Gestión de Riesgos

ISO 27001/27005 & ISO 31000

Seguridad de la Información

Abril 15, 2013

Germán Castro Arévalo CROSS BORDER TECHNOLOGY

Agenda

• Introducción

• Conceptos básicos sobre seguridad de la información

• Gestión de riesgos (ISO 27001 / 27005 - ISO 31000)

• Avance al interior del SENA

Introducción

4

Panorama actual

Panorama actual

8

Que preocupa a las Organizaciones?

ESET Security Report Latinoamerica 2012

Panorama actual

9

Tendencias del mercado Estándares y buenas prácticas adoptadas:

Encuesta Latinoamericana en Seguridad de la Información 2012

Panorama actual

Conceptos básicos

Gestión en Seguridad de la

Información

•Personas

•Tecnología

•Procesos

•Infraestructura

•Políticas y normas

•Estándares

•Buenas prácticas

•Regulaciones

•Requerimientos

Información

Confidencialidad

Integridad

Disponibilidad

Gestión en Seguridad de la Información

Establecer

el SGSI

Monitorear

el SGSI

Implementar y

Operar el SGSI

Mantener y

Mejorar el SGSI

Partes

Interesadas

Requerimientos

y expectativas

de Seguridad

de la

Información

Partes

Interesadas

Gestión

de Seguridad

de la

Información

Planear

Hacer

Verificar

Act.

Mejoramiento Continuo del Sistema de Gestión

Alcance

Política

Evaluación de

Riesgos

Prep. SOA

Tratamiento de

Riesgos - Controles

Entrenamiento

Gest. Incidentes

Auditorias Int.

Revisión Dir.

Informes

Acciones

Correctivas y

Preventivas

Modelo PHVA – ISO 27001

Gestión de Riesgos

ISO 27001 / ISO 27005

ISO 31000

Vulnerabilidades

Activos de

Información Amenazas

Identificación, análisis y

valoración de riesgos

Tecnología Personas Servicios

ISO 31000

Gestión de Riesgos - ISO 27001

ISO 27005

Aprobación y Evaluación Continua

Riesgos identificados y valorados

Tratamiento

de Riesgos

Implementar

Controles

Anexo A

ISO 27001

&

ISO 27002

Bajo - Medio

Medio

Medio - Alto

Alto

Bajo

Nivel de Riesgo

Aceptable

Aceptar Riesgos

Trtamiento de Riesgos – ISO 27001

Dominios

• Nivel superior

• 11

Objetivos de control

• Agrupación de los controles

• 39

Controles

• Detalle de los controles

• 133

ISO 27001 Anexo A ISO 27002

Dominio

• A.7

• Gestión de activos

Objetivo de control

• A.7.1 - Responsabilidad de los activos • Objetivo: Lograr y mantener la protección adecuada de los activos

organizacionales

Control

• A.7.1.1 – Inventario de activos • Todos los activos deben estar claramente identificados y se debe

elaborar y mantener un inventario de todos los activos importantes

ISO 27001 Anexo A ISO 27002

Principios

Comando y compromiso

(4.2)

Diseño del marco de referencia para la gestión del riesgo

(P)

Marco de referencia Proceso

Implementación de la gestión del riesgo

(H)

Monitoreo y revisión del marco

(V)

Mejora continua del marco de referencia

(A)

Establecimiento del contexto (5.3)

Co

mu

nic

ació

n y

co

nsu

lta

(5.2

)

Mo

nit

ore

o y

rev

isió

n (

5.6

)

Identificación del riesgo (5.4.2)

Análisis del riesgo (5.4.3)

Tratamiento del riesgo (5.5)

Evaluación del riesgo (5.4.4)

Valoración del riesgo (5.4)

• Crear valor • Es parte integral de los

procesos de la organización

• Es parte de la toma de

decisiones • Aborda explÍcitamente

la incertidumbre • Es sistemática,

estructurada y oportuna • Se basa en la mejor

información disponible

• Está adaptado • Toma en cosideración a

los factores humanos y culturales

• Es transparente e

inclusiva • Es dinámica, reiterativa

y receptiva al cambio • Facilita la mejora y

realza a la organización

ISO 31000

Proceso

Establecimiento del

contexto (5.3)

Co

mu

nic

ació

n y

co

nsu

lta

(5

.2)

Mo

nito

reo

y r

evis

ión (

5.6

)

Identificación del riesgo

(5.4.2)

Análisis del riesgo (5.4.3)

Tratamiento del riesgo

(5.5)

Evaluación del riesgo

(5.4.4)

Valoración del riesgo (5.4)

ISO 31000 Proceso

ESTABLECIMIENTO

DEL CONTEXTO

Com

unic

ació

n del riesgo

Monitore

o y

revis

ión (

5.6

)

