Este documento trata sobre el tratamiento de riesgos de seguridad. Explica que la información es un activo valioso para las organizaciones que requiere protección debido a las crecientes amenazas. Describe el proceso general de evaluación y tratamiento de riesgos según las normas ISO/IEC. Finalmente, presenta un caso práctico sobre la implementación de controles de seguridad en una organización.

1. Tratamiento de Riesgode Seguridad Equipo Nº 11 UNFV – FIIS -2011 Universidad Nacional Federico Villarreal

2. Introducción La información es un activo para las organizaciones y en consecuencia requiere una protección adecuada, y debido al actual ambiente creciente esta expuesta a un mayor rango de amenazas sin contar con las debilidades inherentes de la misma.

3. Marco General

4. Marco General

5. Evaluación del Riesgo «Proceso general de análisis y evaluación del riesgo.» ISO/IEC Guide 73:2002

6. Tratamiento del Riesgo «Proceso de selección e implementación de medidas para modificar el riesgo.» ISO/IEC Guide 73:2002

7. TRATAMIENTO DE RIESGOS DE SEGURIDAD I M P A C T O S Amenazas Debilidades & Vulnerabilidades Control Riesgo Control FACTORES

8. Evaluación y Tratamiento del Riesgo

9. Procesode gestióndel riesgo enISO/IEC 27005

10. Tratando Riesgos de Seguridad OPCIONES

11. Proceso de Tratamiento de Riesgos

12. Los controles deben asegurar que los riesgos son reducidos a un nivel aceptable tomando en cuenta:

13. Factores Críticos de Éxito

14. Caso:Consultora CMS

15. IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS

16. IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS

17. IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS

20. Otros Aspectos

21. IMPLEMENTACIÓN DE LOS CONTROLESSELECCIONADOS ACORDE AL MANUAL DE PROCEDIMIENTOS Política de Seguridad de la Información

24. CASO

25. Oficina de Control Interno Comisión Central Seguridad Informática RESP. EJECUTIVA RESP. CONTROL Comité de Informática RESP. TÉCNICA Oficina de Seguridad Informática Equipos Interfuncionales Especialistas De Informática RESP. CUMPLIMIENTO Personal en General

26. Esquema Organización para la seguridad SSI SUNAT Relación de Procedimientos de Seguridad Informática Reportes de incidentes de seguridad Metodología de análisis de riesgos Circular Nº 039-2005

27. Relación de Procedimientos - SUNAT

28. CIRCULAR N° 039-2005 Materia: Incidentes y vulnerabilidades de seguridad informática que deben ser reportados para identificar las debilidades de los sistemas y las acciones no autorizadas en su acceso y/o uso, permitiéndonos minimizar los riesgos y/o dar respuesta oportuna frente a posibles ataques. Finalidad: Establecer los lineamientos y procedimientos para reportar los incidentes y vulnerabilidades de seguridad informática. Alcance: A todo el personal de la Superintendencia Nacional de Administración Tributaría.

29. Conclusiones El tratamiento de riesgos deriva de la evaluación de riesgos. La evaluación de riesgos identifica, cuantifica y prioriza riesgos, determinando con el tratamiento los controles necesarios. La seguridad de información se consigue implantando un conjunto adecuado de controles. Los controles necesitan ser establecidos, implementados, monitoreados, revisados y mejorados donde sea necesario en la organización.

30. Recomendaciones Antes de considerar el tratamiento de riesgos, la organización debe decidir el criterio para determinar si es que los riesgos son aceptados o no. Para cada uno de los riesgos identificados, se necesita realizar una decisión de tratamiento de riesgo. Para los riesgos identificados, donde la decisión del tratamiento de riesgo ha sido aplicado a controles, estos deben de ser seleccionados e implementados. La gerencia deberá aprobar, publicar y comunicar a todos los empleados, un documento de política de seguridad de información.

31. Fin de la presentación