SlideShare una empresa de Scribd logo

Iso 27001 gestion de riesgos v 2020

Primala Sistema de Gestion
Primala Sistema de Gestion

Iso 27001 gestion de riesgos

Ingeniería
1 de 69
Gestión de los riesgos de seguridad de la información Sistema de Gestión de Seguridad de la Información ISO 27001 V 2020
Gestión de la Seguridad de la Información • La Gestión Seguridad de la Información tiene como fin la protección de la información y de los sistemas de la información, del acceso, uso, divulgación, interrupción o destrucción no autorizada.
Gestión de la Seguridad de la Información • Las nuevas tecnologías nos permiten estar conectados en todo momento, pero también abren la puerta a nuevas amenazas a nuestra privacidad, a la gestión de nuestros datos, de nuestros información • ¿Cómo afrontar esta situación? • Sólo hay una forma de gestionar de forma adecuada la seguridad: Identificar, analizar, evaluar, y gestionar los riesgos de seguridad de la información a los que se enfrenta la organización, y tomar las acciones técnicas, organizativas y legales necesarias.
Amenaza Evento Daño Recuperación Prevención Reducción Detección Represión Gestión del Incidente Continuidad Recuperación Evaluación Los elementos básicos que conforman la Seguridad de la Información son: 1. Las acciones necesarias para reducir el riesgo antes de un evento indeseado. 2. Las acciones que indiquen como responder durante el evento. 3. Las acciones que describan como recuperarse después de que el evento se ha presentado. Gestión de la Seguridad de la Información
Gestión de la Seguridad de la Información • Un Sistema de Gestión de Seguridad de la Información según la ISO27001 genera una garantía con la que sabemos poder realizar una adecuada gestión de la seguridad de la información en la organización. • Para ello, se debe realizar un tratamiento según los diferentes niveles de riesgos determinados como consecuencia de considerar los distintos efectos que se pueden producir sobre la información de la organización.
Un Sistema de Gestión de Seguridad de la Información se encuentra basado en la norma ISO-27001. Este estándar internacional presenta un sistema de gestión basado en el ciclo de Deming: Planificar, Hacer, Verificar y Actuar, cuyas siglas en inglés son PDCA. El ciclo Deming o ciclo PDCA, supone la implementación de un Sistema de Gestión que se centra en la mejora continua.
PLANIFICAR Definir la política de seguridad Establecer al alcance del SGSI Realizar el análisis de riesgo Seleccionar los controles Definir competencias Establecer un mapa de procesos Definir autoridades y responsabilidades HACER Implantar el plan de gestión de riesgos Implantar el SGSI Implantar los controles CONTROLAR Revisar internamente el SGSI Realizar auditorías internas del SGSI Poner en marcha indicadores y métricas Hacer una revisión por parte de la Dirección ACTUAR Adoptar acciones correctivas Adoptar acciones de mejora
En base a este sistema PDCA, la norma ISO 27001 establece las siguientes fases para elaborar un SGSI 1. Análisis y evaluación de riesgos. 2. Implementación de controles 3. Definición de un plan de tratamiento de los riesgos o esquema de mejora 4. Alcance de la gestión 5. Contexto de organización 6. Partes interesadas 7. Fijación y medición de objetivos 8. Proceso documental 9. Auditorías internas y externas
El propósito de un Sistema de Gestión de la Seguridad de la Información es, por lo tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma sistemática, documentada y estructurada
Gestión de los Riesgos • ISO 27001 establece un Sistema de Gestión de Seguridad de la Información, cuyo elemento más importante es la Gestión de los Riesgos
Términos y definiciones 3.61 riesgo Efecto de la incertidumbre sobre los objetivos ISO/IEC 27000 :2018 • Nota 1 a la entrada: Un efecto es una desviación respecto a lo previsto. Puede ser positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y amenazas. • Nota 2 a la entrada: Los objetivos pueden tener diferentes aspectos y categorías, y se pueden aplicar a diferentes niveles. • Nota 3 a la entrada: Con frecuencia, el riesgo se expresa en términos de fuentes de riesgo , eventos potenciales, sus consecuencias y sus probabilidades . Gestión de los Riesgos
Gestión de los Riesgos “Efecto de la incertidumbre” es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad DESVIACION DE LO ESPERADO Término común y definición esencial para las normas de sistemas de gestión que se proporcionan en Anexo SL de Directivas ISO/IEC Riesgo
Gestión de los Riesgos Términos y definiciones • Confidencialidad: Propiedad por la cual la información no esté disponible ni sea divulgada a individuos no autorizados, entidades o procesos. ISO 27000:2018, cláusula 3.10 • Integridad: Propiedad de proteger la precisión y la totalidad de los activos. ISO 27000:2018, cláusula 3.36 • Disponibilidad: Propiedad de estar accesible y ser utilizable a demanda por parte de una entidad autorizada ISO 27000:2018, cláusula 3.7
Gestión de los Riesgos Términos y definiciones 3.28 Seguridad de la información Preservación de la confidencialidad, integridad y disponibilidad de la información. Nota : además de otras propiedades, que también pueden estar involucradas como la autenticación, registro de responsabilidad (accountability), el no repudio y la confiabilidad. ISO 27000:2018
Gestión de los Riesgos Términos y definiciones Activo: Aquello que tenga valor para la organización Amenaza: causa potencial de un incidente no deseado, que puede dar lugar a daños en un sistema o en una organización Vulnerabilidad: debilidad de un activo o control que puede ser explotada por una o más amenazas Degradación: cuán perjudicado resultaría el activo. La degradación mide el daño causado por un incidente en el supuesto de que ocurriera. Frecuencia: cada cuánto se materializa la amenaza
Gestión de los Riesgos Términos y definiciones Análisis de Riesgos: proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización Tratamiento de riesgo: proceso de selección e implementación de medidas (controles) para modificar un riesgo Control: medio de gestionar el riesgo, incluyendo políticas, procedimientos, guías, prácticas o estructuras organizativas, que pueden ser de naturaleza administrativa, técnica, de gestión, o legal.
Gestión de los Riesgos • Debemos partir de la base de que los sistemas de gestión definen el riesgo como el efecto que genera la incertidumbre, puede ser positivo o negativo, debido a la falta de información de la situación, proceso o procedimiento. • De esta manera, la gestión del riesgo viene a apoyar las decisiones estratégicas que buscan prevenir las situaciones adversas futuras para transformarlas y aprovecharlas de manera eficiente para la mejora continua.
Gestión de los Riesgos • Gestión de los Riesgos significa que, en primer lugar es necesario identificar los riesgos que afectan a la Organización, y en segundo lugar, es necesario establecer medidas de seguridad para reducir estos riesgos. • Por tanto dentro de la Gestión de riesgos podemos diferenciar principalmente 2 etapas: Análisis y Tratamiento
Gestión de los Riesgos • Para desarrollar todo el proceso de análisis y tratamiento de los riesgos, hay que establecer una Metodología, la cual definirá los pasos que se tienen que seguir para llevar a cabo la Gestión de Riesgos.
Gestión de los Riesgos Metodologías existentes • ISO/IEC 27005:2018 forma parte de los estándares de la serie ISO/IEC 27000 • Es una Norma ISO que no especifica ningún método de análisis de riesgo concreto, contiene recomendaciones y directrices generales para la gestión de riesgos, por tanto, puede utilizarse como guía para elaborar una Metodología de gestión de riesgos propia.
Gestión de los Riesgos • ISO/IEC 27005:2018 nos presenta el porqué, el qué y el cómo para que las organizaciones sean capaces de gestionar sus riesgos sobre seguridad de la información de forma efectiva según los requisitos de ISO/IEC 27001. • Ayuda a demostrar a los clientes, accionistas o partes interesadas de una organización el cumplimiento de las exigencias de los procesos sobre gestión de riesgos que tienen lugar. Dándoles así confianza y probando porque deberían trabajar junto a la organización.
Gestión de los Riesgos Metodologías existentes ISO 31000 Al igual que la anterior, es una Norma ISO que contiene una serie de buenas prácticas para gestionar riesgos, aunque la diferencia con respecto la ISO 27005, es que esta no aplica solamente a la Seguridad de la Información, sino que aplica a cualquier tipo de riesgo, es mas general.
Gestión de los Riesgos La Norma ISO 27001 : 2013 destaca que el sistema de gestión SGSI de la organización considera la gestión del riesgo. ISO 27001 : 2013 no requiere evaluaciones de riesgo según algún proceso especifico. • La norma ISO 31000:2018 (Gestión del riesgo – Principios y Guías) proporciona principios y guías genéricas para la gestión del riesgo. Esta norma se complementa con la ISO Guide 73:2018 Gestión del riesgo Vocabulario.
Gestión de los Riesgos ISO 31000:2018 Gestión del riesgo Principios y directrices puede ser una referencia útil para organizaciones que desean o necesitan un enfoque más formal del riesgo (uso no obligatorio). Para integrar la gestión del riesgo en ISO 27001 : 2013, podemos seguir los criterios de la norma ISO 31000: 2018 ISO 31000: 2018 ISO27001: 2013
Gestión de los Riesgos A la hora de abordar los ciberriesgos, la serie ISO/IEC 27000 sobre sistemas de gestión de seguridad de la información, o SGSI se debe evaluar conjuntamente con la serie ISO 31000. Este planteamiento da igual peso a la tecnología y al factor humano. la serie ISO/IEC 27000 ayudará a las organizaciones a evaluar sus necesidades puramente tecnológicas, mientras que ISO 31000 ayudará a comprender el valor de la información o los productos que guardan en el ciberespacio y, por tanto, el grado de protección tecnológica que necesitará para prevenir posibles ataques.
Gestión de los Riesgos En otros términos : una evaluación exhaustiva del riesgo según ISO 31000 podría evitarle a cualquier organización un desembolso económico considerable si hablamos de seguridad tecnológica. Hacer caso omiso del riesgo puede llevar por igual a gastar demasiado en un sistema de protección o a no invertir lo suficiente. La inversión de una organización en ciberseguridad puede regirse por el nivel de dependencia que tiene en el sistema; una organización pequeña puede seguir utilizando (o retomar) los recibos en papel, mientras que un gigante como Amazon depende literalmente de la conectividad.
Gestión de los Riesgos Metodologías existentes • CRAMM Tuvo su origen en Reino Unido, ya que fue desarrollada por el CCTA (Central Computer and Telecommunications Agency). • Tiene reconocimiento a nivel Internacional, y su desarrollo es de los más simples: 1. Identificación y valoración de activos, 2. valoración de amenazas y vulnerabilidades y 3. selección de contramedidas.
Gestión de los Riesgos Metodologías existentes OCTAVE • Fue desarrollada por el SEI (Software Engineering Institute) en Estados Unidos, y también tiene un gran reconocimiento internacional. • Tiene una buena aceptación a nivel mundial, aunque las fases que la componen son un poco diferentes de las metodologías habituales, lo cual suele implicar mayor dificultad a la hora de utilizarla.
Gestión de los Riesgos Metodologías existentes MAGERIT • Se utiliza mucho en España, sobre todo en Administraciones Públicas, ya que fue desarrollada por el Consejo Superior de Administración Electrónica. • Esta metodología no es muy conocida a nivel Internacional, aunque su utilización puede ser interesante en cualquier tipo de empresa
Gestión de los Riesgos Metodologías existentes NIST 800-30 • Fue desarrollada por el NIST (National Institute of Standards and Technology) en EEUU, y aunque tiene reconocimiento Internacional, su uso se limita sobre todo a EEUU (Administraciones Públicas). • Aunque se compone de un mayor número de fases que las anteriores metodologías, es muy intuitiva, sencilla de utilizar
Gestión de los Riesgos 1. Identificación de activos Elaborar un listado de inventarios en activo • Como base, se deben identificar los elementos indispensables para el funcionamiento y la realización del producto al que se dedica la organización. • De esta manera, se aporta una imagen definitiva y documentada que va a servir de soporte para muchos procesos del sistema de gestión y la toma de decisiones estratégicas, pero además se asientan los cimientos de la gestión de los diferentes riesgos a los que se enfrenta o puede enfrentarse la organización.
Gestión de los Riesgos 1. Identificación de activos Existen básicamente dos tipos de activos: 1. Activos primarios: - Procesos y actividades del negocio - Información 2. Activos de soporte e infraestructura (sobre los cuales los elementos primarios del alcance se apoyan): - Hardware / Software - Redes - Recursos Humanos - Instalaciones físicas - Estructura de la organización
• 1. Identificación de activos Cuando se realiza la identificación y las dependencias entre los diferentes activos, se tiene que partir del estudio del funcionamiento de los servicios que responden a preguntas como: ¿Qué información es necesaria para prestar el servicio? ¿Dónde se almacena dicha información? Gestión de los Riesgos
Se elabora un inventario de activo que deberá incluir una serie de datos básicos : Nombre Descripción Categoría Ubicación física en la que se encuentra Dependencias con otros activos Valor del activo en relación con la confidencialidad, disponibilidad e integridad, por lo que se establecen valores para cada uno de los activos a partir de diferentes criterios que se encuentran normalizados y son objetivos. Gestión de los Riesgos
Gestión de los Riesgos 1. Identificación de activos Podemos considerar como activos: Impresoras, dispositivos de almacenamiento (discos duros externos, pendrives), aplicaciones, notebooks, tablets servidores, personas, etc.) Todos estos elementos tienen información: • Impresora: Hojas que se imprimen • Pendrives: Información digital • Aplicaciones: Información digital • Servidores: Información digital • Empleados: Conocimiento, e información de la Organización
Gestión de los Riesgos 1. Identificación de activos No obstante también podemos identificar como activo elementos que no contienen información, pero que son imprescindibles para otros activos que sí la tienen, pero su funcionamiento implica que los, que sí contienen información, puedan funcionar. También es importante identificar la dependencia que puede existir entre activos: Una aplicación funciona en un servidor, por lo tanto, si el servidor deja de funcionar, la aplicación también lo hará.
