ISO 27001 Gestion de Riesgos

8/12/2019 ISO 27001 Gestion de Riesgos

1/39


2/39

- Introduccin

- Metodologas

- Gestin de riesgos

- Anlisis de riesgos

- Tratamiento de riesgos

- Herramientas

- BS 7799-3 (ISO 27005)

- Experiencia practica Nextel, S.A.- Conclusiones

ndice


3/39

INTRO: ISO 27001 Implementacin

Necesidades Solucin Alcance

Identificacin de procesos clave y de soporte

Identificacin y valuacin de activos (en su contexto de uso o empleo)

Amenazas?

Vulnerabilidades?

Probabilidades?

Impactos?

Restauracin??

Riesgos

Grado de seguridad / Niveles aceptables de riesgo

Seleccin de objetivos de control y controles

Definir el Estado de aplicabilidad (SOA) (o Resumen de controles)

Definicin de mtodo de implementacin de cada control (si el existente no es satisfactorio)

Implementacin de controles de seguridad personales, procedimentales, fsicos, y tcnicos

Auditoria y revisin

Anlisis previo (Opcional)

Oportunidades de mejora


4/39

INTRO: Gestin de riesgos enISO 27001

La organizacin demostrara que ha definido e identificado un

mtodo de anlisis de riesgo adecuado, y que ha llevado a

cabo un anlisis de riesgo cubriendo todos los activos deinformacin, tal y como indica la clusula 4.2.1 de ISO 27001


5/39

Es necesario establecer y comprender la organizacin y susposibilidades, as como sus objetivos y la estrategia paralograr esos objetivos.

Hay que establecer la relacin entre la organizacin y suentorno, identificando sus fortalezas, debilidades,oportunidades y amenazas (DAFO)

INTRO: Gestin de riesgos ynegocio (I)


6/39

Identificar los clientes externos e internos y considerar susobjetivos.

La organizacin debera determinar los elementos esencialesque soportan o impiden su capacidad para gestionar losriesgos de seguridad de la informacin que afronta.

Hay que determinar el Alcance y los parmetros de lasactividades de la organizacin, en relacin con el proceso degestin de riesgos.

INTRO: Gestin de riesgos ynegocio (II)


7/39

El proceso de anlisis de riesgos debera de buscar elequilibrio entre los costos de los controles y su efectividadreduciendo el riesgo (Relacin calidad/precio)

Hay que establecer y prever los recursos y registrosnecesarios para la operatividad del proceso de gestin deriesgos.

INTRO: Gestin de riesgos ynegocio (III)


8/39

ISO 13335-1:2004

ISO 73

AS 4360 (Australia) NIST SP 800-30 (USA)

MAGERIT 2.0 (Espaa)

EBIOS (Francia)

OCTAVE (Cert)

METODOLOGAS: Elementos

BS 7799-3:2006


9/39

Identifica amenazas y vulnerabilidades?

Intenta evaluar la probabilidad de que las amenazas

ocurran?

Podra alguien usando los mismos datos llegar a lasmismas conclusiones?

El proceso es repetible y coherente?

Permite el anlisis del impacto de los cambios?

METODOLOGAS: Consideraciones


10/39

ANLISIS DE RIESGOS+

TRATAMIENTO DE RIESGOS=GESTIN DE RIESGOS

GESTIN DE RIESGOS


11/39

El proceso debera identificar cualquier riesgo significativo entodos los activos de informacin, y dentro de su contexto de uso.

El proceso debera proporcionar un informe comprensible por laDireccin de la organizacin.

El informe debera de establecer una cosificacin de riesgos deacuerdo con el impacto potencial de estos en la organizacin ysus clientes internos o externo.

Debera identificar cualquier eliminacin de riesgo inmediatadonde sea posible para obtener una reduccin de riesgo rpida y

barata.

Debera, si es posible identificar soluciones alternativas y susventajas y desventajas.

ANLISIS DE RIESGOS:Expectativas


12/39

ANLISIS DE RIESGOS: Esquema

Identificacin de activosy valoracin

Identificacin deamenazas

Evaluacin de impactoRiesgos de

negocio

Anlisis de riesgos

Clasificacin de riesgos

Grado deaseguramiento

Tratamiento de riesgo

Identificacin deVulnerabilidades


13/39

Realizar un anlisis por procesos nos servir para separar lasactividades o procesos en un grupo de elementos y poderestablecer un Registro de activos.

Esto nos proporcionara un esquema lgico para identificaciny anlisis, y nos asegurara que no dejamos de analizar algnriesgo significativo.

ANLISIS DE RIESGOS:Identificacin de activos


14/39

Una vez identificados los activos sujetos a anlisis, el Comitde seguridad valuara los activos desde el punto de vista de laseguridad de la informacin, como activos de informacin, y

no en base a su valor intrnseco.

