las claves del exito para la gestion de riesgos

Upload: cesar-porras

Post on 13-Oct-2015

145 views

Category:

Documents


3 download

TRANSCRIPT

  • 5/22/2018 Las Claves Del Exito Para La Gestion de Riesgos

    1/8

    Las claves del xitopara la Gestin de Riesgosde Seguridad de la Informacin

    ISO 27005. Idenfcar, calcular, controlar y mejorar la efcacia

  • 5/22/2018 Las Claves Del Exito Para La Gestion de Riesgos

    2/8

    RIESGOS Y SEGURIDAD

    Eventos ISOTools Prximos webinars Contacte con ISOTools

    RIESGOS Y SEGURIDAD

    Signica que, en primer lugar es necesario identicar los riesgos

    que afectan a la Organizacin, y en segundo lugar, es necesario

    establecer medidas de seguridad para reducir estos riesgos.

    Por tanto dentro de la Gestin de riesgos podemos diferenciarprincipalmente 2 etapas: Anlisis y Tratamiento.

    Para desarrollar todo el proceso de anlisis y tratamiento de los

    riesgos, es imprescindible establecer una Metodologa, la cual

    denir los pasos que se tienen que seguir para llevar a cabo la

    Gestin de Riesgos.

    Actualmente existen muchas metodologas en el mercado pero

    todas tienen una serie de puntos en comn, los cuales veremos a

    continuacin.

    La ISO 27001 establece un Sistema de Gestin de Seguridad

    de la Informacin, cuyo elemento ms importante es la Ges-

    tin de los Riesgos.

    Las claves del xitopara la Gesn de Riesgos

    Qu signifca Gestionar Riesgos?

    Gestin deRiesgos

    TratamientoAnlisis

    Idenque, calcule, controle y

    mejore la ecacia y eciencia

    en la Gesn de Riesgos.

    http://www.isotools.org/eventos-presencialeshttp://www.isotools.org/webinarshttp://info.isotools.org/contactohttp://info.isotools.org/contactohttp://www.isotools.org/webinarshttp://www.isotools.org/eventos-presenciales
  • 5/22/2018 Las Claves Del Exito Para La Gestion de Riesgos

    3/8

    RIESGOS Y SEGURIDAD

    Eventos ISOTools Prximos webinars Contacte con ISOTools

    1. Identifcacin de activos

    Podemos considerar como activos: Impreso-

    ras, dispositivos de almacenamiento (discos

    duros externos, pendrives), aplicaciones, or-

    denadores, servidores, personas, etc.)

    Todos estos elementos tienen informacin:

    Impresora:Hojas que se imprimen

    Pendrives:Informacin digital

    Aplicaciones:Informacin digital

    Servidores: Informacin digital Empleados: Conocimiento, e informacin

    de la Organizacin

    No obstante tambin podemos identicar

    como activo elementos que no contienen

    informacin, pero que son imprescindibles

    para otros activos que s la tienen. Por ejem-

    plo: Una consola de aire acondicionado no

    contiene informacin, pero su funciona-

    miento implica que los servidores, que s

    contienen informacin, no se sobrecalienteny se averen.

    Tambin es importante identicar la depen-

    dencia que puede existir entre activos: Una

    aplicacin funciona en un servidor, por tan-

    to, si el servidor deja de funcionar, la aplica-

    cin tambin lo har.

    Por ltimo, adems de identicar los activos,

    tambin puede ser necesario y/o interesante

    valorarlos con respecto las 3 dimensiones de

    seguridad: Condencialidad, Integridad y Dis-

    ponibilidad.

    Podemos categorizar los acvos y denir

    diferentes pos. Ejemplo: Hardware,Soware, Personas, Informacin, etc

    http://www.isotools.org/eventos-presencialeshttp://www.isotools.org/webinarshttp://info.isotools.org/contactohttp://info.isotools.org/contactohttp://www.isotools.org/webinarshttp://www.isotools.org/eventos-presenciales
  • 5/22/2018 Las Claves Del Exito Para La Gestion de Riesgos

    4/8

    RIESGOS Y SEGURIDAD

    Eventos ISOTools Prximos webinars Contacte con ISOTools

    2. Identifcacin de amenazas y vulnerabilidades

    Todos los activos de la Organizacin estn expuestos a amena-

    zas, y estas son explotadas por vulnerabilidades.

