Post on 21-Jun-2015
Tratamiento de Riesgo
de Seguridad
Equipo Nº 11
UNFV – FIIS -2011
Universidad Nacional Federico Villarreal
Introducción
La información es un activo para las organizaciones y en consecuencia requiere una protección adecuada, y debido al actual ambiente creciente esta expuesta a un mayor rango de amenazas sin contar con las debilidades inherentes de la misma.
Marco General
Análisis del Riesgo
Evaluación del Riesgo
Valoración del Riesgo
Gestión del Riesgo
TratamientoDel Riesgo
Análisis del Riesgo
Evaluación del Riesgo
Valoración del Riesgo
Gestión del Riesgo
TratamientoDel Riesgo
Marco General
Evaluación del Riesgo
«Proceso general de análisis y evaluación del riesgo.»
ISO/IEC Guide 73:2002
Tratamiento del Riesgo
«Proceso de selección e implementación de medidas
para modificar el riesgo.»
ISO/IEC Guide 73:2002
Debilidades&
Vulnerabilidades
AmenazasRiesgo
TRATAMIENTO DE RIESGOS DE SEGURIDAD
IMPACTOS
FACTORES
Control
Control
Evaluación y Tratamiento del Riesgo
Evaluandolos riesgos
de Seguridad
Análisis de
Riesgo
Valoración de Riesgo
Tratando riesgos de Seguridad
Procesode gestión
del riesgo enISO/IEC 27005
Tratando Riesgos de Seguridad
OPCIONES
Proceso de Tratamiento de Riesgos
Riesgos identificadosy evaluados
Decisión sobre el tratamiento
del riesgo para reducir losriesgos identificados
Controles seleccionados conbase en la decisión sobre el
tratamiento del riesgo
Controles paraimplementación
Los controles deben asegurar que los riesgos son reducidos a un nivel aceptable
tomando en cuenta:
Factores Críticos de Éxito
Una política, objetivos, y actividades que reflejen los objetivos del negocio de la organización
Un enfoque para implantar, mantener, monitorear e improvisar la seguridad que sea consistente con la cultura de la organización
Una buena comprensión de los requisitos de la seguridad, de la evaluación del riesgo y de la gestión del riesgo
Un sistema integrado y equilibrado
Caso:
Consultora CMS
IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS
IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS
IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS
Otros Aspectos
IMPLEMENTACIÓN DE LOS CONTROLES
SELECCIONADOS ACORDE AL MANUAL DE PROCEDIMIENTOS
Política de Seguridad de la Información
CASO
Comisión Central Seguridad Informática
Comité deInformática
Oficina deSeguridad Informática
Equipos Interfuncionales
EspecialistasDe Informática
Personal en General
Oficina de ControlInterno
RESP. EJECUTIVA
RESP.TÉCNICA
RESP.CUMPLIMIENTO
RESP.CONTROL
EsquemaSSI SUNAT
Relación de Procedimientos de Seguridad Informática
Organización para la
seguridad
Metodología de análisis de riesgos
Reportes de incidentes de
seguridad
Circular Nº 039-2005
Relación de Procedimientos - SUNAT
N°
PROCEDIMIENTO DESCRIPCION ESTATUS
01 Metodología de análisis de riesgos
Determina las acciones a seguir para la identificación y calificación de riesgo de los activos críticos, así como la frecuencia de
ejecución del mismo.
En desarrollo
02 Asignación y control de equipos
informáticos
Establece las políticas, procedimientos y responsabilidades para el control de los equipos y accesorios informáticos, tales como
asignación, codificación, entrega, traslado, reasignación, devolución y bajas por obsolescencia técnica
En desarrollo
03 Clasificación, marcado y
tratamiento de la información
Define los lineamientos y procedimientos para la clasificación, marcado y tratamiento de la información física y lógica de la
Superintendencia Nacional de Administración Tributaria.
En desarrollo
04 Reportes de incidentes de
seguridad
Establece los lineamientos y procedimientos para reportar los incidentes y vulnerabilidades de seguridad informática, los mismos
que permitirán identificar las debilidades de los sistemas y las acciones no autorizadas en su acceso y/o uso.
Aprobado
05 Procedimiento para la revisión de la
seguridad y monitoreo a
usuarios
Define el procedimiento para verificar el cumplimiento de las políticas, procedimientos y normas de seguridad que deben
efectuarse, así como la normatividad para las intervenciones en los recursos informáticos de los usuarios.
En desarrollo
06 Seguridad física y del entorno de la
SUNAT
Define los lugares restringidos y establece las normas y control para los accesos, así como los mecanismos de seguridad
(ambiental) a ser considerados.
En desarrollo
CIRCULAR N° 039-2005
Materia:Incidentes y vulnerabilidades de seguridad informática que deben ser reportados para identificar las debilidades de los sistemas y las acciones no autorizadas en su acceso y/o uso, permitiéndonos minimizar los riesgos y/o dar respuesta oportuna frente a posibles ataques.
Finalidad:Establecer los lineamientos y procedimientos para reportar los incidentes y vulnerabilidades de seguridad informática.
Alcance:A todo el personal de la Superintendencia Nacional de Administración Tributaría.
Conclusiones El tratamiento de riesgos deriva de la evaluación de
riesgos.
La evaluación de riesgos identifica, cuantifica y prioriza riesgos, determinando con el tratamiento los controles necesarios.
La seguridad de información se consigue implantando un conjunto adecuado de controles.
Los controles necesitan ser establecidos, implementados, monitoreados, revisados y mejorados donde sea necesario en la organización.
Recomendaciones Antes de considerar el tratamiento de riesgos, la organización
debe decidir el criterio para determinar si es que los riesgos son aceptados o no.
Para cada uno de los riesgos identificados, se necesita realizar una decisión de tratamiento de riesgo.
Para los riesgos identificados, donde la decisión del tratamiento de riesgo ha sido aplicado a controles, estos deben de ser seleccionados e implementados.
La gerencia deberá aprobar, publicar y comunicar a todos los empleados, un documento de política de seguridad de información.
Fin de la presentación