SlideShare una empresa de Scribd logo

Evaluación de Riesgo

Descargar como PPTX, PDF
Modernizacion y Gobierno Digital - Gobierno de Chile
Modernizacion y Gobierno Digital - Gobierno de Chile

Presentación de Seminario Seguridad de la Información, organizado por la Unidad de Modernización y Gobierno Electrónico.

1 de 22
Gestión de Riesgo Unidad de Modernización y Gobierno Electrónico Ministerio Secretaría General de la Presidencia
La probable frecuencia y probable magnitud de pérdidas futuras. RIESGO
RIESGO • El riesgo es un potencial de problemas • Se debe evitar que una amenaza explote una vulnerabilidad existente • Conocidos los riesgos, se deben mitigar
RIESGO para la ISO 27002 • Los requerimientos de seguridad se identifican mediante una evaluación metódica de los riesgos de seguridad. • El proceso de evaluación de riesgo debe identificar, cuantificar y priorizar los riesgos en comparación con el nivel de riesgo aceptable y los objetivos relevantes para la organización. • El gasto en controles debiera ser equilibrado con el daño probable. • Los resultados de la evaluación del riesgo ayudarán a: – Guiar y determinar las prioridades de las acciones para manejar los riesgos, – Implementar los controles seleccionados para protegerse contra esos riesgos. • La evaluación del riesgo se debiera repetir periódicamente.
Conceptos y metodologías de evaluación de riesgos y su aplicación práctica para la implementación efectiva de gestión de seguridad de la información. • Metodología de Evaluación de Riesgo – Selección de ámbitos e identificación de activos – Asociación de amenazas y vulnerabilidades a activos – Ejecución de la evaluación de riesgos – Plan de tratamiento de riesgos
Marco Referencial • Nacional – CAIGG – NCh-ISO27005.Of2009 • Gestión del riesgo de seguridad de la información • Internacional – ISO 31000:2009 • Principles and Guidelines on Implementation – ISO/IEC 31010:2009 • Risk Management - Risk Assessment Techniques – ISO Guide 73:2009 • Risk Management - Vocabulary
Modelo de Cálculo de Riesgo RIESGO Probabilidad Impacto Combinación de la probabilidad de un evento y su ocurrencia (ISO/IEC Guía 73:2002)
Estimación de la Probabilidad • Porcentual – 0% a 100% • Cualitativa – Alta – Media – Baja • CAIGG
Estimación del Impacto • Porcentual Según valor del activo – ( 0% a 100% ) x Valor del Activo • Cualitativa – Alta – Media – Baja • CAIGG
Modelo de Cálculo de Riesgo RIESGO Amenaza Vulnerabilidad Impacto Modelo ICSA.net
Modelo Pragmático de Riesgo Riesgo = Amenaza * Vulnerabilidad * Impacto • SI – Amenaza Alta, Media, Baja  3,2,1 – Vulnerabilidad  Alta, Media, Baja  3,2,1 – Impacto  Alto, Medio, Bajo  3,2,1 • ENTONCES – Riesgo  (3x3x3) ... (1x1x1)  27 ... 1
Modelo Pragmático de Riesgo Riesgo = Amenaza * Vulnerabilidad * Impacto La probabilidad de ocurrencia del impacto está dado por la contemporaneidad entre una determinada amenaza y la existencia de una vulnerabilidad explotable. Riesgo = probabilidad * Impacto
No Programada Única vez Contacto Programada Tiempo de Periódica amenaza Beneficio Frecuencia de la Esfuerzo atacante Acción del Sanción / Pena Pérdida Frecuencia de la controles Fortaleza de los Vulnerabilidad Reputación Amenaza Capacidad de la Competitividad Criticidad Compliance Costo General Sensitividad Factores del Riesgo Modelo de Cálculo de Riesgo Según Activo Acceso Competencia Uso indebido Acción Divulgación Impacto Primario Interna / Externa Modificación Según Amenaza DoS Tiempo Impacto Debido Cuidado Contención Respuesta Remediación Según Detección Organización Recuperación Impacto Secundario Detección Legal y Regulatorio Modelo FAIR: Factor Analysis of Information Risk Competidores Medio Factores Externos Accionistas
Riesgo Aceptable
Evaluación y Gestión de Riesgo TI P09 – Planear y Organizar • Crear y Mantener un marco de trabajo en la Gestión de Riesgos, para: – Documentar las estrategias consensuadas – Documentar un nivel de riesgos TI común y acordado, estrategias de mitigación así como riesgos residuales. – Identificar, analizar y evaluar cualquier impacto potencial sobre las metas de la organización, causado por un acontecimiento imprevisto. – Estrategias de mitigación de riesgos para reducir el riesgo residual a un nivel aceptable. – El resultado de la evaluación debe ser comprensible para las partes interesadas y se expresa en términos financieros, para permitirles alinear el riesgo a un nivel aceptable de tolerancia.
Ciclo de Mitigación de Riesgos Agente de Activa la amenaza Puede explotar Amenaza Interviene Evidencia directamente Vulnerabilidad RIESGO Protección Puede ser contrarrestado Activo Puede Dañar Exposición Representa una
Gestión de Riesgos (ISO 31000)
Gestión de Riesgos http://www.iso27000.es/sgsi.html#section2d
Objetivo de Evaluación de Riesgo Seleccionar aquellos controles que permitan mitigar los riesgos no tolerables hasta niveles aceptables para la organización.
Control Normativa, proceso o tecnología que permite contrarrestar el riesgo de la organización mejorando la prevención, detección o respuesta frente a determinada amenaza, vulnerabilidad o impacto.
Plan de Mitigación • Conjunto jerarquizado de controles de mitigación, indexado a los procesos de negocio y al riesgo que mitigan y agrupados como Productos o Proyectos Específicos. • Muchas veces es el principal aporte al Plan de Seguridad. • Conforma la P, del ciclo PDCA de Mejora continua. Plan Plan Do Do Act Act Check Check
Gracias. Ministerio Secretaría General de la Presidencia Unidad de Modernización y Gobierno Electrónico @modernizacioncl

