![Page 1: Fundamentos básicos de la evaluación y tratamiento de ...€¦ · •¿Por qué la gestión de riesgos? •El proceso de la gestión de riesgos •Elementos del análisis de riesgos](https://reader034.vdocumento.com/reader034/viewer/2022050420/5f8f830a56b59526416ee00f/html5/thumbnails/1.jpg)
Ponente: Antonio José Segovia
Fundamentos básicos de la evaluación y tratamiento de
riesgos según ISO 27001
![Page 2: Fundamentos básicos de la evaluación y tratamiento de ...€¦ · •¿Por qué la gestión de riesgos? •El proceso de la gestión de riesgos •Elementos del análisis de riesgos](https://reader034.vdocumento.com/reader034/viewer/2022050420/5f8f830a56b59526416ee00f/html5/thumbnails/2.jpg)
©2019 27001Academy www.advisera.com/27001academy 2
¿Cuales son los pasos básicos en el análisis y tratamiento de riesgos de ISO 27001?
Si estás planificando empezar el análisis de riesgos….
… para hacerlo bien, necesitas entender la importancia de la gestión de riesgos, y aprender lo que es aceptable según el estándar
![Page 3: Fundamentos básicos de la evaluación y tratamiento de ...€¦ · •¿Por qué la gestión de riesgos? •El proceso de la gestión de riesgos •Elementos del análisis de riesgos](https://reader034.vdocumento.com/reader034/viewer/2022050420/5f8f830a56b59526416ee00f/html5/thumbnails/3.jpg)
©2019 27001Academy www.advisera.com/27001academy 3
La gestión de riesgos es el primer paso crucial en la implementación de la ISO 27001 – Determina todo lo que
sucederá después
![Page 4: Fundamentos básicos de la evaluación y tratamiento de ...€¦ · •¿Por qué la gestión de riesgos? •El proceso de la gestión de riesgos •Elementos del análisis de riesgos](https://reader034.vdocumento.com/reader034/viewer/2022050420/5f8f830a56b59526416ee00f/html5/thumbnails/4.jpg)
©2019 27001Academy www.advisera.com/27001academy
Agenda
4
• ¿Por qué la gestión de riesgos?
• El proceso de la gestión de riesgos
• Elementos del análisis de riesgos
• Identificación de activos
• Amenazas y vulnerabilidades
• Impacto y probabilidad
• 4 opciones para el tratamiento de riesgos
• Mayores retos con la gestión de riesgos
![Page 5: Fundamentos básicos de la evaluación y tratamiento de ...€¦ · •¿Por qué la gestión de riesgos? •El proceso de la gestión de riesgos •Elementos del análisis de riesgos](https://reader034.vdocumento.com/reader034/viewer/2022050420/5f8f830a56b59526416ee00f/html5/thumbnails/5.jpg)
©2019 27001Academy www.advisera.com/27001academy
¿Por qué la gestión de riesgos?
5
Gestión de la seguridad de la información (ISO 27001)
Medición(ISO 27004)
Salvaguardas (ISO 27002)
Gestión de riesgos
(ISO 27005)
![Page 6: Fundamentos básicos de la evaluación y tratamiento de ...€¦ · •¿Por qué la gestión de riesgos? •El proceso de la gestión de riesgos •Elementos del análisis de riesgos](https://reader034.vdocumento.com/reader034/viewer/2022050420/5f8f830a56b59526416ee00f/html5/thumbnails/6.jpg)
©2019 27001Academy www.advisera.com/27001academy
El proceso de gestión de riesgos…
6
Your TextAnalyze and assess
Your TextMandatory procedures
Your TextMetodología de análisis de riesgos
Your TextAnálisis de riesgos
Your TextTratamiento de riesgos
![Page 7: Fundamentos básicos de la evaluación y tratamiento de ...€¦ · •¿Por qué la gestión de riesgos? •El proceso de la gestión de riesgos •Elementos del análisis de riesgos](https://reader034.vdocumento.com/reader034/viewer/2022050420/5f8f830a56b59526416ee00f/html5/thumbnails/7.jpg)
©2019 27001Academy www.advisera.com/27001academy
… El proceso de gestión de riesgos
7
Your TextMandatory procedures
Your TextDeclaración de Aplicabilidad (SoA)
Your TextPlan de Tratamiento de Riesgos
![Page 8: Fundamentos básicos de la evaluación y tratamiento de ...€¦ · •¿Por qué la gestión de riesgos? •El proceso de la gestión de riesgos •Elementos del análisis de riesgos](https://reader034.vdocumento.com/reader034/viewer/2022050420/5f8f830a56b59526416ee00f/html5/thumbnails/8.jpg)
©2019 27001Academy www.advisera.com/27001academy
Elementos del análisis de riesgos
8
Identificación del riesgo
Activo AmenazaVulnerabil
idad
Análisis de riesgos
ImpactoProbabi
lidad
Riesgo = Impacto x Probabilidad
(o) Riesgo = Impacto + Probabilidad
Propietario del riesgo
![Page 9: Fundamentos básicos de la evaluación y tratamiento de ...€¦ · •¿Por qué la gestión de riesgos? •El proceso de la gestión de riesgos •Elementos del análisis de riesgos](https://reader034.vdocumento.com/reader034/viewer/2022050420/5f8f830a56b59526416ee00f/html5/thumbnails/9.jpg)
©2019 27001Academy www.advisera.com/27001academy
Activos – ¿Qué protegemos?