Gestión de los Riesgos 2. Identificación de amenazas y vulnerabilidades Todos los activos de la Organización están expuestos a amenazas, y estas son explotadas por vulnerabilidades. ¿Qué es una amenaza? Cualquier problema que pueda afectar al negocio: Ingeniería, social, catástrofe natural, troyanos, virus, etc. ¿Qué es una vulnerabilidad? Situación que provoca que una amenaza pueda producirse.
Gestión de los Riesgos 2. Identificación de amenazas y vulnerabilidades Por ejemplo, en una Organización existe poca concienciación en seguridad de la información, esto (la vulnerabilidad) ocasionará que exista más probabilidad de que alguno de sus empleados se descargue un correo electrónico con un troyano o un virus (amenaza).
Gestión de los Riesgos 2. Identificación de amenazas y vulnerabilidades Lo recomendable suele ser identificar amenazas /vulnerabilidades por tipo de activo, ya que todos los activos que estén bajo una misma categoría podrán compartir amenazas/vulnerabilidades. No obstante hay que hacer un análisis por cada activo y comprobar si las amenazas/vulnerabilidades que le corresponden por su categoría son adecuadas. Casi todas las metodologías de gestión de riesgos, o al menos las más importantes, incluyen un catalogo de amenazas de donde se pueden seleccionar las que apliquen a cada activo.
Gestión de los Riesgos 2. Identificación de amenazas y vulnerabilidades Ejemplo de amenazas • Acceso no autorizado • Usuarios desleales • Espionaje industrial • Acciones de Hackers • Fraude • Fuego • Robo de documentos confidenciales • Robo de notebooks/ otros equipos
Gestión de los Riesgos 2. Identificación de amenazas y vulnerabilidades • Contando con dicho catalogo de amenazas y relacionándolo con la lista de activos, será el momento de valorar la vulnerabilidad de cada uno de los diferentes activos teniendo en cuenta con la degradación a la que están expuestos y su probabilidad frente a las amenazas.
Gestión de los Riesgos 2. Identificación de amenazas y vulnerabilidades • Son vulnerabilidades todas las ausencias o ineficacias de los controles (salvaguardas) pertinentes para salvaguardar el valor propio o acumulado sobre un activo. • A veces se emplea el término “insuficiencia” para resaltar el hecho de que la eficacia medida del control (salvaguarda) es insuficiente para preservar el valor del activo expuesto a una amenaza. • La materialización de la amenaza a través de la explotación de una vulnerabilidad degrada el valor del activo y puede afectar a su confidencialidad, integridad o disponibilidad.
Gestión de los Riesgos 3. Cálculo del nivel de riesgo • El cálculo del nivel de riesgo se realiza de manera distinta dependiendo de la metodología que se considere, ya que cada una utiliza una fórmula de cálculo distinta. • No obstante aquí veremos una fórmula sencilla y rápida de entender, basada en 2 parámetros fundamentales en gestión de riesgos: Probabilidad y Impacto
Gestión de los Riesgos 3. Cálculo del nivel de riesgo • Probabilidad de que una amenaza se materialice. • Impacto en la Organización resultante de la materialización de una amenaza. Tanto el Impacto como la Probabilidad se pueden medir en valores porcentuales, lo cual nos resultará más sencillo a la hora de calcular el nivel de riesgo.
Gestión de los Riesgos 3. Cálculo del nivel de riesgo • Impacto: Por ejemplo 0% si la amenaza no produce ningún daño, 50% si el daño es considerable y 100% si el daño es muy crítico para la Organización. • Probabilidad: Por ejemplo 0% si la probabilidad de que la amenaza se materialice es muy baja, 50% si la probabilidad es considerable y 100% si la probabilidad es muy alta. obtendremos un valor numérico para el riesgo, el cual representará : Probabilidad de que una amenaza se materialice e impacto en la Organización, en caso de que se materialice.
Gestión de los Riesgos 3. Cálculo del nivel de riesgo El Sistema de Gestión de Seguridad de la Información SGSI se basa en tres propiedades básicas de la información: • Confidencialidad: es la garantía de acceso a la información de los usuarios que se encuentran autorizados para tal fin. • Integridad: es la preservación de la información completa y exacta. • Disponibilidad: es la garantía de que el usuario accede a la información que necesita en ese preciso momento.
Gestión de los Riesgos 3. Cálculo del nivel de riesgo • El Sistema de Gestión de Seguridad de la Información SGSI tiene que tener en cuenta preservar estas tres propiedades básicas de la información en el proceso de evaluación de riesgos. • El proceso para la evaluación de riesgos ya no está enfocado entonces, solo en los activos, las vulnerabilidades y las amenazas. • La metodología se debe enfocar en el objetivo de identificar ,además ,los riesgos asociados con la pérdida de la confidencialidad, integridad y disponibilidad de la información.
Gestión de los Riesgos 3. Cálculo del nivel de riesgo El siguiente paso será determinar si este nivel de riesgo es aceptable para la Organización, es decir, si el nivel de riesgo detectado está por encima o no del nivel de riesgo aceptable. Nivel de riesgo aceptable: Es el nivel de riesgo que establece la Organización como permitido, es decir, si el nivel de riesgo aceptable por ejemplo es Medio, únicamente supondrá un peligro para la Organización aquellos riesgos que estén por encima es decir Alto. Por lo tanto, si el nivel de riesgo está por encima del aceptable, tendremos que hacer un tratamiento del riesgo con el objetivo de reducirlo a un nivel aceptable.
Gestión de los Riesgos 3. Cálculo del nivel de riesgo Es interesante destacar que el impacto se estudia sin tener en cuenta todas las medidas de seguridad que se realizan en ese momento, ya que si las incluimos disminuiremos el riesgo máximo de cada activo y pueden provocar que los riesgos existentes no se consideren como tal.
Gestión de los Riesgos • La análisis de riesgos y evaluación de riesgos, es probablemente la parte más complicada de la implementación de la norma ISO 27001 • Pero al mismo tiempo, el análisis , evaluación y tratamiento de riesgos según ISO 27001, son las etapas más importante al inicio del proyecto de seguridad de la información.
Gestión de los Riesgos • La filosofía principal de ISO 27001 es identificar los incidentes que podrían ocurrir ,analizar los riesgos. También es necesario evaluar los riesgos, determinando la probabilidad y el impacto de cada uno de ellos, de forma que se pueda definir cuáles son tolerables, cuáles son más importantes y cuáles pueden ser eliminados y encontrar las formas apropiadas para evitar tales incidentes. • Aunque la identificación, análisis ,evaluación y el tratamiento de riesgos unidas a estas acciones conforman la gestión , son labores complejas, a menudo es cuestión de apelar a la lógica y establecer prioridades.
La organización debe definir y aplicar un proceso de valoración de riesgos de la seguridad de la información CRITERIOS de RIESGOS de SEGURIDAD de la INFORMACION
Sistema de gestión de la información Análisis y Evaluación de Riesgos Plan de tratamiento de Riesgo Identificación, análisis ,evaluación y tratamiento de riesgos ISO 27001 Seguridad de la información gestionada
Gestión de los Riesgos • No todos los riesgos se generan de la misma forma y no todos tienen el mismo impacto. • El objetivo del la análisis y evaluación de riesgos es determinar la importancia y el impacto del riesgo y de esta forma, optar por las formas de mitigar el riesgo. • Existen 4 opciones de mitigación de riesgos según ISO 27001 1. Reducir el riesgo 2. Compartir o transferir el riesgo 3. Eliminar el riesgo 4. Aceptar el riesgo
Gestión de los Riesgos 4. Establecimiento de controles Reducir el riesgo • Para aquellos riesgos que superen el nivel aceptable tendremos que aplicar controles, según el Anexo A de ISO 27001 para reducir el riesgo. • El Anexo A de la ISO/IEC 27001:2013 e I SO/IEC 27002:2013 es un catalogo de controles (salvaguardas) o medidas a aplicar para tratar el riesgo, especifica 114 controles en 14 grupos. • Es la opción más utilizada, e incluye la implementación de medidas de seguridad como cámaras de vigilancia, censores de movimiento, de fuego, de humo, y por supuesto, instalación de firewall.
Gestión de los Riesgos A cada punto de control se le debe asociar un rango o factor determinado. Por ejemplo, el acceso a un área segura podría dividirse en: Rango 1. No hay establecida ninguna medida de seguridad. Rango 2. Existe alguna medida de seguridad pero no se ha establecido una pauta concreta ni periodicidad. Rango 3. Existen una serie de medidas establecidas, pero no se ha determinado una evaluación de las mismas. Rango 4. Los controles tienen establecidos una periodicidad, evaluación y seguimiento. Rango 5. Son actividades ligadas al propio negocio, es decir, se trata de un factor interno de la empresa que lo gestiona y está implementada dentro de la propia organización.
Gestión de los Riesgos La organización debe decidir qué tipo de rango necesita para cada control con el fin de asegurar la seguridad de la información, teniendo en cuenta que los controles de carácter preventivo son más eficaces que los correctivos. Por ejemplo, es más seguro instalar un dispositivo que controle la temperatura (saltará la alarma antes de que se produzca un posible incendio) que tener un sistema anti incendio que avisa cuando ya hay humo (la situación peligrosa ya ha empezado a producirse).
Gestión de los Riesgos Todos estos controles siguen un ciclo de mejora continua vinculado al plan de tratamiento de riesgos y asociados a la evaluación de los mismos para el cálculo del riesgo residual. Mediante el proceso de mejora continua es posible comprobar la eficacia de los controles o si es necesario cambiar de rango o factor de seguridad, realizando las modificaciones que sean necesarias. Los controles que están incluidos en el anexo A de la norma ISO 27001 y su nivel de detalle y especificidad los diferencian de los existentes en otras normas, que tienen un carácter más generalista y transversal.
Gestión de los Riesgos 4. Establecimiento de controles Reducir el riesgo • Para hacer esta implantación de controles de manera ordenada, estructurada y planificada, estableceremos un Plan de Tratamiento de Riesgos. • El Plan de Tratamiento de Riesgos adjudica responsabilidades para el diseño, implementación y puesta en práctica de los controles, establece plazos, recursos, presupuesto y acciones de seguimiento. • El Plan de Tratamiento de riesgos implanta de manera planificada los controles que se aplican a los riesgos que superan el nivel aceptable.
Gestión de los Riesgos 4. Establecimiento de controles El Plan de Tratamiento de Riesgos tiene que contener una serie de información básica: • Responsable del control: Persona que se responsabiliza de la correcta implantación del control • Recursos: Personas, técnicos, empresas externas o materiales que se utilizarán para la implantación del control • Acciones : Acciones que serán necesarias para la implantación del control • Prioridad: Todos los controles no tienen la misma prioridad, ya que por una parte el nivel de riesgo no será el mismo, ni tampoco el valor de cada activo para la Organización. Por tanto es necesario establecer prioridades. Esta prioridad puede venir determinada por la fecha de implantación de cada control.
Gestión de los Riesgos Después de implantar todos los controles de seguridad, tenemos que calcular el riesgo residual. Riesgo residual: Es el riesgo que sigue quedando después de implantar los controles de seguridad Cuando implantamos los controles reducimos el riesgo, pero este no dejará de existir, siempre quedará un nivel, aunque sea mínimo.
Gestión de los Riesgos ¿Qué ocurre si el nivel de riesgo, reducido por la implantación de los controles de seguridad, sigue estando por encima del nivel de riesgo aceptable? Tendremos que tomar una decisión en cuanto al tratamiento, y deberá quedar formalmente establecido en nuestra metodología de análisis y tratamiento de riesgos.
1 3 2
Gestión de los Riesgos Esta decisión se puede resumir en las siguientes 3 posibilidades: • Aceptar o asumir el riesgo Cuando las acciones necesarias para eliminar un riesgo, tienen un costo demasiado alto – superior a las consecuencias previstas de la ocurrencia del incidente , conviene pensar en la posibilidad de convivir con el riesgo, y minimizar su impacto. Para estos casos, resulta ideal utilizar esta opción, en conjunto con la de compartir el riesgo ,opción 2, adquiriendo una póliza de seguros.
Gestión de los Riesgos • Compartir o transferir el riesgo El ejemplo más común, es la suscripción de una póliza de seguros, con cobertura para el riesgo que se desea compartir. Contratar una compañía de seguridad, que asuma el compromiso de velar por la integridad de la información es otra forma de compartir el riesgo, cuando el contrato especifica una penalidad en caso de que se presente un incidente. Estas son medidas que no conjuran la ocurrencia del incidente, ya que tan solo se transfiere el riesgo financiero a otra organización, pero pueden resultar efectivas si se utilizan en conjunto con una o varias de las otras opciones de mitigación
Gestión de los Riesgos • Eliminar el riesgo Se logra eliminando una actividad, un procedimiento o un proceso que puede ser la causa del incidente, o modificándolos de tal forma que se elimine el riesgo. Un ejemplo de ello es el uso de ordenadores portátiles fuera de las instalaciones de la organización. Prohibir esta práctica, elimina la posibilidad de ocurrencia de muchos incidentes, generadores de riesgos de alto impacto.
Gestión de los Riesgos Declaración de aplicabilidad Consiste en un documento que relaciona los controles que se aplican en el sistema de gestión. De los controles que la norma ISO/IEC 27001 indica en su anexo A, una Organización debe seleccionar aquellos que debe implantar y mantener en su sistema. El resultado de la elección de los controles forma parte del Plan de Tratamiento de riesgos, de modo que éste tiene como salida la Declaración de Aplicabilidad.
Gestión de los Riesgos Conclusiones Todos los activos de una Organización (sea grande o pequeña) están expuestos a riesgos, los cuales si no se reducen pueden provocar un problema importante al negocio. Para reducir estos riesgos podemos implantar controles utilizando una metodología de análisis de riesgos. Una metodología de análisis de riesgos nos ayuda a identificar activos, las amenazas/vulnerabilidades que les afectan, y calcular el nivel de riesgo, el cual tiene que estar por debajo de un nivel aceptable para la Organización. Si el nivel de riesgo es superior al aceptable, la Organización tiene que implantar controles de seguridad para reducirlo. Existen muchas metodologías, pero todas tienen el mismo objetivo: calcular el riesgo asociado a los activos de la Organización y establecer medidas para reducirlo.
Gestión de los riesgos de seguridad de la información Sistema de Gestión de Seguridad de la Información ISO 27001 V 2020 FIN

