SlideShare una empresa de Scribd logo

MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN

Miguel Cabrera
Miguel Cabrera

MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN

Tecnología
1 de 37
Descargar para leer sin conexión
Seguridad de la Información Unidad 3: Marcos de Referencia para Seguridad de la Información 3.2 ISO 27002 ISO 27002
Objetivos del encuentro: 1. Adquirir los conceptos básicos relacionados con la tendencia de SI 2. Reconocer las características de la tendencia de SI Semana Nro. 10
Frase Motivacional “Siempre que ves una persona exitosa percibes sus glorias, y nunca los sacrificios que la llevaron hasta allí” – Vaibhav Shah.
Negocios habilitados por la Seguridad • Reducir el riesgo de la Seguridad – Evaluar el entorno – Mejorar el aislamiento y la resistencia – Desarrollar e implementar controles Incrementar el Valor de Negocio Conectarse con los clientes Integrarse con los socios Habilitar a los empleados Nivel de Riesgo Impacto a los Negocios Probabilidad de Ataque ROI Conectado Productivo 4
Cambiar el enfoque de la Seguridad DE • Ad-hoc y táctico • Irregular • Reactivo • Sin medición • Absoluto A • Administrado y estratégico • Sistemático • Adaptativo • Medible • Adecuado Las actividades de seguridad y las medidas del desempeño de la seguridad estarán visiblemente alineadas con los impulsores estratégicos y los factores críticos de é5xito
Componentes (organización) de la Seguridad de Información Seguridad de Información Operación y Mantenimiento de Seguridad Procesos, Políticas, Estándares, Procedimientos Concientización y Capacitación CumplimientoAdministración de Riesgos y Baselines Statement of Aplicability Programas de Trabajo Evaluación de Riesgos Selecciónde Controles Sub-Comité de SI de TI Seguimiento de Amenazas y Vulnerabilidades Plan de Respuestaa Incidentes Equipo de Respuestaa Incidentes Política General de Seguridad de Información Programa Integral de Seguridad de Información Continuidad de Negocio Infraestructura Comité de Protección de Información Equipo de DRP Estructura Organizacional 6
Administración de Riesgos 7 • Provee un marco de trabajo para que la administración trate efectivamente con la incertidumbre y el riesgo y oportunidad asociados y así mejore su capacidad para construir valor • La seguridad es un asunto estratégico para la supervivencia de una organización • El riesgo debe ser administrado en una base diaria dentro de una organización • Un programa de seguridad a nivel empresarial es una reflexión y ejecución de una estrategia de administración de riesgos
Contexto Estratégico Leyes y Regulaciones Entorno Económico Ambiente Social Ambiente Tecnológico Clientes Competencia ObjetivosObjetivosObjetivosObjetivos deldeldeldel NegocioNegocioNegocioNegocio Rendimiento Financiero,Rendimiento Financiero,Rendimiento Financiero,Rendimiento Financiero, CrecimientoCrecimientoCrecimientoCrecimiento Institucional,Institucional,Institucional,Institucional, CrecimientoCrecimientoCrecimientoCrecimiento competitivo, Calidad, Servicio alcompetitivo, Calidad, Servicio alcompetitivo, Calidad, Servicio alcompetitivo, Calidad, Servicio al Cliente, EficienciaCliente, EficienciaCliente, EficienciaCliente, Eficiencia operacional,operacional,operacional,operacional, Productividad,Productividad,Productividad,Productividad, Etc.Etc.Etc.Etc. Estructura Organizacional Líneas de negocio Procesos Actividades Productos Impacto Económico - Reputación organizacional Imagen de productos o servicios 8
Administración de Riesgos 9 • La evaluación de riesgos es una parte muy importante de la planeación de la estrategia de protección de información. • Provee una base para la implementación de los planes de protección de activos contra varias amenazas. • Una vez hecha la evaluación de riesgos, es necesario realizar la planeación proactiva y reactiva de protección de información.
Administración de Riesgos 10 Definición Es un proceso interactivo e iterativo basado en el conocimiento, evaluación y manejo de los riesgos y sus impactos, con el propósito de mejorar la toma de decisiones organizacionales Aplicable a cualquier situación donde un resultado no deseado o inesperado pueda ser significativo o donde se identifiquen oportunidades
Proceso de Administración de Riesgos 11
Modelo Sencillo de Control de Riesgos Vulnerabilidad Agente Amenaza Riesgo Exposición Activo Realiza una 12 Que explota una Y produce un Que puede dañar un Y causar una Que puede ser manejada con un Control Afecta directamente a un
Otro Modelo Dinámico de Eventos 13
Riesgos de seguridad Riesgo Amenazas Controles Requerimientos de seguridad Valor del activo Impacto en la organización Activos Protección contra Explotan Reduce Vulnerabilidades Exponen Tiene Implementan 14
Etapas del desarrollo de un Sistema Administrativo de Seguridad de Información 15