Recomendados

CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONAL
CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONALCONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONAL
CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONAL
Fabián Descalzo
 
Controles generales de TI.pptx
Controles generales de TI.pptxControles generales de TI.pptx
Controles generales de TI.pptx
franco592473
 
Bases datos eventos_perdida_riesgos_operacionales
Bases datos eventos_perdida_riesgos_operacionales Bases datos eventos_perdida_riesgos_operacionales
Bases datos eventos_perdida_riesgos_operacionales
IDDEA
 
Auditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoAuditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimiento
Efrain Reyes
 
Clase Gestión de Incidentes.pdf
Clase Gestión de Incidentes.pdfClase Gestión de Incidentes.pdf
Clase Gestión de Incidentes.pdf
ssuser44ff1b
 
Auditoría Física
Auditoría FísicaAuditoría Física
Auditoría Física
josmal 7
 
Evaluating System-Level Cyber Security vs. ANSI/ISA-62443-3-3
Evaluating System-Level Cyber Security vs. ANSI/ISA-62443-3-3Evaluating System-Level Cyber Security vs. ANSI/ISA-62443-3-3
Evaluating System-Level Cyber Security vs. ANSI/ISA-62443-3-3
Jim Gilsinn
 
Plan Continuidad de Negocio
Plan Continuidad de NegocioPlan Continuidad de Negocio
Plan Continuidad de Negocio
David Ortega
 

Recomendados

CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONAL
CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONALCONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONAL
CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONAL
Fabián Descalzo
 
Controles generales de TI.pptx
Controles generales de TI.pptxControles generales de TI.pptx
Controles generales de TI.pptx
franco592473
 
Bases datos eventos_perdida_riesgos_operacionales
Bases datos eventos_perdida_riesgos_operacionales Bases datos eventos_perdida_riesgos_operacionales
Bases datos eventos_perdida_riesgos_operacionales
IDDEA
 
Auditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoAuditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimiento
Efrain Reyes
 
Clase Gestión de Incidentes.pdf
Clase Gestión de Incidentes.pdfClase Gestión de Incidentes.pdf
Clase Gestión de Incidentes.pdf
ssuser44ff1b
 
Auditoría Física
Auditoría FísicaAuditoría Física
Auditoría Física
josmal 7
 
Evaluating System-Level Cyber Security vs. ANSI/ISA-62443-3-3
Evaluating System-Level Cyber Security vs. ANSI/ISA-62443-3-3Evaluating System-Level Cyber Security vs. ANSI/ISA-62443-3-3
Evaluating System-Level Cyber Security vs. ANSI/ISA-62443-3-3
Jim Gilsinn
 
Plan Continuidad de Negocio
Plan Continuidad de NegocioPlan Continuidad de Negocio
Plan Continuidad de Negocio
David Ortega
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
Melvin Jáquez
 
DEF CON 23 - NSM 101 for ICS
DEF CON 23 - NSM 101 for ICSDEF CON 23 - NSM 101 for ICS
DEF CON 23 - NSM 101 for ICS
Chris Sistrunk
 
Iso 22301 sgcn bcms
Iso 22301 sgcn bcmsIso 22301 sgcn bcms
Iso 22301 sgcn bcms
Primala Sistema de Gestion
 
Nqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacionNqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacion
julio robles
 
Security architecture analyses brief 21 april 2015
Security architecture analyses brief 21 april 2015Security architecture analyses brief 21 april 2015
Security architecture analyses brief 21 april 2015
Bill Ross
 
Auditoria Física
Auditoria FísicaAuditoria Física
Auditoria Física
auli_torres
 
ISO 27001:2013 IS audit plan - by software outsourcing company in india
ISO 27001:2013 IS audit plan - by software outsourcing company in india ISO 27001:2013 IS audit plan - by software outsourcing company in india
ISO 27001:2013 IS audit plan - by software outsourcing company in india
iFour Consultancy
 
CISA Training - Chapter 3 - 2016
CISA Training - Chapter 3 - 2016CISA Training - Chapter 3 - 2016
CISA Training - Chapter 3 - 2016
Hafiz Sheikh Adnan Ahmed
 
Plan de Continuidad de Negocio (BCP)
Plan de Continuidad de Negocio (BCP)Plan de Continuidad de Negocio (BCP)
Plan de Continuidad de Negocio (BCP)
Gustavo Specht
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005
Melvin Jáquez
 
We've been hacked! Now, what's the BCP?
We've been hacked! Now, what's the BCP?We've been hacked! Now, what's the BCP?
We've been hacked! Now, what's the BCP?
PECB
 
Everything you Need to Know about The Data Protection Officer Role
Everything you Need to Know about The Data Protection Officer Role Everything you Need to Know about The Data Protection Officer Role
Everything you Need to Know about The Data Protection Officer Role
HackerOne
 
03.1 general control
03.1 general control03.1 general control
03.1 general control
Mulyadi Yusuf
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)
Alexander Velasque Rimac
 
Curso ntp iso iec 17799 27002 1
Curso ntp iso iec 17799 27002 1Curso ntp iso iec 17799 27002 1
Curso ntp iso iec 17799 27002 1
Miguel Véliz
 
Continuidad del negocio
Continuidad del negocioContinuidad del negocio
Continuidad del negocio
ANNY
 
Sdlc checklist
Sdlc checklistSdlc checklist
Sdlc checklist
Mwandayi
 
Security audit
Security auditSecurity audit
Security audit
Rosaria Dee
 
Información Certificación y Formación CGEIT 2014 ES
Información Certificación y Formación CGEIT 2014 ESInformación Certificación y Formación CGEIT 2014 ES
Información Certificación y Formación CGEIT 2014 ES
ISACA Madrid Chapter
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAIDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
Jhonatan Castañeda Velazquez
 
El entorno de la empresa
El entorno de la empresaEl entorno de la empresa
El entorno de la empresa
lidytazo
 

Más contenido relacionado

La actualidad más candente

ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
Melvin Jáquez
 
DEF CON 23 - NSM 101 for ICS
DEF CON 23 - NSM 101 for ICSDEF CON 23 - NSM 101 for ICS
DEF CON 23 - NSM 101 for ICS
Chris Sistrunk
 
Iso 22301 sgcn bcms
Iso 22301 sgcn bcmsIso 22301 sgcn bcms
Iso 22301 sgcn bcms
Primala Sistema de Gestion
 
Nqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacionNqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacion
julio robles
 
Security architecture analyses brief 21 april 2015
Security architecture analyses brief 21 april 2015Security architecture analyses brief 21 april 2015
Security architecture analyses brief 21 april 2015
Bill Ross
 
Auditoria Física
Auditoria FísicaAuditoria Física
Auditoria Física
auli_torres
 
ISO 27001:2013 IS audit plan - by software outsourcing company in india
ISO 27001:2013 IS audit plan - by software outsourcing company in india ISO 27001:2013 IS audit plan - by software outsourcing company in india
ISO 27001:2013 IS audit plan - by software outsourcing company in india
iFour Consultancy
 
CISA Training - Chapter 3 - 2016
CISA Training - Chapter 3 - 2016CISA Training - Chapter 3 - 2016
CISA Training - Chapter 3 - 2016
Hafiz Sheikh Adnan Ahmed
 
Plan de Continuidad de Negocio (BCP)
Plan de Continuidad de Negocio (BCP)Plan de Continuidad de Negocio (BCP)
Plan de Continuidad de Negocio (BCP)
Gustavo Specht
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005
Melvin Jáquez
 
We've been hacked! Now, what's the BCP?
We've been hacked! Now, what's the BCP?We've been hacked! Now, what's the BCP?
We've been hacked! Now, what's the BCP?
PECB
 
Everything you Need to Know about The Data Protection Officer Role
Everything you Need to Know about The Data Protection Officer Role Everything you Need to Know about The Data Protection Officer Role
Everything you Need to Know about The Data Protection Officer Role
HackerOne
 
03.1 general control
03.1 general control03.1 general control
03.1 general control
Mulyadi Yusuf
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)
Alexander Velasque Rimac
 
Curso ntp iso iec 17799 27002 1
Curso ntp iso iec 17799 27002 1Curso ntp iso iec 17799 27002 1
Curso ntp iso iec 17799 27002 1
Miguel Véliz
 
Continuidad del negocio
Continuidad del negocioContinuidad del negocio
Continuidad del negocio
ANNY
 
Sdlc checklist
Sdlc checklistSdlc checklist
Sdlc checklist
Mwandayi
 
Security audit
Security auditSecurity audit
Security audit
Rosaria Dee
 
Información Certificación y Formación CGEIT 2014 ES
Información Certificación y Formación CGEIT 2014 ESInformación Certificación y Formación CGEIT 2014 ES
Información Certificación y Formación CGEIT 2014 ES
ISACA Madrid Chapter
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 

La actualidad más candente (20)

ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
 
DEF CON 23 - NSM 101 for ICS
DEF CON 23 - NSM 101 for ICSDEF CON 23 - NSM 101 for ICS
DEF CON 23 - NSM 101 for ICS
 
Iso 22301 sgcn bcms
Iso 22301 sgcn bcmsIso 22301 sgcn bcms
Iso 22301 sgcn bcms
 
Nqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacionNqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacion
 
Security architecture analyses brief 21 april 2015
Security architecture analyses brief 21 april 2015Security architecture analyses brief 21 april 2015
Security architecture analyses brief 21 april 2015
 
Auditoria Física
Auditoria FísicaAuditoria Física
Auditoria Física
 
ISO 27001:2013 IS audit plan - by software outsourcing company in india
ISO 27001:2013 IS audit plan - by software outsourcing company in india ISO 27001:2013 IS audit plan - by software outsourcing company in india
ISO 27001:2013 IS audit plan - by software outsourcing company in india
 
CISA Training - Chapter 3 - 2016
CISA Training - Chapter 3 - 2016CISA Training - Chapter 3 - 2016
CISA Training - Chapter 3 - 2016
 
Plan de Continuidad de Negocio (BCP)
Plan de Continuidad de Negocio (BCP)Plan de Continuidad de Negocio (BCP)
Plan de Continuidad de Negocio (BCP)
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005
 
We've been hacked! Now, what's the BCP?
We've been hacked! Now, what's the BCP?We've been hacked! Now, what's the BCP?
We've been hacked! Now, what's the BCP?
 
Everything you Need to Know about The Data Protection Officer Role
Everything you Need to Know about The Data Protection Officer Role Everything you Need to Know about The Data Protection Officer Role
Everything you Need to Know about The Data Protection Officer Role
 
03.1 general control
03.1 general control03.1 general control
03.1 general control
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)
 
Curso ntp iso iec 17799 27002 1
Curso ntp iso iec 17799 27002 1Curso ntp iso iec 17799 27002 1
Curso ntp iso iec 17799 27002 1
 
Continuidad del negocio
Continuidad del negocioContinuidad del negocio
Continuidad del negocio
 
Sdlc checklist
Sdlc checklistSdlc checklist
Sdlc checklist
 
Security audit
Security auditSecurity audit
Security audit
 
Información Certificación y Formación CGEIT 2014 ES
Información Certificación y Formación CGEIT 2014 ESInformación Certificación y Formación CGEIT 2014 ES
Información Certificación y Formación CGEIT 2014 ES
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 

Destacado

IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAIDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
Jhonatan Castañeda Velazquez
 
El entorno de la empresa
El entorno de la empresaEl entorno de la empresa
El entorno de la empresa
lidytazo
 
Proyecto final grupo_102058_38
Proyecto final grupo_102058_38Proyecto final grupo_102058_38
Proyecto final grupo_102058_38
ronalitomejia
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012
xhagix
 
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
Rooswelth Gerardo Zavaleta Benites
 
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓNDeclaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Alejandra Prado
 
Tutorial 2 plagio
Tutorial 2 plagioTutorial 2 plagio
Tutorial 2 plagio
Roberto Mario De león Porras
 
Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242
hammettbv
 
Por Que Nacen Las Empresas
Por Que Nacen Las EmpresasPor Que Nacen Las Empresas
Por Que Nacen Las Empresas
ROBINHOOD
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVE
YairTobon
 
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Paola Lovee
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
Abby Ramirez
 
Proceso de administracion de estrategias
Proceso de administracion de estrategiasProceso de administracion de estrategias
Proceso de administracion de estrategias
alexander alticoru
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
simondavila
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgos
Aranda Software
 
Documento análisis vulnerabilidad
Documento análisis vulnerabilidadDocumento análisis vulnerabilidad
Documento análisis vulnerabilidad
Oscar López Comunicaciones - OL.COM
 
Informe sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategicoInforme sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategico
Juan Prudencio
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de Riesgos
Ramiro Cid
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informática
Carolina Cols
 
Proyecto disco bar
Proyecto disco barProyecto disco bar
Proyecto disco bar
Godofredo Danny
 

Destacado (20)

IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAIDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
 
El entorno de la empresa
El entorno de la empresaEl entorno de la empresa
El entorno de la empresa
 
Proyecto final grupo_102058_38
Proyecto final grupo_102058_38Proyecto final grupo_102058_38
Proyecto final grupo_102058_38
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012
 
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
 
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓNDeclaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
 
Tutorial 2 plagio
Tutorial 2 plagioTutorial 2 plagio
Tutorial 2 plagio
 
Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242
 
Por Que Nacen Las Empresas
Por Que Nacen Las EmpresasPor Que Nacen Las Empresas
Por Que Nacen Las Empresas
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVE
 
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
 
Proceso de administracion de estrategias
Proceso de administracion de estrategiasProceso de administracion de estrategias
Proceso de administracion de estrategias
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgos
 
Documento análisis vulnerabilidad
Documento análisis vulnerabilidadDocumento análisis vulnerabilidad
Documento análisis vulnerabilidad
 
Informe sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategicoInforme sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategico
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de Riesgos
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informática
 
Proyecto disco bar
Proyecto disco barProyecto disco bar
Proyecto disco bar
 

Más de Modernizacion y Gobierno Digital - Gobierno de Chile

Interoperabilidad en el Estado de Chile
Interoperabilidad en el Estado de ChileInteroperabilidad en el Estado de Chile
Interoperabilidad en el Estado de Chile
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Infografia gobierno digital usuarios chilenos
Infografia gobierno digital usuarios chilenosInfografia gobierno digital usuarios chilenos
Infografia gobierno digital usuarios chilenos
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Avances en la Digitalización de Trámites Públicos - Premios Chile sin Papeleo
Avances en la Digitalización de Trámites Públicos - Premios Chile sin PapeleoAvances en la Digitalización de Trámites Públicos - Premios Chile sin Papeleo
Avances en la Digitalización de Trámites Públicos - Premios Chile sin Papeleo
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Red Multiservicios del Estado, ChileAtiende
Red Multiservicios del Estado, ChileAtiendeRed Multiservicios del Estado, ChileAtiende
Red Multiservicios del Estado, ChileAtiende
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Going Open Going Social in Chile- OECD
Going Open Going Social in Chile- OECD Going Open Going Social in Chile- OECD
Going Open Going Social in Chile- OECD
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Avances de Modernización del Estado- Comision Ciencia y Tecnologia
Avances de Modernización del Estado- Comision Ciencia y TecnologiaAvances de Modernización del Estado- Comision Ciencia y Tecnologia
Avances de Modernización del Estado- Comision Ciencia y Tecnologia
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Presentación ChileAtiende- Comisión Gobierno Interior
Presentación ChileAtiende- Comisión Gobierno InteriorPresentación ChileAtiende- Comisión Gobierno Interior
Presentación ChileAtiende- Comisión Gobierno Interior
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Presentación Modernización del Estado- Delegación Paraguay
Presentación Modernización del Estado- Delegación Paraguay Presentación Modernización del Estado- Delegación Paraguay
Presentación Modernización del Estado- Delegación Paraguay
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Iniciativas de E-Government para el beneficio de los ciudadanos en Japón
Iniciativas de E-Government para el beneficio de los ciudadanos en JapónIniciativas de E-Government para el beneficio de los ciudadanos en Japón
Iniciativas de E-Government para el beneficio de los ciudadanos en Japón
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Plan de Gobierno Digital en México
Plan de Gobierno Digital en MéxicoPlan de Gobierno Digital en México
Plan de Gobierno Digital en México
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Red Mutiservicios del Estado "ChileAtiende" WorkShop APEC 2013
Red Mutiservicios del Estado "ChileAtiende" WorkShop APEC 2013 Red Mutiservicios del Estado "ChileAtiende" WorkShop APEC 2013
Red Mutiservicios del Estado "ChileAtiende" WorkShop APEC 2013
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Servicios en línea y Gobierno 3.0 en la República de Corea
Servicios en línea y Gobierno 3.0 en la República de CoreaServicios en línea y Gobierno 3.0 en la República de Corea
Servicios en línea y Gobierno 3.0 en la República de Corea
Modernizacion y Gobierno Digital - Gobierno de Chile
 
