SlideShare una empresa de Scribd logo

Gestion de Riesgos de Seguridad de la Informacion

N
NellyMoya

Metodologia de la Gestion de Riesgos

Empresariales
1 de 27
Descargar para leer sin conexión
GESTION DE RIESGOS ISO 31001 Ing. Nelly Moya MSc. . 2022
CONCEPTOS . Amenaza: causa potencial de un incidente no deseado, que puede resultar en un daño a un sistema, persona u organización. Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas, es necesario, hacer cambios al sistema de gestión de seguridad de la información. Impacto: es la consecuencia de la materialización de una amenaza sobre un activo. El costo de un incidente de la escala que sea, que puede o no ser medido en términos estrictamente financieros (Ej. pérdida de reputación, implicaciones legales, entre otros). METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
CONCEPTOS Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias. Riesgo inherente: Es el riesgo existente y propio de cada actividad, sin la ejecución de ningún control. Riesgo residual: Es el riesgo que permanece tras el tratamiento del riesgo. METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
CONCEPTOS METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
EJEMPLO : GESTIÓN DE RIESGOS DE SI •El activo es la "Base de Datos de Clientes", que es una información valiosa para la organización. •La amenaza es un "Ataque de Malware", que podría ser un virus, gusano u otro tipo de software malicioso. •La vulnerabilidad es la "Falta de parches y actualizaciones en el sistema de la base de datos", lo que podría permitir al malware ingresar al sistema. •El riesgo es que el "malware podría explotar la vulnerabilidad en la base de datos y comprometer la información de los clientes". •El control del Anexo A es "A.12.2.1 Implementación de controles contra software malicioso", que se refiere a medidas para prevenir y detectar la presencia de software malicioso. Ten en cuenta que este es solo un ejemplo ilustrativo y que los detalles específicos de los activos, amenazas, vulnerabilidades, riesgos y controles pueden variar según la situación de cada organización. Es importante realizar un análisis detallado de la seguridad de la información en tu contexto particular para identificar y abordar de manera efectiva estos
ISO/IEC 27005:2018 Es una guía para realizar una evaluación y gestión de riesgos efectiva de la seguridad de la información en una organización, lo que ayuda a proteger los activos de información y garantizar la confidencialidad, integridad y disponibilidad de los datos en el entorno digital. METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
ESTABLECER EL CONTEXTO Implica establecer los criterios básicos necesarios para la gestión de riesgos y de la seguridad de información, definir e alcance y los límites y establecer una organización adecuada que opere la gestión de riesgos en S.I. ISO/IEC 27005:2018 METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
Identificar el riesgo  Identificación de los activos  Identificación de las amenazas  Identificación de vulnerabilidades  Identificación de la existencia de controles. La valoración del riesgo consta:  Análisis del riesgo Identificación del riesgo Estimación del riesgo  Evaluación del riesgo ANÁLISIS DEL RIESGO ISO/IEC 27005:2018 METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
TIPOS DE ACTIVOS: PRIMARIOS  Información (Electrónica, Impresa)  Actividades y Procesos del Negocio SOPORTE  Software (Aplicaciones de herramientas, software)  Hardware (Servidores, Networking. otros equipos)  Servicios (computación, comunicaciones)  Personas (Habilidades, experiencia, calificación)  Intangibles (Reputación , marca, imagen)  Ubicación  Estructura de la organización Fuente: ISEC Ecuador, http://www.isec-global.com/isec/home_ec.html IDENTIFICACION DE ACTIVOS DE INFORMACION ISO/IEC 27005:2018 METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
Identificación de Activos ISO/IEC 27005:2018 METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
Valoración de activos IDENTIFICACION DE ACTIVOS DE INFORMACION ISO/IEC 27005:2018 CONFIDENCIALIDAD CRITERIO Alto (3) La divulgación no autorizada de la información tiene un efecto crítico para la institución Ej. Divulgación de información confidencial o sensible. Medio (2) La divulgación no autorizada de la información tiene un efecto limitado para la institución Ej. Divulgación de información de uso interno Bajo (1) La divulgación de la información no tiene ningún efecto para la institución Ej. Divulgación de información pública. INTEGRIDAD CRITERIO Alto (3) La destrucción o modificación no autorizada de la información tiene un efecto severo para la institución Medio (2) La destrucción o modificación no autorizada de la información tiene un efecto considerable para la institución Bajo (1) La destrucción o modificación de la información tiene un efecto leve para la institución DISPONIBILIDAD CRITERIO Alto (3) La interrupción al acceso de la información o los sistemas tienen un efecto severo para la institución Medio (2) La interrupción al acceso de la información o los sistemas tienen un efecto considerable para la institución Bajo (1) interrupción al acceso de la información o los sistemas tienen un efecto mínimo para la institución 𝑽𝑨 = 𝑪 + 𝐈 + 𝐃 𝟑 METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
Valoración de activos IDENTIFICACION DE ACTIVOS DE INFORMACION METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI ISO/IEC 27005:2018 NRO. ACTIVO NOMBRE DE ACTIVO TIPO DE SOPORTE UBICACIÓN Valoración de Impacto (pérdida) C : Confidencialidad I : Integridad D : Disponibilidad C I D VA A1 Controladora Wireless, puntos de acceso Físico y Lógico Centro de Datos 1 1 2 1,33 A2 Red de datos Físico Edificio Institucional 1 1 3 1,67 A3 Firewall Fortigate Físico y Lógico Centro de Datos 2 2 2 2,00 A4 Biométricos Físico y Lógico Sala de recepción Institucional 1 1 1 1,00 A5 Cámaras de seguridad Físico y Digital Edificio Institucional 1 1 1 1,00 A6 Switch Core Cisco 4700 Físico y Lógico Centro de Datos 1 1 3 1,67 A7 Switchs de Acceso Cisco 2960 Físico y Lógico Centro de Datos 1 1 1 1,00 A8 Enlaces de internet Físico y Lógico Centro de Datos 1 1 1 1,00 A9 Antivirus Institucional Lógico Centro de Datos 1 1 2 1,33 A10 Sistema Talento Humano Lógico Centro de Datos 1 1 1 1,00
