Gestión de Riesgos de Seguridad de la información ISO/IEC 27005:2008
Objetivos del Curso Al terminar el curso el participante deberá: • Comprender el marco de referencia de gestión de riesgos de ISO/IEC 27005:2008. • Reconocer los usos y beneficios de la norma. • Comprender y tener los conocimientos necesarios para poder desarrollar un análisis y evaluación de riesgos de seguridad de la información y su gestión.
Conceptos básicos- Seguridad de la Información y Riesgos
¿Qué es la información? “La información es un activo que, cómo otros activos de negocio importantes, es esencial para el negocio de una organización y consecuentemente necesita estar protegido adecuadamente.” [ISO/IEC 27002:2005]
¿Qué es la información? • La información puede existir en muchas formas: ▫ Impresa o escrita en papel ▫ Almacenada electrónicamente ▫ Transmitida por correo, mensajería o por medios electrónicos. ▫ Mostrada en video ▫ Hablada en una conversación.
• Sin importar en que medio o forma se encuentre la información, ésta deberá ser protegida apropiadamente.
Seguridad de la información • “Preservación de la Confidencialidad, Integridad y Disponibilidad; adicionalmente, otras propiedades tales como autenticidad, imputabilidad, no repudio y confiabilidad pueden estar involucradas.” [ISO/IEC 27005:2005]
Riesgos de seguridad de la información
• El estándar define en riesgo de seguridad de la información como: “el potencial de que una cierta amenaza explote vulnerabilidades de un activo o grupo de activos y así cause daño a la organización” [ISO/IEC 27005:2008]
Factores de riesgo Activo: Un activo es algo que tiene valor para la organización y por lo tanto requiere protección.
Vulnerabilidad: Debilidad inherente al activo. Su presencia no causa daño por sí misma, ya que necesita haber una amenaza que la explote. La falta de un control también puede considerarse una vulnerabilidad. Amenaza: Una circunstancia o evento que tiene el potencial de causar daño a un activo y por lo tanto a la organización. Impacto: Daño causado por una amenaza que explota una vulnerabilidad en un activo y que afecta adversamente el logro de los objetivos de negocio.
Factores de riesgo RIESGO
Impacto
Eventos Activo Amenazas Vulnerabilidades
• Un riesgo se mide en términos de: ▫ La probabilidad de un evento ▫ Sus consecuencias
Gestión de Riesgos “Actividades coordinadas para dirigir y controlar una organización con relación al riesgo.” [ISO/IEC Guide 73:2002]
• La gestión de riesgos permite a una organización identificar qué necesita proteger, cómo debe protegerse y cuánta protección necesita, y así invertir sus esfuerzos y recursos efectivamente.
Gestión de Riesgos-Beneficios • Realizar la gestión de riesgos de seguridad de la información es considerado como una mejor practica por organizaciones internacionales y nacionales y puede ser parte de un requerimiento legal o regulatorio que debe cumplirse. • Cualquiera que sea la razón para adoptar la gestión de riesgos, la organización obtendrá beneficios significativos.
Gestión de Riesgos-Beneficios • Los beneficios directos: ▫ Conocer los riesgos de seguridad y así poder tomar decisiones de acuerdo a las necesidades y capacidades de la organización. ▫ Reducir incertidumbre, número de incidentes y su impacto a la organización.
Gestión de Riesgos-Beneficios • Otros beneficios incluyen:
▫ Una visión completa de los riesgos asistirá a la planeación estratégica y toma de decisiones. ▫ Demuestra conciencia de seguridad y da tranquilidad a los interesados. ▫ Los requerimientos de seguridad de la información y requerimientos del negocio son alineados. ▫ La concientización de seguridad de la información aumenta en la organización. ▫ Mejora continua en el proceso de análisis y tratamiento de riesgos. ▫ Mayor probabilidad de alcanzar los objetivos de negocio.
Ejercicio 1 Factores de riesgo
FACTORES DE RIESGO (activo, amenaza, vulnerabilidad, impacto) Aire Acondicionado
Línea de comunicación desprotegidas
Base de datos
Números de Tarjetas de Crédito
Código Malicioso
Página Web
Contraseñas débiles
PC
Contratos
Pérdida de clientes
Corrupción de datos
Pérdida de confidencialidad
Edificio
Pérdida de electricidad
Error en el software
Pérdida de ventaja competitiva
Facturas
Pérdida de reputación
Falta de documentación
Plan de Marketing
Falta de política de seguridad
Red inalámbrica
Fraude
Robo de equipo
Gerente de Finanzas
Susceptible de fuego
Ingeniería Social
Interfaz de usuario complicada
Acceso no autorizado
Interrupción al negocio
Introducción a la Serie ISO/IEC 27000
Serie ISO/IEC 27000 • Familia de estándares de seguridad de la información publicados en conjunto por la International Organization for Standardization (ISO) y la International Electrotechnical Commission (IEC) • Provee recomendaciones de mejores prácticas para obtener y preservar la seguridad de la información dentro del contexto de un Sistema de Gestión de Seguridad de la Información (ISMS, por sus siglas en inglés).
Serie ISO/IEC 27000 • Como parte de esta serie se han publicado los siguientes estándares: ▫ 27001:2005-Requerimiento para un ISMS ▫ 27002:2005-Código de práctica para la administración de la seguridad de la información. ▫ 27005:2008-Gestión de riesgos de seguridad de la información. ▫ 27006:2007-Requerimientos para las organizaciones que proveen auditoría y certificación de ISMS.
Serie ISO/IEC 27000 • Además, los siguientes estándares, entre otros, están en proceso para ser publicados: ▫ 27000- Visión general y vocabulario ▫ 27003- Guía de implementación para un ISMS ▫ 27004- Métricas para la gestión de la seguridad de la información. ▫ 27007- Lineamientos para auditar ISMS ▫ 27011- Telecomunicaciones
ISO/IEC 27001:2005 • Provee un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (ISMS) dentro de un enfoque de gestión de riesgos. • Especifica los requerimientos para un ISMS y provee una lista de objetivos de control y controles específicos. • Las organizaciones pueden conformidad con el estándar.
buscar
certificación
de
• Utiliza un enfoque de procesos y adopta el modelo PlanearHacer-Verificar-Actuar (PHVA o PDCA por sus siglas en inglés).
ISO/IEC 27001:2005 Partes Interesadas
Planear Establecer el ISMS
Hacer Implementar
Mantener y mejorar el Actuar ISMS
y operar el ISMS
Requerimientos y expectativas de la seguridad de la información
Partes Interesadas
Monitorear y revisar el ISMS
Verificar
Modelo PDCA aplicado a los procesos de ISMS
Seguridad de la Información gestionada
ISO/IEC 27002:2005 • Código de práctica para la implementación de la seguridad de la información.
• Establece lineamientos y principios generales (recomendaciones) para la gestión de la seguridad de la información, así como guías para la implementación de objetivos de control y controles en función de un proceso de análisis y tratamiento de riesgos. • Funciona como apoyo para la implementación de los controles definidos en el Anexo A del ISO/IEC 27001. • La nomenclatura del ISO/IEC17799:2005 fue cambiada a ISO/IEC 27002:2005 a mediados de 2007 para integrarlo a la familia de estándares ISO/IEC 27000. El contenido no sufrió cambios
ISO/IEC 27006:2006 • ISO/IEC 27006 especifica requerimientos y provee una guía para las organizaciones que proveen certificación o auditoria de los ISMS, incluyendo a BSI.
