Post on 02-Mar-2018
Gestión de Riesgos
ISO 27001/27005 & ISO 31000
Seguridad de la Información
Abril 15, 2013
Germán Castro Arévalo CROSS BORDER TECHNOLOGY
Agenda
• Introducción
• Conceptos básicos sobre seguridad de la información
• Gestión de riesgos (ISO 27001 / 27005 - ISO 31000)
• Avance al interior del SENA
9
Tendencias del mercado Estándares y buenas prácticas adoptadas:
Encuesta Latinoamericana en Seguridad de la Información 2012
Panorama actual
Gestión en Seguridad de la
Información
•Personas
•Tecnología
•Procesos
•Infraestructura
•Políticas y normas
•Estándares
•Buenas prácticas
•Regulaciones
•Requerimientos
Información
Confidencialidad
Integridad
Disponibilidad
Gestión en Seguridad de la Información
Establecer
el SGSI
Monitorear
el SGSI
Implementar y
Operar el SGSI
Mantener y
Mejorar el SGSI
Partes
Interesadas
Requerimientos
y expectativas
de Seguridad
de la
Información
Partes
Interesadas
Gestión
de Seguridad
de la
Información
Planear
Hacer
Verificar
Act.
Mejoramiento Continuo del Sistema de Gestión
Alcance
Política
Evaluación de
Riesgos
Prep. SOA
Tratamiento de
Riesgos - Controles
Entrenamiento
Gest. Incidentes
Auditorias Int.
Revisión Dir.
Informes
Acciones
Correctivas y
Preventivas
Modelo PHVA – ISO 27001
Vulnerabilidades
Activos de
Información Amenazas
Identificación, análisis y
valoración de riesgos
Tecnología Personas Servicios
ISO 31000
Gestión de Riesgos - ISO 27001
ISO 27005
Aprobación y Evaluación Continua
Riesgos identificados y valorados
Tratamiento
de Riesgos
Implementar
Controles
Anexo A
ISO 27001
&
ISO 27002
Bajo - Medio
Medio
Medio - Alto
Alto
Bajo
Nivel de Riesgo
Aceptable
Aceptar Riesgos
Trtamiento de Riesgos – ISO 27001
Dominios
• Nivel superior
• 11
Objetivos de control
• Agrupación de los controles
• 39
Controles
• Detalle de los controles
• 133
ISO 27001 Anexo A ISO 27002
Dominio
• A.7
• Gestión de activos
Objetivo de control
• A.7.1 - Responsabilidad de los activos • Objetivo: Lograr y mantener la protección adecuada de los activos
organizacionales
Control
• A.7.1.1 – Inventario de activos • Todos los activos deben estar claramente identificados y se debe
elaborar y mantener un inventario de todos los activos importantes
ISO 27001 Anexo A ISO 27002
Principios
Comando y compromiso
(4.2)
Diseño del marco de referencia para la gestión del riesgo
(P)
Marco de referencia Proceso
Implementación de la gestión del riesgo
(H)
Monitoreo y revisión del marco
(V)
Mejora continua del marco de referencia
(A)
Establecimiento del contexto (5.3)
Co
mu
nic
ació
n y
co
nsu
lta
(5.2
)
Mo
nit
ore
o y
rev
isió
n (
5.6
)
Identificación del riesgo (5.4.2)
Análisis del riesgo (5.4.3)
Tratamiento del riesgo (5.5)
Evaluación del riesgo (5.4.4)
Valoración del riesgo (5.4)
• Crear valor • Es parte integral de los
procesos de la organización
• Es parte de la toma de
decisiones • Aborda explÍcitamente
la incertidumbre • Es sistemática,
estructurada y oportuna • Se basa en la mejor
información disponible
• Está adaptado • Toma en cosideración a
los factores humanos y culturales
• Es transparente e
inclusiva • Es dinámica, reiterativa
y receptiva al cambio • Facilita la mejora y
realza a la organización
ISO 31000
Proceso
Establecimiento del
contexto (5.3)
Co
mu
nic
ació
n y
co
nsu
lta
(5
.2)
Mo
nito
reo
y r
evis
ión (
5.6
)
Identificación del riesgo
(5.4.2)
Análisis del riesgo (5.4.3)
Tratamiento del riesgo
(5.5)
Evaluación del riesgo
(5.4.4)
Valoración del riesgo (5.4)
ISO 31000 Proceso
ESTABLECIMIENTO
