iso 27001 gestion de riesgos
Post on 03-Jun-2018
225 Views
Preview:
TRANSCRIPT
-
8/12/2019 ISO 27001 Gestion de Riesgos
1/39
-
8/12/2019 ISO 27001 Gestion de Riesgos
2/39
- Introduccin
- Metodologas
- Gestin de riesgos
- Anlisis de riesgos
- Tratamiento de riesgos
- Herramientas
- BS 7799-3 (ISO 27005)
- Experiencia practica Nextel, S.A.- Conclusiones
ndice
-
8/12/2019 ISO 27001 Gestion de Riesgos
3/39
INTRO: ISO 27001 Implementacin
Necesidades Solucin Alcance
Identificacin de procesos clave y de soporte
Identificacin y valuacin de activos (en su contexto de uso o empleo)
Amenazas?
Vulnerabilidades?
Probabilidades?
Impactos?
Restauracin??
Riesgos
Grado de seguridad / Niveles aceptables de riesgo
Seleccin de objetivos de control y controles
Definir el Estado de aplicabilidad (SOA) (o Resumen de controles)
Definicin de mtodo de implementacin de cada control (si el existente no es satisfactorio)
Implementacin de controles de seguridad personales, procedimentales, fsicos, y tcnicos
Auditoria y revisin
Anlisis previo (Opcional)
Oportunidades de mejora
-
8/12/2019 ISO 27001 Gestion de Riesgos
4/39
INTRO: Gestin de riesgos enISO 27001
La organizacin demostrara que ha definido e identificado un
mtodo de anlisis de riesgo adecuado, y que ha llevado a
cabo un anlisis de riesgo cubriendo todos los activos deinformacin, tal y como indica la clusula 4.2.1 de ISO 27001
-
8/12/2019 ISO 27001 Gestion de Riesgos
5/39
Es necesario establecer y comprender la organizacin y susposibilidades, as como sus objetivos y la estrategia paralograr esos objetivos.
Hay que establecer la relacin entre la organizacin y suentorno, identificando sus fortalezas, debilidades,oportunidades y amenazas (DAFO)
INTRO: Gestin de riesgos ynegocio (I)
-
8/12/2019 ISO 27001 Gestion de Riesgos
6/39
Identificar los clientes externos e internos y considerar susobjetivos.
La organizacin debera determinar los elementos esencialesque soportan o impiden su capacidad para gestionar losriesgos de seguridad de la informacin que afronta.
Hay que determinar el Alcance y los parmetros de lasactividades de la organizacin, en relacin con el proceso degestin de riesgos.
INTRO: Gestin de riesgos ynegocio (II)
-
8/12/2019 ISO 27001 Gestion de Riesgos
7/39
El proceso de anlisis de riesgos debera de buscar elequilibrio entre los costos de los controles y su efectividadreduciendo el riesgo (Relacin calidad/precio)
Hay que establecer y prever los recursos y registrosnecesarios para la operatividad del proceso de gestin deriesgos.
INTRO: Gestin de riesgos ynegocio (III)
-
8/12/2019 ISO 27001 Gestion de Riesgos
8/39
ISO 13335-1:2004
ISO 73
AS 4360 (Australia) NIST SP 800-30 (USA)
MAGERIT 2.0 (Espaa)
EBIOS (Francia)
OCTAVE (Cert)
METODOLOGAS: Elementos
BS 7799-3:2006
-
8/12/2019 ISO 27001 Gestion de Riesgos
9/39
Identifica amenazas y vulnerabilidades?
Intenta evaluar la probabilidad de que las amenazas
ocurran?
Podra alguien usando los mismos datos llegar a lasmismas conclusiones?
El proceso es repetible y coherente?
Permite el anlisis del impacto de los cambios?
METODOLOGAS: Consideraciones
-
8/12/2019 ISO 27001 Gestion de Riesgos
10/39
ANLISIS DE RIESGOS+
TRATAMIENTO DE RIESGOS=GESTIN DE RIESGOS
GESTIN DE RIESGOS
-
8/12/2019 ISO 27001 Gestion de Riesgos
11/39
El proceso debera identificar cualquier riesgo significativo entodos los activos de informacin, y dentro de su contexto de uso.