• Estas organizaciones deben seguir los requerimientos de esta norma para demostrar su competencia y confiabilidad, en conjunto con los requerimientos contenidos en el ISO/IEC 17021:2006 e ISO/IEC 27001:2005.
Introducción a ISO/IEC 27005:2008
ISO/IEC 27005:2008 • Publicado en Junio 2008 • Provee lineamientos para la gestión de riesgos.
• No es una técnica o metodología (ver Margerit y Octave). • Soporta la ISO/IEC 27001, sin embargo, puede implementarse independientemente.
Descripción • Es un estándar internacional que describe un marco de referencia para gestionar los riesgos de seguridad de la información.
• Esta diseñado para poder ser aplicado en cualquier organización.
Descripción • No está alineado a una metodología de gestión de riesgos en específico, ni sugiere alguna. • Cada empresa debe seleccionar la metodología que cumpla con sus requerimientos y objetivos. • Sin embargo, si especifica un proceso estructurado y sistemático ISO/IEC para gestionar los riesgos.
Aplicaciones • ISO/IEC 27005 cubre las especificaciones de ISO/IEC 27001 para la gestión de riesgos. • Puede implementarse independientemente o para otros propósitos.
Aplicaciones Rol en un ISMS • Asiste en cualquier implementación de un Sistema de Gestión de Seguridad de la Información (ISMS). • Se debe realizar análisis y evaluaciones de riesgos para identificar los riesgos a los que está expuesta una organización y tratarlos de acuerdo a los criterios y requerimientos que ésta determine.
Aplicaciones Además del soporte a un ISMS, las aplicaciones de este estándar incluyen: • Cumplimiento legal o regulatorio y evidencia de atención y cuidado prestado a la seguridad de la información. • Sirve como base para el desarrollo de un Plan de continuidad del negocio y/o Plan de respuesta a incidentes. • Descripción de los requerimientos de seguridad de un producto, servicio o mecanismo.
Ejercicio 2 Serie de estándares ISO/IEC 27000
• ¿Qué ventajas tiene utilizar estándares internacionales? ¿Desventajas? • Si una organización desea obtener un certificado para proporcionar a sus socios de negocio como evidencia de que protege su información apropiadamente, ¿Qué estándar debe seguir principalmente? • Una organización quiere implementar controles de seguridad en la empresa ¿Qué estándar le ayuda a seleccionar controles comúnmente utilizados? Si el presupuesto es limitado qué estándar le ayuda a priorizar?
Proceso de Gestión de Riesgos de Seguridad de la Información
COMUNICACIÓN DE RIESGOS
ESTABLECIMIENTO DEL CONTEXTO ANÁLISIS Y EVALUACIÓN DE RIESGOS ANÁLISIS DE RIESGOS IDENTIFICACIÓN DE RIESGOS ESTIMACIÓN DE RIESGOS EVALUACIÓN DE RIESGOS PUNTO DE DECISIÓN DE RIESGOS 1 Satisfacción del Análisis y Evaluación
No Si
TRATAMIENTO DE RIESGOS No
PUNTO DE DECISIÓN DE RIESGOS 2 Satisfacción del Tratamiento Si
ACEPTACIÓN DE RIESGOS FIN DE PRIMERA O SUBSECUENTES ITERACIONES
MONITOREO Y REVISIÓN DE RIESGOS
Proceso de Gestión de Riesgos de Seguridad de la Información
Proceso • ISO/IEC 27005:2008 divide el proceso de gestión de riesgos de seguridad de la información en las siguientes actividades: ▫ ▫ ▫ ▫ ▫ ▫
Establecimiento del contexto Análisis y evaluación de riesgos (Risk assessment) Tratamiento de riesgos Aceptación de riesgos Comunicación de riesgos Monitoreo y revisión de riesgos
• Éste estándar permite iteraciones entre las actividades para alcanzar los resultados deseados y la mejora continua.
Relación con ISO/IEC 27001
• Recordemos el modelo PDCA utilizado para el ISMS especificado en ISO/IEC 27001. Partes Interesadas
Planear
Hacer Implementar
Mantener y mejorar el Actuar ISMS
y operar el ISMS
Requerimientos y expectativas de la seguridad de la información
Partes Interesadas
Establecer el ISMS
Monitorear y revisar el ISMS
Verificar
Seguridad de la Información Gestionada
Relación con ISO/IEC 27001 • La Tabla 1 del estándar muestra la alineación entre el proceso de ISMS y el de Gestión de Riesgos. Proceso ISMS Planear
Hacer
Verificar Actuar
Proceso de Gestión de Riesgos de Seguridad de la Información Establecer el contexto Análisis y evaluación de riesgos Desarrollar el plan de tratamiento de riesgos Aceptación de riesgos Implementación del plan de tratamiento de riesgos
Monitoreo y revisión continuo de riesgos Mantener y mejorar el Proceso de Gestión de Riesgos de Seguridad de la Información
Relación con BS 7799-3 • BS 7799-3 fue publicado en 2006.
• Ambos estándares proveen lineamientos para la Gestión de Riesgos de Seguridad de la Información y ambos soportan los requerimientos del estándar ISO/IEC 27001:2005. • BS 7799-3 no se transforma en ISO/IEC 27005:2008. Ambos estándares siguen vigentes • ISO/IEC 27005:2008 reemplaza ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000, reportes técnicos que formaban parte del ISO/IEC 13335 para la Gestión de Riesgos de Seguridad de TI.
Relación con BS 7799-3 ANÁLISIS Y EVALUACIÓN DE RIESGOS ANÁLISIS DE RIESGOS
IDENTIFICACIÓN DE RIESGOS ESTIMACIÓN DE RIESGOS EVALUACIÓN DE RIESGOS PUNTO DE DECISIÓN DE RIESGOS 1
Satisfacción del Análisis y Evaluación
No Si
TRATAMIENTO DE RIESGOS No PUNTO DE DECISIÓN DE RIESGOS 2 Satisfacción del Tratamiento Si
ACEPTACIÓN DE RIESGOS FIN DE PRIMERA O SUBSECUENTES ITERACIONES
MONITOREO Y REVISIÓN DE RIESGOS
Proceso ISO/IEC 27005
COMUNICACIÓN DE RIESGOS
ESTABLECIMIENTO DEL CONTEXTO
Relación con BS 7799-3 Cláusula 5- Análisis y evaluación de riesgo Analizar y evaluar los riesgos
Seleccionar, implementar y operar controles para tratar los riesgos Cláusula 6- Tratamiento de riesgos y toma de decisiones
Cláusula 7- Actividades continuas de gestión de riesgos Mantener y mejorar los controles de riesgo
Monitorear y revisar los riesgos Cláusula 7- Actividades continuas de gestión de riesgos
Proceso BS 7799-3
Ejercicio 3 Proceso general del ISO/IEC 27005 y su relación con ISO/IEC 27001
Actividades de Gestión de Riesgos de Seguridad de la Información
Actividades • Cada una de las 6 actividades del proceso de Gestión de Riesgos se encuentra definida en las cláusulas 7-12 del estándar. ▫ ▫ ▫ ▫ ▫ ▫
Cláusula 7. Establecimiento del contexto. Cláusula 8. Análisis y evaluación de riesgos Cláusula 9. Tratamiento de riesgos Cláusula 10. Aceptación de riesgos Cláusula 11. Comunicación de riesgos Cláusula 12. Monitoreo y revisión de riesgos
Actividades • En cada actividad se describen los siguientes elementos: Guía de implementación
Entrada
Acción
Salida
• Información adicional y ejemplos se presentan en los anexos informativos A-F.