ANALISIS DE RIESGO ISO/IEC 27005:2018 Tienen el potencial de causar daños, las amenazas pueden afectar a más de un activo. En tales casos pueden causar diferentes impactos dependiendo los activos que se vean afectados. ANÁLISIS DE RIESGOS PROCESO : Infraestructura Nro. Activo Nombre Activo Amenaza A1 Controladora Wireless, puntos de acceso Intrusos en la red Indisponibilidad de servicios A2 Red de datos Indisponibilidad de servicios A3 Firewall Fortigate Acceso no deseado a activos críticos Indisponibilidad de servicios A4 Biométricos Desarrollo de nuevas funcionalidades para la gestión de TH A5 Cámaras de seguridad Acceso de personas no deseables y/o pérdidas de activos. Acceso de personas no deseables y/o pérdidas de activos Identificación de Amenazas METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
ANALISIS DE RIESGO ISO/IEC 27005:2018 Identificación de Vulnerabilidades Se debe identificar las vulnerabilidades que pueden ser explotadas por las amenazas para causar daños a los activos o a la institución. Nro. Activo Nombre Activo Amenaza Vulnerabilidad A1 Controladora Wireless, puntos de acceso Intrusos en la red Actualización de firmware equipo antiguo Indisponibilidad de servicios No existe equipo de redundancia A2 Red de datos Indisponibilidad de servicios Red de datos mixta (cat. 5e, 6a) A3 Firewall Fortigate Acceso no deseado a activos críticos imposibilidad de actualizar firmware por falta de recursos del equipo Indisponibilidad de servicios Inexistencia de equipo de redundancia A4 Biométricos Desarrollo de nuevas funcionalidades para la gestión de TH Incompatibilidad del software base con plataforma de desarrollo actual (php) A5 Cámaras de seguridad Acceso de personas no deseables y/o pérdidas de activos. Existencia de áreas sin vigilancia Acceso de personas no deseables y/o pérdidas de activos. Vigencia Tecnología, equipos continuamente dañados METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
EVALUACION DE RIESGO ISO/IEC 27005:2018 Identificación de Existencia de Controles METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
EVALUACION DE RIESGO ISO/IEC 27005:2018 Estimación del Riesgo “Proceso para asignar valores a la probabilidad y las consecuencias de un riesgo” El análisis de riesgo cualitativo usa una escala de calificación de atributos para describir la magnitud de las consecuencias potenciales (por ejemplo, baja, media y alta) y la probabilidad de esas consecuencias. METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
EVALUACION DE RIESGO ISO/IEC 27005:2018 Estimación del Riesgo Nivel de amenazas Criterio por probabilidad Criterio por condición de ocurrencia Criterio por atractivo Ejemplo Alto (3) La ocurrencia es muy probable (probabilidad > 50%) Bajo circunstancias normales El atacante se beneficia en gran medida por el ataque, tiene la capacidad técnica para ejecutarlo y la vulnerabilidad es fácilmente explotable Código malicioso Medio (2) La ocurrencia es probable (probabilidad =50%) Por errores descuidos El atacante se beneficia de alguna manera por el ataque, tiene la capacidad técnica para ejecutarlo y la vulnerabilidad es fácilmente explotable Falla de hardware Bajo (1) La ocurrencia es menos probable (probabilidad >0 y <50%) en rara ocasión El atacante no se beneficia del ataque desastres naturales Criterios de probabilidad de ocurrencia de amenazas: METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
EVALUACION DE RIESGO ISO/IEC 27005:2018 Estimación del Riesgo Criterio de probabilidad de ocurrencia de vulnerabilidades NIVEL DE VULNERABILIDAD CRITERIO EJEMPLO Alto (3) No existe ninguna medida de seguridad implementada para prevenir la ocurrencia de la amenaza No se utilizan contraseñas para que los usuarios ingresen a los sistemas Medio (2) Existen medidas de seguridad implementadas que no reducen la probabilidad de ocurrencia de la amenaza a un nivel aceptable Existen normas para la utilización de contraseñas, pero no se implementa Bajo (1) La medida de seguridad es adecuada Existen normas para la utilización de contraseñas y es aplicada Criterio de la Evaluación de Riesgos 𝑵𝒊𝒗𝒆𝒍 𝒅𝒆 𝒓𝒊𝒆𝒔𝒈𝒐= 𝐕𝐀(𝐂𝐈𝐃)∗ 𝐍𝐢𝐯𝐞𝐥 𝐝𝐞 𝐚𝐦𝐞𝐧𝐚𝐳𝐚 ∗𝐍𝐢𝐯𝐞𝐥 𝐝𝐞 𝐯𝐮𝐥𝐧𝐞𝐫𝐚𝐛𝐢𝐥𝐢𝐝𝐚𝐝 Nivel de Riesgo 1 - 3 El riesgo es BAJO 4 - 8 El riesgo es MEDIO 9 - 27 El riesgo es ALTO METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
EVALUACION DE RIESGO ISO/IEC 27005:2018 Consiste en comparar los riesgos estimados con los criterios de evaluación y de aceptación de riesgos definidos en el establecimiento del contexto. METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
EVALUACION DE RIESGO ISO/IEC 27005:2018 Nivel de Riesgo METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
TRATAMIENTO DEL RIESGO ISO/IEC 27005:2018 Existen cuatro opciones disponibles para el tratamiento del riesgo • Reducción • Retención • Evitación • Transferencia METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
TRATAMIENTO DEL RIESGO ISO/IEC 27005:2018 Existen cuatro opciones disponibles para el tratamiento del riesgo • Reducción • Retención • Evitación • Transferencia METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
TRATAMIENTO DEL RIESGO ISO/IEC 27005:2018 : • Reducción • Retención • Evitación • Transferencia Ejemplo de tratamiento del riesgo. METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
COMUNICACIÓN DEL RIESGO ISO/IEC 27005:2018 Garantiza que los responsables de la implementación de la gestión del riesgo y aquellos con intereses establecidos comprendan las bases sobre las cuales toman las decisiones y por qué se requieren acciones particulares. METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
MONITOREO Y REVISIÓN DEL RIESGO ISO/IEC 27005:2018 Las amenazas, las vulnerabilidades, la probabilidad o las consecuencias pueden cambiar abruptamente sin ninguna indicación. Por ende, es necesario el monitoreo constante para detectar estos cambios. METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
MONITOREO Y REVISIÓN DEL RIESGO ISO/IEC 27005:2018 Las amenazas, las vulnerabilidades, la probabilidad o las consecuencias pueden cambiar abruptamente sin ninguna indicación. Por ende, es necesario el monitoreo constante para detectar estos cambios. METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
MONITOREO Y REVISIÓN DEL RIESGO ISO/IEC 27005:2018 – Modificaciones necesarias de los valores de los activos, por ejemplo, debido a cambios en los requisitos del negocio. Activos nuevos que se han incluido en el alcance de la gestión del riesgo. – Vulnerabilidades identificadas para determinar aquellas que se exponen a nuevas amenazas o que vuelven a surgir. Nuevas amenazas que podrían estar activas tanto fuera como dentro de la organización y que no se han valorado. – Incidentes de la seguridad de la información. El incremento en el impacto de las amenazas evaluadas, las vulnerabilidades y los riesgos en conjunto que dan como resultado un nivel inaceptable de riesgo. METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI

Recomendados

Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de Vulnerabilidades
Pablo Palacios
 
0405 iso 27000present final
0405 iso 27000present final0405 iso 27000present final
0405 iso 27000present final
JABERO241
 
Infosecu
InfosecuInfosecu
Infosecu
Joha2210
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
Horacio Veramendi
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgos
Aranda Software
 
Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Seguridad Inteligente (2009)
Seguridad Inteligente (2009)
Gabriel Marcos
 
Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSI
GLORIA VIVEROS
 
Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgo
carma0101
 

Recomendados

Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de Vulnerabilidades
Pablo Palacios
 
0405 iso 27000present final
0405 iso 27000present final0405 iso 27000present final
0405 iso 27000present final
JABERO241
 
Infosecu
InfosecuInfosecu
Infosecu
Joha2210
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
Horacio Veramendi
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgos
Aranda Software
 
Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Seguridad Inteligente (2009)
Seguridad Inteligente (2009)
Gabriel Marcos
 
Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSI
GLORIA VIVEROS
 
Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgo
carma0101
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgos
sgalvan
 
Mejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad InformaticaMejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad Informatica
guest8b9e6c
 
Auditoría informatica.
Auditoría informatica.Auditoría informatica.
Auditoría informatica.
Carlos Avendaño Barria
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
Primala Sistema de Gestion
 
Cesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos mageritCesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos magerit
Cesar Velez
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
PECB
 
Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020
Primala Sistema de Gestion
 
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la informaciónCaso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
mayckoll17
 
Ibm inf sec_tratamientodatos_briefprensa_v1
Ibm inf sec_tratamientodatos_briefprensa_v1Ibm inf sec_tratamientodatos_briefprensa_v1
Ibm inf sec_tratamientodatos_briefprensa_v1
Kandu Tapia
 
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...
Kandu Tapia
 
La norma iso 27001 del sistema de gestión de la seguridad de información.2012
La norma iso 27001 del sistema de gestión de la seguridad de información.2012La norma iso 27001 del sistema de gestión de la seguridad de información.2012
La norma iso 27001 del sistema de gestión de la seguridad de información.2012
Iralix Raquel Garcia Marchant
 
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Unidad de Emprendimiento ambulante
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
Andres Soto Suarez
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
alexa1rodriguez
 
Riesgos y glosario
Riesgos y glosarioRiesgos y glosario
Riesgos y glosario
cromerovarg
 
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICASEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
contiforense
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
urquia
 
Ppt clase 1 Gestion de seguridad
Ppt clase 1 Gestion de seguridadPpt clase 1 Gestion de seguridad
Ppt clase 1 Gestion de seguridad
claudiocj7
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
guestf9a7e5
 
