Professional Documents
Culture Documents
Education Center
Martin Valdivia
CISA,CISM,ISO 27001 LA
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Administración del Riesgo
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Las 5 Tareas de Gestión de Riesgo
Desarrollar un proceso de Administración del Riesgo
continuo, analítico y sistemático.
Asegurar que las actividades de identificación, análisis y
mitigación del riesgo están integradas en los procesos de
ciclo de vida.
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Panorama General
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Panorama General
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Panorama General
El riesgo es una característica de los negocios y
dado que es impractico y poco económico eliminar
todos los riesgos, cada Empresa tiene un nivel de
riesgo que aceptará.
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Panorama General
Transferencia del riesgo
• El riesgo puede ser reducido a niveles aceptables
transfiriéndolo a otra entidad.
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Panorama General
El riesgo puede ser categorizado en muchos tipos
diferentes:
• Riesgo de Procesos
• Riesgo operativo
Education Center
• Riesgo ambiental
• Riesgo Financiero
• Riesgo de T.I.
• Riesgo de Integridad
• Riesgo comercial
• etc.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Panorama General
Proceso de Administración del Riesgo
– Establecer el contexto.
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Proceso de Administración del Riesgo
Para desarrollar un programa de administración de riesgos se
requiere:
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Proceso de Administración del Riesgo
Según el Marco CobiT
Evaluación de controles.
Implantación de contramedidas.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Marco para el análisis de riesgo
Overview o
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Proceso de Administración del Riesgo
• OCTAVE
• MAGERIT
• ISM3
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Proceso de Administración del Riesgo
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Proceso de Administración del Riesgo
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Proceso de Administración del Riesgo
– Identificar y reportar las prioridades en la administración del riesgo, lo
cual se logra mediante:
• La identificación de la probabilidad de las amenazas.
• La identificación del valor cuantitativo (monetario) y cualitativo
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Proceso de Administración del Riesgo
Para desarrollar un Proceso de Administración. del
Riesgo continuo, analítico y sistemático, el
Administrador de Seguridad de la Información debe
tener un entendimiento de:
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Activos de Información y procesos de
Negocio
– Los activos de Información pueden ser internos o proporcionados por
entidades externas a la Organización.
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Amenazas, vulnerabilidades y
exposiciones
• Un aspecto clave en proteger los activos es el entendimiento
de las amenazas, vulnerabilidades y exposiciones que estos
enfrentan.
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Integración con los procesos de Ciclo de
Vida
Tarea 2: Integración del riesgo con los procesos de
Ciclo de Vida
– Cualquier cambio a la Organización puede afectar la información
crítica que una Organización debe asegurar.
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Integración con los procesos de Ciclo de
Vida
Para integrar las actividades de Identificación,
análisis y mitigación del riesgo dentro de los
procesos de Ciclo de Vida, el Administrador de
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Principios & Prácticas de
administración de riesgo
• La administración del riesgo tiene un Ciclo de Vida.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Principios para el desarrollo de Baselines
• Configurar parámetros (baselines) es una practica de negocio
prudente.
• Los proveedores de T.I. y Organizaciones de Seguridad han
identificado el nº mínimo de controles de seguridad aceptables.
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Métodos de análisis e Identificación de
riesgo
Tarea 3: Aplicar métodos de Identificación y análisis
de riesgos
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Métodos de análisis e Identificación de
riesgo
El Administrador de Seguridad de la Información
puede gestionar los riesgos operativos, físicos y de un
proyecto. Existen cuatro conceptos principales
asociados con la Identificación y análisis de riesgos:
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Métodos de análisis e Identificación de
riesgo
Para aplicar métodos de Identificación y análisis de
riesgo, el Administrador de Seguridad de la
Información debe conocer:
• Clasificación de Información.
• Métodos cuantitativos y cualitativos para determinar la confidencialidad
y criticidad de los activos de T.I. y el impacto de los eventos adversos.
• Uso de análisis de brechas para evaluar el estado actual versus los
estándares de buenas practicas de administración de seguridad de la
información.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Metodologías de valoración de Activos
de Información
• Una vez identificados, el valor de los activos de Información debe ser
asignada.
– Sin una asignación del valor, se tendrán pocas bases para determinar
el nivel de seguridad apropiado.
– La valorización debe considerar variables como complejidad técnica,
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Clasificación de Información
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Clasificación de Información
acceso.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Clasificación de Información
Las preguntas que deben ser respondidas
en un programa de clasificación de
información son:
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Métodos cuantitativos y cualitativos
Un análisis de impacto es frecuentemente llevado a
cabo para identificar la confidencialidad y criticidad de
los activos de Información y documentar el impacto de
eventos adversos
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Análisis de Brechas
El Administrador de Seguridad de la Información
debe usar el análisis de brechas para:
• Evaluar el estado actual versus los estándares de buenas
prácticas de administración de seguridad de la información.
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Mitigación de riesgo
Tarea 4: Definir estrategias y priorizar opciones para
mitigar el riesgo a niveles aceptables para la
Organización
Una vez que los riesgos a los que se enfrenta una
Organización han sido identificados y priorizados, el
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Mitigación del riesgo
El Administrador de Seguridad de la Información
debe conocer:
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Mitigación de riesgo
Para definir estrategias y priorizar opciones para mitigar el
riesgo a niveles aceptables en la Empresa el administrador
de seguridad debe conocer:
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Estrategias de Mitigación de riesgo
Las estrategias de mitigación de riesgo que el
Administrador de Seguridad de la Información puede usar
incluyen:
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Estrategias de mitigación de riesgo
Las estrategias de mitigación de riesgo que el
Administrador de Seguridad de la Información
puede usar incluyen (cont.):
• Seguridad de Plataformas.
• Técnicas de Encriptación.
• Neutralización de Antivirus/Malware.
• Planes de recuperación.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Técnicas de análisis Costo-Beneficio
Todas las técnicas de mitigación de riesgo tienen beneficios
definidos.
– Todas la técnicas conllevan costos que deben ser
considerados.
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
RTOs para activos de Información
El Administrador de Seguridad de la Información debe tener
conocimiento del los Objetivos de Tiempo de Recuperación
(RTOs) para los activos de Información de su Organización
como parte de la evaluación integral del riesgo.
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
RTOs para activos de Información
Las necesidades de la Organización pueden estar
basadas en las necesidades de los clientes, sus
expectativas, los acuerdos de nivel de servicio y los
requerimientos regulatorios.
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
RTO – Continuidad de Negocio
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Informar los cambios significativos en el
riesgo
Tarea 5: Informar los cambios significativos en el riesgo a
los niveles apropiados de la Administración en forma
periódica o cuando suceda un incidente.
La evaluación del riesgo debería:
Ser actualizado cuando existan cambios en la Organización
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Informar los cambios significativos en el
riesgo
Para reportar cambios en el riesgo a un
nivel apropiado de la Administración, el
Administrador de Seguridad de la
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Manejar y presentar información sobre
el estado de los riesgos identificados.
– Un componente importante de la administración del Ciclo de
Vida de riesgos es la evaluación de estos.
Education Center
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Documentación
En cada etapa del proceso de desarrollo del
programa de administración del riesgo la
documentación debe incluir:
Education Center
– Objetivo
– Audiencia
– Activos de Información
– Suposiciones
– Decisiones.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Documentación de políticas
Las políticas deben incluir:
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.