Recomendados

Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgosPrimala Sistema de Gestion
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioMelvin Jáquez
 
Iso 27001
Iso 27001Iso 27001
Iso 27001navidisey
 

Recomendados

Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgosPrimala Sistema de Gestion
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioMelvin Jáquez
 
Iso 27001
Iso 27001Iso 27001
Iso 27001navidisey
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001Pedro Garcia Repetto
 
Iso 31000
Iso 31000Iso 31000
Iso 31000Uro Cacho
 
Interpretación del ISO 27031
Interpretación del ISO 27031Interpretación del ISO 27031
Interpretación del ISO 27031Maricarmen García de Ureña
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Understanding the NIST Risk Management Framework: 800-37 Rev. 2
Understanding the NIST Risk Management Framework: 800-37 Rev. 2Understanding the NIST Risk Management Framework: 800-37 Rev. 2
Understanding the NIST Risk Management Framework: 800-37 Rev. 2Denise Tawwab
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copiaYadi De La Cruz
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de NegocioDavid Solis
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000Haroll Suarez
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
Iso 27001 awareness
Iso 27001 awarenessIso 27001 awareness
Iso 27001 awarenessÃsħâr Ãâlâm
 
Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032PECB
 
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowPECB
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Magda CHELLY, Ph.D, S-CISO, CISSP®
 
iso 27005
iso 27005iso 27005
iso 27005Pamelita TA
 
27001.pptx
27001.pptx27001.pptx
27001.pptxAvniJain836319
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinezBernaMartinez
 
ISMS Part I
ISMS Part IISMS Part I
ISMS Part Ikhushboo
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
Buenas prácticas ISO 27001
Buenas prácticas ISO 27001Buenas prácticas ISO 27001
Buenas prácticas ISO 27001ISOTools Chile
 