ISO/IEC 27002:2005 - Cláusulas de control 16 5. Política de seguridad 6. Organización de la seguridad de información 7. Administración de activos 8. Seguridad de los recursos humanos 9. Seguridad física y ambiental 10.Administración de las comunicaciones y operaciones 11.Control de acceso 12.Adquisición, desarrollo y mantenimiento de sistemas de información 13.Administración de incidentes de seguridad de información 14.Administración de la continuidad de negocios 15.Cumplimiento
Administración de Riesgos 17 Beneficios para la Organización • Facilita el logro de los objetivos de la organización • Hace a la organización más segura y consciente de sus riesgos • Mejoramiento continuo del Sistema de Control Interno • Optimiza la asignación de recursos • Aprovechamiento de oportunidades de negocio • Fortalece la cultura de autocontrol • Mayor estabilidad ante cambios del entorno
Administración de Riesgos 18 Beneficios para el área de Auditoria • Soporta el logro de los objetivos de la auditoria • Estandarización en el método de trabajo • Integración del concepto de control en las políticas organizacionales • Mayor efectividad en la planeación general de Auditoria. • Evaluaciones enfocadas en riesgos • Mayor cobertura de la administración de riesgos • Auditorias más efectivas y con mayor valor agregado
Planificación del Análisis y Gestión de Riesgos Específicamente en la administración de TI. y de procesos operativos apoyados con TI. Tecnológicos y de Información Integridad, Confidencialidad y Disponibilidad + Efectividad, Eficiencia, Cumplimiento de Normas + De negocio Procesos de TI (Ejemplo COBIT)  Subprocesos Ej: Manejo y Administración de Proyectos Adquisición y mantenimiento de sistemas de aplicación Administración de la configuración Prestación de servicio continuo Proyecto de TI  Etapas o actividades Sistema de Información  Módulos, Interfase, E/P/S 19
Análisis de Riesgos Ineficiencia en el uso de los recursos Pérdida de confidencialidad Pérdida de Integridad de información Interrupción en la continuidad del servicio Acceso no autorizado Pérdida económica 20 Heterogeneidad en la ejecución de procesos Ausencia de metodologías de procesos Inadecuada clasificación de la información Error u omisión en el procesamiento Cambios no autorizados Hurto de activos (recursos informáticos) Incertidumbre para atender incidentes Ausencia de planes de continuidad de Negocio Suplantación de usuarios AlgunosAlgunosAlgunosAlgunos RiesgosRiesgosRiesgosRiesgos AlgunasAlgunasAlgunasAlgunas CausasCausasCausasCausas
Análisis de Riesgos Desarrollo y Adquisición de Software Sub o sobre dimensionamiento Diseño Inadecuado Aceptación de sw no acorde con las necesidades Falta de oportu- nidad en entrada en producción Negación del servicio Cambios no autorizados Ineficiente uso de los recursos Acceso no autorizado Operación de Instalaciones Técnicos y Tecnológicos Relacionados con la Información Pérdida de información Selección inadecuada de estrategias Obsolescencia Tecnológica Pérdida de Información Pérdida de Confidencialidad Pérdida de integridad o Confiabilidad Incumplimiento de normas Riesgos de TI (un ejemplo con 2 procesos y 2 recursos) 21
Mapa de Riesgos II “Riesgosde atención periódica” I “Riesgosde atención inmediata” IV “Riesgos controlados” III “Riesgos de seguimiento” PROBABILIDADDEOCURRENCIA 10 0 5 5 IMPACTO DEL RIESGO 10 22
Análisis de Riesgo Relacionados con la Probabilidad 1 Rara vez ocurre 2 Poco probable 3 Algunas Veces 4 probable 5 muy probable Pérdida Financiera 0 No hay pérdida 1 de 1 a 2 de 10.000 a 10.000 50.000 3 de 50.000 a 100.000 4 de 100.000 a 500.000 5 más de 500.000 Relacionada con el Impacto Haga uso de la información histórica que tenga disponible. Aplique un método cuantitativo Pérdida de Imagen 0 No se afecta la imagen 1 ante los empleados 2 ante un cliente 3ante una ciudad 4 ante el país 5 ante el mundo Cuando lo requiera elabore sus propias escalas de medición Aplique métodos semi-cuantitativos Valorar Riesgo (Causa) = Probabilidad x Impacto Pérdida de Disponibilidad 1 No se afecta 2por algunos segundos 2 por algunos minutos 3 por algunas horas 4 por un día/semana 5 por una semana/mes 23
Seguridad en el Desarrollo y Mantenimiento de Sistemas de Información 24
Evaluación y tratamiento de riesgos 25 • Evaluación de riesgos de seguridad • Las evaluaciones de riesgos deberán identificar, cuantificar y priorizar los riesgos contra los criterios para la aceptación de riesgos y los objetivos relevantes para la organización • Los resultados deberán guiar y determinar la acción administrativa apropiada y las prioridades para administrar los riesgos e implementar los controles seleccionados para proteger contra estos riesgos • Este es un proceso interactivo e iterativo para cubrir las distintas áreas o sistemas de la organización y el progresivo logro de una seguridad más completa