9
• Ejemplos:
• Hardware
• Software
• Información (electrónica, papel, etc.)
• Infraestructura
• ¡Personas!
• etc.
• Identificación de propietarios de activos
![Page 10: Fundamentos básicos de la evaluación y tratamiento de ...€¦ · •¿Por qué la gestión de riesgos? •El proceso de la gestión de riesgos •Elementos del análisis de riesgos](https://reader034.vdocumento.com/reader034/viewer/2022050420/5f8f830a56b59526416ee00f/html5/thumbnails/10.jpg)
©2019 27001Academy www.advisera.com/27001academy
Amenazas – ¿Qué puede pasar?
10
Ejemplos:
• Fuego
• Terremoto
• Virus informáticos
• Amenaza de bomba
• Mal funcionamiento del equipamiento
• Personas clave dejan la empresa
![Page 11: Fundamentos básicos de la evaluación y tratamiento de ...€¦ · •¿Por qué la gestión de riesgos? •El proceso de la gestión de riesgos •Elementos del análisis de riesgos](https://reader034.vdocumento.com/reader034/viewer/2022050420/5f8f830a56b59526416ee00f/html5/thumbnails/11.jpg)
©2019 27001Academy www.advisera.com/27001academy
Vulnerabilidades – ¿Por qué pueden ocurrir?
11
Ejemplos:
• Falta un sistema de extinción de fuego
• Faltan planes de continuidad de negocio
• Falta software anti-virus
• Faltan procedimientos de respuesta ante incidentes
• Equipamiento obsoleto
• Falta de recambio
![Page 12: Fundamentos básicos de la evaluación y tratamiento de ...€¦ · •¿Por qué la gestión de riesgos? •El proceso de la gestión de riesgos •Elementos del análisis de riesgos](https://reader034.vdocumento.com/reader034/viewer/2022050420/5f8f830a56b59526416ee00f/html5/thumbnails/12.jpg)
©2019 27001Academy www.advisera.com/27001academy
Impacto y probabilidad
12
• Ejemplo de escala de análisis:
• Alto
• Medio
• Bajo
• O:
• 1 a 5
• 1 a 10
![Page 13: Fundamentos básicos de la evaluación y tratamiento de ...€¦ · •¿Por qué la gestión de riesgos? •El proceso de la gestión de riesgos •Elementos del análisis de riesgos](https://reader034.vdocumento.com/reader034/viewer/2022050420/5f8f830a56b59526416ee00f/html5/thumbnails/13.jpg)
©2019 27001Academy www.advisera.com/27001academy
Ejemplo de tabla de análisis de riesgos
13
Activo Propietar
io
Amenaza Vulnerabilidad Impact
o (1-5)
Probabili
dad (1-5)
Risgo
(=I+P)
Servidor Admin. Falla de
electricidad
No existe UPS 4 2 6
Fuego No existe
extintor
5 3 8
Contrato Director Visualizado
por personas
no
autorizadas
El contrato se ha
dejado en la
mesa
4 4 8
Fuego No existe
protección
contra fuego
4 3 7
Admin de
sistemas
Jefe TI Acidente Nadie más
conoce sus
contraseñas
5 3 8
![Page 14: Fundamentos básicos de la evaluación y tratamiento de ...€¦ · •¿Por qué la gestión de riesgos? •El proceso de la gestión de riesgos •Elementos del análisis de riesgos](https://reader034.vdocumento.com/reader034/viewer/2022050420/5f8f830a56b59526416ee00f/html5/thumbnails/14.jpg)
©2019 27001Academy www.advisera.com/27001academy
4 opciones para el tratamiento del riesgo
14
Aplicar
controles
apropiados
Aceptar el
riesgo
Evitar el
riesgo
Transferir el
riesgo
![Page 15: Fundamentos básicos de la evaluación y tratamiento de ...€¦ · •¿Por qué la gestión de riesgos? •El proceso de la gestión de riesgos •Elementos del análisis de riesgos](https://reader034.vdocumento.com/reader034/viewer/2022050420/5f8f830a56b59526416ee00f/html5/thumbnails/15.jpg)
©2019 27001Academy www.advisera.com/27001academy
Mayores retos con la gestión de riesgos
15
• Tener conocimiento adecuado
• Seleccionar metodología adecuada
• Determinar amenazas
• Implementar medidas de control
• Apoyo de la alta dirección
![Page 16: Fundamentos básicos de la evaluación y tratamiento de ...€¦ · •¿Por qué la gestión de riesgos? •El proceso de la gestión de riesgos •Elementos del análisis de riesgos](https://reader034.vdocumento.com/reader034/viewer/2022050420/5f8f830a56b59526416ee00f/html5/thumbnails/16.jpg)
©2019 27001Academy www.advisera.com/27001academy
Conclusión
16
No te saltes el análisis y tratamiento de riesgos – sin este tipo de análisis
¡la seguridad de tu información estará llena de brechas!
![Page 17: Fundamentos básicos de la evaluación y tratamiento de ...€¦ · •¿Por qué la gestión de riesgos? •El proceso de la gestión de riesgos •Elementos del análisis de riesgos](https://reader034.vdocumento.com/reader034/viewer/2022050420/5f8f830a56b59526416ee00f/html5/thumbnails/17.jpg)
P & R
Antonio José Segovia