Actividades de Gestión de Riesgos de Seguridad de la Información Cláusula 7. Establecimiento del contexto
Establecimiento del contexto
Información relevante de la organización
ESTABLECIMIENTO DEL CONTEXTO
Establecimiento del contexto
Criterios básicos Alcance y limites Organización
Establecimiento del contexto • Para establecer el contexto debe conocerse la información relevante de la organización, el propósito de la implementación del estándar y las limitantes o restricciones. • El Anexo A proporciona información y ejemplos al respecto
ESTABLECIMIENTO DEL CONTEXTO
Establecimiento del contexto • Durante esta actividad debe:
▫ Establecerse los criterios básicos para la gestión de los riesgos de seguridad de la información. ▫ Definirse el alcance y los límites ▫ Establecerse la organización para operar la gestión de los riesgos de seguridad de la información. ▫ Si se esta utilizando este estándar como apoyo para la implementación de ISO/IEC 27001, el contexto de la gestión de riesgos deberá estar alineado con los requerimientos establecidos en el punto 4.2.1 del ISMS, incluyendo los alcances y límites del ISM, la política del ISMS y el enfoque del análisis de riesgos.
ESTABLECIMIENTO DEL CONTEXTO
Criterios Básicos • Debe establecerse el enfoque de gestión de riesgos más apropiado. Dentro de este enfoque deben definirse criterios básicos como: ▫ Criterios de evaluación de riesgos ▫ Criterios de impacto ▫ Criterios de aceptación de riesgos ESTABLECIMIENTO DEL CONTEXTO
Criterios de evaluación de riesgos
Expectativas y percepciones y daño reputación.
Confidencialidad, integridad y disponibilidad
Leyes, regulaciones, y contratos
Criticidad de activos de información
Valor estratégico del proceso de negocio
• ¿Cómo se determinará la prioridad de los riesgos? • Bajo estos criterios se evaluarán los riesgos y se establecerán prioridades. • Posteriormente servirá para establecer prioridades de tratamiento.
Criterios de evaluación de riesgos ESTABLECIMIENTO DEL CONTEXTO
Criterios de evaluación de riesgos • Ejemplos
▫ Los riesgos se priorizarán utilizando una escala de “Alto”, “Medio” y “Bajo”. ▫ Los riesgos relacionados con el cumplimiento de la ley deberán tener prioridad. ▫ Los riesgos del proceso A tomaran prioridad sobre los riesgos del proceso B. ▫ Los riesgos de confidencialidad no aplican para el proceso C. ▫ De todos los riesgos identificados como “altos” tiene prioridad los que afectan la disponibilidad. ▫ Los riesgos “medios” y “altos” que afecten el activo X deberán tener prioridad sobre los demás activos. ▫ Los riesgos que pudieran tener un impacto mayor al x% del ingreso anual tendrán prioridad.
ESTABLECIMIENTO DEL CONTEXTO
Criterios de impacto
ESTABLECIMIENTO DEL CONTEXTO
Criterios de impacto
Interrupción a los planes y fas límite
Violaciones a leyes, regulaciones o contratos
Pérdida de negocio y valor financiero
Operaciones afectadas (internas o a terceros)
Violaciones a la seguridad (C, I, D)
Clasificación del activo impactado
• ¿Qué impactos se tomarán en cuenta y cómo se evaluarán? • Estos criterios ayudarán a determinar los impactos de los escenarios de incidentes y deben describirse en términos del posible daño o costos a la organización. • Pueden expresarse en términos monetarios, técnicos, humanos, etc.
Criterios de Impacto • Ejemplos ▫ Se considerarán los impactos de acuerdo al valor de pérdida de los activos. ▫ Se considera el impacto por pérdida de confidencialidad, integridad y disponibilidad de los activos. ▫ Se considerará una escala de “Bajo”, “Medio” y “Alto” para evaluar el impacto. ▫ El impacto a la reputación de la organización se considerará como el más significativo. ▫ Si el impacto financiero es igual o menor al X1% del ingreso anual, se considerará un impacto “No significativo”, entre X1% y X2% se considerará “Significativo”, mayor a X3% se considerará “Inaceptable”. ESTABLECIMIENTO DEL CONTEXTO
Criterios de aceptación de riesgos
ESTABLECIMIENTO DEL CONTEXTO
Factores sociales y humanos
Finanzas
Tecnología
Operaciones
Aspectos legales y regulatorios
Criterios del negocio
• ¿A qué nivel son aceptables los riesgos para la empresa? • Estos criterios auxilian en la determinación del nivel al que deberán tratarse los riesgos analizados y evaluados. • Los criterios de aceptación de riesgo deben alcanzarse por medio del plan de tratamiento.
Criterios de impacto
Criterios de aceptación de riesgos • Ejemplos
▫ Los riesgos identificados como “bajos” podrán ser aceptados. Los riesgos “medios” y “altos” no deberán ser aceptados; las excepciones deben ser consideradas, justificadas y formalmente aprobadas por la Alta Dirección. ▫ Los riesgos que puedan representar una pérdida menor al x% de las ganancias pueden ser aceptados. ▫ Los riesgos que pudieran tener impacto negativo respecto al cumplimiento de la ley no deberán ser aceptados. ▫ Los riesgos “altos” sólo podrán ser aceptados si se establece formalmente un compromiso para tratarlos en el corto plazo. ▫ Los riesgos de disponibilidad para los activos críticos del proceso A cuyo impacto exceda los x minutos de interrupción al proceso no podrán ser aceptados.
ESTABLECIMIENTO DEL CONTEXTO
Alcance y límites • Debe definirse el alcance y los límites para asegurar que se cubran todos los activos relevantes. • La gestión de riesgos puede implementarse en toda la organización o partes de ella. Esto depende de los objetivos del negocio, requerimientos, restricciones y recursos (Ver Anexo A de ISO/IEC 27005:2008). • Las exclusiones del alcance deberán justificarse. Si
está utilizándose este estándar como apoyo a la implementación de ISO/IEC 27001, el alcance y límites estarán alineados a aquellos del ISMS
ESTABLECIMIENTO DEL CONTEXTO
Organización • Deberá designarse al personal participante en la gestión de riesgos y sus roles y responsabilidades deben ser claramente establecidos y formalizados. Si está utilizándose este estándar como apoyo a la implementación de ISO/IEC 27001, la organización para las operaciones de gestión de riesgos puede ser considerado como uno de los recursos requeridos en el punto 5.2.1a) del ISMS ESTABLECIMIENTO DEL CONTEXTO
Ejercicio 4 Establecimiento del contexto
Ejercicio 4. Tiempo: 45minutos Ejercicio 4a
Ejercicio 4b
1.
1.
Identifique una organización de su elección. (Ej: un banco, un proveedor de internet.) 2. Considere qué productos o servicios ofrece la organización. 3. Con ayuda del Anexo A, identifique vagamente el propósito de la empresa, su negocio, misión, valores, estructura, organigrama, estrategia y restricciones.
Para la organización del ejercicio 4a, establezca los criterios de evaluación, impacto y aceptación. 2. Redacte el alcance y los limites. 3. Establezca la organización (con los roles y responsabilidades) para la gestión de riesgos de seguridad de la información en la empresa.
EJEMPLO- Ejercicio 4 Criterios de evaluación de riesgos La evaluación de riesgos se hará considerando umbrales de riesgo y se clasifican los riesgos en Alto, Medio, o Bajo.
UMBRELES DE RIESGO ALTO
MEDIO BAJO Buena práctica
EJEMPLO- Ejercicio 4 Criterios de impacto
• Considerar el impacto a la información en términos de confidencialidad, integridad y disponibilidad, así como los impactos al negocio.
• En esta fase de gestión de riesgos se identificaran impactos considerando el nivel de sensibilidad de los activos. • En este caso, sensibilidad = impacto. Buena práctica
EJEMPLO- Ejercicio 4 Criterios de aceptación • Se podrán aceptar los riesgos de nivel “Bajo”. • Si se desea aceptar un riesgo en nivel “Medio” o “Alto”, deberá: ▫ Existir la debida aprobación de la Gerencia. ▫ Contar con un registro de la justificación.
EJEMPLO- Ejercicio 4 Alcances y límites • Alcance: “Los procesos críticos del negocio incluyendo: X, Y, Z y Cuentas por cobrar”. • Límites: “No se incluirá en el alcance los activos administrados por Tercero, Inc.”
EJEMPLO- Ejercicio 4 Organización Administrador de riesgos
Comité de riesgos Responsable Identificación de riesgos
Responsable Cálculo de riesgos
Responsable Tratamiento de riesgos
Responsable Monitoreo de riesgos
Actividades de Gestión de Riesgos de Seguridad de la Información Cláusula 8. Análisis y evaluación de riesgos
Análisis y evaluación de riesgos Criterios básicos Alcance y limites Organización
ANÁLISIS Y EVALUACIÓN DE RIESGOS
Identificar, estimar y priorizar los riesgos
Lista de riesgos analizados y priorizados de acuerdo a los criterios de evaluación
Análisis y evaluación de riesgos • El análisis y evaluación de riesgos (Risk assessment) describe cuantitativamente o cualitativamente los riesgos. • Esto facilita la gestión de la seguridad de la información, incluyendo la implementación efectiva de controles y la toma de decisiones.
• Cada organización debe definir su propio enfoque para ésta actividad. ANÁLISIS Y EVALUACIÓN DE RIESGOS
Análisis y evaluación de riesgos Consiste en las siguientes actividades: • Análisis de riesgos ▫ Identificación de riesgos ▫ Estimación de riesgos
• Evaluación de riesgos
ANÁLISIS Y EVALUACIÓN DE RIESGOS
Identificación de riesgos • Durante la identificación de riesgos se colecta informacion con el objetivo de identificar posibles escenarios que puedan causar un impacto negativos en la organización.
• Para hacer esto se debe identificar: ▫ ▫ ▫ ▫ ▫
Activos (8.2.1.2) Amenazas (8.2.1.3) Controles existentes (8.2.1.4) Vulnerabilidades (8.2.1.5) Consecuencias/impactos (8.2.1.6)
• La forma de realizarlo depende del enfoque del análisis de riesgos ANÁLISIS Y EVALUACIÓN DE RIESGOS ANÁLISIS DE RIESGOS
IDENTIFICACIÓN DE RIESGOS
Identificación de activos • La identificación de activos de información de la organización debe realizarse a un nivel de detalle apropiado. • Debe también identificarse los dueños de los activos y los procesos de negocio a los que pertenecen.
• El estándar distingue siguiente clasificación activos: Activos Activos primarios Procesos y actividades de negocio Información Activos de soporte
• Puede encontrarse más información y ejemplos en el Anexo B.1 del estándar ISO/IEC 27005:2008
Hardware Software Red
Personal Sitio Estructura organizacional
las de
Identificación de activos Identificar proceso.
Identificar actividades involucradas en el proceso
Buena práctica
Identificar activos involucrados en la ejecución de las actividades
Identificación de activos Proceso: Nómina Actividades: Calcular nómina, aplicar descuentos, aplicar bonos, imprimir cheques, etc.
Buena práctica
Activos (imprimir cheques): Tesorero, información de pagos, cheques, PC Tesorero, Excel, impresora, cheques impresos.
Mapa de procesos para riesgos Mail
Inf. Facturación
PC Facturación
Mail Teléfono
PC C Y C
Factura
Mensajería
Personal C y C
Facturas Impresa
Impresora
Factura s
Sistema Contable
Cliente Sistema Contable PC Tesorería
Hojas de Facturación
Cliente Sistema Contable
Personal Facturación
Hoja de Facturación
PC Contabilidad
Modem Cliente Sistema Banco PC Tesorería
Gerente de contabilidad
Sistema Banco Impresora Estado de cuenta
Clientes
Mapa de procesos para riesgos Simbología
Actividad
Entidad
Aplicación Plataforma
Buena práctica
Red 1 Dispositivo de comunicaciones
Base de Datos
Proceso
Documento Físico
Elemento Físico
Sistema
Información (Archivo)
Externo al proceso
Identificación de activos Tesorero
ENTIDAD Buena práctica
Identificación de activos Cheques impresos
Tesorero
Imprimir cheques
INICIO/ ORIGEN DE ACTIVIDAD Buena práctica
ACTIVIDAD
FIN/DESTINO DE ACTIVIDAD
Identificación de activos
Tesorero
Inf. de pagos
Cheques
Excel PC Tesorero
Imprimir cheques
Buena práctica
ACTIVOS INVOLUCRADOS
Impresora
Cheques impresos
Identificación de activos Tesorero
Buena práctica
INVENTARIO DE ACTIVOS
Inf. de pagos
Activo
Tipo
Tesorero
Gerente
Cheques
Información de pagos (pagos.xls)
Información
Cheques
Información
PC Tesorero
PC Tesorero
Infraestructura
Excel
Excel
Aplicaciones
Impresora
Impresora
Infraestructura
Cheques impresos
Información
Cheques impresos
Identificación de activos • Aplicaciones: Los sistemas automatizados para los usuarios o procedimientos manuales que permiten procesar información • Información: Los datos de entrada, procesados y terminados por los sistemas de información en cualquier forma.
Buena práctica
• Infraestructura: La tecnología y las instalaciones (por ejemplo: hardware, sistemas operativos, sistemas de administración de bases de datos, redes multimedia, etc., y el ambiente que lo resguarda y los soporta) que permite el procesamiento de información por las aplicaciones. • Gerente: El personal requerido para planear , organizar , adquirir, implantar, entregar , soportar, monitorear y evaluar los sistemas de información y servicios. Estos pueden ser internos o contratados.
Identificación de vulnerabilidades • Recordemos que la mera presencia de una vulnerabilidad no es dañina, necesita existir una amenaza que la explote. • Deben identificarse tanto las vulnerabilidades intrínsecas como extrínsecas al activo. Es decir, pueden ser propias del activo o por otras situaciones como la falta o falla de un control o el uso inapropiado del activo. • Ejemplos: Susceptibilidad a la humedad, falta de copias de respaldos, uso inadecuado de controles físicos de acceso,… • Puede encontrarse más información y ejemplos en el Anexo D del estándar.
Identificación de vulnerabilidades • Ejemplos de vulnerabilidades V= Se encuentra en un área que se puede inundar. V= Inflamable A=Facturas
V=No se encuentran concentrados en un mismo lugar.