Evaluación y tratamiento de riesgos 26 • Evaluación de riesgos de seguridad • Se debe incluir la estimación sistemática de la magnitud del riesgo (análisis de riesgo) y la comparación de los riesgos estimados contra los criterios de riesgo establecidos para determinar la importancia de los riesgos (evaluación de riesgos) • Se deben realizar metódica y periódicamente para atender cambios en los requerimientos de seguridad y en las situaciones de riesgo y producir resultados comparables y reproducibles • Se debe hacer siempre con un alcance muy bien definido; puede ser toda la organización o partes de ella, un sistema de información, componentes de un sistema, etc., donde sea practicable, realista y útil
Priorización de Riesgos Heterogeneidad en la ejecución de procesos785 Inadecuada clasificación de la información 750 Desarrollo informal (sin metodología) de sw 675 Ausencia de planes de continuidad de Negocio 585 Incertidumbre para atender incidentes 400 Cambios no autorizados 310 Error u omisión en el procesamiento 250 Hurto de activos (recursos informáticos) 230 Suplantación de usuarios 175 27
Evaluación y tratamiento de riesgos 28 • Tratamiento de riesgos de seguridad • Antes la organización debe decidir los criterios para determinar si los riesgos pueden o no ser aceptados • Para cada uno de los riesgos identificados en la evaluación se decidirá un tratamiento. Opciones posibles son: • Aplicar controles apropiados para reducir/mitigar los riesgos • Consciente y objetivamente aceptar los riesgos, probando que claramente satisfacen la política de la organización y los criterios de aceptación de riesgos • Evitar los riesgos no permitiendo las acciones que los provoquen • Transferir los riesgos a terceros, por ejemplo, proveedores o aseguradores
Evaluación y tratamiento de riesgos 29 • Tratamiento de riesgos de seguridad • En el caso de la reducción/mitigación de riesgos los controles seleccionados deberán asegurar un nivel aceptable de riesgos en función de: • Los requerimientos y restricciones de la legislación y regulaciones nacional e internacional • Los objetivos organizacionales • Los requerimientos y restricciones de operación • El costo de implementación y operación en relación a los riesgos implicados. Mantenerlo proporcional a los requerimientos y restricciones de la organización • El balance entre la inversión requerida por los controles y los daños probables consecuencia de las fallas de seguridad
Evaluación y tratamiento de riesgos 30 • Tratamiento de riesgos de seguridad • Los controles pueden ser seleccionados de este u otro estándar • No todos los controles son aplicables a todos los sistemas u organizaciones • Los controles deberán ser considerados en las etapas de especificación de requerimientos y diseño de proyectos y sistemas • No hay seguridad completa, se deben implementar medidas administrativas adicionales para monitorear, evaluar y mejorar la eficiencia y efectividad de los controles de seguridad para soportar los propósitos de la organización
Identificación de Salvaguardas 31
Identificación de Salvaguardas 32
Visión de los Controles de Seguridad de Información 33
Gestión de Riesgos Elabore la lista de los mecanismos de control que aplican a cada uno de los componentes de su objeto analizado Procedimientos formales de planeación. uso de estándares de programación, identificación, codificación. uso de mecanismos de autenticación. procedimientos documentados, divulgados y aplicados. uso de metodologías de desarrollo de sw. uso metodologías de definición de requerimientos. procedimientos para el control de cambios. acuerdos explícitos de niveles de servicio. mecanismos de encripción redundancia en dispositivos y recursos críticos. clasificación de la información procedimientos de respaldo sensores y alarmas de factores ambientales (humo, humedad, temperatura) toma física de inventarios de recursos computacionales verificadores de licencias Esta será más sencilla de realizar si se divide adecuadamente el objeto de análisis en sus partes 34
Gestión de Riesgos Externos Automáticos Posteriores Correctivos y Detectivos Específicos Discretos (aplicación) Internos Manuales Previos Preventivos Generales Continuos Periódicos frente a los frente a los frente a los frente a los frente a los frente a los frente a los Esporádicos Nivel de Exposición = Riesgo – Controles aplicados Definir el nivel de exposición le permitirá conocer la efectividad de los controles. Sin embargo, tenga presente en relación con la efectividad de los controles los siguientes aspectos: 35
Direccionamiento actividades de aprendizaje Actividades: • Revisar el aula virtual • Realizar las actividades y tareas planteadas. Se recomienda describir por ejemplo: • Tomar apuntes esenciales, revisar el material de clases
GRACIAS