Este ser el primer factorde los tres que nosproporcionaran el Nivel de riesgo.

ANLISIS DE RIESGOS: Valor deactivos


15/39

Vulnerabilidades son debilidades asociadas a activos deinformacin. En si mismas no causan dao.

Esas debilidades pueden ser explotadas por Amenazas,que pueden causar una rotura de seguridad que tenga comoconsecuencia dao o perdida de esos activos de informacin.

ANLISIS DE RIESGOS:Identificacin


16/39

El objetivo del anlisis de riesgos es separar los riesgosmenores de los mayores, y proveer de informacin para poderevaluar y controlar el riesgo.

El anlisis de riesgos incluye consideraciones sobre el origendel riesgo, la determinacin de la consecuencia (IMPACTO) yla probabilidad de que esas consecuencias sucedan(PROBABILIDAD).

ANLISIS DE RIESGOS: Impacto yprobabilidad


17/39

Este elemento es subjetivo y ser necesario considerar elresultado de una amenaza aprovechando una vulnerabilidad.

La organizacin debe de establecer el resultado de incidente sobreun proceso o activos, en trminos de confidencialidad, integridad

o disponibilidad.

Es conveniente tener en cuenta que el punto de vista de diferentespersonas de la organizacin puede variar a la hora de establecerel impacto de la perdida de activos.

Las preguntas son:Qu sucede si ese activo o proceso se pierde?Cunto tiempo podemos estar sin el?

ANLISIS DE RIESGOS: Impacto (I)


18/39

La organizacin establecer un mtodo consistente paraevaluar el impacto de una rotura en la seguridad en relacin asus objetivos y dentro del contexto de su negocio.

Cuando se mida el Impacto, es importante considerar laperdidas del activo en su totalidad, y su importancia en elalcance.

Este ser el segundo factorde los tres que nosproporcionarn el Nivel de riesgo.

ANLISIS DE RIESGOS: Impacto (II)


19/39

Este elemento es a menudo subjetivo y necesitara serevaluado en colaboracin con el propietario de activos, yquizs, con asesoramiento experto.

Las principales cuestiones son:

Cual es la probabilidad de que suceda Como de a menudo sucede Cuando sucede?

Este ser el tercer factorde los tres que nosproporcionaran el Nivel de riesgo.

ANLISIS DE RIESGOS:Probabilidad


20/39

ANLISIS DE RIESGOS: Nivel deriesgo

VALOR (1- 5)

IMPACTO (1- 5)

PROBABILIDAD (1 5)

X

X

NIVEL DE RIESGO (1 125)


21/39

ANLISIS DE RIESGOS:Clasificacin de riesgo

Nivel defactor deRiesgo

Valores

L 1 a 32

M 33 a 63

H 64 a 94

E 95 a 125


22/39

ISO 27001 Clusula 4.2.1 C. establece que Hay quedesarrollar criterio para la aceptacin del riesgo e identificar elnivel de riesgo aceptable.

Versiones previas de BS 7799-2 usaban el termino Grado deaseguramiento (que es requerido para los objetivos de controly los controles).

Aunque este termino ya no se usa en el estndar, en unconcepto til para cunado definimos como un objetivo de

control y/o un control debe de ser implementado. (El estndarestablece Que no Como).

Grado de aseguramiento


23/39

RIESGOS:

Aceptar

Transferir

Gestionar

TRATAMIENTO DE RIESGOS: Base


24/39

El criterio segn el cual los riesgos de seguridad de lainformacin deben de ser evaluados debe de ser establecido.

Las decisiones en relacin a la aceptacin del riesgo y a loscontroles necesarios deben de estar basadas en alcanzar losobjetivos de direccin, de organizacin y de estrategia.

TRATAMIENTO DE RIESGOS:Criterio


25/39

TRATAMIENTO DE RIESGOS:Esquema

Identificacin y valoracin deactivos

Identificacin deamenazas Identificacin de

vulnerabilidadesEvaluacin de impacto

Riesgo denegocio

Revisin de controlesde seguridad

existentes

Anlisis de riesgo

Clasificacin de riesgos

Tratamiento de riesgoIdentificacin de

nuevos controles de

seguridad

Poltica y

ProcedimientosImplementacin y

reduccin del riesgoAceptacin de riesgo

(Riesgo residual)

Gap analysis

Grado de aseguramiento


26/39

Acciones inmediatas pueden incluir algo tan simple como controlar el

acceso fsico cerrando una puerta.

Eliminacin de activos

Controles ISO 27001

Controles especficos

TRATAMIENTO DE RIESGOS:Anlisis previo


27/39

TRATAMIENTO DE RIESGOS:Seleccin de controles

La importancia de investigar

ISO 27001 Clusula 4.2.1g) establece que los objetivos de control ycontroles debern ser seleccionados del Anexo A de este estndar

Adems establece que los objetivos de control y controles listados en elAnexo A no son exhaustivos y que se podran elegir controlesadicionales no relacionados en este anexo.


