Riesgos en la Organización

Universidad Tecnológica del PerúIngeniería Seguridad y Auditoría Informática

Estudio de Implementación de controles adicionales de prevención.

Gestión de la Continuidad y DRP I

23 de julio de 2015

Bibliografía

ISO (2005). ISO27001

ISO (2010). ISO27031

ISO (2012). ISO22301

Relación entre la Seguridad de Información y Continuidad de Negocios

Dominio 14ISO 27001:2005

Control:

A.14.1.2. Continuidad de Negocio y Evaluación de RiesgosLos eventos que pueden causar interrupciones a los procesos de negocio deben ser identificados, junto con la probabilidad e impacto de dichas interrupciones y sus consecuencias para la seguridad de información.

¿Porqué conducir una Evaluación de Riesgos?

El propósito de la evaluación de riegos es:- Priorizar la planificación y la asignación de recursos- Identificar y Mitigar las exposiciones- Identificar las amenazas, riesgos y vulnerabilidades en la “cadena

de desastres”

Riesgos vs Continuidad

Están muy relacionados pero no significan lo mismo

Riesgos se enfocan en la prevención (ANTES)

Continuidad se focaliza en la preparación (ANTES)

Guía de Implementación (ISO 27002)

A.14.1.2. Continuidad de Negocio y Evaluación de Riesgos

El estudio para la continuidad del negocio debería empezar por:

a) La identificación de los eventos (o secuencia de eventos) que pueden causar interrupciones en los procesos de negocio, por ejemplo, una falla del equipo, una inundación o un incendio.

Terminología de Riesgos

Amenaza: Aquello que causa el evento. Por ejm. virus, hacking, terremotos, incendios

Componente: Elemento del negocio cuya indisponibilidad afectaría la continuidad de las operaciones

.

Terminología de Riesgos

Vulnerabilidad: Riesgo no controlado. Es una debilidad de un bien o de un control, que puede ser aprovechada por una amenaza. Ejm. Protocolo de e.mail, zero-day, ingeniería social, falta de rociadores automáticos hacen un edificio más vulnerable a los incendios

Probabilidad: frecuencia con que el evento se presenta o posibilidad de ocurrencia de la amenaza.

Riesgo: El potencial de pérdida en caso que la amenaza se vuelva tangible o que aproveche una vulnerabilidad. Ejm. Posible Pérdida de instalaciones; posible pérdida de información confidencial.

Impacto: Es el nivel de afectación de los componentes o consecuencia final del riesgo, por ejm. suspensión de las actividades, pérdida de clientes.

Control: medida preventiva o correctiva que reduce (pero no elimina) la amenaza o el riesgo.

Terminología de Riesgos

Identificación de Amenazas

Existen amenazas diferentes dependiendo del “contexto”Las amenazas se identifican a partir de las más globales:

A nivel mundial: ejm. PandemiaA nivel continental: ejm. HuracanesA nivel región: ejm. Inundaciones A nivel país: ejm. TerremotoA nivel localidad: ejm. VandalismoA nivel edificio: ejm. Incendio

Las amenazas se identifican con las de la industria o especificas al área:A nivel industria: ejm. congestión de servicioA nivel empresa: ejm. huelgasA nivel área: ejm. sabotaje por empleados descontentosA nivel técnico: ejm. servidores informáticos sin seguridad

Es clave la participación de los especialistas en los procesos del negocio.

Tipos de Amenazas

Amenazas Naturales:HuracanesTerremotosInundacionesHuaycosHeladas

Amenazas Humanas:Accidentes aéreosProtestas, VandalismoIncendios

Amenazas TecnológicasDenegación de ServiciosCorreos no deseadosSabotajeDaño de la infraestructura

Guía de Implementación (ISO 27002)

A.14.1.2. Continuidad de Negocio y Evaluación de Riesgosb) Se debería continuar con una evaluación del riesgo para determinar la probabilidad e impacto de dichas interrupciones (en términos tanto de escala de daños como de periodo de recuperación).

Considerar- Participación de los propietarios de los recursos y procesos de negocio. - Considerar todos los procesos del negocio sin limitarse a los dispositivos informáticos, pero debe incluir los resultados específicos para la seguridad de información. Es importante vincular los diferentes aspectos de riesgos para obtener una figura completa de los requerimientos de continuidad de negocio de la organización. - Debe identificar, cuantificar y priorizar los riesgos contra criterios y objetivos relevantes para la organización incluyendo recursos críticos, impactos de las interrupciones, tiempos permisibles de interrupción y prioridades de recuperación.

Análisis de Riesgos

Clasificar riesgos y amenazasBajo el control de la empresaMás allá del control de la empresaCon aviso previoSin aviso previo

Declaración de Riesgo: CualitativoCuantitativo

Evaluar el impacto de los riesgos y amenazas en las funciones críticas del negocio.

Guía de Implementación (ISO 27002)

A.14.1.2. Continuidad de Negocio y Evaluación de Riesgos

3.- Se debería desarrollar un plan estratégico para determinar un enfoque global de la continuidad del negocio a partir de los resultados de la evaluación del riesgo.

4.- Una vez creada la estrategia, la gerencia deberá respaldarla y crear un plan para implementar dicha estrategia.