Professional Documents
Culture Documents
evaluacin y tratamiento de
riesgos segn
ISO 27001
www.advisera.com/27001academy
www.advisera.com/27001academy
2016 27001Academy
www.advisera.com/27001academy
Agenda
Por qu la gestin de riesgos?
El proceso de la gestin de riesgos
Elementos del anlisis de riesgos
Identificacin de activos
Amenazas y vulnerabilidades
Impacto y probabilidad
4 opciones para el tratamiento de riesgos
Mayores retos con la gestin de riesgos
2016 27001Academy
www.advisera.com/27001academy
Gestin de
riesgos (ISO
27005)
Salvaguardas
(ISO 27002)
Medicin (ISO
27004)
2016 27001Academy
www.advisera.com/27001academy
Your Text
Your Text
Anlisis
de riesgos
Mandatory
procedures
Your
YourText
Text
Tratamiento
de riesgos
Analyze
and assess
2016 27001Academy
www.advisera.com/27001academy
El proceso de gestin de
riesgos
Your
Text
Declaracin
de
Aplicabilidad (SoA)
Your Text
Plan de Tratamiento
de Riesgos
Mandatory
procedures
2016 27001Academy
www.advisera.com/27001academy
Activo
Amenaza
Vulnerabil
idad
Propieta
rio del
riesgo
Anlisis de riesgos
Impacto
Probabi
lidad
www.advisera.com/27001academy
Activos Qu protegemos?
Ejemplos:
Hardware
Software
Informacin (electrnica, papel, etc.)
Infraestructura
Personas!
etc.
Identificacin de propietarios de activos
2016 27001Academy
www.advisera.com/27001academy
10
www.advisera.com/27001academy
11
Vulnerabilidades Por qu
pueden ocurrir?
Ejemplos:
Falta un sistema de extincin de fuego
Faltan planes de continuidad de negocio
Falta software anti-virus
Faltan procedimientos de respuesta ante
incidentes
Equipamiento obsoleto
Falta de recambio
2016 27001Academy
www.advisera.com/27001academy
12
Impacto y probabilidad
www.advisera.com/27001academy
13
Propietar Amenaza
io
Vulnerabilidad
Servidor
Admin.
Falla de
electricidad
No existe UPS
Fuego
No existe
extintor
Visualizado
por personas
no
autorizadas
El contrato se ha
dejado en la
mesa
Fuego
No existe
proteccin
contra fuego
Nadie ms
conoce sus
contraseas
www.advisera.com/27001academy
Contrato
Admin de
sistemas
Director
Jefe TI
2016 27001Academy
Acidente
Impact Probabili
o (1-5) dad (1-5)
Risgo
(=I+P)
14
Aplicar
controles
apropiados
Aceptar el
riesgo
Evitar el
riesgo
Transferir el
riesgo
2016 27001Academy
www.advisera.com/27001academy
15
2016 27001Academy
www.advisera.com/27001academy
16
Conclusin
2016 27001Academy
www.advisera.com/27001academy
17
P&R
Antonio Segovia
www.advisera.com/27001academy/webinars