Este documento describe los pasos clave para la gestión de riesgos de seguridad de la información según la norma ISO 27005. Explica que primero se debe identificar los riesgos que afectan a la organización y luego establecer medidas de seguridad para reducirlos. Luego detalla las etapas principales del proceso: análisis de riesgos, que incluye identificar activos, amenazas y vulnerabilidades; cálculo del nivel de riesgo; y tratamiento, que implica establecer controles de seguridad mediante un plan para
Este documento describe los pasos clave para la gestión de riesgos de seguridad de la información según la norma ISO 27005. Explica que primero se debe identificar los riesgos que afectan a la organización y luego establecer medidas de seguridad para reducirlos. Luego detalla las etapas principales del proceso: análisis de riesgos, que incluye identificar activos, amenazas y vulnerabilidades; cálculo del nivel de riesgo; y tratamiento, que implica establecer controles de seguridad mediante un plan para
Este documento describe los pasos clave para la gestión de riesgos de seguridad de la información según la norma ISO 27005. Explica que primero se debe identificar los riesgos que afectan a la organización y luego establecer medidas de seguridad para reducirlos. Luego detalla las etapas principales del proceso: análisis de riesgos, que incluye identificar activos, amenazas y vulnerabilidades; cálculo del nivel de riesgo; y tratamiento, que implica establecer controles de seguridad mediante un plan para
Este documento describe los pasos clave para la gestión de riesgos de seguridad de la información según la norma ISO 27005. Explica que primero se debe identificar los riesgos que afectan a la organización y luego establecer medidas de seguridad para reducirlos. Luego detalla las etapas principales del proceso: análisis de riesgos, que incluye identificar activos, amenazas y vulnerabilidades; cálculo del nivel de riesgo; y tratamiento, que implica establecer controles de seguridad mediante un plan para
Descargue como PDF, TXT o lea en línea desde Scribd
Descargar como pdf o txt
Está en la página 1de 8
Las claves del xito
para la Gestin de Riesgos
de Seguridad de la Informacin ISO 27005. Identfcar, calcular, controlar y mejorar la efcacia RIESGOS Y SEGURIDAD Eventos ISOTools Prximos webinars Contacte con ISOTools RIESGOS Y SEGURIDAD Signifca que, en primer lugar es necesario identifcar los riesgos que afectan a la Organizacin, y en segundo lugar, es necesario establecer medidas de seguridad para reducir estos riesgos. Por tanto dentro de la Gestin de riesgos podemos diferenciar principalmente 2 etapas: Anlisis y Tratamiento. Para desarrollar todo el proceso de anlisis y tratamiento de los riesgos, es imprescindible establecer una Metodologa, la cual defnir los pasos que se tienen que seguir para llevar a cabo la Gestin de Riesgos. Actualmente existen muchas metodologas en el mercado pero todas tienen una serie de puntos en comn, los cuales veremos a continuacin. La ISO 27001 establece un Sistema de Gestin de Seguridad de la Informacin, cuyo elemento ms importante es la Ges- tin de los Riesgos. Las claves del xito para la Gestn de Riesgos Qu signifca Gestionar Riesgos? Gestin de Riesgos Tratamiento Anlisis Identfque, calcule, controle y mejore la efcacia y efciencia en la Gestn de Riesgos. RIESGOS Y SEGURIDAD Eventos ISOTools Prximos webinars Contacte con ISOTools 1. Identifcacin de activos Podemos considerar como activos: Impreso- ras, dispositivos de almacenamiento (discos duros externos, pendrives), aplicaciones, or- denadores, servidores, personas, etc.) Todos estos elementos tienen informacin: Impresora: Hojas que se imprimen Pendrives: Informacin digital Aplicaciones: Informacin digital Servidores: Informacin digital Empleados: Conocimiento, e informacin de la Organizacin No obstante tambin podemos identifcar como activo elementos que no contienen informacin, pero que son imprescindibles para otros activos que s la tienen. Por ejem- plo: Una consola de aire acondicionado no contiene informacin, pero su funciona- miento implica que los servidores, que s contienen informacin, no se sobrecalienten y se averen. Tambin es importante identifcar la depen- dencia que puede existir entre activos: Una aplicacin funciona en un servidor, por tan- to, si el servidor deja de funcionar, la aplica- cin tambin lo har. Por ltimo, adems de identifcar los activos, tambin puede ser necesario y/o interesante valorarlos con respecto las 3 dimensiones de seguridad: Confdencialidad, Integridad y Dis- ponibilidad. Podemos categorizar los actvos y defnir diferentes tpos. Ejemplo: Hardware, Sofware, Personas, Informacin, etc RIESGOS Y SEGURIDAD Eventos ISOTools Prximos webinars Contacte con ISOTools 2. Identifcacin de