Gestión de Riesgos de Seguridad de la Información MSc. FABIAN CARDENAS VARELA CISSP, LA BS7799-2, CCDA Gerente de Consultoría – NewNet S.A
AGENDA
Definición Panorama General Proceso de Gestión de Riesgos Implementación Conclusiones
DEFINICIÓN Vulnerabilidad: Es una falencia o debilidad que puede estar presente en la tecnología, las personas o en las políticas y procedimientos de una compañía.
Gestión de Riesgos de Seguridad de la Información
DEFINICIÓN Amenaza: Es un ente o escenario interno o externo que puede hacer uso de una vulnerabilidad para generar un perjuicio o impacto negativo en la organización. (Materializar el riesgo).
Gestión de Riesgos de Seguridad de la Información
DEFINICIÓN Riesgo: Es un escenario bajo el cual una amenaza puede explotar una vulnerabilidad generando un impacto negativo al negocio (pérdida continuidad, imagen, incumplimiento, pérdida de ingresos, entre otros.)
Gestión de Riesgos de Seguridad de la Información
DEFINICIÓN Gestión de Riesgos: Conjunto de actividades para controlar y dirigir la identificación y administración de los riesgos de seguridad de la información para poder alcanzar los objetivos del negocio.
Gestión de Riesgos de Seguridad de la Información
DEFINICIÓN Descripción del Riesgo = Amenaza X Vulnerabilidad X Activo de Información Ejemplo: Robo de información confidencial = Atacante externo X password débiles X Base de Datos de Clientes. Gestión de Riesgos de Seguridad de la Información
DEFINICIÓN Materialización de un Riesgo Impacto. (Confidencialidad, Integridad, Disponibilidad) Ejemplo: Robo de información confidencial Impacto CID
CID
CID
Imagen
Financiero
Ambiental
CID
CID
Legal
Humano
Gestión de Riesgos de Seguridad de la Información
AGENDA
Definición Panorama General Proceso de Gestión de Riesgos Implementación Conclusiones
Gestión de Riesgos de Seguridad de la Información
PANORAMA GENERAL Estrategia Organización Regulaciones y Normas Políticas de Seguridad Riesgos Seguridad Seguridad Lógica
Seguridad Física
(P.E Sistemas de Información, Bases de Datos, Redes)
(P.E Controles de acceso físico a instalaciones, monitoreo de instaaciones, control de visitantes)
Identificar y valorar Activos
Seguridad RH (En la relación laboral, confidencialidad, procesos)
Vulnerabilidades, Amenazas, Probabilidades, Impacto, Tratamiento, Riesgo Residual.
Políticas, Estándares y Procedimientos
ISO 27001, ISO 17799, ITIL, COBIT, entes reguladores, leyes, etc. Misión, Visión, Plan Estratégico, Cuadro de Mando Gerencial
Gestión de Riesgos de Seguridad de la Información
PANORAMA GENERAL La gestión de riesgos debe garantizar que el impacto de las amenazas que explotan las vulnerabilidades estén dentro de los límites y costos aceptables.
