Gestion de Riesgos
Páginas: 8 (1852 palabras)
Publicado: 18 de agosto de 2014
Las claves del Éxito
para la Gestión de Riesgos
de Seguridad de la Información
ISO 27005. Identificar, calcular, controlar y mejorar la eficacia
RIESGOS Y SEGURIDAD
RIESGOS Y SEGURIDAD
Las claves del Éxito
para la Gestión de Riesgos
Identifique, calcule, controle y
mejore la eficacia y eficiencia
en la Gestión de Riesgos.
La ISO 27001 establece un Sistema de Gestión deSeguridad
de la Información, cuyo elemento más importante es la Gestión de los Riesgos.
¿Qué significa Gestionar Riesgos?
Significa que, en primer lugar es necesario identificar los riesgos
que afectan a la Organización, y en segundo lugar, es necesario
establecer medidas de seguridad para reducir estos riesgos.
Gestión de
Riesgos
Por tanto dentro de la Gestión de riesgos podemosdiferenciar
principalmente 2 etapas: Análisis y Tratamiento.
Para desarrollar todo el proceso de análisis y tratamiento de los
riesgos, es imprescindible establecer una Metodología, la cual
definirá los pasos que se tienen que seguir para llevar a cabo la
Gestión de Riesgos.
Análisis
Eventos ISOTools
Tratamiento
Actualmente existen muchas metodologías en el mercado pero
todas tienen unaserie de puntos en común, los cuales veremos a
continuación.
Próximos webinars
Contacte con ISOTools
RIESGOS Y SEGURIDAD
1. Identificación de activos
Podemos considerar como activos: Impresoras, dispositivos de almacenamiento (discos
duros externos, pendrives), aplicaciones, ordenadores, servidores, personas, etc.)
Podemos categorizar los activos y definir
diferentes tipos.Ejemplo: Hardware,
Software, Personas, Información, etc
Todos estos elementos tienen información:
• Impresora: Hojas que se imprimen
• Pendrives: Información digital
• Aplicaciones: Información digital
• Servidores: Información digital
• Empleados: Conocimiento, e información
de la Organización
No obstante también podemos identificar
como activo elementos que no contieneninformación, pero que son imprescindibles
para otros activos que sí la tienen. Por ejemplo: Una consola de aire acondicionado no
contiene información, pero su funcionamiento implica que los servidores, que sí
contienen información, no se sobrecalienten
y se averíen.
También es importante identificar la dependencia que puede existir entre activos: Una
aplicación funciona en un servidor, por tanto, siel servidor deja de funcionar, la aplicación también lo hará.
Por último, además de identificar los activos,
también puede ser necesario y/o interesante
valorarlos con respecto las 3 dimensiones de
seguridad: Confidencialidad, Integridad y Disponibilidad.
Eventos ISOTools
Próximos webinars
Contacte con ISOTools
RIESGOS Y SEGURIDAD
2. Identificación de amenazas yvulnerabilidades
Todos los activos de la Organización están expuestos a amenazas, y estas son explotadas por vulnerabilidades.
¿Qué es una amenaza? Cualquier problema que pueda afectar
al negocio: Ingeniería social, catástrofe natural, troyanos, virus,
etc.
¿Qué es una vulnerabilidad? Situación que provoca que una
amenaza pueda producirse. Por ejemplo, imaginemos que en
una Organización existe pocaconcienciación en seguridad de la
información, esto (la vulnerabilidad) ocasionará que exista más
probabilidad de que alguno de sus empleados se descargue un
correo electrónico con un troyano o un virus (amenaza).
Una situación de
vulnerabilidad en la
Organización favorece
que las amenazas se
materialicen
Lo recomendable suele ser identificar amenazas/vulnerabilidades por tipo de activo,lo cual nos ahorrará mucho trabajo, ya
que todos los activos que estén bajo el paraguas de una misma categoría podrán compartir amenazas/vulnerabilidades. No
obstante hay que hacer un análisis por cada activo y comprobar
si las amenazas/vulnerabilidades que le corresponden por su
categoría son adecuadas.
