Académique Documents
Professionnel Documents
Culture Documents
SGSI (http://www.pmgssi.com/)
Blog especializado en Sistemas de Gestin
de Seguridad de la Informacin
BLOG (HTTP://WWW.PMG-SSI.COM/)
(https://plus.google.com/118175657162958976358/posts)
Search
(https://www.facebook.com/ISOTools)
(https://twitter.com/sgsi_)
SGSI (HTTP://WWW.PMG-SSI.COM/CATEGORY/ISO-270012013/SGSI/)
(https://www.linkedin.com/pub/pmgssi/9a/997/746)
Sguenos
(//cta-
(http://www.pmg-ssi.com/wp-content/uploads/2014/12/ISO-27001-24.png)
ISO 27001
Cuando una organizacin decide implementar un Sistema de Gestin de Seguridad de la Informacin basado en la
norma ISO 27001 (http://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/) debe realizar un anlisis de
riesgos y despus le prosigue una identicacin de amenazas y vulnerabilidades.
servicecms2.hubspot.com/ctas/v2/public/cs/c/?
cta_guid=476ec5e8-0478-488c-b2c758395dd22bae&placement_guid=12b233090b-4ef1-8ba4c9a3c61bd398&portal_id=459117&redirect_url=APefjpEo2ZKhIjcj2z462EC3ejKEyWhuuZ
vLH1jxMCjDxPcvU4smpeoxq-8Ohgnt27tEMnNDNMNWtrINhh5iJMxMOxQyqHn8OIIjqW5cuCEQaXEOy4vMg7OEbl8R8nZ3H_bbcEPDQ
ssi.com%2F2014%2F12%2Fiso-27001-comogestionar-las-amenazas-y-lasvulnerabilidades%2F)
Por amenaza podemos entender cualquier escenario o situacin que potencialmente puede materializarse con un
incidente de seguridad. El rango de amenazas al que est sometido el inventario de la empresa es muy variado:
Desastres naturales
Siniestros
Accidentes
Agresiones
ISOToolsExcellence
YouTube
1k
Etc.
Las organizaciones tienen que elabora una lista con todas las amenazas a las que se pueden ver sometidas para,
despus, evaluar la probabilidad que existen que dicha amenaza se haga real sobre los activos de informacin de
la organizacin.
A la hora de estimar la probabilidad de que una amenaza se materializa, es necesario conocer si el activo de
Escribasunombre
Ante las amenazas y los activos de informacin nos encontramos con el mismo caso. La pregunta que se debe
Escribasuapellido
Escribasucorreoelectrnico
Seleccioneunpas
siniestros y accidentes. Sin embargo hay otras en las que dependiendo la medidas y los controles de seguridad
que se utilicen por parte de la organizacin, pueden ser o no vulnerables, como pueden ser las agresiones y actos
intencionados.
El concepto de riesgo permite denir un marco de referencia para poder evaluar la seguridad de la informacin en
la organizacin. El proceso seguido de evaluacin y valoracin permite que la organizacin determine el grado de
exposicin de sus activos y as poder denir una estrategia que reduzca el riesgo.
Con la maniobra de controles de seguridad, la empresa puede actuar sobre los factores de riesgo, disminuyendo
las vulnerabilidades, mitigando la probabilidad de materializacin de cualquier amenaza o reduciendo el impacto
que se genera sobre los activos de la informacin en caso de que llegara a producirse un incidente.
Denir y ejecutar un Plan de Gestin de Riesgos facilitar a la empresa conseguir un nivel ptimo de seguridad
denido por un riesgo residual. El riesgo residual es el conjunto de riesgos que la empresa considera asumible.
Denir el umbral de riesgo residual es una decisin que se encuentra relacionada con la prevencin del riesgo en
la organizacin.
Se debe reexionar sobre la necesidad de desplegar un proceso de monitorizacin continua del riesgo. El entorno
dinmico en que se encuentra la organizacin obliga a realizar cambios continuos para adaptarse. Los cambios se
producen a diferentes niveles y en distintos entornos. Estos cambios pueden afectar al perl de riesgo de la
organizacin, es decir, el riesgo al que se encuentra sometido una organizacin puede variar a lo largo del tiempo y
normalmente, suele seguir una tendencia creciente.
El proceso de evaluacin y valoracin de riesgos debe ser un proceso continuo, ya que se debe adaptar la
estrategia de seguridad de la organizacin y ubicar a la misma el umbral de riesgo residual requerido.
La teora es algo bastante fcil de entender, lo difcil llega cuando se quiere poner en prctica en una organizacin.
Hay muchas organizaciones que desconocen lo que tienen, para qu lo usan, quines lo usan o quines lo
deberan usar.
El problema se acrecienta cuanto ms grande y compleja es la organizacin. Si una empresa no conoce cuantos
activos tiene su sistema informtico, difcilmente podr abordar un anlisis de riegos. Adems, tampoco podr
ponerle valor, por lo que no sabr a que vulnerabilidades y amenaza se encuentra expuesto.
En una organizacin grande las responsabilidades suelen estar repartidas por departamentos, por lo que estos
suelen ser consiente de los activos que utiliza su departamento y por ah podemos comenzar.
Sin embargo, el responsable de departamento no es conocedor de los activos de soporte, y algo similar ocurre en
los departamentos de sistemas y comunicaciones.
Por lo que es complicado valorar algo intangible y mantenerlos razonablemente actualizados. Una vez se cumplan
los requisitos legales, la caracterstica de la Seguridad de los Sistemas de Informacin ser mucho ms fcil de
justicar su disponibilidad.
Enviar
Heledoyaceptolos
trminosdeuso
(http://isotools.hs
sites.com/avisolegal?
__hstc=75286861.4744f7c7af22b5829042b013cb348c0f.1403544155536.14049237130
(http://info.isotools.org/seguridad-de-la-informacion-gestion-de-riesgos/)
(NoRatingsYet)
2015PMGSSI