Gestión de Riesgos de Seguridad de la Información
PANORAMA GENERAL • El riesgo es una característica de la vida del negocio. • Resulta impráctico y poco rentable eliminar todos los riesgos, por lo cual cada organización tiene un nivel de riesgo que acepta. Gestión de Riesgos de Seguridad de la Información
PANORAMA GENERAL Explotan
Amenazas Protegen Contra
Controles Satisfechas por
Aumentar Reducir
Vulnerabilidad Aumentar
Riesgos
Indica
Exigencias de Seguridad
Exponen
Bienes Aumentar
Tienen
Valor del Bien
Impacto Potencial en el Negocio
Gesti贸n de Riesgos de Seguridad de la Informaci贸n
AGENDA
Definición Panorama General Proceso de Gestión de Riesgos Implementación Conclusiones
Gestión de Riesgos de Seguridad de la Información
PROCESO DE GESTIÓN DE RIESGOS Identificación y Evaluación
Identificación y Valorización de los Bienes
Identificación de Vulnerabilidades
Identificación de Amenazas
Evaluación de Impactos
Riesgo del Negocio
Ranking y Priorización de los Riesgos
Grado de Aseguramiento
Revisión de controles de seguridad existentes
Tratamiento del Riesgo
“Análisis de diferencia”
Identificación de nuevos Controles de Seguridad
Aceptación del Riesgo (Riesgo Residual)
Implantación y Reducción del Riesgo
Controles de Seguridad Gestión de Riesgos de Seguridad de la Información
PROCESO DE GESTIร N DE RIESGOS Controles de Seguridad
Procedimentales
Seguridad de la Informaciรณn
Procedimentales Gestiรณn de Riesgos de Seguridad de la Informaciรณn
Tecnolรณgicos
PROCESO DE GESTIÓN DE RIESGOS Riesgo evaluado y Clasificado
Tratamiento de riesgos SI
¿Es aceptable?
Aceptar
Identificar Tratamiento
Reducir Probabilidad
Reducir Impactos
Transferir en todo o parte
Evitar
Implementar Planes de Tratamiento
Reducir Probabilidad
Reducir Impactos
Transferir en todo o parte
Evitar
NO
SI ¿Es aceptable?
Aceptar
Adaptado de AS/NZ: 4360
Gestión de Riesgos de Seguridad de la Información
Monitorear y Revisar
Comunicar y consultar
NO
AGENDA
Definición Panorama General Proceso de Gestión de Riesgos Implementación Conclusiones
Gestión de Riesgos de Seguridad de la Información
IMPLEMENTACIÓN Integración al ciclo de vida de los procesos:
• Debe establecerse un proceso de análisis, evaluación, tratamiento, revisión, monitoreo y divulgación de los riesgos. • Todas las personas de la organización deben participar en la definición de la matriz de riesgos (por procesos). • Definir el riesgo residual con base en medidas actuales y no potenciales. • Realizar un control de cambios y que sea una gestión del día a día.
Gestión de Riesgos de Seguridad de la Información
IMPLEMENTACIÓN Gestión de Incidentes de Seguridad de la Información
Gestión de Activos de Información Gestión de Riesgos de Seguridad de la Información
Gestión del Cumplimiento Legal
Gestión de la Continuidad del Negocio
Sistema de Gestión de Seguridad de la Información - SGSI Gestión de Riesgos de Seguridad de la Información
IMPLEMENTACIÓN Algunas Metodologías:
• NTC 5254.
• BS 7799-3. • OCTAVE. • AS/NZ: 4360 • Personalizadas
Gestión de Riesgos de Seguridad de la Información
AGENDA
Definición Panorama General Proceso de Gestión de Riesgos Implementación Conclusiones
Gestión de Riesgos de Seguridad de la Información
CONCLUSIONES • La gestión de riesgos es el proceso más importante dentro de un Sistema de Gestión de Seguridad de la Información (ISO/IEC 27001:2005). • Es una gestión que realmente genera valor al negocio. • Una gestión formal de riesgos permite “Vender” de manera más efectiva la problemática de seguridad de la información a la alta gerencia y las necesidades de inversión. • Existen diversas metodologías para la gestión de riesgos, pero cada organización es única en sus necesidades por lo cual es necesario hacer un estudio de la que mejor se adapte a la naturaleza del negocio. • La gestión de riesgos aplica a cualquier tipo de empresa en cualquier sector. Gestión de Riesgos de Seguridad de la Información
www.newnetsa.com fcardenas@newnetsa.com
Diagonal (Calle) 16 No. 60-72
Carrera 49 No. 52.170 Of. 705
Calle 18 No. 8-41 Of. 406
Calle 23N No. 3N-33 Piso 6
Teléfono: (571) 4173400
Teléfono: (574) 251 8720
PBX: (576) 3330759
Teléfono: (572) 667 1892
BOGOTA DC
MEDELLIN
PEREIRA
CALI