amenazas y vulnerabilidades Todos los activos de la Organizacin estn expuestos a amena- zas, y estas son explotadas por vulnerabilidades. Qu es una amenaza? Cualquier problema que pueda afectar al negocio: Ingeniera social, catstrofe natural, troyanos, virus, etc. Qu es una vulnerabilidad? Situacin que provoca que una amenaza pueda producirse. Por ejemplo, imaginemos que en una Organizacin existe poca concienciacin en seguridad de la informacin, esto (la vulnerabilidad) ocasionar que exista ms probabilidad de que alguno de sus empleados se descargue un correo electrnico con un troyano o un virus (amenaza). Lo recomendable suele ser identifcar amenazas/vulnerabilida- des por tipo de activo, lo cual nos ahorrar mucho trabajo, ya que todos los activos que estn bajo el paraguas de una mis- ma categora podrn compartir amenazas/vulnerabilidades. No obstante hay que hacer un anlisis por cada activo y comprobar si las amenazas/vulnerabilidades que le corresponden por su categora son adecuadas. Casi todas las metodologas de gestin de riesgos, o al menos las ms importantes, incluyen un catalogo de amenazas de don- de se pueden seleccionar las que apliquen a cada activo. 3. Clculo del nivel de riesgo El clculo del nivel de riesgo se realiza de manera distinta de- pendiendo de la metodologa que se considere, ya que cada una utiliza una frmula de clculo distinta (probablemente esto sea lo que haga ms distinta unas metodologas de otras). No obstante aqu veremos una frmula sencilla y rpida de enten- der, basada en 2 parmetros fundamentales en gestin de ries- gos: Probabilidad de que una amenaza se materialice. Impacto en la Organizacin resultante de la materializacin de una amenaza. En algunos casos tambin se considerar la valoracin del acti- vo (basada en las 3 dimensiones: Confdencialidad, Integridad y Disponibilidad). Tanto el Impacto como la Probabilidad se pueden medir en va- lores porcentuales, lo cual nos resultar ms sencillo a la hora de calcular el nivel de riesgo. Una situacin de vulnerabilidad en la Organizacin favorece que las amenazas se materialicen RIESGOS Y SEGURIDAD Eventos ISOTools Prximos webinars Contacte con ISOTools Impacto: Por ejemplo 0% si la amenaza no produce ningn dao, 50% si el dao es considerable y 100% si el dao es muy crtico para la Organizacin. Probabilidad: Por ejemplo 0% si la probabilidad de que la amenaza se materialice es muy baja, 50% si la probabilidad es considerable y 100% si la probabilidad es muy alta. Al fnal, obtendremos un valor numrico para el riesgo, el cual representar lo siguiente: Probabilidad de que una amenaza se materialice e impacto en la Organizacin en caso de que se mate- rialice. El siguiente paso ser determinar si este nivel de ries- go es aceptable para la Organizacin, es decir, si el nivel de riesgo detectado est por encima del nivel de riesgo aceptable. Qu es el nivel de riesgo aceptable? Es el nivel de riesgo que establece la Organizacin como permitido, es decir, si el nivel de riesgo aceptable por ejemplo es medio, ni- camente supondr un peligro para la Organizacin aque- llos riesgos que estn por encima: Alto. Por tanto, si el nivel de riesgo est por encima del acepta- ble, tendremos que hacer un tratamiento del mismo con el objetivo de reducirlo (a un nivel aceptable). 4. Establecimiento de controles Para aquellos riesgos que superen el nivel aceptable ten- dremos que aplicar controles. Para hacer esta implanta- cin de controles de manera ordenada, estructurada y planifcada, estableceremos un Plan de Tratamiento. El defnir un Plan para la implantacin de los controles tambin es fundamental, ya que existirn muchos e im- plantarlos todos puede convertirse en un verdadero caos si no existe un orden, una estructura y una planifcacin. El Plan de Tratamiento de Riesgos tiene que contener una serie de informacin bsica: Los controles de seguridad son fundamentales, ya que sin ellos los riesgos que estn por encima del nivel aceptable supondrn un gran peligro para el negocio y la Organizacin. 0% Impacto Clculo del nivel de riesgo 50% 100% La amenaza no produce ningn dao La amenaza produce un dao considerable La amenaza produce un dao crtco 0% Probabilidad 50% 100% Poco probable que se materialice la amenaza Probabilidad considerable de que se materialice Probabilidad muy alta de que se materialice RIESGOS Y SEGURIDAD Eventos ISOTools Prximos webinars Contacte con ISOTools Responsable del control: Persona que se responsabili- za de la correcta implantacin del control Recursos: Personas, tcnicos, empresas externas o materiales que se utilizarn para la implantacin del control Acciones a llevar a cabo: Acciones que sern necesa- rias para la implantacin del control Prioridad: Todos los controles no tienen la misma prio- ridad, ya que por una parte el nivel de riesgo no ser el mismo, ni tampoco el valor de cada activo para la Orga- nizacin. Por tanto es necesario establecer prioridades. Esta prioridad puede venir determinada por la fecha de implantacin de cada control. Despus de implantar todos los controles de seguridad, tenemos que calcular el riesgo residual. Qu es el riesgo residual? Es el riesgo que sigue que- dando despus de implantar los controles de seguridad. Cuando implantamos los controles reducimos el riesgo, pero este no dejar de existir, siempre quedar un nivel, aunque sea mnimo. Qu ocurre si el nivel de riesgo, reducido por la im- plantacin de los controles de seguridad, sigue estando por encima del nivel de riesgo aceptable? Tendremos que tomar una decisin en cuanto al trata- miento, y deber quedar formalmente establecido en nuestra metodologa de anlisis y tratamiento de riesgos. Esta decisin se puede resumir en las siguientes posibi- lidades: Asumir el riesgo: La Organizacin conoce el riesgo y no puede establecer ms recursos de los ya establecidos para reducirlo. Transferirlo a otra parte: Una compaa de seguros, una compaa externa, etc. El Plan de Tratamiento de riesgos se encarga de implantar de manera planifcada los controles que se aplican a los riesgos que superan el nivel aceptable. RIESGOS Y SEGURIDAD Eventos ISOTools Prximos webinars Contacte con ISOTools Metodologas existentes MAGERIT Se utiliza mucho en Espaa, sobre todo en Administra- ciones Pblicas, ya que fue desarrollada por el Consejo Superior de Administracin Electrnica. Esta metodologa no es muy conocida a nivel In- ternacional, aunque su utiliza- cin puede ser interesante en cualquier tipo de empresa. CRAMM Tuvo su origen en Reino Unido, ya que fue desarrollada por el CCTA (Central Computer and Telecommunications Agency). Tiene reconocimiento a nivel Internacional, y su desarrollo es de los ms simples: Identif- cacin y valoracin de activos, valoracin de amenazas y vulnerabilidades y seleccin de contramedidas. OCTAVE Fue desarrollada por el SEI (Software Engineering Ins- titute) en Estados Unidos, y tambin tiene un gran recono- cimiento internacional. Tiene una buena aceptacin a nivel mundial, aunque las fases que la componen son un poco diferentes de las metodologas habituales, lo cual suele impli- car mayor difcultad a la hora de utilizarla. NIST 800-30 Fue desarrollada por el NIST (National Institute of Standards and Technology) en EEUU, y aunque tiene reconocimiento Internacional, su uso se limita sobre todo a EEUU (Adminis- traciones Pblicas). Aunque se compone de un mayor nme- ro de fases que las anteriores metodologas, es muy intuitiva, sencilla de utilizar. ISO 27005 Es una norma ISO Internacio- nal que no especifca ningn mtodo de anlisis de riesgo concreto sino que, contiene recomendaciones y directrices generales para la gestin de riesgos, por tanto, puede utili- zarse como gua para elaborar una Metodologa de gestin de riesgos propia. ISO 31000 Al igual que la anterior, es una ISO Internacional que contiene una serie de buenas prcticas para gestionar riesgos, aunque la diferencia con respecto la ISO 27005, es que esta no apli- ca solamente a la Seguridad de la Informacin, sino que aplica a cualquier tipo de riesgo. 1 2 3 4 5 6 RIESGOS Y SEGURIDAD Eventos ISOTools Prximos webinars Contacte con ISOTools Conclusiones Todos los activos de una Organizacin (sea grande o pequea) estn expuestos a riesgos, los cuales si no se reducen pueden provocar un problema importante al negocio. Para reducir estos riesgos podemos implantar controles utilizando una metodologa de anlisis de riesgos. Una metodologa de anlisis de riesgos nos ayuda a identifcar activos, las amenazas/vulnerabilidades que les afectan, y calcular el nivel de riesgo, el cual tiene que estar por debajo de un nivel aceptable para la Organizacin. Si el nivel de riesgo es superior al aceptable, la Organizacin tiene que implantar controles de seguridad para reducirlo. Existen muchas metodologas, pero todas tienen el mismo objetivo: cal- cular el riesgo asociado a los activos de la Organizacin y establecer medidas para reducirlo. ISOTools el la Plataforma Tecnolgica idnea para facilitar la implementacin y mantenimiento de su sis- tema de gestin de Riesgos, sea cual sea el tamao y tipo de organizacin. ISOTools permite la auto- matizacin del Sistema de Gestin del Riesgo, para la deteccin y control de amenazas de las organizacio- nes, mejorando la efcacia y efciencia en la gestin, redu- ciendo riesgos y controlando incidencias. Todo ello, gracias a una herramienta de fcil uso y amigable que permite la ges- tin y distribucin prctica de tareas y responsabilida- des con sistema de avisos y alarmas escalable. La Plataforma Tecnolgica ISOTools le ayuda a automatzar la Gestn de Riesgos ISOTools Excellence www.isotools.org