Tratamiento de riesgo
-
Upload
alexander-velasque -
Category
Technology
-
view
3.743 -
download
1
Transcript of Tratamiento de riesgo
![Page 1: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/1.jpg)
Tratamiento de Riesgo
de Seguridad
Equipo Nº 11
UNFV – FIIS -2011
Universidad Nacional Federico Villarreal
![Page 2: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/2.jpg)
Introducción
La información es un activo para las organizaciones y en consecuencia requiere una protección adecuada, y debido al actual ambiente creciente esta expuesta a un mayor rango de amenazas sin contar con las debilidades inherentes de la misma.
![Page 3: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/3.jpg)
Marco General
Análisis del Riesgo
Evaluación del Riesgo
Valoración del Riesgo
Gestión del Riesgo
TratamientoDel Riesgo
![Page 4: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/4.jpg)
Análisis del Riesgo
Evaluación del Riesgo
Valoración del Riesgo
Gestión del Riesgo
TratamientoDel Riesgo
Marco General
![Page 5: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/5.jpg)
Evaluación del Riesgo
«Proceso general de análisis y evaluación del riesgo.»
ISO/IEC Guide 73:2002
![Page 6: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/6.jpg)
Tratamiento del Riesgo
«Proceso de selección e implementación de medidas
para modificar el riesgo.»
ISO/IEC Guide 73:2002
![Page 7: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/7.jpg)
Debilidades&
Vulnerabilidades
AmenazasRiesgo
TRATAMIENTO DE RIESGOS DE SEGURIDAD
IMPACTOS
FACTORES
Control
Control
![Page 8: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/8.jpg)
Evaluación y Tratamiento del Riesgo
Evaluandolos riesgos
de Seguridad
Análisis de
Riesgo
Valoración de Riesgo
Tratando riesgos de Seguridad
![Page 9: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/9.jpg)
Procesode gestión
del riesgo enISO/IEC 27005
![Page 10: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/10.jpg)
Tratando Riesgos de Seguridad
OPCIONES
![Page 11: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/11.jpg)
Proceso de Tratamiento de Riesgos
Riesgos identificadosy evaluados
Decisión sobre el tratamiento
del riesgo para reducir losriesgos identificados
Controles seleccionados conbase en la decisión sobre el
tratamiento del riesgo
Controles paraimplementación
![Page 12: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/12.jpg)
Los controles deben asegurar que los riesgos son reducidos a un nivel aceptable
tomando en cuenta:
![Page 13: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/13.jpg)
Factores Críticos de Éxito
Una política, objetivos, y actividades que reflejen los objetivos del negocio de la organización
Un enfoque para implantar, mantener, monitorear e improvisar la seguridad que sea consistente con la cultura de la organización
Una buena comprensión de los requisitos de la seguridad, de la evaluación del riesgo y de la gestión del riesgo
Un sistema integrado y equilibrado
![Page 14: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/14.jpg)
Caso:
Consultora CMS
![Page 15: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/15.jpg)
IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS
![Page 16: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/16.jpg)
IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS
![Page 17: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/17.jpg)
IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS
![Page 18: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/18.jpg)
![Page 19: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/19.jpg)
![Page 20: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/20.jpg)
Otros Aspectos
![Page 21: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/21.jpg)
IMPLEMENTACIÓN DE LOS CONTROLES
SELECCIONADOS ACORDE AL MANUAL DE PROCEDIMIENTOS
Política de Seguridad de la Información
![Page 22: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/22.jpg)
![Page 23: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/23.jpg)
![Page 24: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/24.jpg)
CASO
![Page 25: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/25.jpg)
Comisión Central Seguridad Informática
Comité deInformática
Oficina deSeguridad Informática
Equipos Interfuncionales
EspecialistasDe Informática
Personal en General
Oficina de ControlInterno
RESP. EJECUTIVA
RESP.TÉCNICA
RESP.CUMPLIMIENTO
RESP.CONTROL
![Page 26: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/26.jpg)
EsquemaSSI SUNAT
Relación de Procedimientos de Seguridad Informática
Organización para la
seguridad
Metodología de análisis de riesgos
Reportes de incidentes de
seguridad
Circular Nº 039-2005
![Page 27: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/27.jpg)
Relación de Procedimientos - SUNAT
N°
PROCEDIMIENTO DESCRIPCION ESTATUS
01 Metodología de análisis de riesgos
Determina las acciones a seguir para la identificación y calificación de riesgo de los activos críticos, así como la frecuencia de
ejecución del mismo.
En desarrollo
02 Asignación y control de equipos
informáticos
Establece las políticas, procedimientos y responsabilidades para el control de los equipos y accesorios informáticos, tales como
asignación, codificación, entrega, traslado, reasignación, devolución y bajas por obsolescencia técnica
En desarrollo
03 Clasificación, marcado y
tratamiento de la información
Define los lineamientos y procedimientos para la clasificación, marcado y tratamiento de la información física y lógica de la
Superintendencia Nacional de Administración Tributaria.
En desarrollo
04 Reportes de incidentes de
seguridad
Establece los lineamientos y procedimientos para reportar los incidentes y vulnerabilidades de seguridad informática, los mismos
que permitirán identificar las debilidades de los sistemas y las acciones no autorizadas en su acceso y/o uso.
Aprobado
05 Procedimiento para la revisión de la
seguridad y monitoreo a
usuarios
Define el procedimiento para verificar el cumplimiento de las políticas, procedimientos y normas de seguridad que deben
efectuarse, así como la normatividad para las intervenciones en los recursos informáticos de los usuarios.
En desarrollo
06 Seguridad física y del entorno de la
SUNAT
Define los lugares restringidos y establece las normas y control para los accesos, así como los mecanismos de seguridad
(ambiental) a ser considerados.
En desarrollo
![Page 28: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/28.jpg)
CIRCULAR N° 039-2005
Materia:Incidentes y vulnerabilidades de seguridad informática que deben ser reportados para identificar las debilidades de los sistemas y las acciones no autorizadas en su acceso y/o uso, permitiéndonos minimizar los riesgos y/o dar respuesta oportuna frente a posibles ataques.
Finalidad:Establecer los lineamientos y procedimientos para reportar los incidentes y vulnerabilidades de seguridad informática.
Alcance:A todo el personal de la Superintendencia Nacional de Administración Tributaría.
![Page 29: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/29.jpg)
Conclusiones El tratamiento de riesgos deriva de la evaluación de
riesgos.
La evaluación de riesgos identifica, cuantifica y prioriza riesgos, determinando con el tratamiento los controles necesarios.
La seguridad de información se consigue implantando un conjunto adecuado de controles.
Los controles necesitan ser establecidos, implementados, monitoreados, revisados y mejorados donde sea necesario en la organización.
![Page 30: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/30.jpg)
Recomendaciones Antes de considerar el tratamiento de riesgos, la organización
debe decidir el criterio para determinar si es que los riesgos son aceptados o no.
Para cada uno de los riesgos identificados, se necesita realizar una decisión de tratamiento de riesgo.
Para los riesgos identificados, donde la decisión del tratamiento de riesgo ha sido aplicado a controles, estos deben de ser seleccionados e implementados.
La gerencia deberá aprobar, publicar y comunicar a todos los empleados, un documento de política de seguridad de información.
![Page 31: Tratamiento de riesgo](https://reader033.fdocuments.ec/reader033/viewer/2022052600/55859c32d8b42aca7b8b5171/html5/thumbnails/31.jpg)
Fin de la presentación