Professional Documents
Culture Documents
la Información
Controlando lo impredecible
Septiembre 2013
Agenda
DÍA 1
• Conceptos
• Normas, marcos y metodologías
• Implementación de un programa de gestión de riesgos
• Identificación de riesgos
• Estimación de riesgos
• Taller
Agenda
DÍA 2
• Evaluación de Riesgos
• Tratamiento de Riesgos y Riesgo Residual
• Comunicación de Riesgos
• Monitoreo, Revisión y Mejora de Riesgos
• Taller
Conceptos
Conceptos
Atributos
Estratégicos
Impacto Activo
Seguridad de la
Información
Riesgo
Vulnerabilid
Amenazas
ades
Conceptos
• Riesgo de Seguridad de la
Información: El potencial de que
una amenaza dada explote las
vulnerabilidades de un activo o
grupo de activos, causando
pérdida o daño a la organización
[ISO/IEC 27005:2008]
• Combinación de la probabilidad
de un evento y sus consecuencias
[ISO/IEC 27002:2005]
Conceptos
Disminuye
CONTROLES
Conceptos
OBJETIVO
RIESGO
RIESGO DE
AMENAZA
CONTROL
ESTÁNDAR
VULNERABILIDAD
CONTROL
INHERENTE
RESIDUAL
Conceptos
• Control: Medio para manejar el riesgo; incluyendo
políticas, procedimientos, lineamientos, prácticas o estructuras
organizacionales, las cuales pueden ser
administrativas, técnicas, de gestión o de naturaleza legal
[ISO/IEC 27002:2005]
– Tratamiento de Riesgos
• Riesgo aceptable: Riesgo en un nivel con el cual la
organización se siente cómoda [ISO/IEC 27001:2005]
• Riesgo residual: Riesgo remanente después del tratamiento del
riesgo [ISO/IEC 27001:2005]
Conceptos
La siguientes son las atributos de seguridad
de la información:
• Integridad: La información es
precisa, coherente y completa desde su
INFORMACION creación hasta su destrucción.
DISPONIBILIDAD
• Disponibilidad: La información es accedida
por las personas o sistemas autorizados en
el momento y en el medio que se requiere.
Normas, marcos y metodologías en la
Gestión de Riesgos
ISO/IEC 27005:2008
• ISO/ IEC 27005: 2008 Tecnología de la Información - Técnicas
de seguridad - Gestión del riesgo de seguridad de la información
• Complemento a las normas ISO/IEC 27001:2005 e ISO/IEC
27002:2005
• Se basa en los informes técnicos ISO TR 13335-3:1998 e ISO
TR 13335-4:2000, que quedaron obsoletos desde su publicación
ISO/IEC 27005:2008
• ISO/IEC 27005:2008: Proceso de gestión de riesgos de
seguridad de la información
ISO/IEC 27005:2008
• Enfoquémonos en la evaluación de riesgos:
ISO/IEC 27005:2008
• Ciclo de Deming aplicado a la gestión de riesgos de seguridad
de la información:
• Identificación de riesgos
• Evaluación de los riesgos en términos de impacto y probabilidad
de ocurrencia
• Comunicación y entendimiento del impacto y probabilidad de
los riesgos
• Definición de la prioridad para el tratamiento de riesgos
• Priorización de las acciones a tomar para reducir el riesgo
• Partes interesadas estén informadas sobre los riesgos y medidas
de mitigación adoptadas
Sistema de Gestión de Seguridad de la
Información
Planear --Definir
-Definir
-Revisar
Implantar
elplan
alcance
el SGSI
mejoras
de del
SGSI
tratamiento
--Medir
Acciones
la eficacia
de riesgosde
Establecer
el SGSI --Definir
los
Implantar
preventivas
controles
la Política
plan
- dede
Seguridad
tratamiento
-Acciones
Revisar riesgos
correctivas
de riesgos
SGSI --Metodología
residuales
Implementar
- Comprobarde los
eficacia
Evaluación
controles
-deRealizar
las acciones
de
auditorías
Interesados
interesados
Conjunto de
Hacer políticas, objetivos, Actuar Riesgos
- internas
Formación del ySGSI
Implementar y
procesos y
Mantener y
-concientización
Inventario
- Registrarde acciones
activos y
procedimientos
operar el SGSI mejorar el SGSI --Identificar
eventos
Operar el amenazas
SGSI
relevantes para
administrar la y vulnerabilidades
Seguridad de la - Identificar impactos
Información
- Análisis y evaluación
de riesgos
Requerimientos Monitorear y
y expectativas de
Seguridad de - Selección de
revisar el SGSI la información
la seguridad de Controles y SOA
administrada
la información Revisar
Tomado de la norma BS ISO/IEC 27001:2005
Sistema de Gestión de Seguridad de la
Información
Para finales del año 2013 se espera un nuevo estándar ISO 27001, el cual ha
sufrido algunas modificaciones. Entre las más relevantes tenemos:
– Hackeo Ético
– Auditoría de Seguridad
– Evaluaciones de Controles
La norma ISO/IEC 27005:2008
• Gestión de Riesgos de Seguridad de la Información
• Se compone de 12 cláusulas:
– Alcance (1)
– Normativas de referencia (2)
– Términos y definiciones (3)
– Estructura (4)
– Antecedentes (5)
– Visión del proceso de gestión de riesgos de seguridad de la información (6)
– Establecimiento del contexto (7)
– Valoración de riesgos de seguridad de la información (8)
– Tratamiento de riesgos de seguridad de la información (9)
– Aceptación de riesgos de seguridad de la información (10)
– Comunicación de riesgos de seguridad de la información (11)
– Monitoreo y revisión de riesgos de seguridad de la información (12)
La norma ISO/IEC 27005:2008 (cont.)