Preparación -Seguridad Informática
Preparación -Seguridad Informática Preparación -Seguridad Informática
Preparación -Seguridad Informática
Luis Fernando Aguas Bucheli
 
INVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANO
INVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANOINVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANO
INVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANO
jennicaceres
 
Gestión de Inventarios - Cadena de Sumnistro
Gestión de Inventarios - Cadena de SumnistroGestión de Inventarios - Cadena de Sumnistro
Gestión de Inventarios - Cadena de Sumnistro
hrbuildersaccom
 

Más contenido relacionado

Similar a Gestion de Riesgos de Seguridad de la Informacion

Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgos
sgalvan
 
Mejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad InformaticaMejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad Informatica
guest8b9e6c
 
Auditoría informatica.
Auditoría informatica.Auditoría informatica.
Auditoría informatica.
Carlos Avendaño Barria
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
Primala Sistema de Gestion
 
Cesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos mageritCesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos magerit
Cesar Velez
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
PECB
 
Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020
Primala Sistema de Gestion
 
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la informaciónCaso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
mayckoll17
 
Ibm inf sec_tratamientodatos_briefprensa_v1
Ibm inf sec_tratamientodatos_briefprensa_v1Ibm inf sec_tratamientodatos_briefprensa_v1
Ibm inf sec_tratamientodatos_briefprensa_v1
Kandu Tapia
 
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...
Kandu Tapia
 
La norma iso 27001 del sistema de gestión de la seguridad de información.2012
La norma iso 27001 del sistema de gestión de la seguridad de información.2012La norma iso 27001 del sistema de gestión de la seguridad de información.2012
La norma iso 27001 del sistema de gestión de la seguridad de información.2012
Iralix Raquel Garcia Marchant
 
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Unidad de Emprendimiento ambulante
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
Andres Soto Suarez
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
alexa1rodriguez
 
Riesgos y glosario
Riesgos y glosarioRiesgos y glosario
Riesgos y glosario
cromerovarg
 
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICASEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
contiforense
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
urquia
 
Ppt clase 1 Gestion de seguridad
Ppt clase 1 Gestion de seguridadPpt clase 1 Gestion de seguridad
Ppt clase 1 Gestion de seguridad
claudiocj7
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
guestf9a7e5
 
Preparación -Seguridad Informática
Preparación -Seguridad Informática Preparación -Seguridad Informática
Preparación -Seguridad Informática
Luis Fernando Aguas Bucheli
 

Similar a Gestion de Riesgos de Seguridad de la Informacion (20)

Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgos
 
Mejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad InformaticaMejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad Informatica
 
Auditoría informatica.
Auditoría informatica.Auditoría informatica.
Auditoría informatica.
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
 
Cesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos mageritCesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos magerit
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
 
Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020
 
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la informaciónCaso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
 
Ibm inf sec_tratamientodatos_briefprensa_v1
Ibm inf sec_tratamientodatos_briefprensa_v1Ibm inf sec_tratamientodatos_briefprensa_v1
Ibm inf sec_tratamientodatos_briefprensa_v1
 
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...
 
La norma iso 27001 del sistema de gestión de la seguridad de información.2012
La norma iso 27001 del sistema de gestión de la seguridad de información.2012La norma iso 27001 del sistema de gestión de la seguridad de información.2012
La norma iso 27001 del sistema de gestión de la seguridad de información.2012
 
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Riesgos y glosario
Riesgos y glosarioRiesgos y glosario
Riesgos y glosario
 
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICASEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Ppt clase 1 Gestion de seguridad
Ppt clase 1 Gestion de seguridadPpt clase 1 Gestion de seguridad
Ppt clase 1 Gestion de seguridad
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
 
Preparación -Seguridad Informática
Preparación -Seguridad Informática Preparación -Seguridad Informática
Preparación -Seguridad Informática
 

Último

INVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANO
INVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANOINVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANO
INVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANO
jennicaceres
 
Gestión de Inventarios - Cadena de Sumnistro
Gestión de Inventarios - Cadena de SumnistroGestión de Inventarios - Cadena de Sumnistro
Gestión de Inventarios - Cadena de Sumnistro
hrbuildersaccom
 
DIRECTORIO órgano de control institucional - ABRIL 2024.pdf
DIRECTORIO órgano de control institucional - ABRIL 2024.pdfDIRECTORIO órgano de control institucional - ABRIL 2024.pdf
DIRECTORIO órgano de control institucional - ABRIL 2024.pdf
peruvip2
 
La psicología del dinero, aprende a mejorar tu relacion con el dinero
La psicología del dinero, aprende a mejorar tu relacion con el dineroLa psicología del dinero, aprende a mejorar tu relacion con el dinero
La psicología del dinero, aprende a mejorar tu relacion con el dinero
CecilyJaimesBermudez
 
Actividad Sumativa #2 Realizado por Luis Leal..pptx
Actividad Sumativa #2 Realizado por Luis Leal..pptxActividad Sumativa #2 Realizado por Luis Leal..pptx
Actividad Sumativa #2 Realizado por Luis Leal..pptx
luis95466
 
Calculo de amortización de un prestamo.pdf
Calculo de amortización de un prestamo.pdfCalculo de amortización de un prestamo.pdf
Calculo de amortización de un prestamo.pdf
LEIDYRIOFRIO
 
Sesión 1-2 Formulación de Estados Financieros (2).pdf
Sesión 1-2 Formulación de Estados Financieros (2).pdfSesión 1-2 Formulación de Estados Financieros (2).pdf
Sesión 1-2 Formulación de Estados Financieros (2).pdf
JhoanaSilvaHeredia
 
Curso de Capacitación Cruz Roja Mexicana
Curso de Capacitación Cruz Roja MexicanaCurso de Capacitación Cruz Roja Mexicana
Curso de Capacitación Cruz Roja Mexicana
RobertoJesusCastillo1
 
Guia de emprendimientos para los alumnos
Guia de emprendimientos para los alumnosGuia de emprendimientos para los alumnos
Guia de emprendimientos para los alumnos
cantutecperu
 
NIF C-1 Efectivo y equivalentes de efectivo.pptx
NIF C-1 Efectivo y equivalentes de efectivo.pptxNIF C-1 Efectivo y equivalentes de efectivo.pptx
NIF C-1 Efectivo y equivalentes de efectivo.pptx
sashadelynch27
 
El-Codigo-De-La-Abundancia para todos.pdf
El-Codigo-De-La-Abundancia para todos.pdfEl-Codigo-De-La-Abundancia para todos.pdf
El-Codigo-De-La-Abundancia para todos.pdf
AshliMack
 
ANÁLISIS FINANCIERO DE LA EMPRESA GLORIA.pptx
ANÁLISIS FINANCIERO DE LA EMPRESA GLORIA.pptxANÁLISIS FINANCIERO DE LA EMPRESA GLORIA.pptx
ANÁLISIS FINANCIERO DE LA EMPRESA GLORIA.pptx
PalJosuTiznadoCanaza
 
ejecucion de la investigacion de mercados
ejecucion de la investigacion de mercadosejecucion de la investigacion de mercados
ejecucion de la investigacion de mercados
MARIAGUADALUPEMENDEZ10
 
Bloqueo y candadeo, norma NOM-004-STPS-1999
Bloqueo y candadeo, norma NOM-004-STPS-1999Bloqueo y candadeo, norma NOM-004-STPS-1999
Bloqueo y candadeo, norma NOM-004-STPS-1999
MiguelZavala76
 
Los catorce principios de calidad en las empresas, según Deming..pptx
Los catorce principios de calidad en las empresas, según Deming..pptxLos catorce principios de calidad en las empresas, según Deming..pptx
Los catorce principios de calidad en las empresas, según Deming..pptx
AbelQuispe31
 
Lo nuevo NOI 11 haz ese momento historico
Lo nuevo NOI 11 haz ese momento historicoLo nuevo NOI 11 haz ese momento historico
Lo nuevo NOI 11 haz ese momento historico
Cade Soluciones
 
Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...
Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...
Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...
micarnavaltupatrimon
 
Normas de Seguridad Vial ISO 39001-2012.pdf
Normas de Seguridad Vial ISO 39001-2012.pdfNormas de Seguridad Vial ISO 39001-2012.pdf
Normas de Seguridad Vial ISO 39001-2012.pdf
henrywz8831
 
Documentos comerciales, documento comercial
Documentos comerciales, documento comercialDocumentos comerciales, documento comercial
Documentos comerciales, documento comercial
JaimeMorra
 
capítulo 3 y 4 de finazas internacionales
capítulo 3 y 4 de finazas internacionalescapítulo 3 y 4 de finazas internacionales
capítulo 3 y 4 de finazas internacionales
josehernandez790860
 

Último (20)

INVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANO
INVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANOINVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANO
INVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANO
 
Gestión de Inventarios - Cadena de Sumnistro
Gestión de Inventarios - Cadena de SumnistroGestión de Inventarios - Cadena de Sumnistro
Gestión de Inventarios - Cadena de Sumnistro
 
DIRECTORIO órgano de control institucional - ABRIL 2024.pdf
DIRECTORIO órgano de control institucional - ABRIL 2024.pdfDIRECTORIO órgano de control institucional - ABRIL 2024.pdf
DIRECTORIO órgano de control institucional - ABRIL 2024.pdf
 
La psicología del dinero, aprende a mejorar tu relacion con el dinero
La psicología del dinero, aprende a mejorar tu relacion con el dineroLa psicología del dinero, aprende a mejorar tu relacion con el dinero
La psicología del dinero, aprende a mejorar tu relacion con el dinero
 
Actividad Sumativa #2 Realizado por Luis Leal..pptx
Actividad Sumativa #2 Realizado por Luis Leal..pptxActividad Sumativa #2 Realizado por Luis Leal..pptx
Actividad Sumativa #2 Realizado por Luis Leal..pptx
 
Calculo de amortización de un prestamo.pdf
Calculo de amortización de un prestamo.pdfCalculo de amortización de un prestamo.pdf
Calculo de amortización de un prestamo.pdf
 
Sesión 1-2 Formulación de Estados Financieros (2).pdf
Sesión 1-2 Formulación de Estados Financieros (2).pdfSesión 1-2 Formulación de Estados Financieros (2).pdf
Sesión 1-2 Formulación de Estados Financieros (2).pdf
 
Curso de Capacitación Cruz Roja Mexicana
Curso de Capacitación Cruz Roja MexicanaCurso de Capacitación Cruz Roja Mexicana
Curso de Capacitación Cruz Roja Mexicana
 
Guia de emprendimientos para los alumnos
Guia de emprendimientos para los alumnosGuia de emprendimientos para los alumnos
Guia de emprendimientos para los alumnos
 