V= Almacenamiento desprotegido. Buena práctica
V= Consumible V=Puede sufrir daños físicos
Identificación de controles existentes • Deben identificarse los controles existentes o planeados, y además verificar su efectividad. • Para esto pueden revisar se los planes de tratamiento previos, la documentación de controles y los reportes de auditorias internas, además de preguntar a los encargados de seguridad de la información y usuarios y hacer revisiones en sitio para verificar la documentación.
Identificación de amenazas • La información sobre amenazas puede obtenerse de los incidentes pasados, dueños de activos, usuarios y otras fuentes incluyendo especialistas de seguridad, autoridades, catálogos de amenazas externas, estadísticas, etc. • Las amenazas pueden ser deliberadas, accidentales o ambientales(naturales). Ej.: Robo de información, falla de equipo, sismo, etc. • Debe también identificarse el tipo y fuente de la amenaza. • Para cubrir todas las amenazas y mantener limitado el volumen de trabajo requerido, el estándar señala que las amenazas deben identificarse genéricamente y por tipo y después, cuando sea apropiado, identificar amenazas individuales dentro de la clase genérica. • Puede encontrarse más información y ejemplos en el Anexo C del estándar ISO/IEC 27005:2005.
Identificación de amenazas • Agente de Amenaza- Una entidad puede actuar o causar que un evento de amenaza ocurra al explotar una o más vulnerabilidades en un sistema. • Evento de Amenaza- Un evento cuya ocurrencia causará daño a un sistema mediante su divulgación, modificación , destrucción y/o negación de servicio. Buena práctica
Identificación de amenazas V= Se encuentra en un área que se puede inundar. V= Inflamable A=Facturas
E=Incendio
E=Pérdida
V= Almacenamiento desprotegido.
E=Robo
E=Uso
V=Puede sufrir daños físicos
A= Agua
A= Fuego
V=No se encuentran concentrados en un mismo lugar.
V= Consumible
Buena práctica
E=Inundación
A= Empleado A= Empleado A= Visitantes
A= Personal E=Daño
A= Personal A= Impresora
Identificación de consecuencias • Esta actividad identifica los daños o consecuencias a la organización causados por un escenario de incidente, tomando en cuenta las consecuencias que pueda traer al activo la pérdida de confidencialidad, integridad y disponibilidad. • El impacto de los escenarios de incidente debe ser consistente con los criterios de impacto definidos.
• Un impacto puede tener efectos inmediatos (operacionales) o futuros (del negocio). • Ejemplos: perdida de efectividad, condiciones operativas adversas, pérdida del negocio, daño a la reputación, etc. • Puede encontrarse más información y ejemplos en el Anexo B.3 del estándar.
Identificación de impactos • Identificar impactos considerando el nivel de sensibilidad de los activos y las vulnerabilidades identificadas. • Considerar el impacto a la información en términos de pérdida de confidencialidad, integridad y disponibilidad, así como los impactos al negocio. Buena práctica
Ejercicio 5 Identificación de riesgos
Proceso:___________________ Actividades: _________________________ _________________________ Activo
Clasificación
Servidores
Hardware
Internet
Network
Ejercicio 5a. Identificación de activos
1. Identifique los procesos de negocio dentro del alcance definido en el Ejercicio 4b. 2. Seleccione uno de los procesos e identifique sus actividades. 3. Identifique los activos del proceso elegido y lístelos junto con su clasificación. Apóyese del Anexo B.1.
Ejercicio 5b. Identificación de amenazas
Activo: Servidores Fuentes (Agente) T1
T2
T3 T4 T5
Personas
Agua
Amenazas (Evento)
Tipo
Falla en el A, D equipo de telecomunicaci ones Inundación
E, A
1. Seleccione uno de los activos e identifique amenazas que le puedan dañar. Apóyese del Anexo C. 2. Liste las amenazas junto con su tipo y fuente.
Ejercicio 5c. Identificación de vulnerabilidades Activo:
Servidores
Vulnerabilidades Puntos únicos de falla en la Red Ubicación en áreas susceptibles de inundación
1. Identifique las vulnerabilidades que Pueden ser puedan ser explotadas explotadas por por las amenazas T1 identificadas y causar daño al activo. T2 Apóyense del Anexo D. T3 T4 T5
2. Liste las vulnerabilidades en relación al activo y amenazas previamente identificados.
Ejercicio 5d. Identificación de consecuencias 1. Identifique las consecuencias que la pérdida de Escenarios Consecuencias confidencialidad, integridad Amenaza Vulnerabilidad y disponibilidad pudieran tener en los activos. Falla Puntos únicos de Interrupción del Apóyese del Anexo B.3. equipo falla Servicio
Activo:
S1
Servidores
telecomunicaciones S2
S3 S4
Inundación
Ubicación en áreas inundables
Interrupción de servicio, daño al activo
2. Liste las consecuencias junto a los escenarios de incidentes, en relación al activo y proceso de negocio seleccionados en los ejercicios anteriores.
EJEMPLO-Ejercicio 5 Identificación de activos Área de negocio
Proceso
Área de negocio 01
Proceso 01
SISTEMA X
5 -Aplicaciones
Área de negocio 09
Proceso 28
RED
2 –Red/ Telecomunicaciones
Cuentas por cobrar
Facturación
FACTURAS
4 – Información/ Datos/ Documentos
Buena práctica
Activo
Capa
EJEMPLO-Ejercicio 5 Identificación de vulnerabilidades Proceso Proceso 01
SISTEMA X
Proceso 28
RED
Facturación
FACTURAS
Buena práctica
Vulnerabilidades
Activo
…
V1-EXPOSICIÓN A VIRUS Y CÓDIGO MALICIOSO V57-SUSCEPTIBILIDAD A FALLAS V10-ALMACENAMIENTO DESPROTEGIDO
EJEMPLO-Ejercicio 5 Identificación de amenazas Proceso
Activo
Proceso 01
SISTEMA X
Proceso 28
RED
Facturación
FACTURAS Agentes de amenaza
Buena práctica
Eventos de amenaza
A1- VIRUS INFORMÁTICO
E1- INFECCIÓN POR VIRUS INFORMÁTICO
A53- DISPERSORES DE AGUA
E34- FALLA EN COMPONENTE DE TECNOLOGÍA
A3- VISITANTES
E14- ROBO
EJEMPLO-Ejercicio 5 Identificación de impactos Proceso
Activo
Proceso 01
SISTEMA X
Proceso 28
RED
Facturación FACTURAS
Buena práctica
Descripción de posibles impactos al negocio
…
Descripción de posibles impactos al negocio
Descripción de posibles impactos al negocio Pérdidas económicas, pérdidas de control
Estimación de riesgos • En esta etapa se asigna un valor a los riesgos. • Recordemos que un riesgo se mide en términos de la probabilidad de un evento (8.2.2.3) y sus consecuencias (8.2.2.2). • Para cada riesgo: ▫ ¿Qué tan probable es que la amenaza explote la vulnerabilidad del activo? ▫ ¿Qué consecuencias tendrá hacia el negocio la ocurrencia de un escenario? ANÁLISIS Y EVALUACIÓN DE RIESGOS ANÁLISIS DE RIESGOS
ESTIMACIÓN DE RIESGOS
Estimación de riesgos • La metodología para la estimación depende del enfoque del análisis de riesgos y debe estar relacionado directamente con las circunstancias de la organización, así como el propósito del análisis de riesgos. • La evaluación de la probabilidad y consecuencias del riesgo pueden ser cuantitativo o cualitativo (o ambas). • Información útil y ejemplos se presentan en el anexo E. ANÁLISIS Y EVALUACIÓN DE RIESGOS ANÁLISIS DE RIESGOS
ESTIMACIÓN DE RIESGOS
Evaluación de consecuencias • La evaluación de consecuencias está relacionada con la valuación de los activos y la evaluación del impacto.
