Iso 31000
Páginas: 14 (3466 palabras)
Publicado: 2 de marzo de 2011
Análisis y Gestión de riesgos en TI ISO 27005 – Aplicación Práctica
Pablo A. Silberfich psilberfich@bdobecher.com Angel Oscar Cruz acruz@bdobecher.com BDO Becher y Asociados S.R.L.
Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Temario
Que es el riesgo? – Gestión del Riesgo Regulaciones y Normas que tratan el riesgo Conceptos yDefiniciones Generales de Riesgo de IT Principales pasos en un Análisis de Riesgos de IT Metodología de Análisis de Riesgos Conclusiones
Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Qué es el Riesgo
Riesgo
Combinación de la probabilidad de un suceso y su consecuencia
El término riesgo normalmente se utiliza únicamente cuando existe almenos la posibilidad de consecuencias negativas En algunas situaciones, el riesgo proviene de la posibilidad de un desvío del resultado o del suceso previsto
Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Gestión de Riesgos
¿Y la Gestión del Riesgo? Se puede definir como “el proceso de toma de decisiones en un ambiente de incertidumbresobre una acción que puede suceder y sobre las consecuencias que existirán si esta acción ocurre”. El Análisis de Riesgos implica: • Determinar qué se necesita proteger. • De qué hay que protegerlo. • Cómo hacerlo.
Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Temario
Que es el riesgo? – Gestión del Riesgo Regulaciones y Normas quetratan el riesgo Conceptos y Definiciones Generales de Riesgo de IT Principales pasos en un Análisis de Riesgos de IT Metodología de Análisis de Riesgos Conclusiones
Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Regulaciones y Normas que tratan el riesgo Comunicación “A” 4609 del BCRA para entidades Financieras • Requisitos mínimos de gestión,implementación y control de los riesgos relacionados con tecnología informática y sistemas de información. ISO/IEC 27001 • Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) Basilea II • Estándar internacional que sirva de referencia a los reguladores bancarios, con objeto de establecer losrequerimientos de capital necesarios, para asegurar la protección de las entidades frente a los riesgos financieros y operativos. Ley Sarbanes Oxley (SOX) • Impulsada por el gobierno norteamericano como respuesta a los mega fraudes corporativos que impulsaron Enron, Tyco International, WorldCom y Peregrine Systems. Es un conjunto de medidas tendientes a asegurar la efectividad de los controles internos sobrereportes financieros.
Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Regulaciones y Normas que tratan el riesgo
ISO/IEC 27005
Esta Norma proporciona directrices para la Gestión del riesgo de Seguridad de la Información en una Organización.
Sin embargo, esta Norma no proporciona ninguna metodología específica para el análisis y lagestión del riesgo de la seguridad de la información.
Es aplicable a todo tipo de Organización: Empresas Comerciales Organismo Gubernamentales Organismos sin fines de lucro Entidades Financieras
Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Regulaciones y Normas que tratan el riesgo
ISO/IEC 27005
1. Establecer el contexto. 1.Evaluación del riesgo. a. Identificación del riesgo b. Estimación del riesgo c. Valoración del riesgo 1. Tratamiento del riesgo. 1. Aceptación del riesgo. 1. Comunicación del riesgo. 1. Seguimiento del riesgo.
Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Regulaciones y Normas que tratan el riesgo
Establecer el contexto
Comunicación del...
Pablo A. Silberfich psilberfich@bdobecher.com Angel Oscar Cruz acruz@bdobecher.com BDO Becher y Asociados S.R.L.
Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Temario
Que es el riesgo? – Gestión del Riesgo Regulaciones y Normas que tratan el riesgo Conceptos yDefiniciones Generales de Riesgo de IT Principales pasos en un Análisis de Riesgos de IT Metodología de Análisis de Riesgos Conclusiones
Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Qué es el Riesgo
Riesgo
Combinación de la probabilidad de un suceso y su consecuencia
El término riesgo normalmente se utiliza únicamente cuando existe almenos la posibilidad de consecuencias negativas En algunas situaciones, el riesgo proviene de la posibilidad de un desvío del resultado o del suceso previsto
Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Gestión de Riesgos
¿Y la Gestión del Riesgo? Se puede definir como “el proceso de toma de decisiones en un ambiente de incertidumbresobre una acción que puede suceder y sobre las consecuencias que existirán si esta acción ocurre”. El Análisis de Riesgos implica: • Determinar qué se necesita proteger. • De qué hay que protegerlo. • Cómo hacerlo.
Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Temario
Que es el riesgo? – Gestión del Riesgo Regulaciones y Normas quetratan el riesgo Conceptos y Definiciones Generales de Riesgo de IT Principales pasos en un Análisis de Riesgos de IT Metodología de Análisis de Riesgos Conclusiones
Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Regulaciones y Normas que tratan el riesgo Comunicación “A” 4609 del BCRA para entidades Financieras • Requisitos mínimos de gestión,implementación y control de los riesgos relacionados con tecnología informática y sistemas de información. ISO/IEC 27001 • Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) Basilea II • Estándar internacional que sirva de referencia a los reguladores bancarios, con objeto de establecer losrequerimientos de capital necesarios, para asegurar la protección de las entidades frente a los riesgos financieros y operativos. Ley Sarbanes Oxley (SOX) • Impulsada por el gobierno norteamericano como respuesta a los mega fraudes corporativos que impulsaron Enron, Tyco International, WorldCom y Peregrine Systems. Es un conjunto de medidas tendientes a asegurar la efectividad de los controles internos sobrereportes financieros.
Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Regulaciones y Normas que tratan el riesgo
ISO/IEC 27005
Esta Norma proporciona directrices para la Gestión del riesgo de Seguridad de la Información en una Organización.
Sin embargo, esta Norma no proporciona ninguna metodología específica para el análisis y lagestión del riesgo de la seguridad de la información.
Es aplicable a todo tipo de Organización: Empresas Comerciales Organismo Gubernamentales Organismos sin fines de lucro Entidades Financieras
Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Regulaciones y Normas que tratan el riesgo
ISO/IEC 27005
1. Establecer el contexto. 1.Evaluación del riesgo. a. Identificación del riesgo b. Estimación del riesgo c. Valoración del riesgo 1. Tratamiento del riesgo. 1. Aceptación del riesgo. 1. Comunicación del riesgo. 1. Seguimiento del riesgo.
Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Regulaciones y Normas que tratan el riesgo
Establecer el contexto
Comunicación del...
Leer documento completo
Regístrate para leer el documento completo.