Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Evaluación de Riesgo

8,521 views

Published on

Presentación de Seminario Seguridad de la Información, organizado por la Unidad de Modernización y Gobierno Electrónico.

  • Be the first to comment

Evaluación de Riesgo

  1. 1. Gestión de RiesgoUnidad de Modernización y Gobierno ElectrónicoMinisterio Secretaría General de la Presidencia
  2. 2. La probable frecuencia y probable magnitud de pérdidas futuras. RIESGO
  3. 3. RIESGO • El riesgo es un potencial de problemas • Se debe evitar que una amenaza explote una vulnerabilidad existente • Conocidos los riesgos, se deben mitigar
  4. 4. RIESGO para la ISO 27002 • Los requerimientos de seguridad se identifican mediante una evaluación metódica de los riesgos de seguridad. • El proceso de evaluación de riesgo debe identificar, cuantificar y priorizar los riesgos en comparación con el nivel de riesgo aceptable y los objetivos relevantes para la organización. • El gasto en controles debiera ser equilibrado con el daño probable. • Los resultados de la evaluación del riesgo ayudarán a: – Guiar y determinar las prioridades de las acciones para manejar los riesgos, – Implementar los controles seleccionados para protegerse contra esos riesgos. • La evaluación del riesgo se debiera repetir periódicamente.
  5. 5. Conceptos y metodologías de evaluación deriesgos y su aplicación práctica para laimplementación efectiva de gestión deseguridad de la información. • Metodología de Evaluación de Riesgo – Selección de ámbitos e identificación de activos – Asociación de amenazas y vulnerabilidades a activos – Ejecución de la evaluación de riesgos – Plan de tratamiento de riesgos
  6. 6. Marco Referencial• Nacional – CAIGG – NCh-ISO27005.Of2009 • Gestión del riesgo de seguridad de la información• Internacional – ISO 31000:2009 • Principles and Guidelines on Implementation – ISO/IEC 31010:2009 • Risk Management - Risk Assessment Techniques – ISO Guide 73:2009 • Risk Management - Vocabulary
  7. 7. Modelo de Cálculo de Riesgo RIESGO Probabilidad Impacto Combinación de la probabilidad de un evento y su ocurrencia (ISO/IEC Guía 73:2002)
  8. 8. Estimación de la Probabilidad • Porcentual – 0% a 100% • Cualitativa – Alta – Media – Baja • CAIGG
  9. 9. Estimación del Impacto • Porcentual Según valor del activo – ( 0% a 100% ) x Valor del Activo • Cualitativa – Alta – Media – Baja • CAIGG
  10. 10. Modelo de Cálculo de Riesgo RIESGO Amenaza Vulnerabilidad Impacto Modelo ICSA.net
  11. 11. Modelo Pragmático de Riesgo Riesgo = Amenaza * Vulnerabilidad * Impacto • SI – Amenaza Alta, Media, Baja  3,2,1 – Vulnerabilidad  Alta, Media, Baja  3,2,1 – Impacto  Alto, Medio, Bajo  3,2,1 • ENTONCES – Riesgo  (3x3x3) ... (1x1x1)  27 ... 1
  12. 12. Modelo Pragmático de Riesgo Riesgo = Amenaza * Vulnerabilidad * Impacto La probabilidad de ocurrencia del impacto está dado por la contemporaneidad entre una determinada amenaza y la existencia de una vulnerabilidad explotable. Riesgo = probabilidad * Impacto
  13. 13. No Programada Única vez Contacto Programada Tiempo de Periódica amenaza Beneficio Frecuencia de la Esfuerzo atacante Acción del Sanción / Pena Pérdida Frecuencia de la controles Fortaleza de los Vulnerabilidad Reputación Amenaza Capacidad de la Competitividad Criticidad Compliance Costo General Sensitividad Factores del Riesgo Modelo de Cálculo de Riesgo Según Activo Acceso Competencia Uso indebido Acción Divulgación Impacto Primario Interna / Externa Modificación Según Amenaza DoS Tiempo Impacto Debido Cuidado Contención Respuesta Remediación Según Detección Organización Recuperación Impacto Secundario Detección Legal y RegulatorioModelo FAIR: Factor Analysis of Information Risk Competidores Medio Factores Externos Accionistas
  14. 14. Riesgo Aceptable
  15. 15. Evaluación y Gestión de Riesgo TI P09 – Planear y Organizar• Crear y Mantener un marco de trabajo en la Gestión de Riesgos, para: – Documentar las estrategias consensuadas – Documentar un nivel de riesgos TI común y acordado, estrategias de mitigación así como riesgos residuales. – Identificar, analizar y evaluar cualquier impacto potencial sobre las metas de la organización, causado por un acontecimiento imprevisto. – Estrategias de mitigación de riesgos para reducir el riesgo residual a un nivel aceptable. – El resultado de la evaluación debe ser comprensible para las partes interesadas y se expresa en términos financieros, para permitirles alinear el riesgo a un nivel aceptable de tolerancia.
  16. 16. Ciclo de Mitigación de Riesgos Agente de Activa la amenaza Puede explotar Amenaza Interviene Evidencia directamente Vulnerabilidad RIESGO Protección Puede ser contrarrestado Activo Puede Dañar Exposición Representa una
  17. 17. Gestión de Riesgos (ISO 31000)
  18. 18. Gestión de Riesgos http://www.iso27000.es/sgsi.html#section2d
  19. 19. Objetivo de Evaluación de Riesgo Seleccionar aquellos controles que permitan mitigar los riesgos no tolerables hasta niveles aceptables para la organización.
  20. 20. Control Normativa, proceso o tecnología que permite contrarrestar el riesgo de la organización mejorando la prevención, detección o respuesta frente a determinada amenaza, vulnerabilidad o impacto.
  21. 21. Plan de Mitigación• Conjunto jerarquizado de controles de mitigación, indexado a los procesos de negocio y al riesgo que mitigan y agrupados como Productos o Proyectos Específicos.• Muchas veces es el principal aporte al Plan de Seguridad.• Conforma la P, del ciclo PDCA de Mejora continua. Plan Plan Do Do Act Act Check Check
  22. 22. Gracias.Ministerio Secretaría General de la Presidencia Unidad de Modernización y Gobierno Electrónico @modernizacioncl

×