28/39

La organizacin seleccionara objetivos de control y controles paragestionar los riesgos identificados en funcin del requerimiento 4 delestndar.

Eso incluir:

Controles de ISO 27001 Controles legislativos y regulatorios, Requerimiento de clientes Requerimientos corporativos

Cualquier otro elemento relevante

TRATAMIENTO DE RIESGOS:Identificacin de nuevos controles


29/39

TRATAMIENTO DE RIESGOS:Polticas y procedimientos

PolticaDocumento de alto nivel convisin general de intenciones.

GuasEscenario decomprensiny trabajo

Herramientas para hacerlo

EstndaresReglas y regulacionesobligatorias Requerimientos

ProcedimientosComo aplicarlas polticas

Como hacerlo

Polticas especificas parasoportar la Poltica dealto nivel

IntencionesPoltica

Inte

rnet

Virus

Back-up

Accesos

Int

erne

t

Fallod

e

acceso

Usuarios

remotos

Legal Regulacin


30/39

TRATAMIENTO DE RIESGOS:Implementacin de controles

Metodologa:

IdentificarControl Definir elobjetivo Crear elprocesoImplementar elprocedimiento

Gestionar yrevisar


31/39

La organizacin identificara el MTODO para implementar los controlespara alcanzar el grado de aseguramiento requerido por la direccin de laorganizacin.

Un programa de gestin especifico en la forma de un Plan de Tratamientode Riesgo ser desarrollado y autorizado.

TRATAMIENTO DE RIESGOS: Plande tratamiento de riesgos (I)


32/39

A 10.7.3 Procedimiento de gestin de informacin

Seguridad fsica y control de documentacin de clientes: En el Anlisis

de riesgos se ha detectado que contratos y documentacin confidencialestn almacenados en una zona no controlada, con el riesgoconsiguiente de perdida, robo o difusin:

TRATAMIENTO DE RIESGOS: Plande tratamiento de riesgos (II)

Owner

Task 1 Print Security Sleevs Purchasing

Task 2 Develop traininig course HR

Task 3 Train Management/Staff HR

Task 4 Distribute Security sleeves FM, OwnersTask 5 Initiate process QATask 6 Develop review process Quality Man

Jan Feb Mar Apr May Jun


33/39

Ningn control nos puede ofrecer nunca seguridad absoluta, y por lotanto, siempre quedara un riesgo residual.

La direccin de la organizacin, una vez definido el grado deaseguramiento requerido para los controles del SGSI, deber aceptarel riesgo residual, y esto deber ser tenido en cuenta si se produce unincidente de seguridad.

ISO 27001 Clusula 4.2.1.h / I establece: Obtener la aprobacin de ladireccin de la organizacin para el riesgo residual propuesto y para

implementar y mantener el SGSI.

TRATAMIENTO DE RIESGOS:Riesgo residual


34/39

COMERCIALES:

COBRA (Consultative, Objective and Bi-functional Risk Analysis)

CRAMM (CCTA Risk Analysis and Management Method) RA2

GRATUITAS

OCTAVE

EBIOS PILAR

HERRAMIENTAS: Elementos


35/39

La organizacin puede utilizar herramientas comerciales pararealizar el anlisis de riesgos o cualquier otro mtodo apropiadoque proporcione lo siguiente:

HERRAMIENTAS: Caractersticas

establezca las vulnerabilidades, amenazas, y probabilidades delas amenazas para los activos definidos.

que sea repetible y coherente

proporcione a la organizacin una medida til de riesgo.


36/39

Solo algunas pocas herramientas han sido desarrolladas especficamentepara ISO 27001.

Normalmente se concentran exclusivamente en activos IT.

Esta herramientas asumen otros factores de influencia, por ejemplo elentorno y los recursos humanos.

Pueden ser demasiado complejas para tener un uso repetible ycoherente.

HERRAMIENTAS: Consideraciones

BS 7799 3 (ISO 27005) G ti d


37/39

BS 7799-3

ISMS: Part 3: Guidelines form information

security risk management

BS 7799-3 (ISO 27005): Gestin deriesgos

ISO 27005

EXPERIENCIA PRACTICA


38/39

Formacin

Implementacin

Certificacin BS 7799-2

Consultara

Formacin

Certificacin UNE 71502

Auditora a terceros

Migracin a ISO 27001

EXPERIENCIA PRACTICA:Nextel S.A.


39/39

GRACIAS

[email protected]

ISO 27001 Gestion de Riesgos

Documents

Transcript of ISO 27001 Gestion de Riesgos