origen en Reino Unido, ya que fue desarrollada por el CCTA (Central Computer and Telecommunications Agency). • Tiene reconocimiento a nivel Internacional, y su desarrollo es de los más simples: 1. Identificación y valoración de activos, 2. valoración de amenazas y vulnerabilidades y 3. selección de contramedidas.

28. Gestión de los Riesgos Metodologías existentes OCTAVE • Fue desarrollada por el SEI (Software Engineering Institute) en Estados Unidos, y también tiene un gran reconocimiento internacional. • Tiene una buena aceptación a nivel mundial, aunque las fases que la componen son un poco diferentes de las metodologías habituales, lo cual suele implicar mayor dificultad a la hora de utilizarla.

29. Gestión de los Riesgos Metodologías existentes MAGERIT • Se utiliza mucho en España, sobre todo en Administraciones Públicas, ya que fue desarrollada por el Consejo Superior de Administración Electrónica. • Esta metodología no es muy conocida a nivel Internacional, aunque su utilización puede ser interesante en cualquier tipo de empresa

30. Gestión de los Riesgos Metodologías existentes NIST 800-30 • Fue desarrollada por el NIST (National Institute of Standards and Technology) en EEUU, y aunque tiene reconocimiento Internacional, su uso se limita sobre todo a EEUU (Administraciones Públicas). • Aunque se compone de un mayor número de fases que las anteriores metodologías, es muy intuitiva, sencilla de utilizar

31. Gestión de los Riesgos 1. Identificación de activos Elaborar un listado de inventarios en activo • Como base, se deben identificar los elementos indispensables para el funcionamiento y la realización del producto al que se dedica la organización. • De esta manera, se aporta una imagen definitiva y documentada que va a servir de soporte para muchos procesos del sistema de gestión y la toma de decisiones estratégicas, pero además se asientan los cimientos de la gestión de los diferentes riesgos a los que se enfrenta o puede enfrentarse la organización.

32. Gestión de los Riesgos 1. Identificación de activos Existen básicamente dos tipos de activos: 1. Activos primarios: - Procesos y actividades del negocio - Información 2. Activos de soporte e infraestructura (sobre los cuales los elementos primarios del alcance se apoyan): - Hardware / Software - Redes - Recursos Humanos - Instalaciones físicas - Estructura de la organización

33. • 1. Identificación de activos Cuando se realiza la identificación y las dependencias entre los diferentes activos, se tiene que partir del estudio del funcionamiento de los servicios que responden a preguntas como: ¿Qué información es necesaria para prestar el servicio? ¿Dónde se almacena dicha información? Gestión de los Riesgos

34. Se elabora un inventario de activo que deberá incluir una serie de datos básicos : Nombre Descripción Categoría Ubicación física en la que se encuentra Dependencias con otros activos Valor del activo en relación con la confidencialidad, disponibilidad e integridad, por lo que se establecen valores para cada uno de los activos a partir de diferentes criterios que se encuentran normalizados y son objetivos. Gestión de los Riesgos

35. Gestión de los Riesgos 1. Identificación de activos Podemos considerar como activos: Impresoras, dispositivos de almacenamiento (discos duros externos, pendrives), aplicaciones, notebooks, tablets servidores, personas, etc.) Todos estos elementos tienen información: • Impresora: Hojas que se imprimen • Pendrives: Información digital • Aplicaciones: Información digital • Servidores: Información digital • Empleados: Conocimiento, e información de la Organización

36. Gestión de los Riesgos 1. Identificación de activos No obstante también podemos identificar como activo elementos que no contienen información, pero que son imprescindibles para otros activos que sí la tienen, pero su funcionamiento implica que los, que sí contienen información, puedan funcionar. También es importante identificar la dependencia que puede existir entre activos: Una aplicación funciona en un servidor, por lo tanto, si el servidor deja de funcionar, la aplicación también lo hará.

37. Gestión de los Riesgos 2. Identificación de amenazas y vulnerabilidades Todos los activos de la Organización están expuestos a amenazas, y estas son explotadas por vulnerabilidades. ¿Qué es una amenaza? Cualquier problema que pueda afectar al negocio: Ingeniería, social, catástrofe natural, troyanos, virus, etc. ¿Qué es una vulnerabilidad? Situación que provoca que una amenaza pueda producirse.

38. Gestión de los Riesgos 2. Identificación de amenazas y vulnerabilidades Por ejemplo, en una Organización existe poca concienciación en seguridad de la información, esto (la vulnerabilidad) ocasionará que exista más probabilidad de que alguno de sus empleados se descargue un correo electrónico con un troyano o un virus (amenaza).