“El Estado cercano a los ciudadanos, el desafío más importante de un gobierno...
“El Estado cercano a los ciudadanos, el desafío más importante de un gobierno...“El Estado cercano a los ciudadanos, el desafío más importante de un gobierno...
“El Estado cercano a los ciudadanos, el desafío más importante de un gobierno...
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Service Canada. Experiencia en calidad de atención. Las personas como factor ...
Service Canada. Experiencia en calidad de atención. Las personas como factor ...Service Canada. Experiencia en calidad de atención. Las personas como factor ...
Service Canada. Experiencia en calidad de atención. Las personas como factor ...
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013
Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013 Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013
Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013
Modernizacion y Gobierno Digital - Gobierno de Chile
 
El Estado del Futuro - Icare Innova
El Estado del Futuro - Icare InnovaEl Estado del Futuro - Icare Innova
El Estado del Futuro - Icare Innova
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Gobierno 2.0 para una ciudadanía 2.0
Gobierno 2.0 para una ciudadanía 2.0Gobierno 2.0 para una ciudadanía 2.0
Gobierno 2.0 para una ciudadanía 2.0
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Más allá del Gobierno Digital
Más allá del Gobierno Digital Más allá del Gobierno Digital
Más allá del Gobierno Digital
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Proyectos ChileAtiende y Chile sin Papeleo
Proyectos ChileAtiende y Chile sin PapeleoProyectos ChileAtiende y Chile sin Papeleo
Proyectos ChileAtiende y Chile sin Papeleo
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Interoperabilidad Gobierno Digital Chile
Interoperabilidad Gobierno Digital ChileInteroperabilidad Gobierno Digital Chile
Interoperabilidad Gobierno Digital Chile
Modernizacion y Gobierno Digital - Gobierno de Chile
 

Más de Modernizacion y Gobierno Digital - Gobierno de Chile (20)

Interoperabilidad en el Estado de Chile
Interoperabilidad en el Estado de ChileInteroperabilidad en el Estado de Chile
Interoperabilidad en el Estado de Chile
 
Infografia gobierno digital usuarios chilenos
Infografia gobierno digital usuarios chilenosInfografia gobierno digital usuarios chilenos
Infografia gobierno digital usuarios chilenos
 
Avances en la Digitalización de Trámites Públicos - Premios Chile sin Papeleo
Avances en la Digitalización de Trámites Públicos - Premios Chile sin PapeleoAvances en la Digitalización de Trámites Públicos - Premios Chile sin Papeleo
Avances en la Digitalización de Trámites Públicos - Premios Chile sin Papeleo
 
Red Multiservicios del Estado, ChileAtiende
Red Multiservicios del Estado, ChileAtiendeRed Multiservicios del Estado, ChileAtiende
Red Multiservicios del Estado, ChileAtiende
 
Going Open Going Social in Chile- OECD
Going Open Going Social in Chile- OECD Going Open Going Social in Chile- OECD
Going Open Going Social in Chile- OECD
 
Avances de Modernización del Estado- Comision Ciencia y Tecnologia
Avances de Modernización del Estado- Comision Ciencia y TecnologiaAvances de Modernización del Estado- Comision Ciencia y Tecnologia
Avances de Modernización del Estado- Comision Ciencia y Tecnologia
 
Presentación ChileAtiende- Comisión Gobierno Interior
Presentación ChileAtiende- Comisión Gobierno InteriorPresentación ChileAtiende- Comisión Gobierno Interior
Presentación ChileAtiende- Comisión Gobierno Interior
 