La gestion de riesgos segun iso 9001 14001 31000 2018 v 2020
La gestion de riesgos segun iso 9001 14001 31000 2018 v 2020La gestion de riesgos segun iso 9001 14001 31000 2018 v 2020
La gestion de riesgos segun iso 9001 14001 31000 2018 v 2020Primala Sistema de Gestion
 

Más contenido relacionado

La actualidad más candente

Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Understanding the NIST Risk Management Framework: 800-37 Rev. 2
Understanding the NIST Risk Management Framework: 800-37 Rev. 2Understanding the NIST Risk Management Framework: 800-37 Rev. 2
Understanding the NIST Risk Management Framework: 800-37 Rev. 2Denise Tawwab
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de NegocioDavid Solis
 
Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032PECB
 
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowPECB
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinezBernaMartinez
 
ISMS Part I
ISMS Part IISMS Part I
ISMS Part Ikhushboo
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 

La actualidad más candente (20)

AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
 
Iso 31000
Iso 31000Iso 31000
Iso 31000
 
Interpretación del ISO 27031
Interpretación del ISO 27031Interpretación del ISO 27031
Interpretación del ISO 27031
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
 
Understanding the NIST Risk Management Framework: 800-37 Rev. 2
Understanding the NIST Risk Management Framework: 800-37 Rev. 2Understanding the NIST Risk Management Framework: 800-37 Rev. 2
Understanding the NIST Risk Management Framework: 800-37 Rev. 2
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de Negocio
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Iso 27001 awareness
Iso 27001 awarenessIso 27001 awareness
Iso 27001 awareness
 
Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032
 
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
iso 27005
iso 27005iso 27005
iso 27005
 
27001.pptx
27001.pptx27001.pptx
27001.pptx
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
 
ISMS Part I
ISMS Part IISMS Part I
ISMS Part I
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
 

Similar a Iso 27001 gestion de riesgos v 2020

Buenas prácticas ISO 27001
Buenas prácticas ISO 27001Buenas prácticas ISO 27001
Buenas prácticas ISO 27001ISOTools Chile
 
La gestion de riesgos segun iso 9001 14001 31000 2018 v 2020
La gestion de riesgos segun iso 9001 14001 31000 2018 v 2020La gestion de riesgos segun iso 9001 14001 31000 2018 v 2020
La gestion de riesgos segun iso 9001 14001 31000 2018 v 2020Primala Sistema de Gestion
 
auditoria
auditoriaauditoria
auditoriafrankcq
 
Iso27001
Iso27001Iso27001
Iso27001frankcq
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
CLASE 1 . INTRODUCCION A GESTION DEL RIESGOS.pptx
CLASE 1 . INTRODUCCION A GESTION DEL RIESGOS.pptxCLASE 1 . INTRODUCCION A GESTION DEL RIESGOS.pptx
CLASE 1 . INTRODUCCION A GESTION DEL RIESGOS.pptxkarenSoledad7
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005ffffffffe23
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001Samary Páez
 
ENJ 500 - Curso ¿Cómo Gestionar los Riesgos y Oportunidades en un Sistema de ...
ENJ 500 - Curso ¿Cómo Gestionar los Riesgos y Oportunidades en un Sistema de ...ENJ 500 - Curso ¿Cómo Gestionar los Riesgos y Oportunidades en un Sistema de ...
ENJ 500 - Curso ¿Cómo Gestionar los Riesgos y Oportunidades en un Sistema de ...ENJ
 
Electiva cpc iso 270001
Electiva cpc iso 270001Electiva cpc iso 270001
Electiva cpc iso 270001Yohany Acosta
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónDavid Eliseo Martinez Castellanos
 
El riesgo empresarial en la iso 27001 y 31000.pptx
El riesgo empresarial en la iso 27001 y 31000.pptxEl riesgo empresarial en la iso 27001 y 31000.pptx
El riesgo empresarial en la iso 27001 y 31000.pptxDavid Baez
 
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdfPILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdfDIFESAMU
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
 

Similar a Iso 27001 gestion de riesgos v 2020 (20)

Buenas prácticas ISO 27001
Buenas prácticas ISO 27001Buenas prácticas ISO 27001
Buenas prácticas ISO 27001
 
La gestion de riesgos segun iso 9001 14001 31000 2018 v 2020
La gestion de riesgos segun iso 9001 14001 31000 2018 v 2020La gestion de riesgos segun iso 9001 14001 31000 2018 v 2020
La gestion de riesgos segun iso 9001 14001 31000 2018 v 2020
 
auditoria
auditoriaauditoria
auditoria
 
Iso27001
Iso27001Iso27001
Iso27001
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
CLASE 1 . INTRODUCCION A GESTION DEL RIESGOS.pptx
CLASE 1 . INTRODUCCION A GESTION DEL RIESGOS.pptxCLASE 1 . INTRODUCCION A GESTION DEL RIESGOS.pptx
CLASE 1 . INTRODUCCION A GESTION DEL RIESGOS.pptx
 
Taller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_RiesgosTaller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_Riesgos
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 
ENJ 500 - Curso ¿Cómo Gestionar los Riesgos y Oportunidades en un Sistema de ...
ENJ 500 - Curso ¿Cómo Gestionar los Riesgos y Oportunidades en un Sistema de ...ENJ 500 - Curso ¿Cómo Gestionar los Riesgos y Oportunidades en un Sistema de ...
ENJ 500 - Curso ¿Cómo Gestionar los Riesgos y Oportunidades en un Sistema de ...
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
Electiva cpc iso 270001
Electiva cpc iso 270001Electiva cpc iso 270001
Electiva cpc iso 270001
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la Información
 
Iso27001
Iso27001Iso27001
Iso27001
 
El riesgo empresarial en la iso 27001 y 31000.pptx
El riesgo empresarial en la iso 27001 y 31000.pptxEl riesgo empresarial en la iso 27001 y 31000.pptx
El riesgo empresarial en la iso 27001 y 31000.pptx
 
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdfPILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 

Más de Primala Sistema de Gestion

Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...Primala Sistema de Gestion
 
Panorama sobre la gestion de activos modelos conceptuales v 2020
Panorama sobre la gestion de activos modelos conceptuales v 2020Panorama sobre la gestion de activos modelos conceptuales v 2020
Panorama sobre la gestion de activos modelos conceptuales v 2020Primala Sistema de Gestion
 
Accion sobre los activos gestion de activos y sga v 2020
Accion sobre los activos gestion de activos y sga v 2020Accion sobre los activos gestion de activos y sga v 2020
Accion sobre los activos gestion de activos y sga v 2020Primala Sistema de Gestion
 

Más de Primala Sistema de Gestion (20)

Iso sistema integrado de gestion v 2020
Iso sistema integrado de gestion v 2020Iso sistema integrado de gestion v 2020
Iso sistema integrado de gestion v 2020
 
Reseña historica de ISO v 2020
Reseña historica de ISO v 2020Reseña historica de ISO v 2020
Reseña historica de ISO v 2020
 
Lean manufacturing kanban v 2020
Lean manufacturing kanban v 2020Lean manufacturing kanban v 2020
Lean manufacturing kanban v 2020
 
Lean manufacturing smed v 2020
Lean manufacturing smed v 2020Lean manufacturing smed v 2020
Lean manufacturing smed v 2020
 
Lean nivelado v 2020
Lean nivelado v 2020Lean nivelado v 2020
Lean nivelado v 2020
 
Lean jit v 2020
Lean jit v 2020Lean jit v 2020
Lean jit v 2020
 
Lean tpm v 2020
Lean tpm v 2020Lean tpm v 2020
Lean tpm v 2020
 
Lean manufacturing celularizacion v 2020
Lean manufacturing celularizacion v 2020Lean manufacturing celularizacion v 2020
Lean manufacturing celularizacion v 2020
 
Lean hk nk 2020
Lean hk nk 2020Lean hk nk 2020
Lean hk nk 2020
 
Lean jidoka 2020
Lean jidoka 2020Lean jidoka 2020
Lean jidoka 2020
 
Lean manufacturing gestion visual v 2020
Lean manufacturing gestion visual v 2020Lean manufacturing gestion visual v 2020
Lean manufacturing gestion visual v 2020
 
Lean poka yoke v 2020
Lean poka yoke v 2020Lean poka yoke v 2020
Lean poka yoke v 2020
 
La fabrica visual v 2020
La fabrica visual v 2020La fabrica visual v 2020
La fabrica visual v 2020
 
Iso norma iso 45001 presentacion v 2020
Iso norma iso 45001 presentacion v 2020Iso norma iso 45001 presentacion v 2020
Iso norma iso 45001 presentacion v 2020
 
Iso norma iso 45001 analisis v 2020
Iso norma iso 45001 analisis v 2020Iso norma iso 45001 analisis v 2020
Iso norma iso 45001 analisis v 2020
 
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...
 
Iso 22301 sgcn bcms v 2020
Iso 22301 sgcn bcms v 2020Iso 22301 sgcn bcms v 2020
Iso 22301 sgcn bcms v 2020
 
Gestion de activos rs y ods v 2020
Gestion de activos rs y ods v 2020Gestion de activos rs y ods v 2020
Gestion de activos rs y ods v 2020
 
Panorama sobre la gestion de activos modelos conceptuales v 2020
Panorama sobre la gestion de activos modelos conceptuales v 2020Panorama sobre la gestion de activos modelos conceptuales v 2020
Panorama sobre la gestion de activos modelos conceptuales v 2020
 
Accion sobre los activos gestion de activos y sga v 2020
Accion sobre los activos gestion de activos y sga v 2020Accion sobre los activos gestion de activos y sga v 2020
Accion sobre los activos gestion de activos y sga v 2020
 

Último

Gestion de Proyectos en la construcción.
Gestion de Proyectos en la construcción.Gestion de Proyectos en la construcción.
Gestion de Proyectos en la construcción.luisfelipelara1
 
Proyecto de Base de Datos de César Guzmán
Proyecto de Base de Datos de César GuzmánProyecto de Base de Datos de César Guzmán
Proyecto de Base de Datos de César Guzmáncesarguzmansierra751
 
Guía para la identificación de materiales peligrosos
Guía para la identificación de materiales peligrososGuía para la identificación de materiales peligrosos
Guía para la identificación de materiales peligrososAdrianVarela22
 
EJERCICIOS DE PROPIEDADES INDICES DE MECÁNICA DE SUELOS
EJERCICIOS DE PROPIEDADES INDICES DE MECÁNICA DE SUELOSEJERCICIOS DE PROPIEDADES INDICES DE MECÁNICA DE SUELOS
EJERCICIOS DE PROPIEDADES INDICES DE MECÁNICA DE SUELOSLuisLopez273366
 
Sanidad en alpacas, enfermedades infecciosas y parasitarias
Sanidad en alpacas, enfermedades infecciosas y parasitariasSanidad en alpacas, enfermedades infecciosas y parasitarias
Sanidad en alpacas, enfermedades infecciosas y parasitariasJilvertHuisaCenteno
 
Historia de la Arquitectura II, 1era actividad..pdf
Historia de la Arquitectura II, 1era actividad..pdfHistoria de la Arquitectura II, 1era actividad..pdf
Historia de la Arquitectura II, 1era actividad..pdfIsbelRodrguez
 
La Evolución Industrial en el Ecuador.pdf
La Evolución Industrial en el Ecuador.pdfLa Evolución Industrial en el Ecuador.pdf
La Evolución Industrial en el Ecuador.pdfAnthony Gualpa
 
I N F O R M E E N S A Y O S DEL LADRILLO
I N F O R M E E N S A Y O S DEL LADRILLOI N F O R M E E N S A Y O S DEL LADRILLO
I N F O R M E E N S A Y O S DEL LADRILLOcruzmontalvomaicolal
 
Capacitación Anexo 6 D.s. 023 seguridad y salud ocupacional
Capacitación Anexo 6 D.s. 023 seguridad y salud ocupacionalCapacitación Anexo 6 D.s. 023 seguridad y salud ocupacional
Capacitación Anexo 6 D.s. 023 seguridad y salud ocupacionalamador030809
 
ACEROS DE PERFORACION, CARACTERISTICAS Y FICHAS TECNICAS.pptx
ACEROS DE PERFORACION, CARACTERISTICAS Y FICHAS TECNICAS.pptxACEROS DE PERFORACION, CARACTERISTICAS Y FICHAS TECNICAS.pptx
ACEROS DE PERFORACION, CARACTERISTICAS Y FICHAS TECNICAS.pptxaxelalejossantos
 
Sistema de gestión de turnos para negocios
Sistema de gestión de turnos para negociosSistema de gestión de turnos para negocios
Sistema de gestión de turnos para negociosfranchescamassielmor
 
Dispositivos Semiconductores de Potencia BJT, MOSFET 01.pdf
Dispositivos Semiconductores de Potencia BJT, MOSFET 01.pdfDispositivos Semiconductores de Potencia BJT, MOSFET 01.pdf
Dispositivos Semiconductores de Potencia BJT, MOSFET 01.pdfdego18
 
LIQUIDACION OBRAS PUBLICAS POR CONTRATA.pdf
LIQUIDACION OBRAS PUBLICAS POR CONTRATA.pdfLIQUIDACION OBRAS PUBLICAS POR CONTRATA.pdf
LIQUIDACION OBRAS PUBLICAS POR CONTRATA.pdfManuelVillarreal44
 
SEMANA 6 MEDIDAS DE TENDENCIA CENTRAL.pdf
SEMANA 6 MEDIDAS DE TENDENCIA CENTRAL.pdfSEMANA 6 MEDIDAS DE TENDENCIA CENTRAL.pdf
SEMANA 6 MEDIDAS DE TENDENCIA CENTRAL.pdffredyflores58
 
PRIMER Y SEGUNDO TEOREMA DE CASTIGLIANO.pdf
PRIMER Y SEGUNDO TEOREMA DE CASTIGLIANO.pdfPRIMER Y SEGUNDO TEOREMA DE CASTIGLIANO.pdf
PRIMER Y SEGUNDO TEOREMA DE CASTIGLIANO.pdfAuraGabriela2
 
ESTUDIO TÉCNICO DEL PROYECTO DE CREACION DE SOFTWARE PARA MANTENIMIENTO
ESTUDIO TÉCNICO DEL PROYECTO DE CREACION DE SOFTWARE PARA MANTENIMIENTOESTUDIO TÉCNICO DEL PROYECTO DE CREACION DE SOFTWARE PARA MANTENIMIENTO
ESTUDIO TÉCNICO DEL PROYECTO DE CREACION DE SOFTWARE PARA MANTENIMIENTOCamiloSaavedra30
 
Introduccion-a-los-tipos-de-cemento (1).pdf
Introduccion-a-los-tipos-de-cemento (1).pdfIntroduccion-a-los-tipos-de-cemento (1).pdf
Introduccion-a-los-tipos-de-cemento (1).pdfjhorbycoralsanchez
 
Revista estudiantil, trabajo final Materia ingeniería de Proyectos
Revista estudiantil, trabajo final Materia ingeniería de ProyectosRevista estudiantil, trabajo final Materia ingeniería de Proyectos
Revista estudiantil, trabajo final Materia ingeniería de ProyectosJeanCarlosLorenzo1
 
electricidad básica, ejemplos prácticos y ejercicios
electricidad básica, ejemplos prácticos y ejercicioselectricidad básica, ejemplos prácticos y ejercicios
electricidad básica, ejemplos prácticos y ejerciciosEfrain Yungan
 

Último (20)

Gestion de Proyectos en la construcción.
Gestion de Proyectos en la construcción.Gestion de Proyectos en la construcción.
Gestion de Proyectos en la construcción.
 
Proyecto de Base de Datos de César Guzmán
Proyecto de Base de Datos de César GuzmánProyecto de Base de Datos de César Guzmán
Proyecto de Base de Datos de César Guzmán
 
Guía para la identificación de materiales peligrosos
Guía para la identificación de materiales peligrososGuía para la identificación de materiales peligrosos
Guía para la identificación de materiales peligrosos
 
EJERCICIOS DE PROPIEDADES INDICES DE MECÁNICA DE SUELOS
EJERCICIOS DE PROPIEDADES INDICES DE MECÁNICA DE SUELOSEJERCICIOS DE PROPIEDADES INDICES DE MECÁNICA DE SUELOS
EJERCICIOS DE PROPIEDADES INDICES DE MECÁNICA DE SUELOS
 
Sanidad en alpacas, enfermedades infecciosas y parasitarias
Sanidad en alpacas, enfermedades infecciosas y parasitariasSanidad en alpacas, enfermedades infecciosas y parasitarias
Sanidad en alpacas, enfermedades infecciosas y parasitarias
 
Historia de la Arquitectura II, 1era actividad..pdf
Historia de la Arquitectura II, 1era actividad..pdfHistoria de la Arquitectura II, 1era actividad..pdf
Historia de la Arquitectura II, 1era actividad..pdf
 
La Evolución Industrial en el Ecuador.pdf
La Evolución Industrial en el Ecuador.pdfLa Evolución Industrial en el Ecuador.pdf
La Evolución Industrial en el Ecuador.pdf
 
I N F O R M E E N S A Y O S DEL LADRILLO
I N F O R M E E N S A Y O S DEL LADRILLOI N F O R M E E N S A Y O S DEL LADRILLO
I N F O R M E E N S A Y O S DEL LADRILLO
 
Capacitación Anexo 6 D.s. 023 seguridad y salud ocupacional
Capacitación Anexo 6 D.s. 023 seguridad y salud ocupacionalCapacitación Anexo 6 D.s. 023 seguridad y salud ocupacional
Capacitación Anexo 6 D.s. 023 seguridad y salud ocupacional
 
ACEROS DE PERFORACION, CARACTERISTICAS Y FICHAS TECNICAS.pptx
ACEROS DE PERFORACION, CARACTERISTICAS Y FICHAS TECNICAS.pptxACEROS DE PERFORACION, CARACTERISTICAS Y FICHAS TECNICAS.pptx
ACEROS DE PERFORACION, CARACTERISTICAS Y FICHAS TECNICAS.pptx
 
Sistema de gestión de turnos para negocios
Sistema de gestión de turnos para negociosSistema de gestión de turnos para negocios
Sistema de gestión de turnos para negocios
 
presentación manipulación manual de cargas sunafil
presentación manipulación manual de cargas sunafilpresentación manipulación manual de cargas sunafil
presentación manipulación manual de cargas sunafil
 
Dispositivos Semiconductores de Potencia BJT, MOSFET 01.pdf
Dispositivos Semiconductores de Potencia BJT, MOSFET 01.pdfDispositivos Semiconductores de Potencia BJT, MOSFET 01.pdf
Dispositivos Semiconductores de Potencia BJT, MOSFET 01.pdf
 
LIQUIDACION OBRAS PUBLICAS POR CONTRATA.pdf
LIQUIDACION OBRAS PUBLICAS POR CONTRATA.pdfLIQUIDACION OBRAS PUBLICAS POR CONTRATA.pdf
LIQUIDACION OBRAS PUBLICAS POR CONTRATA.pdf
 
SEMANA 6 MEDIDAS DE TENDENCIA CENTRAL.pdf
SEMANA 6 MEDIDAS DE TENDENCIA CENTRAL.pdfSEMANA 6 MEDIDAS DE TENDENCIA CENTRAL.pdf
SEMANA 6 MEDIDAS DE TENDENCIA CENTRAL.pdf
 
PRIMER Y SEGUNDO TEOREMA DE CASTIGLIANO.pdf
PRIMER Y SEGUNDO TEOREMA DE CASTIGLIANO.pdfPRIMER Y SEGUNDO TEOREMA DE CASTIGLIANO.pdf
PRIMER Y SEGUNDO TEOREMA DE CASTIGLIANO.pdf
 
ESTUDIO TÉCNICO DEL PROYECTO DE CREACION DE SOFTWARE PARA MANTENIMIENTO
ESTUDIO TÉCNICO DEL PROYECTO DE CREACION DE SOFTWARE PARA MANTENIMIENTOESTUDIO TÉCNICO DEL PROYECTO DE CREACION DE SOFTWARE PARA MANTENIMIENTO
ESTUDIO TÉCNICO DEL PROYECTO DE CREACION DE SOFTWARE PARA MANTENIMIENTO
 
Introduccion-a-los-tipos-de-cemento (1).pdf
Introduccion-a-los-tipos-de-cemento (1).pdfIntroduccion-a-los-tipos-de-cemento (1).pdf
Introduccion-a-los-tipos-de-cemento (1).pdf
 
Revista estudiantil, trabajo final Materia ingeniería de Proyectos
Revista estudiantil, trabajo final Materia ingeniería de ProyectosRevista estudiantil, trabajo final Materia ingeniería de Proyectos
Revista estudiantil, trabajo final Materia ingeniería de Proyectos
 
electricidad básica, ejemplos prácticos y ejercicios
electricidad básica, ejemplos prácticos y ejercicioselectricidad básica, ejemplos prácticos y ejercicios
electricidad básica, ejemplos prácticos y ejercicios
 

Iso 27001 gestion de riesgos v 2020

  • 1. Gestión de los riesgos de seguridad de la información Sistema de Gestión de Seguridad de la Información ISO 27001 V 2020
  • 2. Gestión de la Seguridad de la Información • La Gestión Seguridad de la Información tiene como fin la protección de la información y de los sistemas de la información, del acceso, uso, divulgación, interrupción o destrucción no autorizada.
  • 3. Gestión de la Seguridad de la Información • Las nuevas tecnologías nos permiten estar conectados en todo momento, pero también abren la puerta a nuevas amenazas a nuestra privacidad, a la gestión de nuestros datos, de nuestros información • ¿Cómo afrontar esta situación? • Sólo hay una forma de gestionar de forma adecuada la seguridad: Identificar, analizar, evaluar, y gestionar los riesgos de seguridad de la información a los que se enfrenta la organización, y tomar las acciones técnicas, organizativas y legales necesarias.
  • 4. Amenaza Evento Daño Recuperación Prevención Reducción Detección Represión Gestión del Incidente Continuidad Recuperación Evaluación Los elementos básicos que conforman la Seguridad de la Información son: 1. Las acciones necesarias para reducir el riesgo antes de un evento indeseado. 2. Las acciones que indiquen como responder durante el evento. 3. Las acciones que describan como recuperarse después de que el evento se ha presentado. Gestión de la Seguridad de la Información
  • 5. Gestión de la Seguridad de la Información • Un Sistema de Gestión de Seguridad de la Información según la ISO27001 genera una garantía con la que sabemos poder realizar una adecuada gestión de la seguridad de la información en la organización. • Para ello, se debe realizar un tratamiento según los diferentes niveles de riesgos determinados como consecuencia de considerar los distintos efectos que se pueden producir sobre la información de la organización.
  • 6. Un Sistema de Gestión de Seguridad de la Información se encuentra basado en la norma ISO-27001. Este estándar internacional presenta un sistema de gestión basado en el ciclo de Deming: Planificar, Hacer, Verificar y Actuar, cuyas siglas en inglés son PDCA. El ciclo Deming o ciclo PDCA, supone la implementación de un Sistema de Gestión que se centra en la mejora continua.
  • 7. PLANIFICAR Definir la política de seguridad Establecer al alcance del SGSI Realizar el análisis de riesgo Seleccionar los controles Definir competencias Establecer un mapa de procesos Definir autoridades y responsabilidades HACER Implantar el plan de gestión de riesgos Implantar el SGSI Implantar los controles CONTROLAR Revisar internamente el SGSI Realizar auditorías internas del SGSI Poner en marcha indicadores y métricas Hacer una revisión por parte de la Dirección ACTUAR Adoptar acciones correctivas Adoptar acciones de mejora
  • 8. En base a este sistema PDCA, la norma ISO 27001 establece las siguientes fases para elaborar un SGSI 1. Análisis y evaluación de riesgos. 2. Implementación de controles 3. Definición de un plan de tratamiento de los riesgos o esquema de mejora 4. Alcance de la gestión 5. Contexto de organización 6. Partes interesadas 7. Fijación y medición de objetivos 8. Proceso documental 9. Auditorías internas y externas
  • 9. El propósito de un Sistema de Gestión de la Seguridad de la Información es, por lo tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma sistemática, documentada y estructurada
  • 10. Gestión de los Riesgos • ISO 27001 establece un Sistema de Gestión de Seguridad de la Información, cuyo elemento más importante es la Gestión de los Riesgos
  • 11. Términos y definiciones 3.61 riesgo Efecto de la incertidumbre sobre los objetivos ISO/IEC 27000 :2018 • Nota 1 a la entrada: Un efecto es una desviación respecto a lo previsto. Puede ser positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y amenazas. • Nota 2 a la entrada: Los objetivos pueden tener diferentes aspectos y categorías, y se pueden aplicar a diferentes niveles. • Nota 3 a la entrada: Con frecuencia, el riesgo se expresa en términos de fuentes de riesgo , eventos potenciales, sus consecuencias y sus probabilidades . Gestión de los Riesgos
  • 12. Gestión de los Riesgos “Efecto de la incertidumbre” es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad DESVIACION DE LO ESPERADO Término común y definición esencial para las normas de sistemas de gestión que se proporcionan en Anexo SL de Directivas ISO/IEC Riesgo
  • 13. Gestión de los Riesgos Términos y definiciones • Confidencialidad: Propiedad por la cual la información no esté disponible ni sea divulgada a individuos no autorizados, entidades o procesos. ISO 27000:2018, cláusula 3.10 • Integridad: Propiedad de proteger la precisión y la totalidad de los activos. ISO 27000:2018, cláusula 3.36 • Disponibilidad: Propiedad de estar accesible y ser utilizable a demanda por parte de una entidad autorizada ISO 27000:2018, cláusula 3.7
  • 14. Gestión de los Riesgos Términos y definiciones 3.28 Seguridad de la información Preservación de la confidencialidad, integridad y disponibilidad de la información. Nota : además de otras propiedades, que también pueden estar involucradas como la autenticación, registro de responsabilidad (accountability), el no repudio y la confiabilidad. ISO 27000:2018
  • 15. Gestión de los Riesgos Términos y definiciones Activo: Aquello que tenga valor para la organización Amenaza: causa potencial de un incidente no deseado, que puede dar lugar a daños en un sistema o en una organización Vulnerabilidad: debilidad de un activo o control que puede ser explotada por una o más amenazas Degradación: cuán perjudicado resultaría el activo. La degradación mide el daño causado por un incidente en el supuesto de que ocurriera. Frecuencia: cada cuánto se materializa la amenaza
  • 16. Gestión de los Riesgos Términos y definiciones Análisis de Riesgos: proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización Tratamiento de riesgo: proceso de selección e implementación de medidas (controles) para modificar un riesgo Control: medio de gestionar el riesgo, incluyendo políticas, procedimientos, guías, prácticas o estructuras organizativas, que pueden ser de naturaleza administrativa, técnica, de gestión, o legal.
  • 17. Gestión de los Riesgos • Debemos partir de la base de que los sistemas de gestión definen el riesgo como el efecto que genera la incertidumbre, puede ser positivo o negativo, debido a la falta de información de la situación, proceso o procedimiento. • De esta manera, la gestión del riesgo viene a apoyar las decisiones estratégicas que buscan prevenir las situaciones adversas futuras para transformarlas y aprovecharlas de manera eficiente para la mejora continua.
  • 18. Gestión de los Riesgos • Gestión de los Riesgos significa que, en primer lugar es necesario identificar los riesgos que afectan a la Organización, y en segundo lugar, es necesario establecer medidas de seguridad para reducir estos riesgos. • Por tanto dentro de la Gestión de riesgos podemos diferenciar principalmente 2 etapas: Análisis y Tratamiento
  • 19. Gestión de los Riesgos • Para desarrollar todo el proceso de análisis y tratamiento de los riesgos, hay que establecer una Metodología, la cual definirá los pasos que se tienen que seguir para llevar a cabo la Gestión de Riesgos.
  • 20. Gestión de los Riesgos Metodologías existentes • ISO/IEC 27005:2018 forma parte de los estándares de la serie ISO/IEC 27000 • Es una Norma ISO que no especifica ningún método de análisis de riesgo concreto, contiene recomendaciones y directrices generales para la gestión de riesgos, por tanto, puede utilizarse como guía para elaborar una Metodología de gestión de riesgos propia.
  • 21. Gestión de los Riesgos • ISO/IEC 27005:2018 nos presenta el porqué, el qué y el cómo para que las organizaciones sean capaces de gestionar sus riesgos sobre seguridad de la información de forma efectiva según los requisitos de ISO/IEC 27001. • Ayuda a demostrar a los clientes, accionistas o partes interesadas de una organización el cumplimiento de las exigencias de los procesos sobre gestión de riesgos que tienen lugar. Dándoles así confianza y probando porque deberían trabajar junto a la organización.
  • 22. Gestión de los Riesgos Metodologías existentes ISO 31000 Al igual que la anterior, es una Norma ISO que contiene una serie de buenas prácticas para gestionar riesgos, aunque la diferencia con respecto la ISO 27005, es que esta no aplica solamente a la Seguridad de la Información, sino que aplica a cualquier tipo de riesgo, es mas general.
  • 23. Gestión de los Riesgos La Norma ISO 27001 : 2013 destaca que el sistema de gestión SGSI de la organización considera la gestión del riesgo. ISO 27001 : 2013 no requiere evaluaciones de riesgo según algún proceso especifico. • La norma ISO 31000:2018 (Gestión del riesgo – Principios y Guías) proporciona principios y guías genéricas para la gestión del riesgo. Esta norma se complementa con la ISO Guide 73:2018 Gestión del riesgo Vocabulario.
  • 24. Gestión de los Riesgos ISO 31000:2018 Gestión del riesgo Principios y directrices puede ser una referencia útil para organizaciones que desean o necesitan un enfoque más formal del riesgo (uso no obligatorio). Para integrar la gestión del riesgo en ISO 27001 : 2013, podemos seguir los criterios de la norma ISO 31000: 2018 ISO 31000: 2018 ISO27001: 2013
  • 25. Gestión de los Riesgos A la hora de abordar los ciberriesgos, la serie ISO/IEC 27000 sobre sistemas de gestión de seguridad de la información, o SGSI se debe evaluar conjuntamente con la serie ISO 31000. Este planteamiento da igual peso a la tecnología y al factor humano. la serie ISO/IEC 27000 ayudará a las organizaciones a evaluar sus necesidades puramente tecnológicas, mientras que ISO 31000 ayudará a comprender el valor de la información o los productos que guardan en el ciberespacio y, por tanto, el grado de protección tecnológica que necesitará para prevenir posibles ataques.
  • 26. Gestión de los Riesgos En otros términos : una evaluación exhaustiva del riesgo según ISO 31000 podría evitarle a cualquier organización un desembolso económico considerable si hablamos de seguridad tecnológica. Hacer caso omiso del riesgo puede llevar por igual a gastar demasiado en un sistema de protección o a no invertir lo suficiente. La inversión de una organización en ciberseguridad puede regirse por el nivel de dependencia que tiene en el sistema; una organización pequeña puede seguir utilizando (o retomar) los recibos en papel, mientras que un gigante como Amazon depende literalmente de la conectividad.
  • 27. Gestión de los Riesgos Metodologías existentes • CRAMM Tuvo su origen en Reino Unido, ya que fue desarrollada por el CCTA (Central Computer and Telecommunications Agency). • Tiene reconocimiento a nivel Internacional, y su desarrollo es de los más simples: 1. Identificación y valoración de activos, 2. valoración de amenazas y vulnerabilidades y 3. selección de contramedidas.
  • 28. Gestión de los Riesgos Metodologías existentes OCTAVE • Fue desarrollada por el SEI (Software Engineering Institute) en Estados Unidos, y también tiene un gran reconocimiento internacional. • Tiene una buena aceptación a nivel mundial, aunque las fases que la componen son un poco diferentes de las metodologías habituales, lo cual suele implicar mayor dificultad a la hora de utilizarla.
  • 29. Gestión de los Riesgos Metodologías existentes MAGERIT • Se utiliza mucho en España, sobre todo en Administraciones Públicas, ya que fue desarrollada por el Consejo Superior de Administración Electrónica. • Esta metodología no es muy conocida a nivel Internacional, aunque su utilización puede ser interesante en cualquier tipo de empresa
  • 30. Gestión de los Riesgos Metodologías existentes NIST 800-30 • Fue desarrollada por el NIST (National Institute of Standards and Technology) en EEUU, y aunque tiene reconocimiento Internacional, su uso se limita sobre todo a EEUU (Administraciones Públicas). • Aunque se compone de un mayor número de fases que las anteriores metodologías, es muy intuitiva, sencilla de utilizar
  • 31. Gestión de los Riesgos 1. Identificación de activos Elaborar un listado de inventarios en activo • Como base, se deben identificar los elementos indispensables para el funcionamiento y la realización del producto al que se dedica la organización. • De esta manera, se aporta una imagen definitiva y documentada que va a servir de soporte para muchos procesos del sistema de gestión y la toma de decisiones estratégicas, pero además se asientan los cimientos de la gestión de los diferentes riesgos a los que se enfrenta o puede enfrentarse la organización.
  • 32. Gestión de los Riesgos 1. Identificación de activos Existen básicamente dos tipos de activos: 1. Activos primarios: - Procesos y actividades del negocio - Información 2. Activos de soporte e infraestructura (sobre los cuales los elementos primarios del alcance se apoyan): - Hardware / Software - Redes - Recursos Humanos - Instalaciones físicas - Estructura de la organización
  • 33. • 1. Identificación de activos Cuando se realiza la identificación y las dependencias entre los diferentes activos, se tiene que partir del estudio del funcionamiento de los servicios que responden a preguntas como: ¿Qué información es necesaria para prestar el servicio? ¿Dónde se almacena dicha información? Gestión de los Riesgos
  • 34. Se elabora un inventario de activo que deberá incluir una serie de datos básicos : Nombre Descripción Categoría Ubicación física en la que se encuentra Dependencias con otros activos Valor del activo en relación con la confidencialidad, disponibilidad e integridad, por lo que se establecen valores para cada uno de los activos a partir de diferentes criterios que se encuentran normalizados y son objetivos. Gestión de los Riesgos
  • 35. Gestión de los Riesgos 1. Identificación de activos Podemos considerar como activos: Impresoras, dispositivos de almacenamiento (discos duros externos, pendrives), aplicaciones, notebooks, tablets servidores, personas, etc.) Todos estos elementos tienen información: • Impresora: Hojas que se imprimen • Pendrives: Información digital • Aplicaciones: Información digital • Servidores: Información digital • Empleados: Conocimiento, e información de la Organización
  • 36. Gestión de los Riesgos 1. Identificación de activos No obstante también podemos identificar como activo elementos que no contienen información, pero que son imprescindibles para otros activos que sí la tienen, pero su funcionamiento implica que los, que sí contienen información, puedan funcionar. También es importante identificar la dependencia que puede existir entre activos: Una aplicación funciona en un servidor, por lo tanto, si el servidor deja de funcionar, la aplicación también lo hará.
  • 37. Gestión de los Riesgos 2. Identificación de amenazas y vulnerabilidades Todos los activos de la Organización están expuestos a amenazas, y estas son explotadas por vulnerabilidades. ¿Qué es una amenaza? Cualquier problema que pueda afectar al negocio: Ingeniería, social, catástrofe natural, troyanos, virus, etc. ¿Qué es una vulnerabilidad? Situación que provoca que una amenaza pueda producirse.