39. Gestión de los Riesgos 2. Identificación de amenazas y vulnerabilidades Lo recomendable suele ser identificar amenazas /vulnerabilidades por tipo de activo, ya que todos los activos que estén bajo una misma categoría podrán compartir amenazas/vulnerabilidades. No obstante hay que hacer un análisis por cada activo y comprobar si las amenazas/vulnerabilidades que le corresponden por su categoría son adecuadas. Casi todas las metodologías de gestión de riesgos, o al menos las más importantes, incluyen un catalogo de amenazas de donde se pueden seleccionar las que apliquen a cada activo.

40. Gestión de los Riesgos 2. Identificación de amenazas y vulnerabilidades Ejemplo de amenazas • Acceso no autorizado • Usuarios desleales • Espionaje industrial • Acciones de Hackers • Fraude • Fuego • Robo de documentos confidenciales • Robo de notebooks/ otros equipos

41. Gestión de los Riesgos 2. Identificación de amenazas y vulnerabilidades • Contando con dicho catalogo de amenazas y relacionándolo con la lista de activos, será el momento de valorar la vulnerabilidad de cada uno de los diferentes activos teniendo en cuenta con la degradación a la que están expuestos y su probabilidad frente a las amenazas.

42. Gestión de los Riesgos 2. Identificación de amenazas y vulnerabilidades • Son vulnerabilidades todas las ausencias o ineficacias de los controles (salvaguardas) pertinentes para salvaguardar el valor propio o acumulado sobre un activo. • A veces se emplea el término “insuficiencia” para resaltar el hecho de que la eficacia medida del control (salvaguarda) es insuficiente para preservar el valor del activo expuesto a una amenaza. • La materialización de la amenaza a través de la explotación de una vulnerabilidad degrada el valor del activo y puede afectar a su confidencialidad, integridad o disponibilidad.

43. Gestión de los Riesgos 3. Cálculo del nivel de riesgo • El cálculo del nivel de riesgo se realiza de manera distinta dependiendo de la metodología que se considere, ya que cada una utiliza una fórmula de cálculo distinta. • No obstante aquí veremos una fórmula sencilla y rápida de entender, basada en 2 parámetros fundamentales en gestión de riesgos: Probabilidad y Impacto

44. Gestión de los Riesgos 3. Cálculo del nivel de riesgo • Probabilidad de que una amenaza se materialice. • Impacto en la Organización resultante de la materialización de una amenaza. Tanto el Impacto como la Probabilidad se pueden medir en valores porcentuales, lo cual nos resultará más sencillo a la hora de calcular el nivel de riesgo.

45. Gestión de los Riesgos 3. Cálculo del nivel de riesgo • Impacto: Por ejemplo 0% si la amenaza no produce ningún daño, 50% si el daño es considerable y 100% si el daño es muy crítico para la Organización. • Probabilidad: Por ejemplo 0% si la probabilidad de que la amenaza se materialice es muy baja, 50% si la probabilidad es considerable y 100% si la probabilidad es muy alta. obtendremos un valor numérico para el riesgo, el cual representará : Probabilidad de que una amenaza se materialice e impacto en la Organización, en caso de que se materialice.

46. Gestión de los Riesgos 3. Cálculo del nivel de riesgo El Sistema de Gestión de Seguridad de la Información SGSI se basa en tres propiedades básicas de la información: • Confidencialidad: es la garantía de acceso a la información de los usuarios que se encuentran autorizados para tal fin. • Integridad: es la preservación de la información completa y exacta. • Disponibilidad: es la garantía de que el usuario accede a la información que necesita en ese preciso momento.

47. Gestión de los Riesgos 3. Cálculo del nivel de riesgo • El Sistema de Gestión de Seguridad de la Información SGSI tiene que tener en cuenta preservar estas tres propiedades básicas de la información en el proceso de evaluación de riesgos. • El proceso para la evaluación de riesgos ya no está enfocado entonces, solo en los activos, las vulnerabilidades y las amenazas. • La metodología se debe enfocar en el objetivo de identificar ,además ,los riesgos asociados con la pérdida de la confidencialidad, integridad y disponibilidad de la información.

48. Gestión de los Riesgos 3. Cálculo del nivel de riesgo El siguiente paso será determinar si este nivel de riesgo es aceptable para la Organización, es decir, si el nivel de riesgo detectado está por encima o no del nivel de riesgo aceptable. Nivel de riesgo aceptable: Es el nivel de riesgo que establece la Organización como permitido, es decir, si el nivel de riesgo aceptable por ejemplo es Medio, únicamente supondrá un peligro para la Organización aquellos riesgos que estén por encima es decir Alto. Por lo tanto, si el nivel de riesgo está por encima del aceptable, tendremos que hacer un tratamiento del riesgo con el objetivo de reducirlo a un nivel aceptable.

