Tratamiento de

Riesgo
de Seguridad

Equipo N 11


UNFV FIIS -2011
Universidad Nacional Federico Villarreal
Introduccin
La informacin es un activo para las
organizaciones y en consecuencia requiere
una proteccin adecuada, y debido al
actual ambiente creciente esta expuesta a
un mayor rango de amenazas sin contar
con las debilidades inherentes de la misma.

Marco General
Anlisis del
Riesgo
Evaluacin
del Riesgo
Valoracin
del Riesgo
Gestin del
Riesgo
Tratamiento
Del Riesgo
Anlisis del
Riesgo
Evaluacin
del Riesgo
Valoracin
del Riesgo
Gestin del
Riesgo
Tratamiento
Del Riesgo
Marco General
Evaluacin del Riesgo
Proceso general de anlisis y
evaluacin del riesgo.

ISO/IEC Guide 73:2002
Tratamiento del Riesgo
Proceso de seleccin e
implementacin de medidas
para modificar el riesgo.

ISO/IEC Guide 73:2002
Debilidades
&
Vulnerabilidades
Amenazas Riesgo
TRATAMIENTO DE RIESGOS DE
SEGURIDAD
I
M
P
A
C
T
O
S
FACTORES
Control
Control
Evaluacin y Tratamiento del
Riesgo
Evaluando
los riesgos
de
Seguridad
Anlisis
de
Riesgo
Valoracin
de Riesgo
Tratando
riesgos de
Seguridad
Proceso
de gestin
del riesgo en
ISO/IEC 27005
Tratando Riesgos de
Seguridad
OPCIONES
Proceso de Tratamiento de
Riesgos
Riesgos
identificados
y evaluados
Decisin sobre el
tratamiento
del riesgo para reducir los
riesgos identificados
Controles seleccionados con
base en la decisin sobre el
tratamiento del riesgo
Controles para
implementacin
Los controles deben asegurar que los
riesgos son reducidos a un nivel aceptable
tomando en cuenta:
Factores Crticos de xito
Una poltica, objetivos, y actividades que reflejen los objetivos del
negocio de la organizacin
Un enfoque para implantar, mantener, monitorear e improvisar la
seguridad que sea consistente con la cultura de la organizacin
Una buena comprensin de los requisitos de la seguridad, de la
evaluacin del riesgo y de la gestin del riesgo
Un sistema integrado y equilibrado
Caso:

Consultora CMS
IMPLEMENTACIN DEL PLAN DE TRATAMIENTO
DE RIESGOS
IMPLEMENTACIN DEL PLAN DE TRATAMIENTO
DE RIESGOS
IMPLEMENTACIN DEL PLAN DE TRATAMIENTO
DE RIESGOS
Otros Aspectos
IMPLEMENTACIN DE LOS CONTROLES
SELECCIONADOS ACORDE AL MANUAL
DE PROCEDIMIENTOS
Poltica de Seguridad de la Informacin
CASO
Comisin Central
Seguridad Informtica
Comit de
Informtica
Oficina de
Seguridad Informtica
Equipos
Interfuncionales
Especialistas
De Informtica
Personal en General
Oficina de
Control
Interno
RESP.
EJECUTIVA
RESP.
TCNICA
RESP.
CUMPLIMIENTO
RESP.
CONTROL
Esquema
SSI SUNAT
Relacin de Procedimientos
de Seguridad Informtica
Organizacin
para la
seguridad
Metodologa
de anlisis
de riesgos
Reportes de
incidentes de
seguridad
Circular N
039-2005
Relacin de Procedimientos - SUNAT
N PROCEDIMIENTO DESCRIPCION ESTATUS
01 Metodologa de
anlisis de riesgos
Determina las acciones a seguir para la identificacin y calificacin
de riesgo de los activos crticos, as como la frecuencia de ejecucin
del mismo.
En desarrollo
02 Asignacin y control
de equipos
informticos
Establece las polticas, procedimientos y responsabilidades para el
control de los equipos y accesorios informticos, tales como
asignacin, codificacin, entrega, traslado, reasignacin,
devolucin y bajas por obsolescencia tcnica
En desarrollo
03 Clasificacin,
marcado y
tratamiento de la
informacin
Define los lineamientos y procedimientos para la clasificacin,
marcado y tratamiento de la informacin fsica y lgica de la
Superintendencia Nacional de Administracin Tributaria.
En desarrollo
04 Reportes de
incidentes de
seguridad
Establece los lineamientos y procedimientos para reportar los
incidentes y vulnerabilidades de seguridad informtica, los mismos
que permitirn identificar las debilidades de los sistemas y las
acciones no autorizadas en su acceso y/o uso.
Aprobado
05 Procedimiento para
la revisin de la
seguridad y
monitoreo a usuarios
Define el procedimiento para verificar el cumplimiento de las
polticas, procedimientos y normas de seguridad que deben
efectuarse, as como la normatividad para las intervenciones en los
recursos informticos de los usuarios.
En desarrollo
06 Seguridad fsica y
del entorno de la
SUNAT
Define los lugares restringidos y establece las normas y control para
los accesos, as como los mecanismos de seguridad (ambiental) a
ser considerados.
En desarrollo
CIRCULAR N 039-2005

Materia:
Incidentes y vulnerabilidades de seguridad informtica que
deben ser reportados para identificar las debilidades de los
sistemas y las acciones no autorizadas en su acceso y/o
uso, permitindonos minimizar los riesgos y/o dar respuesta
oportuna frente a posibles ataques.

Finalidad:
Establecer los lineamientos y procedimientos para reportar
los incidentes y vulnerabilidades de seguridad informtica.

Alcance:
A todo el personal de la Superintendencia Nacional de
Administracin Tributara.

Conclusiones
El tratamiento de riesgos deriva de la evaluacin de
riesgos.

La evaluacin de riesgos identifica, cuantifica y
prioriza riesgos, determinando con el tratamiento los
controles necesarios.

La seguridad de informacin se consigue
implantando un conjunto adecuado de controles.

Los controles necesitan ser establecidos,
implementados, monitoreados, revisados y
mejorados donde sea necesario en la organizacin.




Recomendaciones
Antes de considerar el tratamiento de riesgos, la
organizacin debe decidir el criterio para determinar si es
que los riesgos son aceptados o no.

Para cada uno de los riesgos identificados, se necesita
realizar una decisin de tratamiento de riesgo.

Para los riesgos identificados, donde la decisin del
tratamiento de riesgo ha sido aplicado a controles, estos
deben de ser seleccionados e implementados.

La gerencia deber aprobar, publicar y comunicar a
todos los empleados, un documento de poltica de
seguridad de informacin.

Fin de la presentacin