Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
SEGURIDAD DE LA
INFORMACIN
Marcos Sotelo Bedn
/msperu21
Agosto de 2013
GRO TI
Riesgo
Un Riesgo es la estimacin del grado de exposicin a que una
amenaza se materialice sobre uno o ms activos, causando un
impacto negativo.
GRO TI
Tipos de Riesgo
Estratgicos. No cumplir con los objetivos organizacionales.
Operativos. Incurrir en prdidas directas o indirectas producto de fallas en
los procesos y controles internos, las personas, los sistemas de informacin,
la tecnologa o los eventos externos (robos, secuestros, sabotajes,
vandalismo y huelgas).
Financieros. Genera consecuencias financieras.
GRO TI
GRO TI
Activos de Informacin
Impresa
Archivadores
Documento fsico
Fax
Mensajera
Digital
Carpetas
compartidas
Correo electrnico
Mensajera
Instantnea
Internet
Portales
Conocimiento
Verbal
Telfono
Radio
TV
GRO TI
Un Servicio TI es un conjunto
integrado de Activos TI
GRO TI
Seguridad de la Informacin
Independiente de su forma, siempre debe ser protegida de manera apropiada, es decir,
preservar sus atributos o dimensiones de valoracin [CID].
Prevenir
Divulgacin no autorizado
Confidencialidad
Informacin
(Dimensiones)
Prevenir
Cambios no autorizados
Integridad
7x24x365
Disponibilidad
GRO TI
Estrategia
Estructura
organizacional
Procesos
Recursos
Documentos
10
Gestin integrada
ISO
9001
ISO 9001
ISO
14001
BSI
PAS
99
OHSAS
18001
ISO 14001
ISO
27001
OHSAS 18001
ISO 27001
SGI
11
ACTUAR
(Mantener y
mejorar)
PLANEAR
Requisitos de
Seguridad
Seguridad
Gestionada
(Monitorear y
revisar)
VERIFICAR
Medicin de resultados
Anlisis de tendencias
Auditora interna
Revisin de la gerencia
HACER
(Implementar y
operar)
Implementacin de poltica y
controles
Asignacin de recursos
Sensibilizacin y capacitacin
Tratamiento de riesgo
PROCESOS INSTITUCIONALES
(Establecer)
PROCESOS INSTITUCIONALES
Tratamiento de no conformidades
Acciones correctivas y preventivas
Segcuoim
ntrieonltoy I
Elabpola
ra
cd
ienldel
n
proyecto
Ce
an
psaicbiitla
y
S
izcai
cinn
liscih
sa
dA
enbre
Inve
an
ctita
vroio
sde
A
nsg
lisoissd
de
e
rie
activos
Erlo
acbe
od
ra
cii
n
de
p
i
m
e
n
to
SGSI s
D
ionredse
inedfiin
ciacd
F
ElaboP
ra
inde
TcR
U
IP
O
P
TR
A
U
D
ITO
REX
TER
N
O EQ
EQ
U
IP
O
TEC
N
IC
O
D
ELP
R
O
Y
ETC
O
P
R
O
C
E
S
O
D
EIM
P
LEM
E
N
TA
C
I
N
D
E
LS
G
S
I
C
O
M
IO
T/E
IR
E
C
T
I
V
JEF
E
C
O
N
S
U
LTO
R
ATIS D
P
R
O
Y
EC
TO
ElaboD
radcA
inde
Im
lem
etnro
tacin
dpe
o
(E
jeccP
uT
cnR
i)nledsel
Audd
ite
olrS
aG
inS
te
Irna
A
acnladre
oydeecto
Pirlio
adA
ej)eI:cuIn
tafo
do
C
strisod
ederiesgosF:RelacindeindicadoresG:PlandeTratam
ientodeRiesgos(PTR)
H::P
Dle
alcp
irn
aplB
ic:ab
dg
ardam
(D
rm
e:dA
encolin
l.ebrechaD:InventariodeactivosE:Inform
SGI
13
GRO TI
14
Elementos Involucrados
GRO TI
15
Amenazas
Sabotaje
Indisponibilidad
de los Sistemas
de Informacin
Robo de Informacin
Virus Informtico
Activistas
(Anonymus)
Amenazas
Sismo / Terremoto
Huelga /
Vandalismo
Incendio
Ingeniera
Social
Terrorismo
Hackers
Vulnerabilidades
Vulnerabilidades: Debilidades en la tecnologa, infraestructura,
recursos, personas o en los procesos de cada organizacin falta
de proteccin.
GRO TI
18
GRO TI
19
Planificacin
Monitoreo y Revisin
Comunicacin y Consulta
ISO 27005:2008
Identificacin de riesgos y
controles
Anlisis y valorizacin
Tratamiento de riesgos
RGG 068-2013-BCRP
GRO TI
20
Identificar Amenazas
Identificar Vulnerabilidades
Riesgo inherente
Controles vigentes
Riesgo residual
Valorar Probabilidad
Valorar Impacto
Valorar Probabilidad
Valorar Impacto
Controles recomendados.
GRO TI
21
GRO TI
22
Ejemplos de Impacto
IMPACTO
Impacto Financiero
Impacto operativo
Impacto en la imagen
Afecta
gravemente
la
USD $25 000 en Impacta gravemente en la
Catastrfic
credibilidad e imagen de la
horas extras + sobre operatividad
de
los
o
institucin a nivel nacional o
costos de operacin
procesos del BCRP.
internacional.
Desastros
o
Mayor
Moderado
Menor
Afecta
fuertemente
la
la
credibilidad e imagen de la
los
institucin
en
aspectos
especficos.
Impacta
en
la
USD $5 00 en horas operatividad
del Afecta
la
credibilidad
e
extras + sobre costos macroproceso
al
cual imagen de la institucin en
de operacin
pertenece el proceso bajo aspectos especficos.
estudio.
USD $5 0
extras
en horas
Impacta
en
la Efecto
moderado
en
la
operatividad del proceso credibilidad e imagen de la
bajo estudio.
institucin.
GRO TI
23
Mapa de Riesgos
Frecuencia/
Probabilidad
5
Extremo
Intolerable
Tolerable
Aceptable
GRO TI
24
Impacto
Evaluacin de Riesgos
Controles1 preventivos, o
Correctivos.
Impacto
Transferir
Evitar
Aceptar
Mitigar
Probabilidad
GRO TI
25