49. Gestión de los Riesgos 3. Cálculo del nivel de riesgo Es interesante destacar que el impacto se estudia sin tener en cuenta todas las medidas de seguridad que se realizan en ese momento, ya que si las incluimos disminuiremos el riesgo máximo de cada activo y pueden provocar que los riesgos existentes no se consideren como tal.

50. Gestión de los Riesgos • La análisis de riesgos y evaluación de riesgos, es probablemente la parte más complicada de la implementación de la norma ISO 27001 • Pero al mismo tiempo, el análisis , evaluación y tratamiento de riesgos según ISO 27001, son las etapas más importante al inicio del proyecto de seguridad de la información.

51. Gestión de los Riesgos • La filosofía principal de ISO 27001 es identificar los incidentes que podrían ocurrir ,analizar los riesgos. También es necesario evaluar los riesgos, determinando la probabilidad y el impacto de cada uno de ellos, de forma que se pueda definir cuáles son tolerables, cuáles son más importantes y cuáles pueden ser eliminados y encontrar las formas apropiadas para evitar tales incidentes. • Aunque la identificación, análisis ,evaluación y el tratamiento de riesgos unidas a estas acciones conforman la gestión , son labores complejas, a menudo es cuestión de apelar a la lógica y establecer prioridades.

52. La organización debe definir y aplicar un proceso de valoración de riesgos de la seguridad de la información CRITERIOS de RIESGOS de SEGURIDAD de la INFORMACION

53. Sistema de gestión de la información Análisis y Evaluación de Riesgos Plan de tratamiento de Riesgo Identificación, análisis ,evaluación y tratamiento de riesgos ISO 27001 Seguridad de la información gestionada

54. Gestión de los Riesgos • No todos los riesgos se generan de la misma forma y no todos tienen el mismo impacto. • El objetivo del la análisis y evaluación de riesgos es determinar la importancia y el impacto del riesgo y de esta forma, optar por las formas de mitigar el riesgo. • Existen 4 opciones de mitigación de riesgos según ISO 27001 1. Reducir el riesgo 2. Compartir o transferir el riesgo 3. Eliminar el riesgo 4. Aceptar el riesgo

55. Gestión de los Riesgos 4. Establecimiento de controles Reducir el riesgo • Para aquellos riesgos que superen el nivel aceptable tendremos que aplicar controles, según el Anexo A de ISO 27001 para reducir el riesgo. • El Anexo A de la ISO/IEC 27001:2013 e I SO/IEC 27002:2013 es un catalogo de controles (salvaguardas) o medidas a aplicar para tratar el riesgo, especifica 114 controles en 14 grupos. • Es la opción más utilizada, e incluye la implementación de medidas de seguridad como cámaras de vigilancia, censores de movimiento, de fuego, de humo, y por supuesto, instalación de firewall.

56. Gestión de los Riesgos A cada punto de control se le debe asociar un rango o factor determinado. Por ejemplo, el acceso a un área segura podría dividirse en: Rango 1. No hay establecida ninguna medida de seguridad. Rango 2. Existe alguna medida de seguridad pero no se ha establecido una pauta concreta ni periodicidad. Rango 3. Existen una serie de medidas establecidas, pero no se ha determinado una evaluación de las mismas. Rango 4. Los controles tienen establecidos una periodicidad, evaluación y seguimiento. Rango 5. Son actividades ligadas al propio negocio, es decir, se trata de un factor interno de la empresa que lo gestiona y está implementada dentro de la propia organización.

57. Gestión de los Riesgos La organización debe decidir qué tipo de rango necesita para cada control con el fin de asegurar la seguridad de la información, teniendo en cuenta que los controles de carácter preventivo son más eficaces que los correctivos. Por ejemplo, es más seguro instalar un dispositivo que controle la temperatura (saltará la alarma antes de que se produzca un posible incendio) que tener un sistema anti incendio que avisa cuando ya hay humo (la situación peligrosa ya ha empezado a producirse).

58. Gestión de los Riesgos Todos estos controles siguen un ciclo de mejora continua vinculado al plan de tratamiento de riesgos y asociados a la evaluación de los mismos para el cálculo del riesgo residual. Mediante el proceso de mejora continua es posible comprobar la eficacia de los controles o si es necesario cambiar de rango o factor de seguridad, realizando las modificaciones que sean necesarias. Los controles que están incluidos en el anexo A de la norma ISO 27001 y su nivel de detalle y especificidad los diferencian de los existentes en otras normas, que tienen un carácter más generalista y transversal.

59. Gestión de los Riesgos 4. Establecimiento de controles Reducir el riesgo • Para hacer esta implantación de controles de manera ordenada, estructurada y planificada, estableceremos un Plan de Tratamiento de Riesgos. • El Plan de Tratamiento de Riesgos adjudica responsabilidades para el diseño, implementación y puesta en práctica de los controles, establece plazos, recursos, presupuesto y acciones de seguimiento. • El Plan de Tratamiento de riesgos implanta de manera planificada los controles que se aplican a los riesgos que superan el nivel aceptable.