Recomendados

Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Cecilia Hernandez
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
Luis Fernando Aguas Bucheli
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019
Ricardo Urbina Miranda
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005
Melvin Jáquez
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
Abby Ramirez
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases
kyaalena
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 

Recomendados

Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Cecilia Hernandez
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
Luis Fernando Aguas Bucheli
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019
Ricardo Urbina Miranda
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005
Melvin Jáquez
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
Abby Ramirez
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases
kyaalena
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 
Norma iso 27001, Autor Edickson Aguilera
Norma iso 27001, Autor Edickson AguileraNorma iso 27001, Autor Edickson Aguilera
Norma iso 27001, Autor Edickson Aguilera
Edickson Aguilera
 
Introducción a la Ciberseguridad
Introducción a la CiberseguridadIntroducción a la Ciberseguridad
Introducción a la Ciberseguridad
MSc Aldo Valdez Alvarado
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
UPTAEB
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacion
maxol03
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
Manuel Mujica
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
Tensor
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
Miguel Cabrera
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
Jonathan López Torres
 
Plan de contingencia para una empresa informatica
Plan de contingencia para una empresa informaticaPlan de contingencia para una empresa informatica
Plan de contingencia para una empresa informatica
Victor Hugo Imbaquingo Dueñaas
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
Fabián Descalzo
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicaciones
Andres Reyes
 
Evento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la InformaciónEvento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la Información
J. Gustavo López
 
Curso SGSI 2023
Curso SGSI 2023Curso SGSI 2023
Curso SGSI 2023
Panel Sistemas
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de Negocio
David Solis
 
Marco Jurídico de la Auditoría Informática
Marco Jurídico de la Auditoría InformáticaMarco Jurídico de la Auditoría Informática
Marco Jurídico de la Auditoría Informática
Daniel Valdivieso
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
ana anchundia
 
Estudio de caso - Juliana y la Auditoría - Gestión de la Seguridad Informátic...
Estudio de caso - Juliana y la Auditoría - Gestión de la Seguridad Informátic...Estudio de caso - Juliana y la Auditoría - Gestión de la Seguridad Informátic...
Estudio de caso - Juliana y la Auditoría - Gestión de la Seguridad Informátic...
Jesús Daniel Mayo
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
alexaloaiza
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
Laura Miranda Dominguez
 
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
Luis Fernando Aguas Bucheli
 
gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdf
carlosandres865046
 

Más contenido relacionado

La actualidad más candente

Norma iso 27001, Autor Edickson Aguilera
Norma iso 27001, Autor Edickson AguileraNorma iso 27001, Autor Edickson Aguilera
Norma iso 27001, Autor Edickson Aguilera
Edickson Aguilera
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacion
maxol03
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicaciones
Andres Reyes
 

La actualidad más candente (20)

Norma iso 27001, Autor Edickson Aguilera
Norma iso 27001, Autor Edickson AguileraNorma iso 27001, Autor Edickson Aguilera
Norma iso 27001, Autor Edickson Aguilera
 
Introducción a la Ciberseguridad
Introducción a la CiberseguridadIntroducción a la Ciberseguridad
Introducción a la Ciberseguridad
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacion
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
 
Plan de contingencia para una empresa informatica
Plan de contingencia para una empresa informaticaPlan de contingencia para una empresa informatica
Plan de contingencia para una empresa informatica
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicaciones
 
Evento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la InformaciónEvento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la Información
 
Curso SGSI 2023
Curso SGSI 2023Curso SGSI 2023
Curso SGSI 2023
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de Negocio
 
Marco Jurídico de la Auditoría Informática
Marco Jurídico de la Auditoría InformáticaMarco Jurídico de la Auditoría Informática
Marco Jurídico de la Auditoría Informática
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Estudio de caso - Juliana y la Auditoría - Gestión de la Seguridad Informátic...
Estudio de caso - Juliana y la Auditoría - Gestión de la Seguridad Informátic...Estudio de caso - Juliana y la Auditoría - Gestión de la Seguridad Informátic...
Estudio de caso - Juliana y la Auditoría - Gestión de la Seguridad Informátic...
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
 

Similar a MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN

gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdf
carlosandres865046
 
Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]
Saeta de Dios
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
martin
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811
faau09
 
Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.
peponlondon
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
JonathanBlas
 
Sistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónSistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la información
Miguel Diaz
 

Similar a MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN (20)

10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
 
gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdf
 
Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]
 
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
 
Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos Informaticos
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Taller EFC-Auditoría
Taller EFC-AuditoríaTaller EFC-Auditoría
Taller EFC-Auditoría
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811
 
Guatemala riesgo operacional
Guatemala riesgo operacionalGuatemala riesgo operacional
Guatemala riesgo operacional
 
04 Softtek
04 Softtek04 Softtek
04 Softtek
 
Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
 
Presentación 1
Presentación 1Presentación 1
Presentación 1
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
 
Sistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónSistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la información
 

Más de Miguel Cabrera

Más de Miguel Cabrera (20)

INTRODUCCION CIBERSEGURIDAD
INTRODUCCION CIBERSEGURIDADINTRODUCCION CIBERSEGURIDAD
INTRODUCCION CIBERSEGURIDAD
 
CIBERSEGURIDAD EN LA EMPRESA
CIBERSEGURIDAD EN LA EMPRESACIBERSEGURIDAD EN LA EMPRESA
CIBERSEGURIDAD EN LA EMPRESA
 
CIBER SEGURIDAD DATOS ESTADÍSTICOS.
CIBER SEGURIDAD DATOS ESTADÍSTICOS.CIBER SEGURIDAD DATOS ESTADÍSTICOS.
CIBER SEGURIDAD DATOS ESTADÍSTICOS.
 
