GESTIÓN RIESGOS

INFORMATICOS
Unidad 2: Herramientas para la gestión del riesgo
Semana 5:
• 2.1 Análisis de riesgos, matriz de riesgos (matriz de calor)
• 2.2 Definición de controles. Control vs riesgo, importancia
de los controles
Video
Logro
Al finalizar la unidad el estudiante:

Al finalizar la unidad, el participante analiza y comprende la

utilidad y el alcance de las herramientas para la gestión de
riesgos, define controles y la importancia de contar con un
plan de continuidad delnegocio.

Importancia
El uso de las herramientas para la gestión de riesgos, el definir
controles y contar con un plan de continuidad del negocio,
resultan primordiales para una Gestión de Riesgos efectiva.
 Contenido general

• Análisis de riesgos, matriz de riesgos

• Definición de controles. Control vs riesgo,

importancia de
los controles
Análisis de riesgos, matriz de riesgos
¿Qué nivel de seguridad
requieren las
organizaciones?

https://www.redperuhosting.com/aumenta-nivel-seguridad-cuenta-google/
Titulo del tema
Un negocio debe hacer frente al análisis y valoraciónde
riesgos a los que está expuesto.

Aplicando las distintas metodologías, podremos delimitar :

Las áreas que deben serprotegidas.

El impacto económico y laprobabilidad

realista de que ocurra un incidente de
seguridad.
Titulo del tema
Análisis y valoración de riesgos, debe ser proporcional al
riesgo y a los recursos económicos y humanos disponibles.

Ejemplo:

Servidor con información de bajo valor y se

accede al ambiente físico usando un lector de
retina y el acceso físico al servidor es con la
huella digital .

¿Te parece correcto?

Análisis y valoración deriesgos
1.Analizar el Inventario
de activos TIC. Si esmuy 2. Identificar las
extenso, debe hacer el amenazas que afectena
análisis sobre losactivos los activos TIC
más críticos.

3. Luego valorizar, es
4. Identificar las decir el impacto
vulnerabilidades delos económicoconsiderando
activos TIC. que las amenazas se
materializan.

6. Tomaracciones
5. Analizar loscontroles
correctivas y/o
actuales de losactivos preventivas(Nuevos
TIC.
controles).
Análisis y Valoración de riesgosTI

4.Controles
1.Inventario 3.Vulnerabili existentes y
2.Amenazas
deActivos dades nuevos
controles
Análisis Nivel de
riesgo riesgo
Resultado del …Proporciona
Análisis de el Nivel de
Riesgo… Riesgo
existente.
Metodologías análisis del riesgo

MAGERIT

ISO 27005

OCTAVE

NIST SP
800 30

PMBOK
 ISO 27005

Está diseñada para ayudar a la

Establece las directrices para aplicación satisfactoria de la
la gestión del riesgo en la seguridad de la información
seguridad de la información. basada en un enfoque de
gestión de riesgos.

Es aplicable a todo tipo de

organizaciones (por ejemplo,
empresas comerciales,
agencias gubernamentales,
organizaciones sin fines de
lucro)

El original en inglés puede adquirirse en ISO.org.

 ISO 27000 ISO 27005
Marco de Proporciona las
gestión de la directrices para
seguridad de la la gestión del
información riesgo en la
(SGSI) seguridad de la
información.
Contenido - ISO 27005

 Fundamentos del proceso de gestión de riesgos

 Cómo evaluar y tratar los riesgos de seguridad de la
información.

 Evaluación de riesgos
 Tratamiento de riesgos
 Aceptación del riesgo
 Comunicación del riesgo
 Monitorización y revisión delriesgo
Grupos de procesos de Gestión de Riesgos- PMBOK

3y4.Análisis cuantitativo
y cualitativo de los
1. Desarrollar el Plan de 2. Identificación de los
riesgos (actualizar el
gestión de riesgos riesgos para su registro.
registro, impacto,
probabilidad, prioridad)

5. Planificación de
6.Monitoreo y control de respuestas a los riesgos
riesgos (nuevos riesgos y (estrategia, propietario,
efectividad del proceso plan contingencia,
de GR) riesgos residuales)
Gestión del Riesgo del Proyecto-
PMBOK

Plan de Gestión del

Riesgo es un plan
subsidiario al de
Dirección del proyecto
Matriz de Riesgos -PMBOK

Técnicas
Entradas Identificación, Salidas
Cronograma, categorización,
análisis y Matriz de
presupuesto,
cuantificación riesgos
información
riesgos
Procesos: Matriz de riesgos -PMBOK

Planificar Identificación
Gestión Riesgos riesgos

Cuantificar los
Clasificar riesgos
riesgos

Acciones alos
riesgos
Matriz de Riesgos -PMBOK
 Definición de controles.
Control vs riesgo, importancia de loscontroles
¿Qué podemos
hacer con el
riesgo?

1.Controlar y mitigar
para reducirlo

2.Asumirlo y no hacer
nada (económico) o
Transferirlo (Terceros)
ISO 27000
27002.
27001. Guía que
Requisitos del sistema de describe los objetivos de
gestión de seguridad de la control en cuanto a
información seguridad
de la información.

27004
Especifica las métricas y las
técnicas de medida para
determinar
la eficacia de un SGSI
27003
Guía de implementación de
SGSI con el uso del
modelo PDCA

27005
Establece las directrices
para la
gestión del riesgo en la
seguridad de la información.
ISO 27002
Tiene:

 39 objetivos de control
 133 controles (acciones,
documentos y medidas técnicas a
adoptar) agrupados en…
 11 dominios (áreas funcionales de
seguridad).
Ejemplo

Dominio: Aspectos
organizativos de la
Seguridad de la Información

Objetivo de Control:
Objetivo de Control: Organización de la
Organización Interna seguridad Terceros

Control: Acuerdos de Control: Perfil y rol

Confidencialidad respectivo
Control medidas deseguridad

Orientadas a
mitigar los riesgos
encontrados en el
análisis de riesgos.
Controles - Consideraciones

Coste Control VSCoste

Impacto (valor activo)

Necesidad de
disponibilidad del
control

Controles existentes

Coste implantación y
mantenimiento
(recursos) del control
(automatizar)
Controles - Implantación

Control implantados deben ser revisados

frecuentemente para ver su funcionamiento.

La verificación está a cargo del propietario del

activo.

Auditorias TI externas y/o internas

(incidencias).

Uso de objetivos e indicadores para loscontroles.

 Control TI Riesgo TI
Medidas de Es la
seguridad probabilidad que
orientadas a ocurra un
mitigar los incidente de
riesgos producto seguridad.
del análisis de
riesgos.
Control - Importancia

Los controles o medidas de

seguridad, son importantes
pues con ellos podemos
mitigar los riesgos
encontrados en el análisis
de riesgos.
 Actividad Grupal 05
Actividad grupal 5: Sobre el Análisis de Riesgos,
responder:
• Analice y comente lo más resaltante de la lectura de
la sección virtual anterior.
• ¿Qué áreas en la empresa donde labora, consideraría
que deben ser protegidas con mayor prioridad?
 Conclusiones
Se explicaron diferentes herramientas para la gestión de riesgos:

• La matriz de riesgos

• El uso de controles

Para el análisis de riesgos y obtener la matriz de riesgos, es

importante tipificar y clasificar los riesgos.

Los controles son de vital importancia para mitigar los riesgos

 Gracias
Docente: