Iso 27005 Espanol 140519220111 Phpapp01
Iso 27005 Espanol 140519220111 Phpapp01
Iso 27005 Espanol 140519220111 Phpapp01
VII PROMOCIÓN
TESIS DE GRADO MAESTRÍA EN EVALUACIÓN Y AUDITORÍA DE SISTEMAS TECNOLÓGICOS
AUTOR:
PATIÑO, SUSANA GABRIELA
SANGOLQUI, 2018
ANTECEDENTES
PROBLEMÁTICA /JUSTIFICACIÓN
METODOLOGÍA DE INVESTIGACIÓN
CONCLUSIÓN
Las entidades realizarán una evaluación de riesgos y diseñarán e
RECOMENDACIÓN implementarán el plan de manejo de riesgos de su institución, en base a la
norma INEN ISO/IEC 27005 Gestión del Riesgo en la Seguridad de la
Información.
PROBLEMÁTICA/JUSTIFICACIÓN
CONTENIDO
ANTECEDENTES PROBLEMÁTICA JUSTIFICACIÓN
PROBLEMÁTICA /JUSTIFICACIÓN La norma solo provee directrices. Facilite la identificación de las
Poca preparación o predisposición para vulnerabilidades a través de un
OBJETIVOS realizar análisis de las conjunto de etapas específicas
vulnerabilidades. Aporta a las entidades públicas un
MARCO TEÓRICO
Identificación de riesgo requiere mejor entendimiento de la norma ISO
METODOLOGÍA DE INVESTIGACIÓN inversión y tiempo. 27001 e ISO 27005.
Proporcionando mayor conocimiento de
PROPUESTA las posibles amenazas y una conciencia
VALIDACIÓN DE LA PROPUESTA
de las consecuencias que podrían
producirse al no ser tratadas.
CONCLUSIÓN
RECOMENDACIÓN
OBJETIVOS
OBJETIVOS
• Investigar las normas INEC ISO/IEC 27001:2013 e INEC
MARCO TEÓRICO ISO/IEC 27005:2008.
METODOLOGÍA DE INVESTIGACIÓN
• Determinar el grado con el cual se administran los
riesgos tecnológicos en entidades del sector público;
Objetivos
PROPUESTA mediante la aplicación de una encuesta al responsable
Específicos
del área de tecnología.
VALIDACIÓN DE LA PROPUESTA
• Aplicar la guía metodológica de gestión de riesgos de
CONCLUSIÓN TIC basada en la normativa ISO 27005 en una entidad
del sector público.
RECOMENDACIÓN
MARCO TEÓRICO
NORMATIVA
ECUATORIANA • Esquema Gubernamental de Seguridad
PARA LA GESTIÓN de Información
CONTENIDO DE RIESGO EN LA
SEGURIDAD DE
LA
• Norma INEC ISO/IEC 27001:2017
• Norma INEC ISO/IEC 27005:2011
INFORMACIÓN
ANTECEDENTES
PROBLEMÁTICA /JUSTIFICACIÓN
OBJETIVOS
MARCO TEÓRICO
METODOLOGÍA DE INVESTIGACIÓN
PROPUESTA
VALIDACIÓN DE LA PROPUESTA
CONCLUSIÓN
RECOMENDACIÓN
METODOLOGÍA DE INVESTIGACIÓN
CONTENIDO Tipo de
• Enfoque mixto (cualitativo- cuantitativo).
• Investigación transeccional y de campo
investigación
ANTECEDENTES • Meses de abril y mayo de 2017.
PROBLEMÁTICA /JUSTIFICACIÓN
OBJETIVOS
PROPUESTA
MARCO TEÓRICO
A penas el 44% de las entidades
METODOLOGÍA DE INVESTIGACIÓN
públicas se encuentran certificadas
PROPUESTA y tienen implementado un SGSI.
VALIDACIÓN DE LA PROPUESTA
61% manifestaron poseer a la fecha
CONCLUSIÓN
un programa de administración de
RECOMENDACIÓN riesgo de TI.
GUÍA METODOLÓGICA DE GESTIÓN
DEL RIESGO DE TI
CONTENIDO
ANTECEDENTES
PROBLEMÁTICA /JUSTIFICACIÓN
OBJETIVOS
MARCO TEÓRICO
METODOLOGÍA DE INVESTIGACIÓN
PROPUESTA
VALIDACIÓN DE LA PROPUESTA
CONCLUSIÓN
RECOMENDACIÓN
Etapa 1: Establecimiento del
contexto
CONTENIDO
Actividad 1: • Características de la empresa
ANTECEDENTES Determinación • Presupuesto y tamaño
PROBLEMÁTICA /JUSTIFICACIÓN del alcance • Puede comprender todos o ciertos procesos.
RECOMENDACIÓN
Etapa 1: Establecimiento del
contexto
CONTENIDO Actividad 3: Descripción de los criterios de evaluación
5.- Muy Alto 5 10 15 20 25
ANTECEDENTES
4.- Alto 4 8 12 16 20
IMPACTO 3.- Medio 3 6 9 12 15
PROBLEMÁTICA /JUSTIFICACIÓN 2.-Bajo 2 4 6 8 10
1.- Muy Bajo 1 2 3 4 5
OBJETIVOS 5
MAPA/ MATRIZ DE
1. Altamente 2.Improbabl
Improbable e
3. Eventual 4. Probable Altamente Umbral de riesgo
RIESGOS Probable
MARCO TEÓRICO
FRECUENCIA
METODOLOGÍA DE INVESTIGACIÓN
PROPUESTA
Impacto x Probabilidad Nivel de Riesgo
VALIDACIÓN DE LA PROPUESTA 1-2 Muy Bajo
3-4 Bajo
5-6-8-9 Medio
CONCLUSIÓN 10-12-15-16 Alto
20-25 Muy Alto
RECOMENDACIÓN
Etapa 2: Identificación del riesgo
PROPUESTA
VALIDACIÓN DE LA PROPUESTA
CONCLUSIÓN
RECOMENDACIÓN
Etapa 2: Identificación del riesgo
Actividad 2: Tasación de los activos críticos
OBJETIVOS
MARCO TEÓRICO
Disponibilidad
METODOLOGÍA DE INVESTIGACIÓN
PROPUESTA
VALIDACIÓN DE LA PROPUESTA
CONCLUSIÓN
CONCLUSIÓN
RECOMENDACIÓN
Etapa 2: Identificación del riesgo
Actividad 4: • Control es un mecanismo manual o
CONTENIDO Identificación
de los
automático.