SEGURIDAD DE INFORMACIÓN SITUACIÓN ACTUAL
SEGURIDAD DE INFORMACIÓN SITUACIÓN ACTUAL SEGURIDAD DE INFORMACIÓN SITUACIÓN ACTUAL
SEGURIDAD DE INFORMACIÓN SITUACIÓN ACTUAL
 
SEGURIDAD DE INFORMACIÓN.
SEGURIDAD DE INFORMACIÓN.SEGURIDAD DE INFORMACIÓN.
SEGURIDAD DE INFORMACIÓN.
 
SEGURIDAD DE INFORMACIÓN Y PROTECCIÓN DE DATOS
SEGURIDAD DE INFORMACIÓN Y PROTECCIÓN DE DATOSSEGURIDAD DE INFORMACIÓN Y PROTECCIÓN DE DATOS
SEGURIDAD DE INFORMACIÓN Y PROTECCIÓN DE DATOS
 
SEGURIDAD DE INFORMACIÓN RECURSOS TECNOLÓGICO
SEGURIDAD DE INFORMACIÓN RECURSOS TECNOLÓGICOSEGURIDAD DE INFORMACIÓN RECURSOS TECNOLÓGICO
SEGURIDAD DE INFORMACIÓN RECURSOS TECNOLÓGICO
 
SEGURIDAD DE INFORMACIÓN EN LA ERA DIGITAL
SEGURIDAD DE INFORMACIÓN EN LA ERA DIGITALSEGURIDAD DE INFORMACIÓN EN LA ERA DIGITAL
SEGURIDAD DE INFORMACIÓN EN LA ERA DIGITAL
 
SEGURIDAD DE INFORMACIÓN INFRAESTRUCTURA DE SEGURIDAD
SEGURIDAD DE INFORMACIÓN INFRAESTRUCTURA DE SEGURIDADSEGURIDAD DE INFORMACIÓN INFRAESTRUCTURA DE SEGURIDAD
SEGURIDAD DE INFORMACIÓN INFRAESTRUCTURA DE SEGURIDAD
 
RECUPERACIÓN ANTE DESASTRES
RECUPERACIÓN ANTE DESASTRESRECUPERACIÓN ANTE DESASTRES
RECUPERACIÓN ANTE DESASTRES
 
MANUAL PUESTO A TIERRA
MANUAL PUESTO A TIERRA MANUAL PUESTO A TIERRA
MANUAL PUESTO A TIERRA
 
SEGURIDAD Y ADMINISTRACIÓN DE DATA CENTER
SEGURIDAD Y ADMINISTRACIÓN DE DATA CENTERSEGURIDAD Y ADMINISTRACIÓN DE DATA CENTER
SEGURIDAD Y ADMINISTRACIÓN DE DATA CENTER
 
NORMATIVAS PROTECCIÓN CONTRA INCENDIO DATA CENTER
NORMATIVAS PROTECCIÓN CONTRA INCENDIO DATA CENTERNORMATIVAS PROTECCIÓN CONTRA INCENDIO DATA CENTER
NORMATIVAS PROTECCIÓN CONTRA INCENDIO DATA CENTER
 
NORMAS Y ESTÁNDARES DE AUDITORIA DATA CENTER
NORMAS Y ESTÁNDARES DE AUDITORIA DATA CENTERNORMAS Y ESTÁNDARES DE AUDITORIA DATA CENTER
NORMAS Y ESTÁNDARES DE AUDITORIA DATA CENTER
 
MANUAL DE FABRICACIÓN DE DATA CENTER
MANUAL DE FABRICACIÓN DE DATA CENTERMANUAL DE FABRICACIÓN DE DATA CENTER
MANUAL DE FABRICACIÓN DE DATA CENTER
 
ISO 50001 ENERGÍA DATA CENTER
ISO 50001 ENERGÍA DATA CENTERISO 50001 ENERGÍA DATA CENTER
ISO 50001 ENERGÍA DATA CENTER
 
ESTÁNDAR DATA CENTER
ESTÁNDAR DATA CENTERESTÁNDAR DATA CENTER
ESTÁNDAR DATA CENTER
 
Redes e Infraestructura
Redes e InfraestructuraRedes e Infraestructura
Redes e Infraestructura
 