  • 38. Gestión de los Riesgos 2. Identificación de amenazas y vulnerabilidades Por ejemplo, en una Organización existe poca concienciación en seguridad de la información, esto (la vulnerabilidad) ocasionará que exista más probabilidad de que alguno de sus empleados se descargue un correo electrónico con un troyano o un virus (amenaza).
  • 39. Gestión de los Riesgos 2. Identificación de amenazas y vulnerabilidades Lo recomendable suele ser identificar amenazas /vulnerabilidades por tipo de activo, ya que todos los activos que estén bajo una misma categoría podrán compartir amenazas/vulnerabilidades. No obstante hay que hacer un análisis por cada activo y comprobar si las amenazas/vulnerabilidades que le corresponden por su categoría son adecuadas. Casi todas las metodologías de gestión de riesgos, o al menos las más importantes, incluyen un catalogo de amenazas de donde se pueden seleccionar las que apliquen a cada activo.
  • 40. Gestión de los Riesgos 2. Identificación de amenazas y vulnerabilidades Ejemplo de amenazas • Acceso no autorizado • Usuarios desleales • Espionaje industrial • Acciones de Hackers • Fraude • Fuego • Robo de documentos confidenciales • Robo de notebooks/ otros equipos
  • 41. Gestión de los Riesgos 2. Identificación de amenazas y vulnerabilidades • Contando con dicho catalogo de amenazas y relacionándolo con la lista de activos, será el momento de valorar la vulnerabilidad de cada uno de los diferentes activos teniendo en cuenta con la degradación a la que están expuestos y su probabilidad frente a las amenazas.
  • 42. Gestión de los Riesgos 2. Identificación de amenazas y vulnerabilidades • Son vulnerabilidades todas las ausencias o ineficacias de los controles (salvaguardas) pertinentes para salvaguardar el valor propio o acumulado sobre un activo. • A veces se emplea el término “insuficiencia” para resaltar el hecho de que la eficacia medida del control (salvaguarda) es insuficiente para preservar el valor del activo expuesto a una amenaza. • La materialización de la amenaza a través de la explotación de una vulnerabilidad degrada el valor del activo y puede afectar a su confidencialidad, integridad o disponibilidad.
  • 43. Gestión de los Riesgos 3. Cálculo del nivel de riesgo • El cálculo del nivel de riesgo se realiza de manera distinta dependiendo de la metodología que se considere, ya que cada una utiliza una fórmula de cálculo distinta. • No obstante aquí veremos una fórmula sencilla y rápida de entender, basada en 2 parámetros fundamentales en gestión de riesgos: Probabilidad y Impacto
  • 44. Gestión de los Riesgos 3. Cálculo del nivel de riesgo • Probabilidad de que una amenaza se materialice. • Impacto en la Organización resultante de la materialización de una amenaza. Tanto el Impacto como la Probabilidad se pueden medir en valores porcentuales, lo cual nos resultará más sencillo a la hora de calcular el nivel de riesgo.
  • 45. Gestión de los Riesgos 3. Cálculo del nivel de riesgo • Impacto: Por ejemplo 0% si la amenaza no produce ningún daño, 50% si el daño es considerable y 100% si el daño es muy crítico para la Organización. • Probabilidad: Por ejemplo 0% si la probabilidad de que la amenaza se materialice es muy baja, 50% si la probabilidad es considerable y 100% si la probabilidad es muy alta. obtendremos un valor numérico para el riesgo, el cual representará : Probabilidad de que una amenaza se materialice e impacto en la Organización, en caso de que se materialice.
  • 46. Gestión de los Riesgos 3. Cálculo del nivel de riesgo El Sistema de Gestión de Seguridad de la Información SGSI se basa en tres propiedades básicas de la información: • Confidencialidad: es la garantía de acceso a la información de los usuarios que se encuentran autorizados para tal fin. • Integridad: es la preservación de la información completa y exacta. • Disponibilidad: es la garantía de que el usuario accede a la información que necesita en ese preciso momento.
  • 47. Gestión de los Riesgos 3. Cálculo del nivel de riesgo • El Sistema de Gestión de Seguridad de la Información SGSI tiene que tener en cuenta preservar estas tres propiedades básicas de la información en el proceso de evaluación de riesgos. • El proceso para la evaluación de riesgos ya no está enfocado entonces, solo en los activos, las vulnerabilidades y las amenazas. • La metodología se debe enfocar en el objetivo de identificar ,además ,los riesgos asociados con la pérdida de la confidencialidad, integridad y disponibilidad de la información.
  • 48. Gestión de los Riesgos 3. Cálculo del nivel de riesgo El siguiente paso será determinar si este nivel de riesgo es aceptable para la Organización, es decir, si el nivel de riesgo detectado está por encima o no del nivel de riesgo aceptable. Nivel de riesgo aceptable: Es el nivel de riesgo que establece la Organización como permitido, es decir, si el nivel de riesgo aceptable por ejemplo es Medio, únicamente supondrá un peligro para la Organización aquellos riesgos que estén por encima es decir Alto. Por lo tanto, si el nivel de riesgo está por encima del aceptable, tendremos que hacer un tratamiento del riesgo con el objetivo de reducirlo a un nivel aceptable.
  • 49. Gestión de los Riesgos 3. Cálculo del nivel de riesgo Es interesante destacar que el impacto se estudia sin tener en cuenta todas las medidas de seguridad que se realizan en ese momento, ya que si las incluimos disminuiremos el riesgo máximo de cada activo y pueden provocar que los riesgos existentes no se consideren como tal.
  • 50. Gestión de los Riesgos • La análisis de riesgos y evaluación de riesgos, es probablemente la parte más complicada de la implementación de la norma ISO 27001 • Pero al mismo tiempo, el análisis , evaluación y tratamiento de riesgos según ISO 27001, son las etapas más importante al inicio del proyecto de seguridad de la información.
  • 51. Gestión de los Riesgos • La filosofía principal de ISO 27001 es identificar los incidentes que podrían ocurrir ,analizar los riesgos. También es necesario evaluar los riesgos, determinando la probabilidad y el impacto de cada uno de ellos, de forma que se pueda definir cuáles son tolerables, cuáles son más importantes y cuáles pueden ser eliminados y encontrar las formas apropiadas para evitar tales incidentes. • Aunque la identificación, análisis ,evaluación y el tratamiento de riesgos unidas a estas acciones conforman la gestión , son labores complejas, a menudo es cuestión de apelar a la lógica y establecer prioridades.
  • 52. La organización debe definir y aplicar un proceso de valoración de riesgos de la seguridad de la información CRITERIOS de RIESGOS de SEGURIDAD de la INFORMACION
  • 53. Sistema de gestión de la información Análisis y Evaluación de Riesgos Plan de tratamiento de Riesgo Identificación, análisis ,evaluación y tratamiento de riesgos ISO 27001 Seguridad de la información gestionada
  • 54. Gestión de los Riesgos • No todos los riesgos se generan de la misma forma y no todos tienen el mismo impacto. • El objetivo del la análisis y evaluación de riesgos es determinar la importancia y el impacto del riesgo y de esta forma, optar por las formas de mitigar el riesgo. • Existen 4 opciones de mitigación de riesgos según ISO 27001 1. Reducir el riesgo 2. Compartir o transferir el riesgo 3. Eliminar el riesgo 4. Aceptar el riesgo
  • 55. Gestión de los Riesgos 4. Establecimiento de controles Reducir el riesgo • Para aquellos riesgos que superen el nivel aceptable tendremos que aplicar controles, según el Anexo A de ISO 27001 para reducir el riesgo. • El Anexo A de la ISO/IEC 27001:2013 e I SO/IEC 27002:2013 es un catalogo de controles (salvaguardas) o medidas a aplicar para tratar el riesgo, especifica 114 controles en 14 grupos. • Es la opción más utilizada, e incluye la implementación de medidas de seguridad como cámaras de vigilancia, censores de movimiento, de fuego, de humo, y por supuesto, instalación de firewall.
  • 56. Gestión de los Riesgos A cada punto de control se le debe asociar un rango o factor determinado. Por ejemplo, el acceso a un área segura podría dividirse en: Rango 1. No hay establecida ninguna medida de seguridad. Rango 2. Existe alguna medida de seguridad pero no se ha establecido una pauta concreta ni periodicidad. Rango 3. Existen una serie de medidas establecidas, pero no se ha determinado una evaluación de las mismas. Rango 4. Los controles tienen establecidos una periodicidad, evaluación y seguimiento. Rango 5. Son actividades ligadas al propio negocio, es decir, se trata de un factor interno de la empresa que lo gestiona y está implementada dentro de la propia organización.
  • 57. Gestión de los Riesgos La organización debe decidir qué tipo de rango necesita para cada control con el fin de asegurar la seguridad de la información, teniendo en cuenta que los controles de carácter preventivo son más eficaces que los correctivos. Por ejemplo, es más seguro instalar un dispositivo que controle la temperatura (saltará la alarma antes de que se produzca un posible incendio) que tener un sistema anti incendio que avisa cuando ya hay humo (la situación peligrosa ya ha empezado a producirse).
  • 58. Gestión de los Riesgos Todos estos controles siguen un ciclo de mejora continua vinculado al plan de tratamiento de riesgos y asociados a la evaluación de los mismos para el cálculo del riesgo residual. Mediante el proceso de mejora continua es posible comprobar la eficacia de los controles o si es necesario cambiar de rango o factor de seguridad, realizando las modificaciones que sean necesarias. Los controles que están incluidos en el anexo A de la norma ISO 27001 y su nivel de detalle y especificidad los diferencian de los existentes en otras normas, que tienen un carácter más generalista y transversal.
  • 59. Gestión de los Riesgos 4. Establecimiento de controles Reducir el riesgo • Para hacer esta implantación de controles de manera ordenada, estructurada y planificada, estableceremos un Plan de Tratamiento de Riesgos. • El Plan de Tratamiento de Riesgos adjudica responsabilidades para el diseño, implementación y puesta en práctica de los controles, establece plazos, recursos, presupuesto y acciones de seguimiento. • El Plan de Tratamiento de riesgos implanta de manera planificada los controles que se aplican a los riesgos que superan el nivel aceptable.
  • 60. Gestión de los Riesgos 4. Establecimiento de controles El Plan de Tratamiento de Riesgos tiene que contener una serie de información básica: • Responsable del control: Persona que se responsabiliza de la correcta implantación del control • Recursos: Personas, técnicos, empresas externas o materiales que se utilizarán para la implantación del control • Acciones : Acciones que serán necesarias para la implantación del control • Prioridad: Todos los controles no tienen la misma prioridad, ya que por una parte el nivel de riesgo no será el mismo, ni tampoco el valor de cada activo para la Organización. Por tanto es necesario establecer prioridades. Esta prioridad puede venir determinada por la fecha de implantación de cada control.
  • 61. Gestión de los Riesgos Después de implantar todos los controles de seguridad, tenemos que calcular el riesgo residual. Riesgo residual: Es el riesgo que sigue quedando después de implantar los controles de seguridad Cuando implantamos los controles reducimos el riesgo, pero este no dejará de existir, siempre quedará un nivel, aunque sea mínimo.
  • 62. Gestión de los Riesgos ¿Qué ocurre si el nivel de riesgo, reducido por la implantación de los controles de seguridad, sigue estando por encima del nivel de riesgo aceptable? Tendremos que tomar una decisión en cuanto al tratamiento, y deberá quedar formalmente establecido en nuestra metodología de análisis y tratamiento de riesgos.
  • 63. 1 3 2
  • 64. Gestión de los Riesgos Esta decisión se puede resumir en las siguientes 3 posibilidades: • Aceptar o asumir el riesgo Cuando las acciones necesarias para eliminar un riesgo, tienen un costo demasiado alto – superior a las consecuencias previstas de la ocurrencia del incidente , conviene pensar en la posibilidad de convivir con el riesgo, y minimizar su impacto. Para estos casos, resulta ideal utilizar esta opción, en conjunto con la de compartir el riesgo ,opción 2, adquiriendo una póliza de seguros.
  • 65. Gestión de los Riesgos • Compartir o transferir el riesgo El ejemplo más común, es la suscripción de una póliza de seguros, con cobertura para el riesgo que se desea compartir. Contratar una compañía de seguridad, que asuma el compromiso de velar por la integridad de la información es otra forma de compartir el riesgo, cuando el contrato especifica una penalidad en caso de que se presente un incidente. Estas son medidas que no conjuran la ocurrencia del incidente, ya que tan solo se transfiere el riesgo financiero a otra organización, pero pueden resultar efectivas si se utilizan en conjunto con una o varias de las otras opciones de mitigación
  • 66. Gestión de los Riesgos • Eliminar el riesgo Se logra eliminando una actividad, un procedimiento o un proceso que puede ser la causa del incidente, o modificándolos de tal forma que se elimine el riesgo. Un ejemplo de ello es el uso de ordenadores portátiles fuera de las instalaciones de la organización. Prohibir esta práctica, elimina la posibilidad de ocurrencia de muchos incidentes, generadores de riesgos de alto impacto.
  • 67. Gestión de los Riesgos Declaración de aplicabilidad Consiste en un documento que relaciona los controles que se aplican en el sistema de gestión. De los controles que la norma ISO/IEC 27001 indica en su anexo A, una Organización debe seleccionar aquellos que debe implantar y mantener en su sistema. El resultado de la elección de los controles forma parte del Plan de Tratamiento de riesgos, de modo que éste tiene como salida la Declaración de Aplicabilidad.
  • 68. Gestión de los Riesgos Conclusiones Todos los activos de una Organización (sea grande o pequeña) están expuestos a riesgos, los cuales si no se reducen pueden provocar un problema importante al negocio. Para reducir estos riesgos podemos implantar controles utilizando una metodología de análisis de riesgos. Una metodología de análisis de riesgos nos ayuda a identificar activos, las amenazas/vulnerabilidades que les afectan, y calcular el nivel de riesgo, el cual tiene que estar por debajo de un nivel aceptable para la Organización. Si el nivel de riesgo es superior al aceptable, la Organización tiene que implantar controles de seguridad para reducirlo. Existen muchas metodologías, pero todas tienen el mismo objetivo: calcular el riesgo asociado a los activos de la Organización y establecer medidas para reducirlo.
  • 69. Gestión de los riesgos de seguridad de la información Sistema de Gestión de Seguridad de la Información ISO 27001 V 2020 FIN