Identificación del riesgo

Estimación del riesgo

Tratamiento del riesgo

Evaluación del riesgo

VALORACIÓN DEL RIESGO

ANÁLISIS DEL RIESGO

ACEPTACIÓN DEL

RIESGO

No

No

Si

Si

ISO 27005

Avance al interior del SENA

Avance

• Metodología – Riesgos seguridad de la información

• Basada en ISO 27001 e ISO 31000

• Matriz de identificación y valoración de riesgos

• Tipología de activos

• Catálogo de vulnerabilidades y amenazas

• Tipología de riesgos

• Criterios y escalas de valoración

• Alineada con la metodología de riesgos (DAFP -

Departamento Administrativo de la Función Pública)

PROCESO

TIPO DE ACTIVO

NOMBRE ACTIVO

Gestión de Formación

Profesional IntegralSistema de Información Sofia Plus

Gestión de Formación

Profesional IntegralDocumentación Acto Académico

Gestión de Formación

Profesional IntegralServicios de Outsourcing

Equipos de computo

(arrendamiento)

Identificar el Activo de Información

Seleccione el proceso

Seleccion

e el activo

Seleccione el proceso

Identifique el tipo de activo

Nombre el activo

ACTIVOS

GRUPO DE ACTIVO TIPOS DE ACTIVOS DE INFORMACIÓN

Bases de Datos

Documentación

Sis temas de Información

Herramienta Ofimática

Servidores y Equipos de Computo

Equipos de Comunicación

Medios de Almacenamiento Removible

Otros Equipos

Servicios de Outsourcing

Servicios Ofrecidos por la Entidad

Otros Servicios

Funcionarios de planta

Contratis tas

Aprendices

Mesas sectoria les

Partes Interesadas (Empresarios , Entidades Públ icas )

Proveedores

Ambiente de Aprendiza je

Centro de Computo / Centro de Datos

Oficinas

Archivo

Imagen y reputación

Ideas / Conocimiento

INTANGIBLE

INFORMACIÓN

SOFTWARE

HARDWARE

SERVICIOS

PERSONAS

(Rol)

INFRAESTRUCTURA

Tipos de activos de información

Identificación de las amenazas y vulnerabilidades

FUENTE O AGENTE GENERADOR (Amenaza) CAUSA (Vulnerabilidad)

Ausencia o insuficiencia de pruebas.

Ausencia o insuficiencia de disposiciones (con respecto a la

seguridad) en los contratos con los empleados y/o terceras

partes.

Amenaza asociada al activo de información

Hurto o robo

Daño accidental

Código malicioso

Vulnerabilidad asociada al activo de información

Relojes no sincronizados

Arquitectura insegura de la red

Uso no controlado

Catalogo de amenazas y

vulnerabilidades

Catálogo de amenazas

Catálogo de Vulnerabilidades

Probabilidad

Impacto

Riesgo Inherente

Valoración del riesgo

Identificación y calificación del control

CONTROL EXISTENTE

ANEXO A

NTC-ISO

27001

Procedimiento de backups A10.5.1

Digitalización de los documentos

físicos del expendiente A10.5.1

Qué controles existen actualmente?

EFECTIVIDAD

EVALUACIÓN

CONTROL

Corr

ecti

vo (

5)

Prev

enti

vo (

20)

Man

ual (

5)

Aut

omát

ico

(20)

No

docu

men

tado

(0)

Doc

umen

tado

(5)

Div

ulga

do (

20)

Cubr

e m

enos

del

10%

de

las

cau

sas

o

impa

ctos

(5)

Cubr

e en

tre

el 1

1% y

el 7

0% d

e ca

usa

s o

impa

ctos

(10

)

Cubr

e m

as d

el 7

0%

de c

ausa

s o

En e

l tie

mpo

que

lleva

el c

ontr

ol h

a

dem

ostr

ado

ser

efec

tiva

(20

)

70 20 20 0 10 20

55 20 5 5 5 20

TIPO OFICIALIDADNATURALEZA CUBRIMIENTO

VALORACION DE CONTROLES

Calificar el control

Valoración del riesgo

Riesgo inherente + Controles = Riesgo Residual

PROBABILIDAD IMPACTO EVALUACIÓN

RIESGO

RESIDUAL

Raro Crítico 20

Probable Crítico 40

NUEVA CALIFICACIÓN DEL

RIESGO

PROBABILIDAD IMPACTO

Fin

an

cie

ro

Re

pu

taci

on

al

Re

gu

lato

rio

/Le

ga

l

Op

era

cio

na

l

EVALUACIÓN

RIESGO

INHERENTE

Probable Crítico

Crí

tico

40

Casi.Seguro Crítico

Mo

de

rad

o

60

CALIFICACIÓN DEL RIESGO

Tratamiento de riesgos

Graciaspor su tiempo!!

Germán Castro Arévalo gcastro@crossbordertech.com CROSS BORDER TECHNOLOGY

Preguntas?