Protocolos de Comunicacion
Protocolos de ComunicacionProtocolos de Comunicacion
Protocolos de Comunicacion
 
Redes y Comunicaciones
Redes y ComunicacionesRedes y Comunicaciones
Redes y Comunicaciones
 

Último

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 

Último (11)

Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 

MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN

  • 1. Seguridad de la Información Unidad 3: Marcos de Referencia para Seguridad de la Información 3.2 ISO 27002 ISO 27002
  • 2. Objetivos del encuentro: 1. Adquirir los conceptos básicos relacionados con la tendencia de SI 2. Reconocer las características de la tendencia de SI Semana Nro. 10
  • 3. Frase Motivacional “Siempre que ves una persona exitosa percibes sus glorias, y nunca los sacrificios que la llevaron hasta allí” – Vaibhav Shah.
  • 4. Negocios habilitados por la Seguridad • Reducir el riesgo de la Seguridad – Evaluar el entorno – Mejorar el aislamiento y la resistencia – Desarrollar e implementar controles Incrementar el Valor de Negocio Conectarse con los clientes Integrarse con los socios Habilitar a los empleados Nivel de Riesgo Impacto a los Negocios Probabilidad de Ataque ROI Conectado Productivo 4
  • 5. Cambiar el enfoque de la Seguridad DE • Ad-hoc y táctico • Irregular • Reactivo • Sin medición • Absoluto A • Administrado y estratégico • Sistemático • Adaptativo • Medible • Adecuado Las actividades de seguridad y las medidas del desempeño de la seguridad estarán visiblemente alineadas con los impulsores estratégicos y los factores críticos de é5xito
  • 6. Componentes (organización) de la Seguridad de Información Seguridad de Información Operación y Mantenimiento de Seguridad Procesos, Políticas, Estándares, Procedimientos Concientización y Capacitación CumplimientoAdministración de Riesgos y Baselines Statement of Aplicability Programas de Trabajo Evaluación de Riesgos Selecciónde Controles Sub-Comité de SI de TI Seguimiento de Amenazas y Vulnerabilidades Plan de Respuestaa Incidentes Equipo de Respuestaa Incidentes Política General de Seguridad de Información Programa Integral de Seguridad de Información Continuidad de Negocio Infraestructura Comité de Protección de Información Equipo de DRP Estructura Organizacional 6
  • 7. Administración de Riesgos 7 • Provee un marco de trabajo para que la administración trate efectivamente con la incertidumbre y el riesgo y oportunidad asociados y así mejore su capacidad para construir valor • La seguridad es un asunto estratégico para la supervivencia de una organización • El riesgo debe ser administrado en una base diaria dentro de una organización • Un programa de seguridad a nivel empresarial es una reflexión y ejecución de una estrategia de administración de riesgos
  • 8. Contexto Estratégico Leyes y Regulaciones Entorno Económico Ambiente Social Ambiente Tecnológico Clientes Competencia ObjetivosObjetivosObjetivosObjetivos deldeldeldel NegocioNegocioNegocioNegocio Rendimiento Financiero,Rendimiento Financiero,Rendimiento Financiero,Rendimiento Financiero, CrecimientoCrecimientoCrecimientoCrecimiento Institucional,Institucional,Institucional,Institucional, CrecimientoCrecimientoCrecimientoCrecimiento competitivo, Calidad, Servicio alcompetitivo, Calidad, Servicio alcompetitivo, Calidad, Servicio alcompetitivo, Calidad, Servicio al Cliente, EficienciaCliente, EficienciaCliente, EficienciaCliente, Eficiencia operacional,operacional,operacional,operacional, Productividad,Productividad,Productividad,Productividad, Etc.Etc.Etc.Etc. Estructura Organizacional Líneas de negocio Procesos Actividades Productos Impacto Económico - Reputación organizacional Imagen de productos o servicios 8
  • 9. Administración de Riesgos 9 • La evaluación de riesgos es una parte muy importante de la planeación de la estrategia de protección de información. • Provee una base para la implementación de los planes de protección de activos contra varias amenazas. • Una vez hecha la evaluación de riesgos, es necesario realizar la planeación proactiva y reactiva de protección de información.
  • 10. Administración de Riesgos 10 Definición Es un proceso interactivo e iterativo basado en el conocimiento, evaluación y manejo de los riesgos y sus impactos, con el propósito de mejorar la toma de decisiones organizacionales Aplicable a cualquier situación donde un resultado no deseado o inesperado pueda ser significativo o donde se identifiquen oportunidades
  • 11. Proceso de Administración de Riesgos 11
  • 12. Modelo Sencillo de Control de Riesgos Vulnerabilidad Agente Amenaza Riesgo Exposición Activo Realiza una 12 Que explota una Y produce un Que puede dañar un Y causar una Que puede ser manejada con un Control Afecta directamente a un
  • 13. Otro Modelo Dinámico de Eventos 13