Casi todas las metodologías de gestión de riesgos, o al menos
las más importantes,...
para la Gestión de Riesgos
de Seguridad de la Información
ISO 27005. Identificar, calcular, controlar y mejorar la eficacia
RIESGOS Y SEGURIDAD
RIESGOS Y SEGURIDAD
Las claves del Éxito
para la Gestión de Riesgos
Identifique, calcule, controle y
mejore la eficacia y eficiencia
en la Gestión de Riesgos.
La ISO 27001 establece un Sistema de Gestión deSeguridad
de la Información, cuyo elemento más importante es la Gestión de los Riesgos.
¿Qué significa Gestionar Riesgos?
Significa que, en primer lugar es necesario identificar los riesgos
que afectan a la Organización, y en segundo lugar, es necesario
establecer medidas de seguridad para reducir estos riesgos.
Gestión de
Riesgos
Por tanto dentro de la Gestión de riesgos podemosdiferenciar
principalmente 2 etapas: Análisis y Tratamiento.
Para desarrollar todo el proceso de análisis y tratamiento de los
riesgos, es imprescindible establecer una Metodología, la cual
definirá los pasos que se tienen que seguir para llevar a cabo la
Gestión de Riesgos.
Análisis
Eventos ISOTools
Tratamiento
Actualmente existen muchas metodologías en el mercado pero
todas tienen unaserie de puntos en común, los cuales veremos a
continuación.
Próximos webinars
Contacte con ISOTools
RIESGOS Y SEGURIDAD
1. Identificación de activos
Podemos considerar como activos: Impresoras, dispositivos de almacenamiento (discos
duros externos, pendrives), aplicaciones, ordenadores, servidores, personas, etc.)
Podemos categorizar los activos y definir
diferentes tipos.Ejemplo: Hardware,
Software, Personas, Información, etc
Todos estos elementos tienen información:
• Impresora: Hojas que se imprimen
• Pendrives: Información digital
• Aplicaciones: Información digital
• Servidores: Información digital
• Empleados: Conocimiento, e información
de la Organización
No obstante también podemos identificar
como activo elementos que no contieneninformación, pero que son imprescindibles
para otros activos que sí la tienen. Por ejemplo: Una consola de aire acondicionado no
contiene información, pero su funcionamiento implica que los servidores, que sí
contienen información, no se sobrecalienten
y se averíen.
También es importante identificar la dependencia que puede existir entre activos: Una
aplicación funciona en un servidor, por tanto, siel servidor deja de funcionar, la aplicación también lo hará.
Por último, además de identificar los activos,
también puede ser necesario y/o interesante
valorarlos con respecto las 3 dimensiones de
seguridad: Confidencialidad, Integridad y Disponibilidad.
Eventos ISOTools
Próximos webinars
Contacte con ISOTools
RIESGOS Y SEGURIDAD
2. Identificación de amenazas yvulnerabilidades
Todos los activos de la Organización están expuestos a amenazas, y estas son explotadas por vulnerabilidades.
¿Qué es una amenaza? Cualquier problema que pueda afectar
al negocio: Ingeniería social, catástrofe natural, troyanos, virus,
etc.
¿Qué es una vulnerabilidad? Situación que provoca que una
amenaza pueda producirse. Por ejemplo, imaginemos que en
una Organización existe pocaconcienciación en seguridad de la
información, esto (la vulnerabilidad) ocasionará que exista más
probabilidad de que alguno de sus empleados se descargue un
correo electrónico con un troyano o un virus (amenaza).
Una situación de
vulnerabilidad en la
Organización favorece
que las amenazas se
materialicen
Lo recomendable suele ser identificar amenazas/vulnerabilidades por tipo de activo,lo cual nos ahorrará mucho trabajo, ya
que todos los activos que estén bajo el paraguas de una misma categoría podrán compartir amenazas/vulnerabilidades. No
obstante hay que hacer un análisis por cada activo y comprobar
si las amenazas/vulnerabilidades que le corresponden por su
categoría son adecuadas.
Casi todas las metodologías de gestión de riesgos, o al menos
las más importantes,...
Leer documento completo
Regístrate para leer el documento completo.