Este documento trata sobre el tratamiento de riesgos de seguridad. Explica que la información es un activo valioso para las organizaciones que requiere protección debido a las crecientes amenazas. Describe el proceso general de evaluación y tratamiento de riesgos según las normas ISO/IEC. Finalmente, presenta un caso práctico sobre la implementación de controles de seguridad en una organización.

1. Tratamiento de Riesgode SeguridadEquipo Nº 11UNFV – FIIS -2011Universidad Nacional Federico Villarreal

2. IntroducciónLa información es un activo para las organizaciones y en consecuencia requiere una protección adecuada, y debido al actual ambiente creciente esta expuesta a un mayor rango de amenazas sin contar con las debilidades inherentes de la misma.

3. Marco General

4. Marco General

5. Evaluación del Riesgo«Proceso general de análisis y evaluación del riesgo.»ISO/IEC Guide 73:2002

6. Tratamiento del Riesgo«Proceso de selección e implementación de medidas para modificar el riesgo.»ISO/IEC Guide 73:2002

7. TRATAMIENTO DE RIESGOS DE SEGURIDADIMPACTOSAmenazasDebilidades&VulnerabilidadesControlRiesgoControlFACTORES

8. Evaluación y Tratamiento del Riesgo

9. Procesode gestióndel riesgo enISO/IEC 27005

10. Tratando Riesgos de SeguridadOPCIONES

11. Proceso de Tratamiento de Riesgos

12. Los controles deben asegurar que los riesgos son reducidos a un nivel aceptable tomando en cuenta:

13. Factores Críticos de Éxito

14. Caso:Consultora CMS

15. IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS

16. IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS

17. IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS

20. Otros Aspectos

21. IMPLEMENTACIÓN DE LOS CONTROLESSELECCIONADOS ACORDE AL MANUAL DE PROCEDIMIENTOSPolítica de Seguridad de la Información

24. CASO

25. Oficina de ControlInternoComisión Central Seguridad InformáticaRESP. EJECUTIVARESP.CONTROLComité deInformáticaRESP.TÉCNICAOficina deSeguridad InformáticaEquipos InterfuncionalesEspecialistasDe InformáticaRESP.CUMPLIMIENTOPersonal en General

26. EsquemaOrganización para la seguridadSSI SUNATRelación de Procedimientos de Seguridad InformáticaReportes de incidentes de seguridadMetodología de análisis de riesgosCircular Nº 039-2005

27. Relación de Procedimientos - SUNAT

28. CIRCULAR N° 039-2005Materia:Incidentes y vulnerabilidades de seguridad informática que deben ser reportados para identificar las debilidades de los sistemas y las acciones no autorizadas en su acceso y/o uso, permitiéndonos minimizar los riesgos y/o dar respuesta oportuna frente a posibles ataques.Finalidad:Establecer los lineamientos y procedimientos para reportar los incidentes y vulnerabilidades de seguridad informática.Alcance:A todo el personal de la Superintendencia Nacional de Administración Tributaría.

29. ConclusionesEl tratamiento de riesgos deriva de la evaluación de riesgos.La evaluación de riesgos identifica, cuantifica y prioriza riesgos, determinando con el tratamiento los controles necesarios.La seguridad de información se consigue implantando un conjunto adecuado de controles.Los controles necesitan ser establecidos, implementados, monitoreados, revisados y mejorados donde sea necesario en la organización.

30. RecomendacionesAntes de considerar el tratamiento de riesgos, la organización debe decidir el criterio para determinar si es que los riesgos son aceptados o no.Para cada uno de los riesgos identificados, se necesita realizar una decisión de tratamiento de riesgo.Para los riesgos identificados, donde la decisión del tratamiento de riesgo ha sido aplicado a controles, estos deben de ser seleccionados e implementados.La gerencia deberá aprobar, publicar y comunicar a todos los empleados, un documento de política de seguridad de información.

31. Fin de la presentación