• Amenazas neutralizadas por control.
ANTECEDENTES
controles • Lista de chequeo de controles actualizadas.
PROBLEMÁTICA /JUSTIFICACIÓN
Lista de Chequeo de Controles Existentes
OBJETIVOS Fecha
Proceso
Activo
MARCO TEÓRICO
Vulnerabilidad Amenaza Control Existente- Estado Observación
% de Ineficaz Insuficiente Injustificado
METODOLOGÍA DE INVESTIGACIÓN Implementación
PROPUESTA
VALIDACIÓN DE LA PROPUESTA
CONCLUSIÓN
RECOMENDACIÓN
Etapa 2: Identificación del riesgo
OBJETIVOS
CONCLUSIÓN
RECOMENDACIÓN
Etapa 3: Estimación del riesgo
Actividad 1: • Califica la probabilidad de que la amenaza
Valoración de
CONTENIDO la probabilidad
de la amenaza
explote la vulnerabilidad a través de un valor
numérico comprendido en la escala definida.
ANTECEDENTES
PROBLEMÁTICA /JUSTIFICACIÓN
ANTECEDENTES
Nivel Valor Descripción
PROBLEMÁTICA /JUSTIFICACIÓN Insignificante 1 Pérdida económica que no pone en riesgo los intereses de la
compañía y no afecta el flujo normal de los procesos.
OBJETIVOS Menor 2 Pérdida económicamente asumible por la compañía sin
consecuencias ni esfuerzos adicionales que afecten notablemente su
MARCO TEÓRICO situación financiera y no afecta los procesos de manera
considerable.
METODOLOGÍA DE INVESTIGACIÓN
Serio 3 Perdida económicamente mediana, respaldable por la compañía y
PROPUESTA puede afectar el flujo normal de algún proceso de la compañía.
Desastroso 4 Pérdida económica importante, que implica esfuerzos adicionales no
VALIDACIÓN DE LA PROPUESTA planeados por la compañía y se puede presentar una interrupción
parcial en los procesos.
CONCLUSIÓN
Catastrófico 5 Pérdida económica que compromete seriamente el patrimonio y la
RECOMENDACIÓN estabilidad de la compañía y se interrumpe el proceso normal de las
operaciones de manera indefinida.
Etapa 4: Evaluación del riesgo
Actividad 1: • Producto del impacto y probabilidad.
Valoración del
CONTENIDO riesgo
• Nuevos riesgos.
Actividad 2:
ANTECEDENTES Identificación de • Riesgos Altos y Muy Altos.
riesgos críticos
PROBLEMÁTICA /JUSTIFICACIÓN
Actividad 3: • Decidir acciones a desarrollar e implementar.
OBJETIVOS
Selección de • Mapa de calor.
MARCO TEÓRICO controles • Cuatro tratamientos del riesgo.
contexto
METODOLOGÍA DE INVESTIGACIÓN
Criterios de evaluación
PROPUESTA Riesgo=Impacto x Probabilidad
VALIDACIÓN DE LA PROPUESTA
PROBLEMÁTICA /JUSTIFICACIÓN
RECOMENDACIÓN
VERIFICACIÓN DE LA GUÍA
METODOLÓGICA PROPUESTA PARA
CONTENIDO LA GESTIÓN DE RIESGO DE TIC
ANTECEDENTES Etapa 4: Evaluación del Riesgo
PROBLEMÁTICA /JUSTIFICACIÓN 4 Riesgo muy altos
OBJETIVOS 10 Riesgos altos
MARCO TEÓRICO
METODOLOGÍA DE INVESTIGACIÓN
PROPUESTA
VALIDACIÓN DE LA PROPUESTA
CONCLUSIÓN
RECOMENDACIÓN
VERIFICACIÓN DE LA GUÍA
METODOLÓGICA PROPUESTA PARA
CONTENIDO LA GESTIÓN DE RIESGO DE TIC
ANTECEDENTES Etapa 4: Evaluación del Riesgo
PROBLEMÁTICA /JUSTIFICACIÓN
Posibles controles
OBJETIVOS Plan de Contingencia y Continuidad
MARCO TEÓRICO
PROPUESTA
CONCLUSIÓN
RECOMENDACIÓN
CONCLUSIÓN
OBJETIVOS
RECOMENDACIÓN
RECOMENDACIÓN
PROPUESTA Es recomendable que las organizaciones que adopten la guía, luego de realizar
la correspondiente evaluación se realice un análisis de factibilidad tanto
VALIDACIÓN DE LA PROPUESTA
técnica como económica y así priorice en un plan de tratamiento de riesgos los
CONCLUSIÓN controles a implantarse en corto, mediano y largo plazo, debido a la inversión
económica que puede ser necesaria para mantener la seguridad de la
RECOMENDACIÓN
información.
Gracias