NIF C-1 Efectivo y equivalentes de efectivo.pptx
NIF C-1 Efectivo y equivalentes de efectivo.pptxNIF C-1 Efectivo y equivalentes de efectivo.pptx
NIF C-1 Efectivo y equivalentes de efectivo.pptx
 
El-Codigo-De-La-Abundancia para todos.pdf
El-Codigo-De-La-Abundancia para todos.pdfEl-Codigo-De-La-Abundancia para todos.pdf
El-Codigo-De-La-Abundancia para todos.pdf
 
ANÁLISIS FINANCIERO DE LA EMPRESA GLORIA.pptx
ANÁLISIS FINANCIERO DE LA EMPRESA GLORIA.pptxANÁLISIS FINANCIERO DE LA EMPRESA GLORIA.pptx
ANÁLISIS FINANCIERO DE LA EMPRESA GLORIA.pptx
 
ejecucion de la investigacion de mercados
ejecucion de la investigacion de mercadosejecucion de la investigacion de mercados
ejecucion de la investigacion de mercados
 
Bloqueo y candadeo, norma NOM-004-STPS-1999
Bloqueo y candadeo, norma NOM-004-STPS-1999Bloqueo y candadeo, norma NOM-004-STPS-1999
Bloqueo y candadeo, norma NOM-004-STPS-1999
 
Los catorce principios de calidad en las empresas, según Deming..pptx
Los catorce principios de calidad en las empresas, según Deming..pptxLos catorce principios de calidad en las empresas, según Deming..pptx
Los catorce principios de calidad en las empresas, según Deming..pptx
 
Lo nuevo NOI 11 haz ese momento historico
Lo nuevo NOI 11 haz ese momento historicoLo nuevo NOI 11 haz ese momento historico
Lo nuevo NOI 11 haz ese momento historico
 
Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...
Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...
Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...
 
Normas de Seguridad Vial ISO 39001-2012.pdf
Normas de Seguridad Vial ISO 39001-2012.pdfNormas de Seguridad Vial ISO 39001-2012.pdf
Normas de Seguridad Vial ISO 39001-2012.pdf
 
Documentos comerciales, documento comercial
Documentos comerciales, documento comercialDocumentos comerciales, documento comercial
Documentos comerciales, documento comercial
 
capítulo 3 y 4 de finazas internacionales
capítulo 3 y 4 de finazas internacionalescapítulo 3 y 4 de finazas internacionales
capítulo 3 y 4 de finazas internacionales
 

