Se ha denunciado esta presentación.
Se está descargando tu SlideShare. ×

MATRIZ DE RIESGOS DE SEGURIDAD DIGITAL 2022.pptx

Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Cargando en…3
×

Eche un vistazo a continuación

1 de 9 Anuncio
Anuncio

Más Contenido Relacionado

Más reciente (20)

Anuncio

MATRIZ DE RIESGOS DE SEGURIDAD DIGITAL 2022.pptx

  1. 1. PRODUCTO TIPO: MATRIZ DE RIESGOS DE SEGURIDAD DIGITAL
  2. 2. MATRIZ DE RIESGOS DE SEGURIDAD DIGITAL •Es un pre-requisito tener la MATRIZ DE ACTIVOS previamente estructurada (PRODUCTO TIPO – MATRIZ/INVENTARIO DE ACTIVOS DE INFORMACION). Recuerda que tanto el ejercicio de identificación de activos como de gestión de riesgos se realiza a nivel de cada proceso dentro de la entidad. 1 •Una vez las entidades han realizado la identificación, clasificación y valoración de los activos, deberán realizar un análisis de los posibles riesgos que pueden afectar a estos activos. 2 •Se debería construir una matriz de activos y una de riesgos por cada proceso de la entidad. 3 •En esta matriz se identificarán cuales son las vulnerabilidades (o debilidades) en seguridad que puede tener cada activo o grupo de activos y también se identificarán cuales son las posibles amenazas que podrían aprovechar nuestras debilidades para afectar la seguridad de los activos. 4 •La gestión de riesgos de seguridad se realiza siguiendo lo establecido en la “Guía de Administración de Riesgos de DAFP – Diciembre 2020”. Te recomendamos leer esta guía para complementar los fundamentos para usar la matríz. 5
  3. 3. AHORA SI ESTAMOS LISTOS, ¡DIRÍGETE A LA PLANTILLA (PRODUCTO TIPO) Y EMPECEMOS!
  4. 4. ESTRUCTURA DE LA MATRIZ DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Amenazas (Ataques que se aprovechan de la vulnerabilidad) Vulnerabilidad (Debilidad que tiene el activo) Redacción que debe resumir todo el escenario de riesgos, incluyendo el tipo de riesgo, el activo (o grupo de activos), amenazas y vulnerabilidades. Indicar el proceso de la entidad al que se está realizando el análisis de riesgos Indicar el activo o grupo de activos que será analizado Indicar si el activo es tipo hardware, software, información física, digital etc… Pérdida de la Confidencialidad, Integridad o Disponibilidad
  5. 5. ESTRUCTURA DE LA MATRIZ DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Frecuencia – Indica que tan posible es que la situación se materialice Revisar las escalas de probabilidad, impacto y riesgo inherente – en la Guía de Administración de riesgo DAFP Diciembre 2020 para seleccionar los valores más adecuados respecto al riesgo analizado.
  6. 6. ESTRUCTURA DE LA MATRIZ DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Controles – Medidas para reducir el riesgo que se tengan actualmente. Pueden incluirse controles adicionales a los de la ISO 27001- Se debe indicar cada control hacia que va orientado (a disminuir probabilidad o el impacto de la afectación). Pocos controles tienen ambas características. La calificación máxima de un control puede ser de máximo el 50% Los controles se califican uno tras otro, es decir, se califica el control 1 y el residual (sea probabilidad o impacto) lo que se reduzca de este se califica contra el control 2 y así sucesivamente por cada control propuesto. Especificar de forma detallada en que consiste el control establecido. TIPO PREVENTIVOS, DETECTIVOS SOLO PUEDEN DISMINUIR PROBABILIDAD TIPO CORRECTIVOS SOLO PUEDEN DISMINUIR IMPACTO 2 1 3
  7. 7. ESTRUCTURA DE LA MATRIZ DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Se debe calcular tanto la probabilidad o el impacto residual con base a los controles actuales, esto a su vez dará el riesgo residual final. Se deberá seleccionar la acción necesaria para reducir el nivel de riesgo si no tenemos un nivel aceptable (Reducir, Transferir, Aceptar o Evitar). Plan de acción son los controles adicionales a implementarse para reducir los riesgos.
  8. 8. RECOMENDACIONES PARA LA MATRIZ DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Las entidades pueden realizar análisis de riesgos tanto por activos individuales como por grupos que tengan características similares, con el objetivo de no hacer demasiado extensivo el ejercicio. Si hay activos que se diferencien por su alta criticidad, se recomienda analizarlos por separado. El responsable de seguridad de la información debe acompañar en la aplicación de la metodología y apoyar en las sesiones, sin embargo, cada proceso es el responsable de realizar el diligenciamiento, establecimiento de controles y el seguimiento correspondiente. Establecer controles que sean realizables a plazos razonables.
  9. 9. GRACIAS

×