• La valuación de los activos puede determinarse utilizando dos medidas: ▫ Valor de reemplazo del activo ▫ Consecuencias al negocio por la pérdida o comprometimiento de un activo. Ésta valuación puede obtenerse por medio de un Análisis de Impacto al Negocio (BIA) • Por otro lado, el impacto está relacionado con el grado de éxito de un incidente. Los controles que se implementan reducirán significativamente el impacto.
• Puede encontrarse más información y ejemplos en el Anexo B.3 del estándar.
Evaluación de probabilidad • Debe evaluarse la probabilidad de que ocurra cada escenario de incidente e impacto • Debe tomarse en cuenta qué tan comúnmente ocurren la amenazas y que tan fácil es explotar las vulnerabilidades. • Por ejemplo: la probabilidad de infección por código malicioso puede ser Alta según las estadísticas; pero si existen controles como software antivirus actualizados, la facilidad de explotación será Baja
Estimación de niveles de riesgo • El nivel de riesgo es una combinación de la probabilidad del escenario de incidente y sus consecuencias.
• Pueden utilizarse diferentes métodos o enfoques para realizar esto. A continuación se muestran las tablas ejemplo incluidas en el estándar.
Estimación de niveles de riesgo • Tabla E.1 a) del estándar ISO/IEC 27005:2008 Valor de Amenaza
Valor del activo
Bajo
Medio
Alto
Facilidad de explotación
L
M
H
L
M
H
L
M
H
0
0
1
2
1
2
3
2
3
4
1
1
2
3
2
3
4
3
4
5
2
2
3
4
3
4
5
4
5
6
3
3
4
5
4
5
6
5
6
7
4
4
5
6
5
6
7
6
7
8
Estimación de niveles de riesgo • Tabla E.1 b) del estándar ISO/IEC 27005:2008
Impacto al Negocio
Probabilidad del escenario de incidencia
Muy Bajo (Muy improbable)
Bajo (Improbable)
Medio (Posible)
Alto (Probable)
Muy Alto (Frecuente)
Muy Bajo
0
1
2
3
4
Bajo
1
2
3
4
5
Medio
2
3
4
5
6
Alto
3
4
5
6
7
Muy Alto
4
5
6
7
8
Activos La sensibilidad de los activos se obtiene en términos de pérdida de su: • Confidencialidad • Integridad • Disponibilidad Buena práctica
Sensibilidad • Se utiliza la siguiente tabla para evaluar la sensibilidad: Valor
Descripción
1
La brecha puede resultar en poca o nula pérdida o daño
2
La brecha puede resultar en una pérdida o daño menor.
3
La brecha puede resultar en una pérdida o daño serio, y los procesos del negocio pueden verse afectados negativamente.
4
La brecha puede resultar en una pérdida o daño serio, y los procesos del negocio pueden fallar o interrumpirse.
5
La brecha puede resultar en altas pérdidas de dinero, o en un daño critico a un individuo o al bienestar, reputación, privacidad y/o competitividad de la empresa. Los procesos del negocio fallarán.
Buena práctica
Rango (suma de valores por pérdida de confidencialidad, integridad y disponibilidad)
Valor
3-5
Bajo (1)
6-10
Medio (2)
11-15
Alto (3)
Vulnerabilidades Valor
Severidad
Exposición
1
Severidad Menor: Se requiere una cantidad significativa de recursos para explotar la vulnerabilidad y tiene poco potencial de pérdida o daño en el activo.
Exposición Menor: Los efectos de la vulnerabilidad son mínimos. No incrementa la probabilidad de que vulnerabilidades adicionales sean explotadas.
2
Severidad Moderada: Se requiere una cantidad significativa de recursos para explotar la vulnerabilidad y tiene un potencial significativo de pérdida o daño en el activo; o se requieren pocos recursos para explotar la vulnerabilidad y tiene un potencial moderado de pérdida o daño en el activo.
Exposición Moderada: La vulnerabilidad puede afectar a más de un elemento o componente del sistema. La explotación de la vulnerabilidad aumenta la probabilidad de explotar vulnerabilidades adicionales.
3
Severidad Alta: Se requieren pocos recursos para explotar las vulnerabilidades y tienen un potencial significativo de pérdida o daño en el activo
Exposición Alta: La vulnerabilidad afecta a la mayoría de los componentes del sistema. La explotación de la vulnerabilidad aumenta significativamente la probabilidad de explotar vulnerabilidades adicionales.
Buena práctica
Vulnerabilidades Severidad
Exposición 1
2
3
1
1
2
3
2
2
3
4
3
3
4
5
Amenazas Valor
Capacidad
Motivación
1
Poca o nula capacidad de realizar el ataque
Poca o nula motivación. No se está inclinado a actuar.
2
Capacidad moderada. Se tiene el Nivel moderado de conocimiento y habilidades para realizar motivación. Se actuará si el ataque, pero pocos recursos. O, tiene se le pide o provoca. suficientes recursos, pero conocimiento y habilidades limitadas.
3
Altamente capaz. Se tienen los conocimientos, habilidades y recursos necesarios para realizar un ataque
Altamente motivado. Casi seguro que intentará el ataque.
Capacidad
Buena práctica
Motivación 1
2
3
1
1
2
3
2
2
3
4
3
3
4
5
Probabilidad • Se evalúa la probabilidad de que ocurra el escenario de amenaza; es decir, la probabilidad de que el agente de amenaza, a través de un evento de amenaza explote la vulnerabilidad. Dicha evaluación se realiza mediante la siguiente tabla. Marcador Descripción
Buena práctica
1
Baja, no hay historial y es raro que el escenario de amenaza ocurra.
2
Media, se han presentado casos y puede ocurrir el escenario de amenaza.
3
Alta, se han presentado suficientes casos y el escenario de amenaza seguramente ocurrirá.
