Ponente: Antonio Segovia
Fundamentos básicos de la evaluación y tratamiento de
riesgos según ISO 27001
©2018 27001Academy www.advisera.com/27001academy
Panel de control de GoToWebinar
• Abra y cierre su Panel
• Vea, Seleccione y pruebe su audio
• Envíe sus preguntas; serán tratadasdurante la sesión
• Levante la mano
5
©2018 27001Academy www.advisera.com/27001academy 3
¿Cuales son los pasos básicos en el análisis y tratamiento de riesgos de ISO 27001?
Si estás planificando empezar el análisis de riesgos….
… para hacerlo bien, necesitas entender la importancia de la gestión de riesgos, y aprender lo que es aceptable según el estándar
©2018 27001Academy www.advisera.com/27001academy 4
La gestión de riesgos es el primer paso crucial en la implementación de la ISO 27001 – Determina todo lo que
sucederá después
©2018 27001Academy www.advisera.com/27001academy
Agenda
5
• ¿Por qué la gestión de riesgos?
• El proceso de la gestión de riesgos
• Elementos del análisis de riesgos
• Identificación de activos
• Amenazas y vulnerabilidades
• Impacto y probabilidad
• 4 opciones para el tratamiento de riesgos
• Mayores retos con la gestión de riesgos
©2018 27001Academy www.advisera.com/27001academy
¿Por qué la gestión de riesgos?
6
Gestión de la seguridad de la información (ISO 27001)
Medición (ISO 27004)
Salvaguardas (ISO 27002)
Gestión de riesgos
(ISO 27005)
©2018 27001Academy www.advisera.com/27001academy
El proceso de gestión de riesgos…
7
Your TextAnalyze and assess
Your TextMandatory procedures
Your TextMetodología de análisis de riesgos
Your TextAnálisis de riesgos
Your TextTratamiento de riesgos
©2018 27001Academy www.advisera.com/27001academy
… El proceso de gestión de riesgos
8
Your TextMandatory procedures
Your TextDeclaración de Aplicabilidad (SoA)
Your TextPlan de Tratamiento de Riesgos
©2018 27001Academy www.advisera.com/27001academy
Elementos del análisis de riesgos
9
Identificación del riesgo
Activo AmenazaVulnerabil
idad
Análisis de riesgos
ImpactoProbabi
lidad
Riesgo = Impacto x Probabilidad
(o) Riesgo = Impacto + Probabilidad
Propietario del riesgo
©2018 27001Academy www.advisera.com/27001academy
Activos – ¿Qué protegemos?
10
• Ejemplos:
• Hardware
• Software
• Información (electrónica, papel, etc.)
• Infraestructura
• ¡Personas!
• etc.
• Identificación de propietarios de activos
©2018 27001Academy www.advisera.com/27001academy
Amenazas – ¿Qué puede pasar?
11
Ejemplos:
• Fuego
• Terremoto
• Virus informáticos
• Amenaza de bomba
• Mal funcionamiento del equipamiento
• Personas clave dejan la empresa
©2018 27001Academy www.advisera.com/27001academy
Vulnerabilidades – ¿Por qué pueden ocurrir?
12
Ejemplos:
• Falta un sistema de extinción de fuego
• Faltan planes de continuidad de negocio
• Falta software anti-virus
• Faltan procedimientos de respuesta ante incidentes
• Equipamiento obsoleto
• Falta de recambio
©2018 27001Academy www.advisera.com/27001academy
Impacto y probabilidad
13
• Ejemplo de escala de análisis:
• Alto
• Medio
• Bajo
• O:
• 1 a 5
• 1 a 10
©2018 27001Academy www.advisera.com/27001academy
Ejemplo de tabla de análisis de riesgos
14
Activo Propietar
io
Amenaza Vulnerabilidad Impact
o (1-5)
Probabili
dad (1-5)
Risgo
(=I+P)
Servidor Admin. Falla de
electricidad
No existe UPS 4 2 6
Fuego No existe
extintor
5 3 8
Contrato Director Visualizado
por personas
no
autorizadas
El contrato se ha
dejado en la
mesa
4 4 8
Fuego No existe
protección
contra fuego
4 3 7
Admin de
sistemas
Jefe TI Acidente Nadie más
conoce sus
contraseñas
5 3 8
©2018 27001Academy www.advisera.com/27001academy
4 opciones para el tratamiento del riesgo
15
Aplicar
controles
apropiados
Aceptar el
riesgo
Evitar el
riesgo
Transferir el
riesgo
©2018 27001Academy www.advisera.com/27001academy
Mayores retos con la gestión de riesgos
16
• Determinar riesgos
• Determinar el alcance
• Consensuar criticidad de activos
• Considerar todos los riesgos
• Tener apoyo de alta dirección
©2018 27001Academy www.advisera.com/27001academy
Conclusión
17
No te saltes el análisis y tratamiento de riesgos – sin este tipo de análisis
¡la seguridad de tu información estará llena de brechas!
P & R
Antonio Segovia
www.advisera.com/27001academy/es/webinars