    Qu es una amenaza?Cualquier problema que pueda afectar

    al negocio: Ingeniera social, catstrofe natural, troyanos, virus,

    etc.

    Qu es una vulnerabilidad? Situacin que provoca que una

    amenaza pueda producirse. Por ejemplo, imaginemos que en

    una Organizacin existe poca concienciacin en seguridad de la

    informacin, esto (la vulnerabilidad) ocasionar que exista ms

    probabilidad de que alguno de sus empleados se descargue un

    correo electrnico con un troyano o un virus (amenaza).

    Lo recomendable suele ser identicar amenazas/vulnerabilida-

    des por tipo de activo, lo cual nos ahorrar mucho trabajo, ya

    que todos los activos que estn bajo el paraguas de una mis-

    ma categora podrn compartir amenazas/vulnerabilidades. No

    obstante hay que hacer un anlisis por cada activo y comprobar

    si las amenazas/vulnerabilidades que le corresponden por su

    categora son adecuadas.

    Casi todas las metodologas de gestin de riesgos, o al menos

    las ms importantes, incluyen un catalogo de amenazas de don-

    de se pueden seleccionar las que apliquen a cada activo.

    3. Clculo del nivel de riesgo

    El clculo del nivel de riesgo se realiza de manera distinta de-

    pendiendo de la metodologa que se considere, ya que cada

    una utiliza una frmula de clculo distinta (probablemente esto

    sea lo que haga ms distinta unas metodologas de otras). No

    obstante aqu veremos una frmula sencilla y rpida de enten-

    der, basada en 2 parmetros fundamentales en gestin de ries-

    gos: Probabilidad de que una amenaza se materialice.

    Impacto en la Organizacin resultante de la materializacin de

    una amenaza.

    En algunos casos tambin se considerar la valoracin del acti-

    vo (basada en las 3 dimensiones: Condencialidad, Integridad y

    Disponibilidad).

    Tanto el Impacto como la Probabilidad se pueden medir en va-

    lores porcentuales, lo cual nos resultar ms sencillo a la hora

    de calcular el nivel de riesgo.

    Una situacin de

    vulnerabilidad en laOrganizacin favorece

    que las amenazassematerialicen

    http://www.isotools.org/eventos-presencialeshttp://www.isotools.org/webinarshttp://info.isotools.org/contactohttp://info.isotools.org/contactohttp://www.isotools.org/webinarshttp://www.isotools.org/eventos-presenciales
  • 5/22/2018 Las Claves Del Exito Para La Gestion de Riesgos

    5/8

    RIESGOS Y SEGURIDAD

    Eventos ISOTools Prximos webinars Contacte con ISOTools

    Impacto:Por ejemplo 0% si la amenaza no produce

    ningn dao, 50% si el dao es considerable y 100% si

    el dao es muy crtico para la Organizacin.

    Probabilidad: Por ejemplo 0% si la probabilidad de

    que la amenaza se materialice es muy baja, 50% si la

    probabilidad es considerable y 100% si la probabilidad

    es muy alta.

    Al nal, obtendremos un valor numrico para el riesgo, el

    cual representar lo siguiente:

    Probabilidad de que una amenaza se materialice e

    impacto en la Organizacin en caso de que se mate-

    rialice.

    El siguiente paso ser determinar si este nivel de ries-

    go es aceptable para la Organizacin, es decir, si el nivel

    de riesgo detectado est por encima del nivel de riesgoaceptable.

    Qu es el nivel de riesgo aceptable? Es el nivel de riesgo

    que establece la Organizacin como permitido, es decir,

    si el nivel de riesgo aceptable por ejemplo es medio, ni-

    camente supondr un peligro para la Organizacin aque-

    llos riesgos que estn por encima: Alto.

    Por tanto, si el nivel de riesgo est por encima del acepta-

    ble, tendremos que hacer un tratamiento del mismo con

    el objetivo de reducirlo (a un nivel aceptable).

    4. Establecimiento de controles

    Para aquellos riesgos que superen el nivel aceptable ten-

    dremos que aplicar controles. Para hacer esta implanta-

    cin de controles de manera ordenada, estructurada y

    planicada, estableceremos un Plan de Tratamiento.

    El denir un Plan para la implantacin de los controles

    tambin es fundamental, ya que existirn muchos e im-

    plantarlos todos puede convertirse en un verdadero caos

    si no existe un orden, una estructura y una planicacin.

    El Plan de Tratamiento de Riesgos tiene que contener

    una serie de informacin bsica:

    Los controles de seguridadson fundamentales, yaque sin ellos los riesgos

    que estn por encima delnivel aceptable supondrnun gran peligro para elnegocio y la Organizacin.

    0%

    Impacto

    Clculo del nivel de riesgo

    50% 100%

    La amenaza no

    produce ningn

    dao

    La amenaza

    produce un dao

    considerable

    La amenaza

    produce un dao

    crco

    0%

    Probabilidad

    50% 100%

    Poco probable

    que se materialice

    la amenaza

    Probabilidad

    considerable de

    que se materialice

    Probabilidad muy

    alta de que se

    materialice

    http://www.isotools.org/eventos-presencialeshttp://www.isotools.org/webinarshttp://info.isotools.org/contactohttp://info.isotools.org/contactohttp://www.isotools.org/webinarshttp://www.isotools.org/eventos-presenciales
  • 5/22/2018 Las Claves Del Exito Para La Gestion de Riesgos

    6/8

    RIESGOS Y SEGURIDAD

    Eventos ISOTools Prximos webinars Contacte con ISOTools

    Responsable del control: Persona que se responsabili-

    za de la correcta implantacin del control

    Recursos: Personas, tcnicos, empresas externas o

    materiales que se utilizarn para la implantacin del

    control

    Acciones a llevar a cabo:Acciones que sern necesa-

    rias para la implantacin del control

    Prioridad: Todos los controles no tienen la misma prio-

    ridad, ya que por una parte el nivel de riesgo no ser el

    mismo, ni tampoco el valor de cada activo para la Orga-

    nizacin. Por tanto es necesario establecer prioridades.

    Esta prioridad puede venir determinada por la fecha de

    implantacin de cada control.

    Despus de implantar todos los controles de seguridad,

    tenemos que calcular el riesgo residual.

    Qu es el riesgo residual?Es el riesgo que sigue que-

    dando despus de implantar los controles de seguridad.

    Cuando implantamos los controles reducimos el riesgo,

    pero este no dejar de existir, siempre quedar un nivel,

    aunque sea mnimo.

    Qu ocurre si el nivel de riesgo, reducido por la im-

    plantacin de los controles de seguridad, sigue estando

    por encima del nivel de riesgo aceptable?

    Tendremos que tomar una decisin en cuanto al trata-

    miento, y deber quedar formalmente establecido en

    nuestra metodologa de anlisis y tratamiento de riesgos.

    Esta decisin se puede resumir en las siguientes posibi-

    lidades:

    Asumir el riesgo: La Organizacin conoce el riesgo y no

    puede establecer ms recursos de los ya establecidos

    para reducirlo.

    Transferirlo a otra parte: Una compaa de seguros,

    una compaa externa, etc.

    El Plan de Tratamientode riesgos se encargade implantar demanera planicadalos controles que se

    aplican a los riesgosque superan el nivelaceptable.

    http://www.isotools.org/eventos-presencialeshttp://www.isotools.org/webinarshttp://info.isotools.org/contactohttp://info.isotools.org/contactohttp://www.isotools.org/webinarshttp://www.isotools.org/eventos-presenciales
  • 5/22/2018 Las Claves Del Exito Para La Gestion de Riesgos

    7/8

    RIESGOS Y SEGURIDAD

    Eventos ISOTools Prximos webinars Contacte con ISOTools

    Metodologas existentes

    MAGERIT

    Se utiliza mucho en Espaa,

    sobre todo en Administra-

    ciones Pblicas, ya que fue

    desarrollada por el Consejo

    Superior de AdministracinElectrnica. Esta metodologa

    no es muy conocida a nivel In-

    ternacional, aunque su utiliza-

    cin puede ser interesante en

    cualquier tipo de empresa.

    CRAMM

    Tuvo su origen en Reino Unido,

    ya que fue desarrollada por el

    CCTA (Central Computer and

    Telecommunications Agency).

    Tiene reconocimiento a nivelInternacional, y su desarrollo

    es de los ms simples: Identi-

    cacin y valoracin de activos,

    valoracin de amenazas y

    vulnerabilidades y seleccin de

    contramedidas.

    OCTAVE

    Fue desarrollada por el SEI

    (Software Engineering Ins-

    titute) en Estados Unidos, y

    tambin tiene un gran recono-

    cimiento internacional. Tieneuna buena aceptacin a nivel

    mundial, aunque las fases que

    la componen son un poco

    diferentes de las metodologas

    habituales, lo cual suele impli-

    car mayor dicultad a la hora

    de utilizarla.

    NIST 800-30

    Fue desarrollada por el NIST

    (National Institute of Standards

    and Technology) en EEUU, y

    aunque tiene reconocimiento

    Internacional, su uso se limita

    sobre todo a EEUU (Adminis-

    traciones Pblicas). Aunque se

    compone de un mayor nme-

    ro de fases que las anteriores

    metodologas, es muy intuitiva,

    sencilla de utilizar.

    ISO 27005

    Es una norma ISO Internacio-

    nal que no especica ningn

    mtodo de anlisis de riesgo

    concreto sino que, contiene

    recomendaciones y directrices

    generales para la gestin de

    riesgos, por tanto, puede utili-

    zarse como gua para elaborar

    una Metodologa de gestin de

    riesgos propia.

    ISO 31000

    Al igual que la anterior, es una

    ISO Internacional que contiene

    una serie de buenas prcticas

    para gestionar riesgos, aunque

    la diferencia con respecto la

    ISO 27005, es que esta no apli-

    ca solamente a la Seguridad de

    la Informacin, sino que aplica

    a cualquier tipo de riesgo.

    1 2 3

    4 5 6

    http://www.isotools.org/eventos-presencialeshttp://www.isotools.org/webinarshttp://info.isotools.org/contactohttp://info.isotools.org/contactohttp://www.isotools.org/webinarshttp://www.isotools.org/eventos-presenciales
  • 5/22/2018 Las Claves Del Exito Para La Gestion de Riesgos

    8/8

    RIESGOS Y SEGURIDAD

    Eventos ISOTools Prximos webinars Contacte con ISOTools

    ConclusionesTodos los activos de una Organizacin (sea grande o pequea) estn

    expuestos a riesgos, los cuales si no se reducen pueden provocar un

    problema importante al negocio. Para reducir estos riesgos podemos

    implantar controles utilizando una metodologa de anlisis de riesgos.

    Una metodologa de anlisis de riesgos nos ayuda a identicar activos,

    las amenazas/vulnerabilidades que les afectan, y calcular el nivel de

    riesgo, el cual tiene que estar por debajo de un nivel aceptable para la

    Organizacin.

    Si el nivel de riesgo es superior al aceptable, la Organizacin tiene que

    implantar controles de seguridad para reducirlo.

    Existen muchas metodologas, pero todas tienen el mismo objetivo: cal-

    cular el riesgo asociado a los activos de la Organizacin y establecer

    medidas para reducirlo.

    ISOTools el la PlataformaTecnolgica idnea para

    facilitar la implementacin

    y mantenimiento de su sis-

    tema de gestin de Riesgos,

    sea cual sea el tamao y tipo

    de organizacin.

    ISOTools permite la auto-

    matizacin del Sistema de

    Gestin del Riesgo, para

    la deteccin y control de

    amenazas de las organizacio-

    nes, mejorando la ecacia y

    eciencia en la gestin, redu-

    ciendo riesgos y controlando

    incidencias.

    Todo ello, gracias a una

    herramienta de fcil uso y

    amigable que permite la ges-

    tin y distribucin prctica

    de tareas y responsabilida-

    des con sistema de avisos y

    alarmas escalable.

    La PlataformaTecnolgicaISOToolsle ayudaa automazarla Gesn deRiesgos

    ISOTools Excellence

    www.isotools.org

    http://www.isotools.org/eventos-presencialeshttp://www.isotools.org/webinarshttp://info.isotools.org/contactohttp://info.isotools.org/contactohttp://www.isotools.org/webinarshttp://www.isotools.org/eventos-presenciales