Estimación del nivel de riesgos Riesgo = Vulnerabilidad x Amenaza x Probabilidad x Impacto
Buena práctica
5
5
3
15
= 1125
1
1
1
3
=3
Ejercicio 6 Estimación de riesgos
Ejemplo-Ejercicio 6 Sensibilidad de activos Proceso
Activo
Proceso 01
SISTEMA X
Proceso 28
RED
Facturación
FACTURAS Sensibilidad de los activos
Confidencialidad
Integridad
Disponibilidad
Total1
Valor1
Valor2
5
3
3
11
Alto
3
4
3
4
11
Alto
3
4
5
4
13
Alto
3
Buena práctica
Ejemplo-Ejercicio 6 Análisis de vulnerabilidades Proceso
Activo
Proceso 01
SISTEMA X
Proceso 28
RED
Facturación
FACTURAS
…
Análisis de vulnerabilidades Vulnerabilidades
Buena práctica
Severidad
Exposición
Valor3
V1- EXPOSICIÓN A VIRUS Y CÓDIGO MALICIOSO
3
3
5
V57- SUSCEPTIBILIDAD A FALLAS
2
3
4
V10-ALMACENAMIENTO DESPROTEGIDO
2
3
4
Ejemplo-Ejercicio 6 Análisis de amenazas Proceso
Activo
Proceso 01
SISTEMA X
Proceso 28
RED
Facturación
FACTURAS
… Análisis de amenazas
Buena práctica
Agentes de amenazas
Eventos de amenaza
Capacidad
Motivación Valor
A1- VIRUS INFORMÁTICO
E1- INFECCIÓN POR VIRUS INFORMÁTICO
3
3
5
A53DISPERSORES DE AGUA
E34- FALLA EN COMPONENTE DE TECNOLOGÍA
2
1
2
A3- VISITANTES
E14- ROBO
3
3
4
Ejemplo-Ejercicio 6 Estimación de nivel de riesgos Proceso
Activo
Proceso 01
SISTEMA X
Proceso 28
RED
Facturación
FACTURAS
…
Riesgo = Vulnerabilidad x Amenaza x Probabilidad x Impacto
Buena práctica
Amenaza
Vulnerabilidad
Probabilidad
Impacto
Riesgo Total
5
5
3
11
825
2
4
1
11
88
4
4
3
13
624
Evaluación de riesgos • Durante esta etapa se comparan los riesgos estimados con los criterios de evaluación de riesgos.
• Así, se obtiene una lista de riesgos priorizados de acuerdo a los criterios de evaluación en relación a los escenarios de incidentes que llevan a estos riesgos. ANÁLISIS Y EVALUACIÓN DE RIESGOS EVALUACIÓN DE RIESGOS
Evaluación de riesgos De acuerdo con el criterio de evaluación de riesgos establecido, se priorizan los riesgos. En este ejemplo se utilizan umbrales, y se clasifican los riesgos en Alto, Medio o Bajo.
Buena práctica
UMBRALES DE RIESGO
LIMITE INFERIOR
Límite SUPERIOR
ALTO
751
1125
MEDIO
376
750
BAJO
1
375
Ejercicio 7 Evaluación de riesgos
Ejemplo-Ejercicios 7 Evaluación de riesgos Activo
Vulnerabilidades
Proceso 01
SISTEMA X
V1- EXPOSICIÓN A VIRUS Y CÓDIGO MALICIOSO
Proceso 28
RED
Facturación
FACTURAS
Proceso
…
V57- SUSCEPTIBILIDAD A FALLAS
Agentes de amenazas
Eventos de amenaza
A1- VIRUS INFORMÁTICO
E1- INFECCIÓN POR VIRUS INFORMÁTICO
A53- DISPERSORES DE AGUA
E34- FALLA EN COMPONENTE DE TECNOLOGÍA
A3- VISITANTES
E14- ROBO
…
Riesgo = Vulnerabilidad x Amenaza x Probabilidad x Impacto Amenaza
Vulnerabilidad
Probabilidad
Impacto
Riesgo Total
5
5
3
11
825
2
4
1
11
88
4
4
3
13
624
Buena práctica
…
V10-ALMACENAMIENTO DESPROTEGIDO
NIVEL
BAJO
MEDIO
ALTO BAJO MEDIO
ALTO .
. .
Ejercicio 7. Tiempo:15 minutos 1. Compare los niveles de riesgo obtenidos en el Ejercicio 6 con los criterios de evaluación de riesgos y cualquier otra información sobre la organización que sea pertinente. 2. Liste los riesgos en orden de prioridad y justifique su decisión.
Prioridad
Escenario
1
S4
2
S1
3 4 5
Justificación
Actividades de Gestión de Riesgos de Seguridad de la Información Clausula 9. Tratamiento de riesgos
Tratamiento de Riesgos Lista de riesgos analizados y priorizados de acuerdo a los criterios de evaluación
TRATAMIENTO DE RIESGOS
Seleccionar controles y definir un plan de tratamiento
Plan de tratamiento de riesgos y riesgos residuales sujetos a aceptación
Tratamiento de Riesgos • Una vez concluido el Análisis y Evaluación de Riesgos, la siguiente actividad es el Tratamiento de Riesgos. • Existen cuatro opciones de tratamiento de riesgos: ▫ ▫ ▫ ▫
Reducir Aceptar Evitar Transferir
• Estas opciones no son mutuamente excluyentes. TRATAMIENTO DE RIESGOS
Tratamiento de Riesgos RESULTADOS ANÁLISIS Y EVAL. DE RIESGOS
ANÁLISIS Y EVAL. SATISFACCTORIOS
Punto de decisión de riesgos 1 TRATAMIENTO DE RIESGOS
OPCIONES DE TRATAMIENTO DE RIESGOS REDUCCIÓN DEL RIESGO
ACEPTACIÓN DEL RIESGO
EVASIÓN DEL RIESGO
TRANSFERENCIA DEL RIESGO
RIESGOS RESIDUALES
Punto de decisión de riesgos 2 TRATAMIENTO SATISFACTORIO
TRATAMIENTO DE RIESGOS
Opciones de tratamiento • Reducción- Se reduce el riesgo por medio de la selección de controles para que el riesgo residual sea reevaluado como aceptable.
• Aceptación- Se retiene el riesgo si el nivel de riesgo alcanza el criterio de aceptación de riesgos y no necesitan implementarse controles adicionales. • Evasión-Se evitan los riesgos cuando los riesgos identificados se consideran demasiado altos, o los costos de implementar otra opción de tratamiento excede los beneficios. Entonces, se suprime la actividad planeada o existente o se cambian las conductas bajo las que opera la actividad.
• Transferencia- Se transfieren los riesgos cuando se toma la decisión de compartirlos con terceras partes.
Tratamiento de riesgos • Las opciones de tratamiento de riesgo deben seleccionarse tomando en consideración: ▫ Los resultados del análisis y evaluación de riesgos ▫ El costo esperado de la implementación ▫ Los beneficios esperados
• Debe considerarse cómo perciben los riesgos las partes afectadas y la mejor forma de comunicárselos, además de las restricciones identificados en el establecimiento del contexto y las restricciones de reducción (Ver anexo F). TRATAMIENTO DE RIESGOS
Tratamiento de riesgos • Una vez definido el tratamiento de riesgos, se deben determinar los riesgos residuales. • Esto se logra actualizando o haciendo otra iteración del análisis y evaluación de riesgos considerando los controles propuestos. • Si los riesgos residuales no alcanzan los criterios de aceptación establecidos, se requiere redefinir el tratamiento de riesgos. TRATAMIENTO DE RIESGOS
Ejercicio 8 Tratamiento de riesgos
Ejercicio 8. Tiempo: 20 minutos 1. Con la lista de riesgos priorizados obtenida en el ejercicio 7 y los criterios previamente establecidos, selecciones las opciones de tratamiento de riesgos apropiadas para cada riesgo.
2. Presente sus resultados al grupo justificando las opciones seleccionadas.
Prioridad
Escenario
Opción de tratamiento de riesgos
1
Falla en telecomunicaciones por punto único de falla
Evitar
2
Interrupción Reducir de energía por fluctuación voltaje
3 4
EJEMPLO-Ejercicios 8 Tratamiento de riesgos Activo
Vulnerabilidades
Proceso 01
SISTEMA X
V1- EXPOSICIÓN A VIRUS Y CÓDIGO MALICIOSO
Proceso 28
RED
Facturación
FACTURAS
Proceso
…
V57- SUSCEPTIBILIDAD A FALLAS
…
V10-ALMACENAMIENTO DESPROTEGIDO
Agentes de amenazas
Eventos de amenaza
A1- VIRUS INFORMÁTICO
E1- INFECCIÓN POR VIRUS INFORMÁTICO
A53- DISPERSORES DE AGUA
E34- FALLA EN COMPONENTE DE TECNOLOGÍA
A3- VISITANTES
E14- ROBO
…
Riesgo = Vulnerabilidad x Amenaza x Probabilidad x Impacto Amenaza
Vulnerabilidad
Probabilidad
Impacto
Riesgo Total
NIVEL
5
5
3
11
825
ALTO
2
4
1
11
88
BAJO
4
4
3
13
624
MEDIO
Buena práctica
BAJO
MEDIO
. . .
Tratamiento de riesgos
…
ALTO
REDUCIR ACEPTAR REDUCIR
EJEMPLO-Ejercicios 8 Riesgo residual Descripción del control
Severidad Exposición
Valor
Control
3
1
3
Control
2
3
4
Resguardo bajo llave
2
1
2
…
Riesgo = Vulnerabilidad x Amenaza x Probabilidad x Impacto Amenaza
Vulnerabilidad
Probabilidad
Impacto
Riesgo Total
NIVEL
BAJO
5
3
1
11
155
ALTO
.
2
4
1
11
88
BAJO
.
4
2
1
13
104
MEDIO
.
Buena práctica
MEDIO
Tratamiento de riesgos
…
ACEPTAR ACEPTAR ACEPTAR
ALTO
EJEMPLO-Ejercicios 8 Riesgo residual Proceso
Activo
Vulnerabilidades
Proceso 01
SISTEMA X
Proceso 28
RED
Facturación
FACTURAS
V1- EXPOSICIÓN A VIRUS Y CÓDIGO MALICIOSO
…
…
V57- SUSCEPTIBILIDAD A FALLAS
V10-ALMACENAMIENTO DESPROTEGIDO
Agentes de amenazas
Eventos de amenaza
A1- VIRUS INFORMÁTIC O
E1- INFECCIÓN POR VIRUS INFORMÁTICO
A53DISPERSORES DE AGUA
E34- FALLA EN COMPONENTE DE TECNOLOGÍA
A3VISITANTES
E14- ROBO
Riesgo = Vulnerabilidad x Amenaza x Probabilidad x Impacto Amenaza
Vulnerabilidad
Probabilidad
…
Riesgo Total
NIVEL
5
5
3
11
825
ALTO
2
4
1
11
88
BAJO
4
4
3
13
624
MEDIO
Severidad
Exposición
Valor
Control
3
1
3
Control
2
3
4
Resguardo bajo llave
2
1
2
Descripción del control
…
Impacto
BAJO
MEDIO
ALTO
Tratamiento de riesgos
.
REDUCIR ACEPTAR
.
REDUCIR
.
Riesgo = Vulnerabilidad x Amenaza x Probabilidad x Impacto Amenaza
Vulnerabilidad
Buena 5 práctica
Probabilidad
Impacto
Tratamiento de riesgos
Riesgo Total
NIVEL
BAJO
3
1
11
155
ALTO
.
2
4
1
11
88
BAJO
.
4
2
1
13
104
MEDIO
.
MEDIO
ALTO
ACEPTAR
…
ACEPTAR ACEPTAR
Actividades de Gestión de Riesgos de Seguridad de la Información Cláusula 10. Aceptación de riesgos
Aceptación de riesgos Plan de tratamiento de riesgos y riesgos residuales sujetos a aceptación.
ACEPTACIÓN DE RIESGOS
Aceptar riesgos y responsabilidad y registrarlo formalmente
Lista de riesgos aceptados y justificación para los que no alcanzaron los criterios de aceptación normales
Aceptación de riesgos • Los responsables deben revisar y aprobar los planes de tratamiento propuestos, así como los riesgos residuales resultantes.
• Si por alguna razón los criterios de aceptación no contemplaron alguna situación, debe revisarse. De no ser posible, debe proveerse una justificación al aceptar los riesgos residuales que no cumplen con los criterios establecidos. ACEPTACIÓN DE RIESGOS
Actividades de Gestión de Riesgos de Seguridad de la Información Cláusula 11. Comunicación de riesgos
Comunicación de riesgos Toda la información obtenida de las actividades de gestión de riesgos
COMUNICACIÓN DE RIESGOS
Intercambiar y/o compartir información sobre riesgos
Entendimiento continuo del proceso y resultados de la gestión de riesgos en la organización
Comunicación de riesgos • Debe existir comunicación continua entre las partes interesadas.
Implementadores Tomadores de decisiones
COMUNICACIÓN DE RIESGOS
Otras partes interesadas
Comunicación de riesgos • Puede formarse un comité con tomadores de decisiones y otras partes interesadas donde puedan discutirse los riesgos, su priorización y tratamiento apropiado y su aceptación. • Deben existir planes de comunicación de riesgos tanto para operaciones normales como para situaciones de emergencia.
• La cooperación con Relaciones Publicas, Departamento de Comunicación, o área similar es importante; en especial en el caso de la comunicación de crisis. Si se está utilizando este estándar como apoyo para la implementación de ISO/IEC 27001, la participación de la Dirección así como los reportes y documentación requerida por el estándar entran dentro de la actividad de comunicación de riesgos.
COMUNICACIÓN DE RIESGOS
Ejercicio 9 Comunicación de riesgos
Ejercicio 9 Tiempo:20 minutos • Con los resultados de los ejercicios pasados, prepare un reporte ejecutivo de Comunicación de Riesgos para la Gerencia. Considere qué información es pertinente incluir y cómo lo presentaría.
Comunicación de riesgos • El método de comunicación debe seleccionado en relación a la audiencia.
ser
• La audiencia debe entender claramente lo que se le está comunicando.
Actividades de Gestión de Riesgos de Seguridad de la Información Cláusula 12. Monitoreo y revisión de riesgos
Monitoreo y revisión de riesgos Toda la información obtenida de las actividades de gestión de riesgos
Toda la información obtenida de las actividades de gestión de riesgos
MONITOREO Y REVISIÓN DE RIESGOS
Monitorear y revisar riesgos y sus factores
Monitorear, revisar y mejorar el proceso de gestión de riesgos
Alineación continua de la gestión de riesgos con los objetivos de negocio y criterios de aceptación
Mantener la relevancia del proceso de gestión respecto a los objetivos del negocio
Monitoreo y revisión de riesgos • Los riesgos y sus factores (activos, amenazas, vulnerabilidades, impactos, probabilidad de ocurrencia) deben monitorearse para detectar cambios. • Todos los riesgos deben revisarse regularmente y cuando ocurran cambios mayores.
MONITOREO Y REVISIÓN DE RIESGOS
Monitoreo y revisión de riesgos • La organización debe asegurarse que el proceso de gestión de riesgos y las actividades relacionadas continúen siendo apropiadas a las circunstancias y que sean llevadas a cabo. • El contexto, criterios, enfoque de riesgos, metodología, recursos, etc. deben incluirse en este monitoreo y revisión; y, de ser necesario, deben modificarse para mantener la relevancia. Si se está utilizando este estándar como apoyo para la implementación de ISO/IEC 27001, el monitoreo y revisión de riesgos se incluye en la cláusula 4.2.3. MONITOREO Y REVISIÓN DE RIESGOS
Preguntas/Pensamientos Finales