• Adicionalmente cuenta con 6 anexos:
– Anexo A: Definición del alcance y límites del proceso de gestión de riesgos de seguridad de
la información
– Anexo B: Identificación y valoración de activos y valoración de impacto
– Anexo C: Ejemplos de amenazas típicas
– Anexo D: Vulnerabilidades y métodos para evaluación de vulnerabilidades
– Anexo E: Enfoques para la valoración de riesgos de seguridad de la información
– Anexo F: Restricciones para la reducción del riesgo
Proceso de gestión de riesgos
Cláusula 7
Cláusula 8
Cláusula 11
Cláusula 12
Cláusula 9
Cláusula 10
Proceso de gestión de riesgos
Cláusula 7
Cláusula 8
Cláusula 11
Cláusula 12
Cláusula 9
Cláusula 10
Establecimiento del contexto (C.7)
• Consideraciones generales (7.1)
– Entrada: toda la información de la organización
– Acción: El contexto para la gestión de riesgos de seguridad de la
información debería ser establecida:
• Criterios básicos (7.2)
– Criterios de evaluación de riesgos
– Criterios de impacto
– Criterios de aceptación de riesgos
• Alcance y límites (7.3)
• Organización de gestión de riesgos de seguridad de la información
– Cargos: Responsable y Administrador del proceso de gestión de riesgos
– Roles y responsabilidades
– Nivel de reporte
– Registros
– Salida: Criterios básicos, alcance y límites y organización para proceso
de gestión de riesgos de seguridad
Valoración de Riesgos de SI (C.8)
• Análisis de Riesgos (8.2)
– Identificación de Riesgos (8.2.1)
• Identificación de activos (8.2.1.2)
– Entrada: Alcance y límites para gestión de riesgos de TI, lista de
componentes con propietarios, ubicación, función.
– Acción: Los activos deberían ser identificados dentro del alcance
establecido:
» Activo
» Propietario
» Custodio*
Existen varios tipos de activos:
» Software
» Hardware
» Documentos Electrónicos y Físicos
» Personas
» Procesos
– Salida: Lista de activos de información con propietarios
Valoración de Riesgos de SI (C.8)
• Análisis de Riesgos (8.2)
– Identificación de Riesgos (8.2.1)
• Identificación de amenazas (8.2.1.3)
– Entrada: Información de amenazas obtenida de revisión de
incidentes, propietarios de activos, usuarios y otras fuentes.
– Acción: Amenazas y sus fuentes deberían ser identificadas:
– Salida: Una lista de amenazas con la identificación de tipo de
amenaza y fuente
• Identificación de controles existentes (8.2.1.4)
– Entrada: Documentación de controles, plan de implementación
de tratamiento de riesgos.
– Acción: Los controles existentes y planificados deberían ser
identificadas:
– Salida: Una lista de controles existentes y planificados, su estado
de implementación y uso
Análisis de Brecha (GAP Análisis)
Valoración de Riesgos de SI (C.8)
• Análisis de Riesgos (8.2)
– Identificación de Riesgos (8.2.1)
• Identificación de vulnerabilidades (8.2.1.5)
– Entrada: Lista de amenazas conocidas, lista de activos de
información y controles existentes.
– Acción: Las vulnerabilidades que pueden ser explotadas y causar
daños a los activos de información de la organización deberían ser
identificadas.
– Salida: Una lista de vulnerabilidades en relación a activos de
información, amenazas y controles.
• Identificación de consecuencias (8.2.1.6)
– Entrada: Lista de activos, amenazas y vulnerabilidades.
– Acción: Las consecuencias que pérdidas de
confidencialidad, integridad y disponibilidad puedan causar a los
activos de información deberían ser identificadas.
– Salida: Una lista de consecuencias con respecto a los activos de
información
Valoración de Riesgos de SI (C.8)
• Análisis de Riesgos (8.2)
– Identificación de Riesgos (8.2.1)
8.2.1.3 8.2.1.5 8.2.1.6
AMENAZAS
VULNERABILIDADES
ACTIVOS DE INFORMACIÓN
CONSECUENCIAS
Valoración de Riesgos de SI (C.8)
• Análisis de Riesgos (8.2)
– Estimación de Riesgos (8.2.2)
• Valoración de consecuencias (8.2.2.2)
– Entrada: Lista de escenarios, incluyendo
amenazas, vulnerabilidades, activos afectados y consecuencias
de activos.
– Acción: Las afectaciones al negocio de posibles incidentes de
seguridad deberían ser identificadas tomando en consideración
las consecuencias tales como pérdidas de
confidencialidad, integridad y disponibilidad.
– Salida: Una lista de consecuencias con base en activos y
criterios de impacto.
Valoración de Riesgos de SI (C.8)
• Análisis de Riesgos (8.2)
– Estimación de Riesgos (8.2.2)
• Valoración de consecuencias (8.2.2.2)
R = I x P/V I >= 2
Valoración de Riesgos de SI (C.8)
• Análisis de Riesgos (8.2)
– Estimación de Riesgos (8.2.2)
• Valoración de probabilidad de incidentes (8.2.2.3)
– Entrada: Lista de escenarios de incidentes relevantes incluyendo
amenazas, vulnerabilidades, activos afectados. Controles
implementados y planificados, su estado y uso
– Acción: Se debería evaluar los controles y su estado de
implementación para determinar el nivel de probabilidad de
ocurrencia de una vulnerabilidad. Los controles a evaluar son:
» Administrativo
» Operativo/Gestión
» Técnico
– Salida: Probabilidad de ocurrencia de escenarios de incidentes.
R = I x P/V
Valoración de Riesgos de SI (C.8)
• Análisis de Riesgos (8.2)
• Estimación de Riesgos (8.2.2)
• Nivel de estimación de riesgos (8.2.2.4)
– Entrada: Impactos y consecuencias/probabilidades
– Acción: Se debe asignar un valor a la probabilidad y
consecuencias (impacto) del riesgo.
– Salida: Lista de riesgos con valores asignados.
R = I x P/V
Activo: Sistema FACT
Tipo: Software
R = I x P/V
Taller
Valoración de Riesgos de SI (C.8)
• Evaluación de Riesgos (8.3)****
• Entrada: Lista de riesgos con valores asignados y
criterios de evaluación de riesgos
• Acción: Se debería comparar el nivel de riesgos con el
criterio de evaluación para determinar su tratamiento.
• Salida: Lista de riesgos priorizados de acuerdo a
evaluación.
ACEPTABLE NO ACEPTABLE
Valoración de Riesgos de SI (C.8)
• Evaluación de Riesgos (8.3)****
ACEPTABLE NO ACEPTABLE
P/V
Impacto
1 2 3
Valoración de Riesgos de SI (C.8)
• Evaluación de Riesgos (8.3)****
Tratamiento de Riesgos de SI (C.9)
• Descripción general de tratamiento de riesgos (9.1)
– Entrada: Lista de riesgos priorizados de acuerdo a la evaluación
de riesgos
– Acción: Se deberían seleccionar controles para
reducir, retener, evitar y transferir; produciendo el plan de
tratamiento de riesgos.
– Salida: Plan de tratamiento de riesgos y riesgos residuales.
Tratamiento de Riesgos de SI (C.9)
• Descripción general de tratamiento de riesgos (9.1)
Resultados
Valoración
Riesgos
Valoración
Satisfactoria
Riesgo
Residual
Valoración
Satisfactoria
Tratamiento de Riesgos de SI (C.9)
• Descripción general de tratamiento de riesgos (9.1)
Tratamiento de Riesgos de SI (C.9)
• Descripción general de tratamiento de riesgos (9.1)
Aceptación de Riesgos de SI (C.10)
– Entrada: Plan de tratamiento de riesgos y valoración de
riesgos residuales sujeto aceptación de la alta administración
– Acción: La decisión de aceptar los riesgos y
responsabilidades de la decisión debería hacerse y
formalmente registrarse (Req. ISO 27001).
– Salida: Lista de riesgos aceptados con la respectiva
justificación para aquellos que no cumplen con el criterio de
aceptación normal.
Aceptación de Riesgos de SI (C.10)
P/V
Impacto
1 2 3
Comunicación de Riesgos de SI (C.11)
– Entrada: Todos los riesgos de seguridad de la información
producto de la valoración
– Acción: La información sobre los riesgos debería ser
intercambiada y comunicada con la Alta Administración y
otros interesados.
– Salida: Comprensión continua del proceso de gestión de
riesgos de seguridad de la información.
Revisión y Monitoreo de Riesgos de SI (C.12)
• Revisión y monitoreo de factores de riesgo (12.1)
• Entrada: Todos los riesgos de seguridad de la
información producto de la valoración
• Acción: Se debería realizar una revisión periódica para
determinar si se mantiene pertinentes.
• Salida: Alineación continua de la gestión de riesgos con
los objetivos de la organización y criterios de aceptación
de riesgos.
Revisión y Monitoreo de Riesgos de SI (C.12)
• Revisión, monitoreo y mejora de gestión de riesgos (12.2)
• Entrada: Todos los riesgos de seguridad de la
información producto de la valoración
• Acción: El proceso de gestión de riesgos de seguridad de
la información debería ser continuamente monitoreada,
revisada y mejorada si se requiere.
• Salida: Proceso de gestión de riesgos relevante para la
organización.
Taller
Preguntas / Comentarios