  • 14. Riesgos de seguridad Riesgo Amenazas Controles Requerimientos de seguridad Valor del activo Impacto en la organización Activos Protección contra Explotan Reduce Vulnerabilidades Exponen Tiene Implementan 14
  • 15. Etapas del desarrollo de un Sistema Administrativo de Seguridad de Información 15
  • 16. ISO/IEC 27002:2005 - Cláusulas de control 16 5. Política de seguridad 6. Organización de la seguridad de información 7. Administración de activos 8. Seguridad de los recursos humanos 9. Seguridad física y ambiental 10.Administración de las comunicaciones y operaciones 11.Control de acceso 12.Adquisición, desarrollo y mantenimiento de sistemas de información 13.Administración de incidentes de seguridad de información 14.Administración de la continuidad de negocios 15.Cumplimiento
  • 17. Administración de Riesgos 17 Beneficios para la Organización • Facilita el logro de los objetivos de la organización • Hace a la organización más segura y consciente de sus riesgos • Mejoramiento continuo del Sistema de Control Interno • Optimiza la asignación de recursos • Aprovechamiento de oportunidades de negocio • Fortalece la cultura de autocontrol • Mayor estabilidad ante cambios del entorno
  • 18. Administración de Riesgos 18 Beneficios para el área de Auditoria • Soporta el logro de los objetivos de la auditoria • Estandarización en el método de trabajo • Integración del concepto de control en las políticas organizacionales • Mayor efectividad en la planeación general de Auditoria. • Evaluaciones enfocadas en riesgos • Mayor cobertura de la administración de riesgos • Auditorias más efectivas y con mayor valor agregado
  • 19. Planificación del Análisis y Gestión de Riesgos Específicamente en la administración de TI. y de procesos operativos apoyados con TI. Tecnológicos y de Información Integridad, Confidencialidad y Disponibilidad + Efectividad, Eficiencia, Cumplimiento de Normas + De negocio Procesos de TI (Ejemplo COBIT)  Subprocesos Ej: Manejo y Administración de Proyectos Adquisición y mantenimiento de sistemas de aplicación Administración de la configuración Prestación de servicio continuo Proyecto de TI  Etapas o actividades Sistema de Información  Módulos, Interfase, E/P/S 19
  • 20. Análisis de Riesgos Ineficiencia en el uso de los recursos Pérdida de confidencialidad Pérdida de Integridad de información Interrupción en la continuidad del servicio Acceso no autorizado Pérdida económica 20 Heterogeneidad en la ejecución de procesos Ausencia de metodologías de procesos Inadecuada clasificación de la información Error u omisión en el procesamiento Cambios no autorizados Hurto de activos (recursos informáticos) Incertidumbre para atender incidentes Ausencia de planes de continuidad de Negocio Suplantación de usuarios AlgunosAlgunosAlgunosAlgunos RiesgosRiesgosRiesgosRiesgos AlgunasAlgunasAlgunasAlgunas CausasCausasCausasCausas
  • 21. Análisis de Riesgos Desarrollo y Adquisición de Software Sub o sobre dimensionamiento Diseño Inadecuado Aceptación de sw no acorde con las necesidades Falta de oportu- nidad en entrada en producción Negación del servicio Cambios no autorizados Ineficiente uso de los recursos Acceso no autorizado Operación de Instalaciones Técnicos y Tecnológicos Relacionados con la Información Pérdida de información Selección inadecuada de estrategias Obsolescencia Tecnológica Pérdida de Información Pérdida de Confidencialidad Pérdida de integridad o Confiabilidad Incumplimiento de normas Riesgos de TI (un ejemplo con 2 procesos y 2 recursos) 21
  • 23. Análisis de Riesgo Relacionados con la Probabilidad 1 Rara vez ocurre 2 Poco probable 3 Algunas Veces 4 probable 5 muy probable Pérdida Financiera 0 No hay pérdida 1 de 1 a 2 de 10.000 a 10.000 50.000 3 de 50.000 a 100.000 4 de 100.000 a 500.000 5 más de 500.000 Relacionada con el Impacto Haga uso de la información histórica que tenga disponible. Aplique un método cuantitativo Pérdida de Imagen 0 No se afecta la imagen 1 ante los empleados 2 ante un cliente 3ante una ciudad 4 ante el país 5 ante el mundo Cuando lo requiera elabore sus propias escalas de medición Aplique métodos semi-cuantitativos Valorar Riesgo (Causa) = Probabilidad x Impacto Pérdida de Disponibilidad 1 No se afecta 2por algunos segundos 2 por algunos minutos 3 por algunas horas 4 por un día/semana 5 por una semana/mes 23
  • 24. Seguridad en el Desarrollo y Mantenimiento de Sistemas de Información 24
  • 25. Evaluación y tratamiento de riesgos 25 • Evaluación de riesgos de seguridad • Las evaluaciones de riesgos deberán identificar, cuantificar y priorizar los riesgos contra los criterios para la aceptación de riesgos y los objetivos relevantes para la organización • Los resultados deberán guiar y determinar la acción administrativa apropiada y las prioridades para administrar los riesgos e implementar los controles seleccionados para proteger contra estos riesgos • Este es un proceso interactivo e iterativo para cubrir las distintas áreas o sistemas de la organización y el progresivo logro de una seguridad más completa
  • 26. Evaluación y tratamiento de riesgos 26 • Evaluación de riesgos de seguridad • Se debe incluir la estimación sistemática de la magnitud del riesgo (análisis de riesgo) y la comparación de los riesgos estimados contra los criterios de riesgo establecidos para determinar la importancia de los riesgos (evaluación de riesgos) • Se deben realizar metódica y periódicamente para atender cambios en los requerimientos de seguridad y en las situaciones de riesgo y producir resultados comparables y reproducibles • Se debe hacer siempre con un alcance muy bien definido; puede ser toda la organización o partes de ella, un sistema de información, componentes de un sistema, etc., donde sea practicable, realista y útil
  • 27. Priorización de Riesgos Heterogeneidad en la ejecución de procesos785 Inadecuada clasificación de la información 750 Desarrollo informal (sin metodología) de sw 675 Ausencia de planes de continuidad de Negocio 585 Incertidumbre para atender incidentes 400 Cambios no autorizados 310 Error u omisión en el procesamiento 250 Hurto de activos (recursos informáticos) 230 Suplantación de usuarios 175 27
  • 28. Evaluación y tratamiento de riesgos 28 • Tratamiento de riesgos de seguridad • Antes la organización debe decidir los criterios para determinar si los riesgos pueden o no ser aceptados • Para cada uno de los riesgos identificados en la evaluación se decidirá un tratamiento. Opciones posibles son: • Aplicar controles apropiados para reducir/mitigar los riesgos • Consciente y objetivamente aceptar los riesgos, probando que claramente satisfacen la política de la organización y los criterios de aceptación de riesgos • Evitar los riesgos no permitiendo las acciones que los provoquen • Transferir los riesgos a terceros, por ejemplo, proveedores o aseguradores
  • 29. Evaluación y tratamiento de riesgos 29 • Tratamiento de riesgos de seguridad • En el caso de la reducción/mitigación de riesgos los controles seleccionados deberán asegurar un nivel aceptable de riesgos en función de: • Los requerimientos y restricciones de la legislación y regulaciones nacional e internacional • Los objetivos organizacionales • Los requerimientos y restricciones de operación • El costo de implementación y operación en relación a los riesgos implicados. Mantenerlo proporcional a los requerimientos y restricciones de la organización • El balance entre la inversión requerida por los controles y los daños probables consecuencia de las fallas de seguridad
  • 30. Evaluación y tratamiento de riesgos 30 • Tratamiento de riesgos de seguridad • Los controles pueden ser seleccionados de este u otro estándar • No todos los controles son aplicables a todos los sistemas u organizaciones • Los controles deberán ser considerados en las etapas de especificación de requerimientos y diseño de proyectos y sistemas • No hay seguridad completa, se deben implementar medidas administrativas adicionales para monitorear, evaluar y mejorar la eficiencia y efectividad de los controles de seguridad para soportar los propósitos de la organización
  • 34. Gestión de Riesgos Elabore la lista de los mecanismos de control que aplican a cada uno de los componentes de su objeto analizado Procedimientos formales de planeación. uso de estándares de programación, identificación, codificación. uso de mecanismos de autenticación. procedimientos documentados, divulgados y aplicados. uso de metodologías de desarrollo de sw. uso metodologías de definición de requerimientos. procedimientos para el control de cambios. acuerdos explícitos de niveles de servicio. mecanismos de encripción redundancia en dispositivos y recursos críticos. clasificación de la información procedimientos de respaldo sensores y alarmas de factores ambientales (humo, humedad, temperatura) toma física de inventarios de recursos computacionales verificadores de licencias Esta será más sencilla de realizar si se divide adecuadamente el objeto de análisis en sus partes 34
  • 35. Gestión de Riesgos Externos Automáticos Posteriores Correctivos y Detectivos Específicos Discretos (aplicación) Internos Manuales Previos Preventivos Generales Continuos Periódicos frente a los frente a los frente a los frente a los frente a los frente a los frente a los Esporádicos Nivel de Exposición = Riesgo – Controles aplicados Definir el nivel de exposición le permitirá conocer la efectividad de los controles. Sin embargo, tenga presente en relación con la efectividad de los controles los siguientes aspectos: 35
  • 36. Direccionamiento actividades de aprendizaje Actividades: • Revisar el aula virtual • Realizar las actividades y tareas planteadas. Se recomienda describir por ejemplo: • Tomar apuntes esenciales, revisar el material de clases