Gestin de la Continuidad y DRP I

Riesgos en la Organizacin
Estudio de Implementacin de controles
adicionales de prevencin.

Universidad Tecnolgica del Per

Ingeniera Seguridad y Auditora Informtica

Bibliografa

ISO (2005). ISO27001

ISO (2010). ISO27031

ISO (2012). ISO22301

23 de julio de 2015

Relacin entre la Seguridad de Informacin y

Continuidad de Negocios

Dominio 14
ISO 27001:2005

Control:
A.14.1.2. Continuidad de Negocio y Evaluacin de
Riesgos
Los eventos que pueden causar interrupciones a los procesos de
negocio deben ser identificados, junto con la probabilidad e impacto de
dichas interrupciones y sus consecuencias para la seguridad de
informacin.

Porqu conducir una Evaluacin de Riesgos?

El propsito de la evaluacin de riegos es:
- Priorizar la planificacin y la asignacin de recursos
- Identificar y Mitigar las exposiciones
- Identificar las amenazas, riesgos y vulnerabilidades en la cadena
de desastres

Riesgos vs Continuidad

Estn muy relacionados pero no significan lo mismo

Riesgos se enfocan en la prevencin (ANTES)
Continuidad se focaliza en la preparacin (ANTES)

Gua de Implementacin (ISO 27002)

A.14.1.2. Continuidad de Negocio y Evaluacin de
Riesgos
El estudio para la continuidad del negocio debera empezar por:
a) La identificacin de los eventos (o secuencia de eventos) que
pueden causar interrupciones en los procesos de negocio, por
ejemplo, una falla del equipo, una inundacin o un incendio.

Terminologa de Riesgos
Amenaza: Aquello que causa el evento. Por ejm. virus, hacking,
terremotos, incendios
Componente: Elemento del negocio cuya indisponibilidad afectara la
continuidad de las operaciones

Terminologa de Riesgos
Vulnerabilidad: Riesgo no controlado. Es una debilidad de un bien o
de un control, que puede ser aprovechada por una amenaza. Ejm.
Protocolo de e.mail, zero-day, ingeniera social, falta de rociadores
automticos hacen un edificio ms vulnerable a los incendios
Probabilidad: frecuencia con que el evento se presenta o posibilidad
de ocurrencia de la amenaza.
Riesgo: El potencial de prdida en caso que la amenaza se vuelva
tangible o que aproveche una vulnerabilidad. Ejm. Posible Prdida de
instalaciones; posible prdida de informacin confidencial.
Impacto: Es el nivel de afectacin de los componentes o
consecuencia final del riesgo, por ejm. suspensin de las actividades,
prdida de clientes.
Control: medida preventiva o correctiva que reduce (pero no elimina)
la amenaza o el riesgo.

Terminologa de Riesgos

Identificacin de Amenazas
Existen amenazas diferentes dependiendo del contexto
Las amenazas se identifican a partir de las ms globales:
A nivel mundial: ejm. Pandemia
A nivel continental: ejm. Huracanes
A nivel regin: ejm. Inundaciones
A nivel pas: ejm. Terremoto
A nivel localidad: ejm. Vandalismo
A nivel edificio: ejm. Incendio
Las amenazas se identifican con las de la industria o especificas al rea:
A nivel industria: ejm. congestin de servicio
A nivel empresa: ejm. huelgas
A nivel rea: ejm. sabotaje por empleados descontentos
A nivel tcnico: ejm. servidores informticos sin seguridad
Es clave la participacin de los especialistas en los procesos del negocio.

Tipos de Amenazas
Amenazas Naturales:
Huracanes
Terremotos
Inundaciones
Huaycos
Heladas
Amenazas Humanas:
Accidentes areos
Protestas, Vandalismo
Incendios
Amenazas Tecnolgicas
Denegacin de Servicios
Correos no deseados
Sabotaje
Dao de la infraestructura

Gua de Implementacin (ISO 27002)

A.14.1.2. Continuidad de Negocio y Evaluacin de
Riesgos

b) Se debera continuar con una evaluacin del riesgo para determinar

la probabilidad e impacto de dichas interrupciones (en trminos tanto de
escala de daos como de periodo de recuperacin).
Considerar
- Participacin de los propietarios de los recursos y procesos de
negocio.
- Considerar todos los procesos del negocio sin limitarse a los
dispositivos informticos, pero debe incluir los resultados especficos
para la seguridad de informacin. Es importante vincular los diferentes
aspectos de riesgos para obtener una figura completa de los
requerimientos de continuidad de negocio de la organizacin.
- Debe identificar, cuantificar y priorizar los riesgos contra criterios y
objetivos relevantes para la organizacin incluyendo recursos crticos,
impactos de las interrupciones, tiempos permisibles de interrupcin y
prioridades de recuperacin.

Anlisis de Riesgos
Clasificar riesgos y amenazas
Bajo el control de la empresa
Ms all del control de la empresa
Con aviso previo
Sin aviso previo
Declaracin de Riesgo:
Cualitativo
Cuantitativo
Evaluar el impacto de los riesgos y amenazas en las funciones crticas
del negocio.

Gua de Implementacin (ISO 27002)

A.14.1.2. Continuidad de Negocio y Evaluacin de
Riesgos
3.- Se debera desarrollar un plan estratgico para determinar un
enfoque global de la continuidad del negocio a partir de los resultados
de la evaluacin del riesgo.
4.- Una vez creada la estrategia, la gerencia deber respaldarla y crear
un plan para implementar dicha estrategia.