El proceso debera proporcionar un informe comprensible por laDireccin de la organizacin.
El informe debera de establecer una cosificacin de riesgos deacuerdo con el impacto potencial de estos en la organizacin ysus clientes internos o externo.
Debera identificar cualquier eliminacin de riesgo inmediatadonde sea posible para obtener una reduccin de riesgo rpida y
barata.
Debera, si es posible identificar soluciones alternativas y susventajas y desventajas.
ANLISIS DE RIESGOS:Expectativas
-
8/12/2019 ISO 27001 Gestion de Riesgos
12/39
ANLISIS DE RIESGOS: Esquema
Identificacin de activosy valoracin
Identificacin deamenazas
Evaluacin de impactoRiesgos de
negocio
Anlisis de riesgos
Clasificacin de riesgos
Grado deaseguramiento
Tratamiento de riesgo
Identificacin deVulnerabilidades
-
8/12/2019 ISO 27001 Gestion de Riesgos
13/39
Realizar un anlisis por procesos nos servir para separar lasactividades o procesos en un grupo de elementos y poderestablecer un Registro de activos.
Esto nos proporcionara un esquema lgico para identificaciny anlisis, y nos asegurara que no dejamos de analizar algnriesgo significativo.
ANLISIS DE RIESGOS:Identificacin de activos
-
8/12/2019 ISO 27001 Gestion de Riesgos
14/39
Una vez identificados los activos sujetos a anlisis, el Comitde seguridad valuara los activos desde el punto de vista de laseguridad de la informacin, como activos de informacin, y
no en base a su valor intrnseco.
Este ser el primer factorde los tres que nosproporcionaran el Nivel de riesgo.
ANLISIS DE RIESGOS: Valor deactivos
-
8/12/2019 ISO 27001 Gestion de Riesgos
15/39
Vulnerabilidades son debilidades asociadas a activos deinformacin. En si mismas no causan dao.
Esas debilidades pueden ser explotadas por Amenazas,que pueden causar una rotura de seguridad que tenga comoconsecuencia dao o perdida de esos activos de informacin.
ANLISIS DE RIESGOS:Identificacin
-
8/12/2019 ISO 27001 Gestion de Riesgos
16/39
El objetivo del anlisis de riesgos es separar los riesgosmenores de los mayores, y proveer de informacin para poderevaluar y controlar el riesgo.
El anlisis de riesgos incluye consideraciones sobre el origendel riesgo, la determinacin de la consecuencia (IMPACTO) yla probabilidad de que esas consecuencias sucedan(PROBABILIDAD).
ANLISIS DE RIESGOS: Impacto yprobabilidad
-
8/12/2019 ISO 27001 Gestion de Riesgos
17/39
Este elemento es subjetivo y ser necesario considerar elresultado de una amenaza aprovechando una vulnerabilidad.
La organizacin debe de establecer el resultado de incidente sobreun proceso o activos, en trminos de confidencialidad, integridad
o disponibilidad.
Es conveniente tener en cuenta que el punto de vista de diferentespersonas de la organizacin puede variar a la hora de establecerel impacto de la perdida de activos.
Las preguntas son:Qu sucede si ese activo o proceso se pierde?Cunto tiempo podemos estar sin el?
ANLISIS DE RIESGOS: Impacto (I)
-
8/12/2019 ISO 27001 Gestion de Riesgos
18/39
La organizacin establecer un mtodo consistente paraevaluar el impacto de una rotura en la seguridad en relacin asus objetivos y dentro del contexto de su negocio.
Cuando se mida el Impacto, es importante considerar laperdidas del activo en su totalidad, y su importancia en elalcance.
Este ser el segundo factorde los tres que nosproporcionarn el Nivel de riesgo.
ANLISIS DE RIESGOS: Impacto (II)
-
8/12/2019 ISO 27001 Gestion de Riesgos
19/39
Este elemento es a menudo subjetivo y necesitara serevaluado en colaboracin con el propietario de activos, yquizs, con asesoramiento experto.
Las principales cuestiones son:
Cual es la probabilidad de que suceda Como de a menudo sucede Cuando sucede?
Este ser el tercer factorde los tres que nosproporcionaran el Nivel de riesgo.
ANLISIS DE RIESGOS:Probabilidad
-
8/12/2019 ISO 27001 Gestion de Riesgos
20/39
ANLISIS DE RIESGOS: Nivel deriesgo
VALOR (1- 5)
IMPACTO (1- 5)
PROBABILIDAD (1 5)
X
X
NIVEL DE RIESGO (1 125)
-
8/12/2019 ISO 27001 Gestion de Riesgos
21/39
ANLISIS DE RIESGOS:Clasificacin de riesgo
Nivel defactor deRiesgo
Valores
L 1 a 32
M 33 a 63
H 64 a 94
E 95 a 125
-
8/12/2019 ISO 27001 Gestion de Riesgos
22/39
ISO 27001 Clusula 4.2.1 C. establece que Hay quedesarrollar criterio para la aceptacin del riesgo e identificar elnivel de riesgo aceptable.
Versiones previas de BS 7799-2 usaban el termino Grado deaseguramiento (que es requerido para los objetivos de controly los controles).
Aunque este termino ya no se usa en el estndar, en unconcepto til para cunado definimos como un objetivo de
control y/o un control debe de ser implementado. (El estndarestablece Que no Como).
Grado de aseguramiento
-
8/12/2019 ISO 27001 Gestion de Riesgos
23/39
RIESGOS:
Aceptar
Transferir
Gestionar
TRATAMIENTO DE RIESGOS: Base
-
8/12/2019 ISO 27001 Gestion de Riesgos
24/39
El criterio segn el cual los riesgos de seguridad de lainformacin deben de ser evaluados debe de ser establecido.
Las decisiones en relacin a la aceptacin del riesgo y a loscontroles necesarios deben de estar basadas en alcanzar losobjetivos de direccin, de organizacin y de estrategia.
TRATAMIENTO DE RIESGOS:Criterio
-
8/12/2019 ISO 27001 Gestion de Riesgos
25/39
TRATAMIENTO DE RIESGOS:Esquema
Identificacin y valoracin deactivos
Identificacin deamenazas Identificacin de
vulnerabilidadesEvaluacin de impacto
Riesgo denegocio
Revisin de controlesde seguridad
existentes
Anlisis de riesgo
Clasificacin de riesgos
Tratamiento de riesgoIdentificacin de
nuevos controles de
seguridad
Poltica y
ProcedimientosImplementacin y
reduccin del riesgoAceptacin de riesgo
(Riesgo residual)
Gap analysis
Grado de aseguramiento
-
8/12/2019 ISO 27001 Gestion de Riesgos
26/39
Acciones inmediatas pueden incluir algo tan simple como controlar el
acceso fsico cerrando una puerta.
Eliminacin de activos
Controles ISO 27001
Controles especficos
TRATAMIENTO DE RIESGOS:Anlisis previo
-
8/12/2019 ISO 27001 Gestion de Riesgos
27/39
TRATAMIENTO DE RIESGOS:Seleccin de controles
La importancia de investigar
ISO 27001 Clusula 4.2.1g) establece que los objetivos de control ycontroles debern ser seleccionados del Anexo A de este estndar
Adems establece que los objetivos de control y controles listados en elAnexo A no son exhaustivos y que se podran elegir controlesadicionales no relacionados en este anexo.
-
8/12/2019 ISO 27001 Gestion de Riesgos
28/39
La organizacin seleccionara objetivos de control y controles paragestionar los riesgos identificados en funcin del requerimiento 4 delestndar.
Eso incluir:
Controles de ISO 27001 Controles legislativos y regulatorios, Requerimiento de clientes Requerimientos corporativos
Cualquier otro elemento relevante
TRATAMIENTO DE RIESGOS:Identificacin de nuevos controles
-
8/12/2019 ISO 27001 Gestion de Riesgos
29/39
TRATAMIENTO DE RIESGOS:Polticas y procedimientos
PolticaDocumento de alto nivel convisin general de intenciones.
GuasEscenario decomprensiny trabajo
Herramientas para hacerlo
EstndaresReglas y regulacionesobligatorias Requerimientos
ProcedimientosComo aplicarlas polticas
Como hacerlo
Polticas especificas parasoportar la Poltica dealto nivel
IntencionesPoltica
Inte
rnet
Virus
Back-up
Accesos
Int
erne
t
Fallod
e
acceso
Usuarios
remotos
Legal Regulacin
-
8/12/2019 ISO 27001 Gestion de Riesgos
30/39
TRATAMIENTO DE RIESGOS:Implementacin de controles
Metodologa:
IdentificarControl Definir elobjetivo Crear elprocesoImplementar elprocedimiento
Gestionar yrevisar
-
8/12/2019 ISO 27001 Gestion de Riesgos
31/39
La organizacin identificara el MTODO para implementar los controlespara alcanzar el grado de aseguramiento requerido por la direccin de laorganizacin.
Un programa de gestin especifico en la forma de un Plan de Tratamientode Riesgo ser desarrollado y autorizado.
TRATAMIENTO DE RIESGOS: Plande tratamiento de riesgos (I)
-
8/12/2019 ISO 27001 Gestion de Riesgos
32/39
A 10.7.3 Procedimiento de gestin de informacin
Seguridad fsica y control de documentacin de clientes: En el Anlisis
de riesgos se ha detectado que contratos y documentacin confidencialestn almacenados en una zona no controlada, con el riesgoconsiguiente de perdida, robo o difusin:
TRATAMIENTO DE RIESGOS: Plande tratamiento de riesgos (II)
Owner
Task 1 Print Security Sleevs Purchasing
Task 2 Develop traininig course HR
Task 3 Train Management/Staff HR
Task 4 Distribute Security sleeves FM, OwnersTask 5 Initiate process QATask 6 Develop review process Quality Man
Jan Feb Mar Apr May Jun
-
8/12/2019 ISO 27001 Gestion de Riesgos
33/39
Ningn control nos puede ofrecer nunca seguridad absoluta, y por lotanto, siempre quedara un riesgo residual.
La direccin de la organizacin, una vez definido el grado deaseguramiento requerido para los controles del SGSI, deber aceptarel riesgo residual, y esto deber ser tenido en cuenta si se produce unincidente de seguridad.
ISO 27001 Clusula 4.2.1.h / I establece: Obtener la aprobacin de ladireccin de la organizacin para el riesgo residual propuesto y para
implementar y mantener el SGSI.
TRATAMIENTO DE RIESGOS:Riesgo residual
-
8/12/2019 ISO 27001 Gestion de Riesgos
34/39
COMERCIALES:
COBRA (Consultative, Objective and Bi-functional Risk Analysis)
CRAMM (CCTA Risk Analysis and Management Method) RA2
GRATUITAS
OCTAVE
EBIOS PILAR
HERRAMIENTAS: Elementos
-
8/12/2019 ISO 27001 Gestion de Riesgos
35/39
La organizacin puede utilizar herramientas comerciales pararealizar el anlisis de riesgos o cualquier otro mtodo apropiadoque proporcione lo siguiente:
HERRAMIENTAS: Caractersticas
establezca las vulnerabilidades, amenazas, y probabilidades delas amenazas para los activos definidos.
que sea repetible y coherente
proporcione a la organizacin una medida til de riesgo.
-
8/12/2019 ISO 27001 Gestion de Riesgos
36/39
Solo algunas pocas herramientas han sido desarrolladas especficamentepara ISO 27001.
Normalmente se concentran exclusivamente en activos IT.
Esta herramientas asumen otros factores de influencia, por ejemplo elentorno y los recursos humanos.
Pueden ser demasiado complejas para tener un uso repetible ycoherente.
HERRAMIENTAS: Consideraciones
BS 7799 3 (ISO 27005) G ti d
-
8/12/2019 ISO 27001 Gestion de Riesgos
37/39
BS 7799-3
ISMS: Part 3: Guidelines form information
security risk management
BS 7799-3 (ISO 27005): Gestin deriesgos
ISO 27005
EXPERIENCIA PRACTICA
-
8/12/2019 ISO 27001 Gestion de Riesgos
38/39
Formacin
Implementacin
Certificacin BS 7799-2
Consultara
Formacin
Certificacin UNE 71502
Auditora a terceros
Migracin a ISO 27001
EXPERIENCIA PRACTICA:Nextel S.A.
-
8/12/2019 ISO 27001 Gestion de Riesgos
39/39
GRACIAS
alerma@nextel.es
top related