Presentación Modernización del Estado- Delegación Paraguay
Presentación Modernización del Estado- Delegación Paraguay Presentación Modernización del Estado- Delegación Paraguay
Presentación Modernización del Estado- Delegación Paraguay
 
Iniciativas de E-Government para el beneficio de los ciudadanos en Japón
Iniciativas de E-Government para el beneficio de los ciudadanos en JapónIniciativas de E-Government para el beneficio de los ciudadanos en Japón
Iniciativas de E-Government para el beneficio de los ciudadanos en Japón
 
Plan de Gobierno Digital en México
Plan de Gobierno Digital en MéxicoPlan de Gobierno Digital en México
Plan de Gobierno Digital en México
 
Red Mutiservicios del Estado "ChileAtiende" WorkShop APEC 2013
Red Mutiservicios del Estado "ChileAtiende" WorkShop APEC 2013 Red Mutiservicios del Estado "ChileAtiende" WorkShop APEC 2013
Red Mutiservicios del Estado "ChileAtiende" WorkShop APEC 2013
 
Servicios en línea y Gobierno 3.0 en la República de Corea
Servicios en línea y Gobierno 3.0 en la República de CoreaServicios en línea y Gobierno 3.0 en la República de Corea
Servicios en línea y Gobierno 3.0 en la República de Corea
 
“El Estado cercano a los ciudadanos, el desafío más importante de un gobierno...
“El Estado cercano a los ciudadanos, el desafío más importante de un gobierno...“El Estado cercano a los ciudadanos, el desafío más importante de un gobierno...
“El Estado cercano a los ciudadanos, el desafío más importante de un gobierno...
 
Service Canada. Experiencia en calidad de atención. Las personas como factor ...
Service Canada. Experiencia en calidad de atención. Las personas como factor ...Service Canada. Experiencia en calidad de atención. Las personas como factor ...
Service Canada. Experiencia en calidad de atención. Las personas como factor ...
 
Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013
Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013 Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013
Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013
 
El Estado del Futuro - Icare Innova
El Estado del Futuro - Icare InnovaEl Estado del Futuro - Icare Innova
El Estado del Futuro - Icare Innova
 
Gobierno 2.0 para una ciudadanía 2.0
Gobierno 2.0 para una ciudadanía 2.0Gobierno 2.0 para una ciudadanía 2.0
Gobierno 2.0 para una ciudadanía 2.0
 
Más allá del Gobierno Digital
Más allá del Gobierno Digital Más allá del Gobierno Digital
Más allá del Gobierno Digital
 
Proyectos ChileAtiende y Chile sin Papeleo
Proyectos ChileAtiende y Chile sin PapeleoProyectos ChileAtiende y Chile sin Papeleo
Proyectos ChileAtiende y Chile sin Papeleo
 
Interoperabilidad Gobierno Digital Chile
Interoperabilidad Gobierno Digital ChileInteroperabilidad Gobierno Digital Chile
Interoperabilidad Gobierno Digital Chile
 

Evaluación de Riesgo

  • 1. Gestión de Riesgo Unidad de Modernización y Gobierno Electrónico Ministerio Secretaría General de la Presidencia
  • 2. La probable frecuencia y probable magnitud de pérdidas futuras. RIESGO
  • 3. RIESGO • El riesgo es un potencial de problemas • Se debe evitar que una amenaza explote una vulnerabilidad existente • Conocidos los riesgos, se deben mitigar
  • 4. RIESGO para la ISO 27002 • Los requerimientos de seguridad se identifican mediante una evaluación metódica de los riesgos de seguridad. • El proceso de evaluación de riesgo debe identificar, cuantificar y priorizar los riesgos en comparación con el nivel de riesgo aceptable y los objetivos relevantes para la organización. • El gasto en controles debiera ser equilibrado con el daño probable. • Los resultados de la evaluación del riesgo ayudarán a: – Guiar y determinar las prioridades de las acciones para manejar los riesgos, – Implementar los controles seleccionados para protegerse contra esos riesgos. • La evaluación del riesgo se debiera repetir periódicamente.
  • 5. Conceptos y metodologías de evaluación de riesgos y su aplicación práctica para la implementación efectiva de gestión de seguridad de la información. • Metodología de Evaluación de Riesgo – Selección de ámbitos e identificación de activos – Asociación de amenazas y vulnerabilidades a activos – Ejecución de la evaluación de riesgos – Plan de tratamiento de riesgos
  • 6. Marco Referencial • Nacional – CAIGG – NCh-ISO27005.Of2009 • Gestión del riesgo de seguridad de la información • Internacional – ISO 31000:2009 • Principles and Guidelines on Implementation – ISO/IEC 31010:2009 • Risk Management - Risk Assessment Techniques – ISO Guide 73:2009 • Risk Management - Vocabulary
  • 7. Modelo de Cálculo de Riesgo RIESGO Probabilidad Impacto Combinación de la probabilidad de un evento y su ocurrencia (ISO/IEC Guía 73:2002)
  • 8. Estimación de la Probabilidad • Porcentual – 0% a 100% • Cualitativa – Alta – Media – Baja • CAIGG
  • 9. Estimación del Impacto • Porcentual Según valor del activo – ( 0% a 100% ) x Valor del Activo • Cualitativa – Alta – Media – Baja • CAIGG
  • 10. Modelo de Cálculo de Riesgo RIESGO Amenaza Vulnerabilidad Impacto Modelo ICSA.net
  • 11. Modelo Pragmático de Riesgo Riesgo = Amenaza * Vulnerabilidad * Impacto • SI – Amenaza Alta, Media, Baja  3,2,1 – Vulnerabilidad  Alta, Media, Baja  3,2,1 – Impacto  Alto, Medio, Bajo  3,2,1 • ENTONCES – Riesgo  (3x3x3) ... (1x1x1)  27 ... 1
  • 12. Modelo Pragmático de Riesgo Riesgo = Amenaza * Vulnerabilidad * Impacto La probabilidad de ocurrencia del impacto está dado por la contemporaneidad entre una determinada amenaza y la existencia de una vulnerabilidad explotable. Riesgo = probabilidad * Impacto
  • 13. No Programada Única vez Contacto Programada Tiempo de Periódica amenaza Beneficio Frecuencia de la Esfuerzo atacante Acción del Sanción / Pena Pérdida Frecuencia de la controles Fortaleza de los Vulnerabilidad Reputación Amenaza Capacidad de la Competitividad Criticidad Compliance Costo General Sensitividad Factores del Riesgo Modelo de Cálculo de Riesgo Según Activo Acceso Competencia Uso indebido Acción Divulgación Impacto Primario Interna / Externa Modificación Según Amenaza DoS Tiempo Impacto Debido Cuidado Contención Respuesta Remediación Según Detección Organización Recuperación Impacto Secundario Detección Legal y Regulatorio Modelo FAIR: Factor Analysis of Information Risk Competidores Medio Factores Externos Accionistas
  • 15. Evaluación y Gestión de Riesgo TI P09 – Planear y Organizar • Crear y Mantener un marco de trabajo en la Gestión de Riesgos, para: – Documentar las estrategias consensuadas – Documentar un nivel de riesgos TI común y acordado, estrategias de mitigación así como riesgos residuales. – Identificar, analizar y evaluar cualquier impacto potencial sobre las metas de la organización, causado por un acontecimiento imprevisto. – Estrategias de mitigación de riesgos para reducir el riesgo residual a un nivel aceptable. – El resultado de la evaluación debe ser comprensible para las partes interesadas y se expresa en términos financieros, para permitirles alinear el riesgo a un nivel aceptable de tolerancia.
  • 16. Ciclo de Mitigación de Riesgos Agente de Activa la amenaza Puede explotar Amenaza Interviene Evidencia directamente Vulnerabilidad RIESGO Protección Puede ser contrarrestado Activo Puede Dañar Exposición Representa una
  • 17. Gestión de Riesgos (ISO 31000)
  • 18. Gestión de Riesgos http://www.iso27000.es/sgsi.html#section2d
  • 19. Objetivo de Evaluación de Riesgo Seleccionar aquellos controles que permitan mitigar los riesgos no tolerables hasta niveles aceptables para la organización.
  • 20. Control Normativa, proceso o tecnología que permite contrarrestar el riesgo de la organización mejorando la prevención, detección o respuesta frente a determinada amenaza, vulnerabilidad o impacto.
  • 21. Plan de Mitigación • Conjunto jerarquizado de controles de mitigación, indexado a los procesos de negocio y al riesgo que mitigan y agrupados como Productos o Proyectos Específicos. • Muchas veces es el principal aporte al Plan de Seguridad. • Conforma la P, del ciclo PDCA de Mejora continua. Plan Plan Do Do Act Act Check Check
  • 22. Gracias. Ministerio Secretaría General de la Presidencia Unidad de Modernización y Gobierno Electrónico @modernizacioncl