Gestion de Riesgos de Seguridad de la Informacion

  • 1. GESTION DE RIESGOS ISO 31001 Ing. Nelly Moya MSc. . 2022
  • 2. CONCEPTOS . Amenaza: causa potencial de un incidente no deseado, que puede resultar en un daño a un sistema, persona u organización. Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas, es necesario, hacer cambios al sistema de gestión de seguridad de la información. Impacto: es la consecuencia de la materialización de una amenaza sobre un activo. El costo de un incidente de la escala que sea, que puede o no ser medido en términos estrictamente financieros (Ej. pérdida de reputación, implicaciones legales, entre otros). METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
  • 3. CONCEPTOS Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias. Riesgo inherente: Es el riesgo existente y propio de cada actividad, sin la ejecución de ningún control. Riesgo residual: Es el riesgo que permanece tras el tratamiento del riesgo. METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
  • 5. EJEMPLO : GESTIÓN DE RIESGOS DE SI •El activo es la "Base de Datos de Clientes", que es una información valiosa para la organización. •La amenaza es un "Ataque de Malware", que podría ser un virus, gusano u otro tipo de software malicioso. •La vulnerabilidad es la "Falta de parches y actualizaciones en el sistema de la base de datos", lo que podría permitir al malware ingresar al sistema. •El riesgo es que el "malware podría explotar la vulnerabilidad en la base de datos y comprometer la información de los clientes". •El control del Anexo A es "A.12.2.1 Implementación de controles contra software malicioso", que se refiere a medidas para prevenir y detectar la presencia de software malicioso. Ten en cuenta que este es solo un ejemplo ilustrativo y que los detalles específicos de los activos, amenazas, vulnerabilidades, riesgos y controles pueden variar según la situación de cada organización. Es importante realizar un análisis detallado de la seguridad de la información en tu contexto particular para identificar y abordar de manera efectiva estos
  • 6. ISO/IEC 27005:2018 Es una guía para realizar una evaluación y gestión de riesgos efectiva de la seguridad de la información en una organización, lo que ayuda a proteger los activos de información y garantizar la confidencialidad, integridad y disponibilidad de los datos en el entorno digital. METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
  • 7. ESTABLECER EL CONTEXTO Implica establecer los criterios básicos necesarios para la gestión de riesgos y de la seguridad de información, definir e alcance y los límites y establecer una organización adecuada que opere la gestión de riesgos en S.I. ISO/IEC 27005:2018 METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
  • 8. Identificar el riesgo  Identificación de los activos  Identificación de las amenazas  Identificación de vulnerabilidades  Identificación de la existencia de controles. La valoración del riesgo consta:  Análisis del riesgo Identificación del riesgo Estimación del riesgo  Evaluación del riesgo ANÁLISIS DEL RIESGO ISO/IEC 27005:2018 METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
  • 9. TIPOS DE ACTIVOS: PRIMARIOS  Información (Electrónica, Impresa)  Actividades y Procesos del Negocio SOPORTE  Software (Aplicaciones de herramientas, software)  Hardware (Servidores, Networking. otros equipos)  Servicios (computación, comunicaciones)  Personas (Habilidades, experiencia, calificación)  Intangibles (Reputación , marca, imagen)  Ubicación  Estructura de la organización Fuente: ISEC Ecuador, http://www.isec-global.com/isec/home_ec.html IDENTIFICACION DE ACTIVOS DE INFORMACION ISO/IEC 27005:2018 METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
  • 11. Valoración de activos IDENTIFICACION DE ACTIVOS DE INFORMACION ISO/IEC 27005:2018 CONFIDENCIALIDAD CRITERIO Alto (3) La divulgación no autorizada de la información tiene un efecto crítico para la institución Ej. Divulgación de información confidencial o sensible. Medio (2) La divulgación no autorizada de la información tiene un efecto limitado para la institución Ej. Divulgación de información de uso interno Bajo (1) La divulgación de la información no tiene ningún efecto para la institución Ej. Divulgación de información pública. INTEGRIDAD CRITERIO Alto (3) La destrucción o modificación no autorizada de la información tiene un efecto severo para la institución Medio (2) La destrucción o modificación no autorizada de la información tiene un efecto considerable para la institución Bajo (1) La destrucción o modificación de la información tiene un efecto leve para la institución DISPONIBILIDAD CRITERIO Alto (3) La interrupción al acceso de la información o los sistemas tienen un efecto severo para la institución Medio (2) La interrupción al acceso de la información o los sistemas tienen un efecto considerable para la institución Bajo (1) interrupción al acceso de la información o los sistemas tienen un efecto mínimo para la institución 𝑽𝑨 = 𝑪 + 𝐈 + 𝐃 𝟑 METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
  • 12. Valoración de activos IDENTIFICACION DE ACTIVOS DE INFORMACION METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI ISO/IEC 27005:2018 NRO. ACTIVO NOMBRE DE ACTIVO TIPO DE SOPORTE UBICACIÓN Valoración de Impacto (pérdida) C : Confidencialidad I : Integridad D : Disponibilidad C I D VA A1 Controladora Wireless, puntos de acceso Físico y Lógico Centro de Datos 1 1 2 1,33 A2 Red de datos Físico Edificio Institucional 1 1 3 1,67 A3 Firewall Fortigate Físico y Lógico Centro de Datos 2 2 2 2,00 A4 Biométricos Físico y Lógico Sala de recepción Institucional 1 1 1 1,00 A5 Cámaras de seguridad Físico y Digital Edificio Institucional 1 1 1 1,00 A6 Switch Core Cisco 4700 Físico y Lógico Centro de Datos 1 1 3 1,67 A7 Switchs de Acceso Cisco 2960 Físico y Lógico Centro de Datos 1 1 1 1,00 A8 Enlaces de internet Físico y Lógico Centro de Datos 1 1 1 1,00 A9 Antivirus Institucional Lógico Centro de Datos 1 1 2 1,33 A10 Sistema Talento Humano Lógico Centro de Datos 1 1 1 1,00
  • 13. ANALISIS DE RIESGO ISO/IEC 27005:2018 Tienen el potencial de causar daños, las amenazas pueden afectar a más de un activo. En tales casos pueden causar diferentes impactos dependiendo los activos que se vean afectados. ANÁLISIS DE RIESGOS PROCESO : Infraestructura Nro. Activo Nombre Activo Amenaza A1 Controladora Wireless, puntos de acceso Intrusos en la red Indisponibilidad de servicios A2 Red de datos Indisponibilidad de servicios A3 Firewall Fortigate Acceso no deseado a activos críticos Indisponibilidad de servicios A4 Biométricos Desarrollo de nuevas funcionalidades para la gestión de TH A5 Cámaras de seguridad Acceso de personas no deseables y/o pérdidas de activos. Acceso de personas no deseables y/o pérdidas de activos Identificación de Amenazas METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