DEL CONTEXTO
Com
unic
ació
n del riesgo
Monitore
o y
revis
ión (
5.6
)
Identificación del riesgo
Estimación del riesgo
Tratamiento del riesgo
Evaluación del riesgo
VALORACIÓN DEL RIESGO
ANÁLISIS DEL RIESGO
ACEPTACIÓN DEL
RIESGO
No
No
Si
Si
ISO 27005
Avance
• Metodología – Riesgos seguridad de la información
• Basada en ISO 27001 e ISO 31000
• Matriz de identificación y valoración de riesgos
• Tipología de activos
• Catálogo de vulnerabilidades y amenazas
• Tipología de riesgos
• Criterios y escalas de valoración
• Alineada con la metodología de riesgos (DAFP -
Departamento Administrativo de la Función Pública)
PROCESO
TIPO DE ACTIVO
NOMBRE ACTIVO
Gestión de Formación
Profesional IntegralSistema de Información Sofia Plus
Gestión de Formación
Profesional IntegralDocumentación Acto Académico
Gestión de Formación
Profesional IntegralServicios de Outsourcing
Equipos de computo
(arrendamiento)
Identificar el Activo de Información
Seleccione el proceso
Seleccion
e el activo
Seleccione el proceso
Identifique el tipo de activo
Nombre el activo
ACTIVOS
GRUPO DE ACTIVO TIPOS DE ACTIVOS DE INFORMACIÓN
Bases de Datos
Documentación
Sis temas de Información
Herramienta Ofimática
Servidores y Equipos de Computo
Equipos de Comunicación
Medios de Almacenamiento Removible
Otros Equipos
Servicios de Outsourcing
Servicios Ofrecidos por la Entidad
Otros Servicios
Funcionarios de planta
Contratis tas
Aprendices
Mesas sectoria les
Partes Interesadas (Empresarios , Entidades Públ icas )
Proveedores
Ambiente de Aprendiza je
Centro de Computo / Centro de Datos
Oficinas
Archivo
Imagen y reputación
Ideas / Conocimiento
INTANGIBLE
INFORMACIÓN
SOFTWARE
HARDWARE
SERVICIOS
PERSONAS
(Rol)
INFRAESTRUCTURA
Tipos de activos de información
Identificación de las amenazas y vulnerabilidades
FUENTE O AGENTE GENERADOR (Amenaza) CAUSA (Vulnerabilidad)
Ausencia o insuficiencia de pruebas.
Ausencia o insuficiencia de disposiciones (con respecto a la
seguridad) en los contratos con los empleados y/o terceras
partes.
Amenaza asociada al activo de información
Hurto o robo
Daño accidental
Código malicioso
Vulnerabilidad asociada al activo de información
Relojes no sincronizados
Arquitectura insegura de la red
Uso no controlado
Catalogo de amenazas y
vulnerabilidades
Identificación y calificación del control
CONTROL EXISTENTE
ANEXO A
NTC-ISO
27001
Procedimiento de backups A10.5.1
Digitalización de los documentos
físicos del expendiente A10.5.1
Qué controles existen actualmente?
EFECTIVIDAD
EVALUACIÓN
CONTROL
Corr
ecti
vo (
5)
Prev
enti
vo (
20)
Man
ual (
5)
Aut
omát
ico
(20)
No
docu
men
tado
(0)
Doc
umen
tado
(5)
Div
ulga
do (
20)
Cubr
e m
enos
del
10%
de
las
cau
sas
o
impa
ctos
(5)
Cubr
e en
tre
el 1
1% y
el 7
0% d
e ca
usa
s o
impa
ctos
(10
)
Cubr
e m
as d
el 7
0%
de c
ausa
s o
En e
l tie
mpo
que
lleva
el c
ontr
ol h
a
dem
ostr
ado
ser
efec
tiva
(20
)
70 20 20 0 10 20
55 20 5 5 5 20
TIPO OFICIALIDADNATURALEZA CUBRIMIENTO
VALORACION DE CONTROLES
Calificar el control
Valoración del riesgo
Riesgo inherente + Controles = Riesgo Residual
PROBABILIDAD IMPACTO EVALUACIÓN
RIESGO
RESIDUAL
Raro Crítico 20
Probable Crítico 40
NUEVA CALIFICACIÓN DEL
RIESGO
PROBABILIDAD IMPACTO
Fin
an
cie
ro
Re
pu
taci
on
al
Re
gu
lato
rio
/Le
ga
l
Op
era
cio
na
l
EVALUACIÓN
RIESGO
INHERENTE
Probable Crítico
Crí
tico
40
Casi.Seguro Crítico
Mo
de
rad
o
60
CALIFICACIÓN DEL RIESGO
Graciaspor su tiempo!!
Germán Castro Arévalo gcastro@crossbordertech.com CROSS BORDER TECHNOLOGY
Preguntas?