60. Gestión de los Riesgos 4. Establecimiento de controles El Plan de Tratamiento de Riesgos tiene que contener una serie de información básica: • Responsable del control: Persona que se responsabiliza de la correcta implantación del control • Recursos: Personas, técnicos, empresas externas o materiales que se utilizarán para la implantación del control • Acciones : Acciones que serán necesarias para la implantación del control • Prioridad: Todos los controles no tienen la misma prioridad, ya que por una parte el nivel de riesgo no será el mismo, ni tampoco el valor de cada activo para la Organización. Por tanto es necesario establecer prioridades. Esta prioridad puede venir determinada por la fecha de implantación de cada control.

61. Gestión de los Riesgos Después de implantar todos los controles de seguridad, tenemos que calcular el riesgo residual. Riesgo residual: Es el riesgo que sigue quedando después de implantar los controles de seguridad Cuando implantamos los controles reducimos el riesgo, pero este no dejará de existir, siempre quedará un nivel, aunque sea mínimo.

62. Gestión de los Riesgos ¿Qué ocurre si el nivel de riesgo, reducido por la implantación de los controles de seguridad, sigue estando por encima del nivel de riesgo aceptable? Tendremos que tomar una decisión en cuanto al tratamiento, y deberá quedar formalmente establecido en nuestra metodología de análisis y tratamiento de riesgos.

63. 1 3 2

64. Gestión de los Riesgos Esta decisión se puede resumir en las siguientes 3 posibilidades: • Aceptar o asumir el riesgo Cuando las acciones necesarias para eliminar un riesgo, tienen un costo demasiado alto – superior a las consecuencias previstas de la ocurrencia del incidente , conviene pensar en la posibilidad de convivir con el riesgo, y minimizar su impacto. Para estos casos, resulta ideal utilizar esta opción, en conjunto con la de compartir el riesgo ,opción 2, adquiriendo una póliza de seguros.

65. Gestión de los Riesgos • Compartir o transferir el riesgo El ejemplo más común, es la suscripción de una póliza de seguros, con cobertura para el riesgo que se desea compartir. Contratar una compañía de seguridad, que asuma el compromiso de velar por la integridad de la información es otra forma de compartir el riesgo, cuando el contrato especifica una penalidad en caso de que se presente un incidente. Estas son medidas que no conjuran la ocurrencia del incidente, ya que tan solo se transfiere el riesgo financiero a otra organización, pero pueden resultar efectivas si se utilizan en conjunto con una o varias de las otras opciones de mitigación

66. Gestión de los Riesgos • Eliminar el riesgo Se logra eliminando una actividad, un procedimiento o un proceso que puede ser la causa del incidente, o modificándolos de tal forma que se elimine el riesgo. Un ejemplo de ello es el uso de ordenadores portátiles fuera de las instalaciones de la organización. Prohibir esta práctica, elimina la posibilidad de ocurrencia de muchos incidentes, generadores de riesgos de alto impacto.

67. Gestión de los Riesgos Declaración de aplicabilidad Consiste en un documento que relaciona los controles que se aplican en el sistema de gestión. De los controles que la norma ISO/IEC 27001 indica en su anexo A, una Organización debe seleccionar aquellos que debe implantar y mantener en su sistema. El resultado de la elección de los controles forma parte del Plan de Tratamiento de riesgos, de modo que éste tiene como salida la Declaración de Aplicabilidad.

68. Gestión de los Riesgos Conclusiones Todos los activos de una Organización (sea grande o pequeña) están expuestos a riesgos, los cuales si no se reducen pueden provocar un problema importante al negocio. Para reducir estos riesgos podemos implantar controles utilizando una metodología de análisis de riesgos. Una metodología de análisis de riesgos nos ayuda a identificar activos, las amenazas/vulnerabilidades que les afectan, y calcular el nivel de riesgo, el cual tiene que estar por debajo de un nivel aceptable para la Organización. Si el nivel de riesgo es superior al aceptable, la Organización tiene que implantar controles de seguridad para reducirlo. Existen muchas metodologías, pero todas tienen el mismo objetivo: calcular el riesgo asociado a los activos de la Organización y establecer medidas para reducirlo.

69. Gestión de los riesgos de seguridad de la información Sistema de Gestión de Seguridad de la Información ISO 27001 V 2020 FIN

Iso 27001 gestion de riesgos v 2020

Iso 27001 gestion de riesgos v 2020

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente(20)

Similar a Iso 27001 gestion de riesgos v 2020

Similar a Iso 27001 gestion de riesgos v 2020(20)

Más de Primala Sistema de Gestion

Más de Primala Sistema de Gestion(20)

Último

Último(20)

Iso 27001 gestion de riesgos v 2020