Documente Academic
Documente Profesional
Documente Cultură
Riesgos en la Organizacin
Estudio de Implementacin de controles
adicionales de prevencin.
Bibliografa
23 de julio de 2015
Dominio 14
ISO 27001:2005
Control:
A.14.1.2. Continuidad de Negocio y Evaluacin de
Riesgos
Los eventos que pueden causar interrupciones a los procesos de
negocio deben ser identificados, junto con la probabilidad e impacto de
dichas interrupciones y sus consecuencias para la seguridad de
informacin.
Riesgos vs Continuidad
Terminologa de Riesgos
Amenaza: Aquello que causa el evento. Por ejm. virus, hacking,
terremotos, incendios
Componente: Elemento del negocio cuya indisponibilidad afectara la
continuidad de las operaciones
Terminologa de Riesgos
Vulnerabilidad: Riesgo no controlado. Es una debilidad de un bien o
de un control, que puede ser aprovechada por una amenaza. Ejm.
Protocolo de e.mail, zero-day, ingeniera social, falta de rociadores
automticos hacen un edificio ms vulnerable a los incendios
Probabilidad: frecuencia con que el evento se presenta o posibilidad
de ocurrencia de la amenaza.
Riesgo: El potencial de prdida en caso que la amenaza se vuelva
tangible o que aproveche una vulnerabilidad. Ejm. Posible Prdida de
instalaciones; posible prdida de informacin confidencial.
Impacto: Es el nivel de afectacin de los componentes o
consecuencia final del riesgo, por ejm. suspensin de las actividades,
prdida de clientes.
Control: medida preventiva o correctiva que reduce (pero no elimina)
la amenaza o el riesgo.
Terminologa de Riesgos
Identificacin de Amenazas
Existen amenazas diferentes dependiendo del contexto
Las amenazas se identifican a partir de las ms globales:
A nivel mundial: ejm. Pandemia
A nivel continental: ejm. Huracanes
A nivel regin: ejm. Inundaciones
A nivel pas: ejm. Terremoto
A nivel localidad: ejm. Vandalismo
A nivel edificio: ejm. Incendio
Las amenazas se identifican con las de la industria o especificas al rea:
A nivel industria: ejm. congestin de servicio
A nivel empresa: ejm. huelgas
A nivel rea: ejm. sabotaje por empleados descontentos
A nivel tcnico: ejm. servidores informticos sin seguridad
Es clave la participacin de los especialistas en los procesos del negocio.
Tipos de Amenazas
Amenazas Naturales:
Huracanes
Terremotos
Inundaciones
Huaycos
Heladas
Amenazas Humanas:
Accidentes areos
Protestas, Vandalismo
Incendios
Amenazas Tecnolgicas
Denegacin de Servicios
Correos no deseados
Sabotaje
Dao de la infraestructura
Anlisis de Riesgos
Clasificar riesgos y amenazas
Bajo el control de la empresa
Ms all del control de la empresa
Con aviso previo
Sin aviso previo
Declaracin de Riesgo:
Cualitativo
Cuantitativo
Evaluar el impacto de los riesgos y amenazas en las funciones crticas
del negocio.