  • 14. ANALISIS DE RIESGO ISO/IEC 27005:2018 Identificación de Vulnerabilidades Se debe identificar las vulnerabilidades que pueden ser explotadas por las amenazas para causar daños a los activos o a la institución. Nro. Activo Nombre Activo Amenaza Vulnerabilidad A1 Controladora Wireless, puntos de acceso Intrusos en la red Actualización de firmware equipo antiguo Indisponibilidad de servicios No existe equipo de redundancia A2 Red de datos Indisponibilidad de servicios Red de datos mixta (cat. 5e, 6a) A3 Firewall Fortigate Acceso no deseado a activos críticos imposibilidad de actualizar firmware por falta de recursos del equipo Indisponibilidad de servicios Inexistencia de equipo de redundancia A4 Biométricos Desarrollo de nuevas funcionalidades para la gestión de TH Incompatibilidad del software base con plataforma de desarrollo actual (php) A5 Cámaras de seguridad Acceso de personas no deseables y/o pérdidas de activos. Existencia de áreas sin vigilancia Acceso de personas no deseables y/o pérdidas de activos. Vigencia Tecnología, equipos continuamente dañados METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
  • 15. EVALUACION DE RIESGO ISO/IEC 27005:2018 Identificación de Existencia de Controles METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
  • 16. EVALUACION DE RIESGO ISO/IEC 27005:2018 Estimación del Riesgo “Proceso para asignar valores a la probabilidad y las consecuencias de un riesgo” El análisis de riesgo cualitativo usa una escala de calificación de atributos para describir la magnitud de las consecuencias potenciales (por ejemplo, baja, media y alta) y la probabilidad de esas consecuencias. METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
  • 17. EVALUACION DE RIESGO ISO/IEC 27005:2018 Estimación del Riesgo Nivel de amenazas Criterio por probabilidad Criterio por condición de ocurrencia Criterio por atractivo Ejemplo Alto (3) La ocurrencia es muy probable (probabilidad > 50%) Bajo circunstancias normales El atacante se beneficia en gran medida por el ataque, tiene la capacidad técnica para ejecutarlo y la vulnerabilidad es fácilmente explotable Código malicioso Medio (2) La ocurrencia es probable (probabilidad =50%) Por errores descuidos El atacante se beneficia de alguna manera por el ataque, tiene la capacidad técnica para ejecutarlo y la vulnerabilidad es fácilmente explotable Falla de hardware Bajo (1) La ocurrencia es menos probable (probabilidad >0 y <50%) en rara ocasión El atacante no se beneficia del ataque desastres naturales Criterios de probabilidad de ocurrencia de amenazas: METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
  • 18. EVALUACION DE RIESGO ISO/IEC 27005:2018 Estimación del Riesgo Criterio de probabilidad de ocurrencia de vulnerabilidades NIVEL DE VULNERABILIDAD CRITERIO EJEMPLO Alto (3) No existe ninguna medida de seguridad implementada para prevenir la ocurrencia de la amenaza No se utilizan contraseñas para que los usuarios ingresen a los sistemas Medio (2) Existen medidas de seguridad implementadas que no reducen la probabilidad de ocurrencia de la amenaza a un nivel aceptable Existen normas para la utilización de contraseñas, pero no se implementa Bajo (1) La medida de seguridad es adecuada Existen normas para la utilización de contraseñas y es aplicada Criterio de la Evaluación de Riesgos 𝑵𝒊𝒗𝒆𝒍 𝒅𝒆 𝒓𝒊𝒆𝒔𝒈𝒐= 𝐕𝐀(𝐂𝐈𝐃)∗ 𝐍𝐢𝐯𝐞𝐥 𝐝𝐞 𝐚𝐦𝐞𝐧𝐚𝐳𝐚 ∗𝐍𝐢𝐯𝐞𝐥 𝐝𝐞 𝐯𝐮𝐥𝐧𝐞𝐫𝐚𝐛𝐢𝐥𝐢𝐝𝐚𝐝 Nivel de Riesgo 1 - 3 El riesgo es BAJO 4 - 8 El riesgo es MEDIO 9 - 27 El riesgo es ALTO METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
  • 19. EVALUACION DE RIESGO ISO/IEC 27005:2018 Consiste en comparar los riesgos estimados con los criterios de evaluación y de aceptación de riesgos definidos en el establecimiento del contexto. METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
  • 20. EVALUACION DE RIESGO ISO/IEC 27005:2018 Nivel de Riesgo METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
  • 21. TRATAMIENTO DEL RIESGO ISO/IEC 27005:2018 Existen cuatro opciones disponibles para el tratamiento del riesgo • Reducción • Retención • Evitación • Transferencia METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
  • 22. TRATAMIENTO DEL RIESGO ISO/IEC 27005:2018 Existen cuatro opciones disponibles para el tratamiento del riesgo • Reducción • Retención • Evitación • Transferencia METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
  • 23. TRATAMIENTO DEL RIESGO ISO/IEC 27005:2018 : • Reducción • Retención • Evitación • Transferencia Ejemplo de tratamiento del riesgo. METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
  • 24. COMUNICACIÓN DEL RIESGO ISO/IEC 27005:2018 Garantiza que los responsables de la implementación de la gestión del riesgo y aquellos con intereses establecidos comprendan las bases sobre las cuales toman las decisiones y por qué se requieren acciones particulares. METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
  • 25. MONITOREO Y REVISIÓN DEL RIESGO ISO/IEC 27005:2018 Las amenazas, las vulnerabilidades, la probabilidad o las consecuencias pueden cambiar abruptamente sin ninguna indicación. Por ende, es necesario el monitoreo constante para detectar estos cambios. METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
  • 26. MONITOREO Y REVISIÓN DEL RIESGO ISO/IEC 27005:2018 Las amenazas, las vulnerabilidades, la probabilidad o las consecuencias pueden cambiar abruptamente sin ninguna indicación. Por ende, es necesario el monitoreo constante para detectar estos cambios. METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI
  • 27. MONITOREO Y REVISIÓN DEL RIESGO ISO/IEC 27005:2018 – Modificaciones necesarias de los valores de los activos, por ejemplo, debido a cambios en los requisitos del negocio. Activos nuevos que se han incluido en el alcance de la gestión del riesgo. – Vulnerabilidades identificadas para determinar aquellas que se exponen a nuevas amenazas o que vuelven a surgir. Nuevas amenazas que podrían estar activas tanto fuera como dentro de la organización y que no se han valorado. – Incidentes de la seguridad de la información. El incremento en el impacto de las amenazas evaluadas, las vulnerabilidades y los riesgos en conjunto que dan como resultado un nivel inaceptable de riesgo. METODOLOGÍA DE GESTIÓN DE RIESGOS DE SI