Este documento trata sobre la gestión de vulnerabilidades en seguridad de la información. Explica que las vulnerabilidades son debilidades que permiten que individuos malintencionados violen sistemas. También describe los pasos clave en el proceso de gestión de vulnerabilidades, como identificar activos, detectar vulnerabilidades, clasificar riesgos, implementar correcciones y realizar monitoreo. El objetivo principal es identificar y corregir fallas de seguridad para proteger mejor los sistemas y cumplir con normativas.
El documento proporciona una introducción a la norma ISO 27000 sobre sistemas de gestión de la seguridad de la información. Explica que la serie ISO 27000 incluye estándares para establecer, implementar, operar, monitorear y mejorar un sistema de gestión de seguridad de la información. También describe algunos de los estándares específicos como ISO 27001, ISO 27002 y ISO 27005 y sus objetivos de establecer los requisitos, mejores prácticas y gestión de riesgos de seguridad de la información.
1) El documento habla sobre la seguridad de la información y compara la norma ISO 17799 con el Sistema de Gestión de Seguridad de la Información ISO 27001. 2) Explica las etapas de un proyecto de seguridad incluyendo el análisis de riesgos, determinación de brechas y plan de implementación. 3) Los 11 dominios de la ISO 17799 incluyen control de accesos, gestión de activos, política de seguridad y gestión de incidentes.
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
Este documento presenta información sobre sistemas de gestión de seguridad de la información. Explica conceptos clave como estado del arte, introducción a la seguridad en TI, definiciones básicas, planes de seguridad e internet. También incluye consideraciones sobre tipos de seguridad, planes de contingencia y metodologías para la elaboración de planes de seguridad y contingencia.
Memorias webCast Introduccion al analisis y gestión de riesgosAranda Software
El documento presenta una introducción a los conceptos de riesgo, análisis de riesgos y metodologías como NIST 800-30. Explica que el riesgo es el potencial de que una amenaza explote una vulnerabilidad y cause daño, y que el análisis de riesgos identifica amenazas, vulnerabilidades y sus impactos. También resume los pasos de la metodología NIST 800-30 como la caracterización del sistema, identificación de amenazas, análisis de vulnerabilidades, controles y determinación del riesgo.
Este documento trata sobre la seguridad de la información. Explica que la información es un activo valioso que requiere protección, y que los objetivos de la seguridad son la confidencialidad, disponibilidad e integridad de la información. También describe las amenazas, vulnerabilidades y riesgos a la seguridad de la información, así como los incidentes de seguridad y la importancia de implementar un sistema de gestión de seguridad de la información certificado con la norma ISO 27001.
Este documento describe la metodología de análisis de riesgo de SISTESEG, la cual incluye entrevistas, evaluación de riesgos, determinación de probabilidades, identificación de vulnerabilidades e impactos, identificación de controles, y planes de implementación. El objetivo es definir una estrategia de seguridad alineada con la visión de la organización considerando factores cualitativos y cuantitativos.
Este documento trata sobre la gestión de vulnerabilidades en seguridad de la información. Explica que las vulnerabilidades son debilidades que permiten que individuos malintencionados violen sistemas. También describe los pasos clave en el proceso de gestión de vulnerabilidades, como identificar activos, detectar vulnerabilidades, clasificar riesgos, implementar correcciones y realizar monitoreo. El objetivo principal es identificar y corregir fallas de seguridad para proteger mejor los sistemas y cumplir con normativas.
El documento proporciona una introducción a la norma ISO 27000 sobre sistemas de gestión de la seguridad de la información. Explica que la serie ISO 27000 incluye estándares para establecer, implementar, operar, monitorear y mejorar un sistema de gestión de seguridad de la información. También describe algunos de los estándares específicos como ISO 27001, ISO 27002 y ISO 27005 y sus objetivos de establecer los requisitos, mejores prácticas y gestión de riesgos de seguridad de la información.
1) El documento habla sobre la seguridad de la información y compara la norma ISO 17799 con el Sistema de Gestión de Seguridad de la Información ISO 27001. 2) Explica las etapas de un proyecto de seguridad incluyendo el análisis de riesgos, determinación de brechas y plan de implementación. 3) Los 11 dominios de la ISO 17799 incluyen control de accesos, gestión de activos, política de seguridad y gestión de incidentes.
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
Este documento presenta información sobre sistemas de gestión de seguridad de la información. Explica conceptos clave como estado del arte, introducción a la seguridad en TI, definiciones básicas, planes de seguridad e internet. También incluye consideraciones sobre tipos de seguridad, planes de contingencia y metodologías para la elaboración de planes de seguridad y contingencia.
Memorias webCast Introduccion al analisis y gestión de riesgosAranda Software
El documento presenta una introducción a los conceptos de riesgo, análisis de riesgos y metodologías como NIST 800-30. Explica que el riesgo es el potencial de que una amenaza explote una vulnerabilidad y cause daño, y que el análisis de riesgos identifica amenazas, vulnerabilidades y sus impactos. También resume los pasos de la metodología NIST 800-30 como la caracterización del sistema, identificación de amenazas, análisis de vulnerabilidades, controles y determinación del riesgo.
Este documento trata sobre la seguridad de la información. Explica que la información es un activo valioso que requiere protección, y que los objetivos de la seguridad son la confidencialidad, disponibilidad e integridad de la información. También describe las amenazas, vulnerabilidades y riesgos a la seguridad de la información, así como los incidentes de seguridad y la importancia de implementar un sistema de gestión de seguridad de la información certificado con la norma ISO 27001.
Este documento describe la metodología de análisis de riesgo de SISTESEG, la cual incluye entrevistas, evaluación de riesgos, determinación de probabilidades, identificación de vulnerabilidades e impactos, identificación de controles, y planes de implementación. El objetivo es definir una estrategia de seguridad alineada con la visión de la organización considerando factores cualitativos y cuantitativos.
El documento analiza la importancia de estudiar la guerra para los estados. Indica que para determinar el resultado de un conflicto bélico hay que valorar cinco factores fundamentales: la política, el clima, el terreno, el comandante y la doctrina. Mediante el análisis de estos factores, es posible predecir el resultado final de una batalla.
El documento proporciona una introducción a la auditoría informática. Explica que la auditoría informática evalúa si un sistema de información protege los activos de una empresa, mantiene la integridad de los datos y utiliza los recursos de manera eficiente. También identifica factores como leyes gubernamentales y costos de errores que conducen a las auditorías informáticas. Los objetivos generales de una auditoría incluyen asegurar la integridad, confidencialidad y confiabilidad de la información de una empresa.
El documento describe los conceptos clave de la gestión de riesgos según la norma ISO 27001 sobre sistemas de gestión de seguridad de la información. Explica que la gestión de riesgos implica identificar los riesgos a los que está expuesta una organización y establecer medidas de seguridad para reducirlos, lo que involucra las etapas de análisis de riesgos y tratamiento de los mismos. Además, señala que para llevar a cabo el proceso completo es necesario establecer una metodología que defina
Cesar velez metodologia riesgos mageritCesar Velez
MAGERIT es una metodología de gestión de riesgos compuesta por 7 pasos que sigue la norma ISO 31000. Incluye identificar activos, amenazas, impacto potencial y riesgo potencial. Determina el riesgo mediante probabilidad e impacto para establecer salvaguardas y medir el impacto y riesgo residuales.
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
Un análisis del proceso de Gestión de Riesgos de TI desde las perspectivas distintas de los estándares, las normas y las mejores prácticas de gestión de TI aplicables. Se revisa el enfoque de gestión de riesgos de TI descrito en ITSM/ITIL, ISO 20000, ISO 31000, ISO 27001, ISO 27005, ISO 22301 y COBIT.
Vamos a cubrir:
• Perspectiva general de Gestión de Riesgos
• Normas, estándares y buenas prácticas en la gestión de procesos de TI
• Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000)
• Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
• Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
Presentador:
Pedro Escarcega Navarrete es un profesional con más de 30 años de experiencia como ejecutivo en empresas, en áreas de tecnología y ha desempeñado funciones que van desde la consultoría, capacitación e implementación y gestión de procesos de tecnologías de la información, el diseño y la administración de proyectos, hasta funciones de gerencia y dirección.
Link of the recorded session published on YouTube: https://youtu.be/JF0RIYmH6No
Este documento describe los principios básicos de la gestión de riesgos de seguridad de la información según la norma ISO 27001. Explica que la gestión de riesgos implica identificar y evaluar los riesgos para la información de una organización, y establecer controles para reducir esos riesgos. También presenta los conceptos clave relacionados con la gestión de riesgos como amenazas, vulnerabilidades, controles y tratamiento de riesgos.
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la informaciónmayckoll17
1) El documento describe varios riesgos informáticos que enfrenta la empresa Caso Atoland C.A., incluyendo la falta de planificación para la asignación de permisos de acceso de usuarios, riesgos de acceso indebido por hackers debido a problemas en el programa antivirus, y la necesidad de realizar respaldos de información importante.
2) También resume varios estándares de gestión de seguridad de la información de ISO como ISO/IEC 27001, ISO/IEC 27002 y ISO/IEC 17799, los cuales proveen un
Ibm inf sec_tratamientodatos_briefprensa_v1Kandu Tapia
El documento discute la protección de datos personales y la seguridad de la información. Explica que se necesita la cantidad adecuada de seguridad basada en el riesgo y las prioridades de la organización, no simplemente seguir las recomendaciones de proveedores. También aboga por una colaboración innovadora que complemente los enfoques tradicionales de seguridad y por implementar controles de seguridad en varias capas para cumplir con los requisitos de protección de datos. Finalmente, enfatiza que la seguridad es un proceso continuo
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...Kandu Tapia
Enfoque de IBM en torno al tema de Seguridad de la Información desde una perspectiva del Negocio, así como un acercamiento a la Ley Federal de Datos Personales en Posesión de los Particulares (LFDPPP).
Presentada por Roque C. Juárez, CISSP, CISA, CISM, ISO 27001 LA, Consultor de Seguridad de la Información en IBM de México.
La norma ISO 27001 establece los requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI) basado en un enfoque de gestión de riesgos. El SGSI ayuda a las organizaciones a proteger y salvaguardar activos de información importantes mediante la implementación de controles de seguridad. La norma se basa en el ciclo de mejora continua PDCA y tiene como piedra angular el análisis y gestión de riesgos de los procesos y servicios TI de una organización. España tiene más de 350 organizaciones
La evaluación de riesgos se implementa a través de la Matriz de evaluación de riesgos definido (Anexo). El proceso de evaluación de riesgos es coordinado por el Oficial de Seguridad de la Información al interior de cada institución, la identificación de amenazas y vulnerabilidades la realizan los propietarios de los activos, y la evaluación de consecuencias y probabilidad es realizada por los propietarios de los riesgos.
Propietario de los activos: puede no tener derechos de propiedad sobre el activo, pero tiene la responsabilidad de su producción, desarrollo, mantenimiento, uso y seguridad, según corresponda. El propietario del activo con frecuencia es la persona más idónea para determinar el valor que el activo tiene para la institución.
Propietario de los riesgos: Persona o entidad propietaria del riesgo con responsabilidad y autoridad para gestionar un riesgo
Este documento presenta una introducción a MAGERIT, la metodología española para el análisis y gestión de riesgos de sistemas de información. Explica los objetivos de MAGERIT, directos e indirectos. Luego, introduce los conceptos clave del análisis de riesgos como activos, amenazas, salvaguardas, impacto y riesgo. Finalmente, resume los pasos del método MAGERIT para realizar un análisis de riesgos.
Este documento describe el análisis de riesgos y vulnerabilidades realizado en una universidad. Incluye una descripción de las funciones del director de informática, los requisitos para implementar seguridad como el análisis de riesgos y elaboración de políticas. También presenta los resultados del análisis de riesgos identificando varios riesgos y su valoración, y propone implementar un sistema de seguridad basado en el ciclo PHVA.
El documento explica el análisis de riesgos de seguridad informática y proporciona un glosario de términos relacionados. El análisis de riesgos identifica las amenazas a los activos de un sistema para determinar su vulnerabilidad y el impacto de una brecha de seguridad. También enfatiza la importancia de capacitar al personal y crear normas de seguridad. El glosario define términos técnicos como ataque, auditoría de seguridad, autenticidad, confidencialidad y disponibilidad.
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICAcontiforense
La seguridad informática consiste en asegurar que los recursos del sistema de información de una organización sean utilizados de la manera prevista y que sólo el acceso y modificación de la información sea posible para personas autorizadas. La seguridad informática busca proteger los activos de una organización, como la información, hardware y software, mediante la aplicación de barreras y procedimientos que resguarden el acceso a los datos. En Perú, la División de Investigaciones de Delitos de Alta Tecnología de la Policía Nacional es la encargada de
La ISO 27001 es un estándar internacional para la implementación de un sistema de gestión de seguridad de la información que permite a una organización evaluar riesgos e implementar controles para proteger la confidencialidad, integridad y disponibilidad de la información. La certificación ISO 27001 cubre aspectos como política de seguridad, gestión de activos, seguridad física y del personal, gestión de incidentes y conformidad.
El documento presenta un diplomado en seguridad informática sobre la gestión de incidentes impartido por Juan Bosoms. Incluye la información de contacto del instructor, el temario del curso, y una introducción sobre la diferencia entre eventos e incidentes de seguridad, así como ejemplos de cada uno.
El documento describe un modelo de seguridad informática basado en la norma ISO 17799. Explica que la seguridad de la información es fundamental para las organizaciones y que se debe implementar un modelo con políticas sólidas, equipo capacitado, herramientas de protección actualizadas y un plan de concientización. El modelo involucra determinar riesgos, establecer controles, construir lineamientos, aplicar políticas y realizar mantenimiento y mejora continua.
El documento presenta información sobre seguridad informática. Explica los conceptos de confidencialidad, integridad y disponibilidad como pilares de la seguridad de la información. Luego describe los diferentes tipos de seguridad, incluyendo física, técnica y de sistemas. Finalmente, resume varias metodologías para el análisis de riesgos en seguridad como STRIDE, CVSS y COBIT.
El documento analiza la importancia de estudiar la guerra para los estados. Indica que para determinar el resultado de un conflicto bélico hay que valorar cinco factores fundamentales: la política, el clima, el terreno, el comandante y la doctrina. Mediante el análisis de estos factores, es posible predecir el resultado final de una batalla.
El documento proporciona una introducción a la auditoría informática. Explica que la auditoría informática evalúa si un sistema de información protege los activos de una empresa, mantiene la integridad de los datos y utiliza los recursos de manera eficiente. También identifica factores como leyes gubernamentales y costos de errores que conducen a las auditorías informáticas. Los objetivos generales de una auditoría incluyen asegurar la integridad, confidencialidad y confiabilidad de la información de una empresa.
El documento describe los conceptos clave de la gestión de riesgos según la norma ISO 27001 sobre sistemas de gestión de seguridad de la información. Explica que la gestión de riesgos implica identificar los riesgos a los que está expuesta una organización y establecer medidas de seguridad para reducirlos, lo que involucra las etapas de análisis de riesgos y tratamiento de los mismos. Además, señala que para llevar a cabo el proceso completo es necesario establecer una metodología que defina
Cesar velez metodologia riesgos mageritCesar Velez
MAGERIT es una metodología de gestión de riesgos compuesta por 7 pasos que sigue la norma ISO 31000. Incluye identificar activos, amenazas, impacto potencial y riesgo potencial. Determina el riesgo mediante probabilidad e impacto para establecer salvaguardas y medir el impacto y riesgo residuales.
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
Un análisis del proceso de Gestión de Riesgos de TI desde las perspectivas distintas de los estándares, las normas y las mejores prácticas de gestión de TI aplicables. Se revisa el enfoque de gestión de riesgos de TI descrito en ITSM/ITIL, ISO 20000, ISO 31000, ISO 27001, ISO 27005, ISO 22301 y COBIT.
Vamos a cubrir:
• Perspectiva general de Gestión de Riesgos
• Normas, estándares y buenas prácticas en la gestión de procesos de TI
• Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000)
• Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
• Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
Presentador:
Pedro Escarcega Navarrete es un profesional con más de 30 años de experiencia como ejecutivo en empresas, en áreas de tecnología y ha desempeñado funciones que van desde la consultoría, capacitación e implementación y gestión de procesos de tecnologías de la información, el diseño y la administración de proyectos, hasta funciones de gerencia y dirección.
Link of the recorded session published on YouTube: https://youtu.be/JF0RIYmH6No
Este documento describe los principios básicos de la gestión de riesgos de seguridad de la información según la norma ISO 27001. Explica que la gestión de riesgos implica identificar y evaluar los riesgos para la información de una organización, y establecer controles para reducir esos riesgos. También presenta los conceptos clave relacionados con la gestión de riesgos como amenazas, vulnerabilidades, controles y tratamiento de riesgos.
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la informaciónmayckoll17
1) El documento describe varios riesgos informáticos que enfrenta la empresa Caso Atoland C.A., incluyendo la falta de planificación para la asignación de permisos de acceso de usuarios, riesgos de acceso indebido por hackers debido a problemas en el programa antivirus, y la necesidad de realizar respaldos de información importante.
2) También resume varios estándares de gestión de seguridad de la información de ISO como ISO/IEC 27001, ISO/IEC 27002 y ISO/IEC 17799, los cuales proveen un
Ibm inf sec_tratamientodatos_briefprensa_v1Kandu Tapia
El documento discute la protección de datos personales y la seguridad de la información. Explica que se necesita la cantidad adecuada de seguridad basada en el riesgo y las prioridades de la organización, no simplemente seguir las recomendaciones de proveedores. También aboga por una colaboración innovadora que complemente los enfoques tradicionales de seguridad y por implementar controles de seguridad en varias capas para cumplir con los requisitos de protección de datos. Finalmente, enfatiza que la seguridad es un proceso continuo
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...Kandu Tapia
Enfoque de IBM en torno al tema de Seguridad de la Información desde una perspectiva del Negocio, así como un acercamiento a la Ley Federal de Datos Personales en Posesión de los Particulares (LFDPPP).
Presentada por Roque C. Juárez, CISSP, CISA, CISM, ISO 27001 LA, Consultor de Seguridad de la Información en IBM de México.
La norma ISO 27001 establece los requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI) basado en un enfoque de gestión de riesgos. El SGSI ayuda a las organizaciones a proteger y salvaguardar activos de información importantes mediante la implementación de controles de seguridad. La norma se basa en el ciclo de mejora continua PDCA y tiene como piedra angular el análisis y gestión de riesgos de los procesos y servicios TI de una organización. España tiene más de 350 organizaciones
La evaluación de riesgos se implementa a través de la Matriz de evaluación de riesgos definido (Anexo). El proceso de evaluación de riesgos es coordinado por el Oficial de Seguridad de la Información al interior de cada institución, la identificación de amenazas y vulnerabilidades la realizan los propietarios de los activos, y la evaluación de consecuencias y probabilidad es realizada por los propietarios de los riesgos.
Propietario de los activos: puede no tener derechos de propiedad sobre el activo, pero tiene la responsabilidad de su producción, desarrollo, mantenimiento, uso y seguridad, según corresponda. El propietario del activo con frecuencia es la persona más idónea para determinar el valor que el activo tiene para la institución.
Propietario de los riesgos: Persona o entidad propietaria del riesgo con responsabilidad y autoridad para gestionar un riesgo
Este documento presenta una introducción a MAGERIT, la metodología española para el análisis y gestión de riesgos de sistemas de información. Explica los objetivos de MAGERIT, directos e indirectos. Luego, introduce los conceptos clave del análisis de riesgos como activos, amenazas, salvaguardas, impacto y riesgo. Finalmente, resume los pasos del método MAGERIT para realizar un análisis de riesgos.
Este documento describe el análisis de riesgos y vulnerabilidades realizado en una universidad. Incluye una descripción de las funciones del director de informática, los requisitos para implementar seguridad como el análisis de riesgos y elaboración de políticas. También presenta los resultados del análisis de riesgos identificando varios riesgos y su valoración, y propone implementar un sistema de seguridad basado en el ciclo PHVA.
El documento explica el análisis de riesgos de seguridad informática y proporciona un glosario de términos relacionados. El análisis de riesgos identifica las amenazas a los activos de un sistema para determinar su vulnerabilidad y el impacto de una brecha de seguridad. También enfatiza la importancia de capacitar al personal y crear normas de seguridad. El glosario define términos técnicos como ataque, auditoría de seguridad, autenticidad, confidencialidad y disponibilidad.
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICAcontiforense
La seguridad informática consiste en asegurar que los recursos del sistema de información de una organización sean utilizados de la manera prevista y que sólo el acceso y modificación de la información sea posible para personas autorizadas. La seguridad informática busca proteger los activos de una organización, como la información, hardware y software, mediante la aplicación de barreras y procedimientos que resguarden el acceso a los datos. En Perú, la División de Investigaciones de Delitos de Alta Tecnología de la Policía Nacional es la encargada de
La ISO 27001 es un estándar internacional para la implementación de un sistema de gestión de seguridad de la información que permite a una organización evaluar riesgos e implementar controles para proteger la confidencialidad, integridad y disponibilidad de la información. La certificación ISO 27001 cubre aspectos como política de seguridad, gestión de activos, seguridad física y del personal, gestión de incidentes y conformidad.
El documento presenta un diplomado en seguridad informática sobre la gestión de incidentes impartido por Juan Bosoms. Incluye la información de contacto del instructor, el temario del curso, y una introducción sobre la diferencia entre eventos e incidentes de seguridad, así como ejemplos de cada uno.
El documento describe un modelo de seguridad informática basado en la norma ISO 17799. Explica que la seguridad de la información es fundamental para las organizaciones y que se debe implementar un modelo con políticas sólidas, equipo capacitado, herramientas de protección actualizadas y un plan de concientización. El modelo involucra determinar riesgos, establecer controles, construir lineamientos, aplicar políticas y realizar mantenimiento y mejora continua.
El documento presenta información sobre seguridad informática. Explica los conceptos de confidencialidad, integridad y disponibilidad como pilares de la seguridad de la información. Luego describe los diferentes tipos de seguridad, incluyendo física, técnica y de sistemas. Finalmente, resume varias metodologías para el análisis de riesgos en seguridad como STRIDE, CVSS y COBIT.
Similar a Gestion de Riesgos de Seguridad de la Informacion (20)
El-Codigo-De-La-Abundancia para todos.pdfAshliMack
Si quieres alcanzar tus sueños y tener el estilo de vida que deseas, es primordial que te comprometas contigo mismo y realices todos los ejercicios que te propongo para recibieron lo que mereces, incluso algunos milagros que no tenías en mente
Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...micarnavaltupatrimon
El sistema utilizará algoritmos de ML para optimizar la distribución de recursos, como el transporte, el alojamiento y la seguridad, en función de la afluencia prevista de turistas. La plataforma ofrecerá una amplia oferta de productos, servicios, tiquetería e información relevante para incentivar el uso de está y generarle valor al usuario, además, realiza un levantamiento de datos de los espectadores que se registran y genera la estadística demográfica, ayudando a reducir la congestión, las largas filas y otros problemas, así como a identificar áreas de alto riesgo de delincuencia y otros problemas de seguridad.
2. CONCEPTOS
. Amenaza: causa potencial de un incidente no deseado,
que puede resultar en un daño a un sistema, persona u
organización.
Vulnerabilidad: Debilidad de un activo o control que
puede ser explotada por una o más amenazas, es
necesario, hacer cambios al sistema de gestión de
seguridad de la información.
Impacto: es la consecuencia de la materialización de una
amenaza sobre un activo.
El costo de un incidente de la escala que sea, que puede o
no ser medido en términos estrictamente financieros (Ej.
pérdida de reputación, implicaciones legales, entre otros).
METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
3. CONCEPTOS
Riesgo: Posibilidad de que una amenaza concreta pueda
explotar una vulnerabilidad para causar una pérdida o daño
en un activo de información. Suele considerarse como una
combinación de la probabilidad de un evento y sus
consecuencias.
Riesgo inherente: Es el riesgo existente y propio de cada
actividad, sin la ejecución de ningún control.
Riesgo residual: Es el riesgo que permanece tras el
tratamiento del riesgo.
METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
5. EJEMPLO : GESTIÓN DE RIESGOS DE SI
•El activo es la "Base de Datos de Clientes", que es una información valiosa para la
organización.
•La amenaza es un "Ataque de Malware", que podría ser un virus, gusano u otro tipo de
software malicioso.
•La vulnerabilidad es la "Falta de parches y actualizaciones en el sistema de la base de
datos", lo que podría permitir al malware ingresar al sistema.
•El riesgo es que el "malware podría explotar la vulnerabilidad en la base de datos y
comprometer la información de los clientes".
•El control del Anexo A es "A.12.2.1 Implementación de controles contra software
malicioso", que se refiere a medidas para prevenir y detectar la presencia de software
malicioso.
Ten en cuenta que este es solo un ejemplo ilustrativo y que los detalles específicos de los
activos, amenazas, vulnerabilidades, riesgos y controles pueden variar según la situación de
cada organización. Es importante realizar un análisis detallado de la seguridad de la
información en tu contexto particular para identificar y abordar de manera efectiva estos
6. ISO/IEC 27005:2018
Es una guía para realizar una evaluación
y gestión de riesgos efectiva de la
seguridad de la información en una
organización, lo que ayuda a proteger
los activos de información y garantizar la
confidencialidad, integridad y
disponibilidad de los datos en el entorno
digital.
METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
7. ESTABLECER EL CONTEXTO
Implica establecer los criterios básicos
necesarios para la gestión de riesgos y de la
seguridad de información, definir e alcance y
los límites y establecer una organización
adecuada que opere la gestión de riesgos en
S.I.
ISO/IEC
27005:2018
METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
8. Identificar el riesgo
Identificación de los activos
Identificación de las amenazas
Identificación de vulnerabilidades
Identificación de la existencia de
controles.
La valoración del riesgo consta:
Análisis del riesgo
Identificación del riesgo
Estimación del riesgo
Evaluación del riesgo
ANÁLISIS DEL RIESGO
ISO/IEC
27005:2018
METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
9. TIPOS DE ACTIVOS:
PRIMARIOS
Información (Electrónica, Impresa)
Actividades y Procesos del Negocio
SOPORTE
Software (Aplicaciones de herramientas,
software)
Hardware (Servidores, Networking. otros
equipos)
Servicios (computación, comunicaciones)
Personas (Habilidades, experiencia,
calificación)
Intangibles (Reputación , marca, imagen)
Ubicación
Estructura de la organización
Fuente: ISEC Ecuador, http://www.isec-global.com/isec/home_ec.html
IDENTIFICACION DE ACTIVOS DE INFORMACION
ISO/IEC
27005:2018
METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
11. Valoración de activos
IDENTIFICACION DE ACTIVOS DE INFORMACION
ISO/IEC
27005:2018
CONFIDENCIALIDAD CRITERIO
Alto (3) La divulgación no autorizada de la información tiene
un efecto crítico para la institución
Ej. Divulgación de información confidencial o sensible.
Medio (2) La divulgación no autorizada de la información tiene
un efecto limitado para la institución
Ej. Divulgación de información de uso interno
Bajo (1) La divulgación de la información no tiene ningún
efecto para la institución
Ej. Divulgación de información pública.
INTEGRIDAD CRITERIO
Alto (3) La destrucción o modificación no autorizada
de la información tiene un efecto severo
para la institución
Medio (2) La destrucción o modificación no autorizada
de la información tiene un efecto
considerable para la institución
Bajo (1) La destrucción o modificación de la
información tiene un efecto leve para la
institución
DISPONIBILIDAD CRITERIO
Alto (3) La interrupción al acceso de la información o
los sistemas tienen un efecto severo para la
institución
Medio (2) La interrupción al acceso de la información o
los sistemas tienen un efecto considerable
para la institución
Bajo (1) interrupción al acceso de la información o los
sistemas tienen un efecto mínimo para la
institución
𝑽𝑨 =
𝑪 + 𝐈 + 𝐃
𝟑
METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
12. Valoración de activos
IDENTIFICACION DE ACTIVOS DE INFORMACION
METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
ISO/IEC
27005:2018
NRO.
ACTIVO
NOMBRE DE ACTIVO TIPO DE SOPORTE UBICACIÓN
Valoración de Impacto
(pérdida)
C : Confidencialidad
I : Integridad
D : Disponibilidad
C I D VA
A1 Controladora Wireless,
puntos de acceso
Físico y Lógico Centro de Datos 1 1 2 1,33
A2 Red de datos Físico Edificio Institucional 1 1 3 1,67
A3 Firewall Fortigate Físico y Lógico Centro de Datos 2 2 2 2,00
A4 Biométricos Físico y Lógico Sala de recepción
Institucional
1 1 1 1,00
A5 Cámaras de seguridad Físico y Digital Edificio Institucional 1 1 1 1,00
A6 Switch Core Cisco 4700 Físico y Lógico Centro de Datos 1 1 3 1,67
A7 Switchs de Acceso Cisco
2960
Físico y Lógico Centro de Datos 1 1 1 1,00
A8 Enlaces de internet Físico y Lógico Centro de Datos 1 1 1 1,00
A9 Antivirus Institucional Lógico Centro de Datos 1 1 2 1,33
A10 Sistema Talento Humano Lógico Centro de Datos 1 1 1 1,00
13. ANALISIS DE RIESGO
ISO/IEC
27005:2018
Tienen el potencial de causar daños,
las amenazas pueden afectar a más
de un activo. En tales casos pueden
causar diferentes impactos
dependiendo los activos que se
vean afectados.
ANÁLISIS DE RIESGOS
PROCESO : Infraestructura
Nro. Activo Nombre Activo Amenaza
A1 Controladora Wireless,
puntos de acceso
Intrusos en la red
Indisponibilidad de servicios
A2 Red de datos Indisponibilidad de servicios
A3 Firewall Fortigate Acceso no deseado a activos críticos
Indisponibilidad de servicios
A4 Biométricos Desarrollo de nuevas funcionalidades para la
gestión de TH
A5 Cámaras de seguridad Acceso de personas no deseables y/o pérdidas de
activos.
Acceso de personas no deseables y/o pérdidas de
activos
Identificación de Amenazas
METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
14. ANALISIS DE RIESGO
ISO/IEC
27005:2018
Identificación de Vulnerabilidades Se debe identificar las vulnerabilidades que
pueden ser explotadas por las amenazas para
causar daños a los activos o a la institución.
Nro. Activo Nombre Activo Amenaza Vulnerabilidad
A1 Controladora Wireless,
puntos de acceso
Intrusos en la red Actualización de firmware equipo antiguo
Indisponibilidad de servicios No existe equipo de redundancia
A2 Red de datos Indisponibilidad de servicios Red de datos mixta (cat. 5e, 6a)
A3 Firewall Fortigate Acceso no deseado a activos
críticos
imposibilidad de actualizar firmware por falta
de recursos del equipo
Indisponibilidad de servicios Inexistencia de equipo de redundancia
A4 Biométricos Desarrollo de nuevas
funcionalidades para la gestión de
TH
Incompatibilidad del software base con
plataforma de desarrollo actual (php)
A5 Cámaras de seguridad Acceso de personas no deseables
y/o pérdidas de activos.
Existencia de áreas sin vigilancia
Acceso de personas no deseables
y/o pérdidas de activos.
Vigencia Tecnología, equipos continuamente
dañados
METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
16. EVALUACION DE RIESGO
ISO/IEC
27005:2018
Estimación del Riesgo
“Proceso para asignar valores a la probabilidad y
las consecuencias de un riesgo”
El análisis de riesgo cualitativo usa una escala de
calificación de atributos para describir la magnitud
de las consecuencias potenciales (por ejemplo,
baja, media y alta) y la probabilidad de esas
consecuencias.
METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
17. EVALUACION DE RIESGO
ISO/IEC
27005:2018
Estimación del Riesgo
Nivel de
amenazas
Criterio por
probabilidad
Criterio por condición
de ocurrencia
Criterio por atractivo Ejemplo
Alto (3) La ocurrencia es muy
probable
(probabilidad > 50%)
Bajo circunstancias
normales
El atacante se beneficia en
gran medida por el ataque,
tiene la capacidad técnica para
ejecutarlo y la vulnerabilidad
es fácilmente explotable
Código malicioso
Medio (2) La ocurrencia es
probable
(probabilidad =50%)
Por errores descuidos El atacante se beneficia de
alguna manera por el ataque,
tiene la capacidad técnica para
ejecutarlo y la vulnerabilidad
es fácilmente explotable
Falla de hardware
Bajo (1) La ocurrencia es
menos probable
(probabilidad >0 y
<50%)
en rara ocasión El atacante no se beneficia del
ataque
desastres naturales
Criterios de probabilidad de ocurrencia de amenazas:
METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
18. EVALUACION DE RIESGO
ISO/IEC
27005:2018
Estimación del Riesgo
Criterio de probabilidad de ocurrencia de vulnerabilidades
NIVEL DE
VULNERABILIDAD
CRITERIO EJEMPLO
Alto (3) No existe ninguna medida de seguridad implementada
para prevenir la ocurrencia de la amenaza
No se utilizan contraseñas para que los
usuarios ingresen a los sistemas
Medio (2) Existen medidas de seguridad implementadas que no
reducen la probabilidad de ocurrencia de la amenaza a
un nivel aceptable
Existen normas para la utilización de
contraseñas, pero no se implementa
Bajo (1) La medida de seguridad es adecuada Existen normas para la utilización de
contraseñas y es aplicada
Criterio de la Evaluación de Riesgos
𝑵𝒊𝒗𝒆𝒍 𝒅𝒆 𝒓𝒊𝒆𝒔𝒈𝒐= 𝐕𝐀(𝐂𝐈𝐃)∗ 𝐍𝐢𝐯𝐞𝐥 𝐝𝐞 𝐚𝐦𝐞𝐧𝐚𝐳𝐚 ∗𝐍𝐢𝐯𝐞𝐥 𝐝𝐞 𝐯𝐮𝐥𝐧𝐞𝐫𝐚𝐛𝐢𝐥𝐢𝐝𝐚𝐝
Nivel de Riesgo
1 - 3 El riesgo es BAJO
4 - 8 El riesgo es MEDIO
9 - 27 El riesgo es ALTO
METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
19. EVALUACION DE RIESGO
ISO/IEC
27005:2018
Consiste en comparar los riesgos
estimados con los criterios de
evaluación y de aceptación de riesgos
definidos en el establecimiento del
contexto.
METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
21. TRATAMIENTO DEL RIESGO
ISO/IEC
27005:2018
Existen cuatro opciones
disponibles para el
tratamiento del riesgo
• Reducción
• Retención
• Evitación
• Transferencia
METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
22. TRATAMIENTO DEL RIESGO
ISO/IEC
27005:2018
Existen cuatro opciones
disponibles para el
tratamiento del riesgo
• Reducción
• Retención
• Evitación
• Transferencia
METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
24. COMUNICACIÓN DEL RIESGO
ISO/IEC
27005:2018
Garantiza que los responsables de la
implementación de la gestión del
riesgo y aquellos con intereses
establecidos comprendan las bases
sobre las cuales toman las decisiones
y por qué se requieren acciones
particulares.
METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
25. MONITOREO Y REVISIÓN DEL RIESGO
ISO/IEC
27005:2018
Las amenazas, las vulnerabilidades, la
probabilidad o las consecuencias pueden cambiar
abruptamente sin ninguna indicación. Por ende,
es necesario el monitoreo constante para detectar
estos cambios.
METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
26. MONITOREO Y REVISIÓN DEL RIESGO
ISO/IEC
27005:2018
Las amenazas, las vulnerabilidades, la
probabilidad o las consecuencias pueden cambiar
abruptamente sin ninguna indicación. Por ende,
es necesario el monitoreo constante para detectar
estos cambios.
METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
27. MONITOREO Y REVISIÓN DEL RIESGO
ISO/IEC
27005:2018
– Modificaciones necesarias de los valores de los activos, por ejemplo, debido a cambios en los
requisitos del negocio.
Activos nuevos que se han incluido en el alcance de la gestión del riesgo.
– Vulnerabilidades identificadas para determinar aquellas que se exponen a nuevas amenazas o que
vuelven a surgir.
Nuevas amenazas que podrían estar activas tanto fuera como dentro de la organización y que no se han
valorado.
– Incidentes de la seguridad de la información.
El incremento en el impacto de las amenazas evaluadas, las vulnerabilidades y los riesgos en conjunto que
dan como resultado un nivel inaceptable de riesgo.
METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI