Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo

Clase 16 de 39 • Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)

Resumen

¿Cómo ubicar riesgos en un mapa de calor?

Ubicar riesgos en un mapa de calor es fundamental para la gestión efectiva de los mismos. El proceso comienza identificando los riesgos y luego asignándoles códigos únicos para una fácil identificación. Una vez definidos el impacto y la probabilidad de cada uno, se deben trasladar al mapa de calor para visualizar su posición y gravedad.

Impacto y probabilidad: Cada riesgo debe estar categorizado según su impacto y su probabilidad. Por ejemplo, un impacto crítico y una probabilidad moderada ubicaría al riesgo en un área de atención media dentro del mapa de calor.
Mapa de calor inicial e inherente: La primera imagen del mapa de calor muestra los riesgos sin control; es esencial capturar esta versión para luego compararla con el mapa residual, que incluirá las medidas de control aplicadas.

¿Cómo tratar los riesgos de forma efectiva?

El tratamiento de riesgos implica elegir y aplicar medidas que modifiquen los riesgos, no eliminarlos, pero sí alterar su impacto o probabilidad.

Mitigación: Implementar controles específicos, como bloquear puertos USB o limitar la navegación en internet, para minimizar la fuga de información.
Transferencia: Delegar la gestión del riesgo a terceros, como aseguradoras o subcontratistas, sin olvidar que los riesgos asociados a estas transferencias también requieren gestión.
Aceptación: Decidir no hacer nada ante ciertos riesgos, aunque esta decisión debe ser tomada por la alta gerencia y basada en una evaluación clara y documentada.
Evitar: Dejar de realizar una actividad específica para evitar riesgos, aunque esto es raro en la práctica organizacional.

¿Cuál es el papel del dueño del riesgo?

El dueño del riesgo es quien lleva a cabo la actividad relacionada con ese riesgo en particular. Según la ISO 31000, se define como la persona o entidad responsable de gestionar un riesgo específico. Es crucial que esta persona entienda su rol y el impacto potencial del riesgo en su área operativa.

Concienciación y capacitación: Educar a los dueños del riesgo sobre su responsabilidad es vital para asegurar una gestión efectiva.
Colaboración con tecnología: Aunque el control puede implementarse con la ayuda de tecnología, la responsabilidad última recae en el área que realiza la actividad relacionada con el riesgo.

Comprender y aplicar estos conceptos en la gestión de riesgos permitirá a las organizaciones no solo visualizar mejor sus riesgos, sino también implementar estrategias más efectivas para manejarlos. Te invito a identificar los riesgos en tu entorno laboral actual y reflexionar sobre su probabilidad e impacto. Esto te ayudará a prepararte para la próxima clase, donde profundizaremos en los controles y su papel crucial en la reducción de riesgos.

Arturo Sanchez

student•

Fernando Alberto Velasquez Aguilera

student•

gracias por el aporte

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte.

DANIEL TENOCH SANCHEZ GARCIA

student•

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte.

Lipscomb-vasquez Wanda Lee

student•

Muchas gracias por el aporte.

Noldia Chavez Cavero

student•

++Tratamiento de Riesgo++ ° Mitigar: implementando controles ° Transferir: Tercerizar ° Aceptar: no intervenir (Informar a gerencia para que asuman los riesgos) ° Evitar: dejar la actividad (El menos viable ) El Dueño del Riesgo .- Persona con la autoridad de gestionar un riesgo

David Leonardo Rodriguez Jimenez

student•

muchas gracias

Diego Fernando Ramos Aguirre

student•

Gracias por el resumen.

Marcio Andres de Jesus Martínez Vergaray

student•

hola, podrías aclararme la relación que hay entre la ISO 73:2009, La ISO 31000 , la ISO 27005 Por favor

Platzi Team

student•

ISO 73:2009: Términos y definiciones (vocabulario) en relación a la gestión del riesgo. ISO 31000: Gestión del riesgo. Principios y Directrices. ISO 27005: Gestión de riesgo y seguridad, seguridad de la información desde el punto de vista de la gestión del riesgo.

Zoraida Puerto Vásquez

student•

Tratamiento de riesgos: Mitigar: Busca reducir la probabilidad de ocurrencia del riesgo o reducir el impacto que pueda causar. .Evitar :Cambiar el plan de gestión del proyecto para eliminar la amenaza que representa un riesgo adverso, aislar los objetivos del proyecto del impacto del riesgo o disminuir el objetivo que está en peligro. .Transferir: Trasladar el impacto negativo de una amenaza y la responsabilidad del mismo a un tercero para su gestión. .Asumir: Aceptar el riesgo y las respectivas consecuencias.

David Leonardo Rodriguez Jimenez

student•

muchas gracias

Jose Luis Ramos Bernal

student•

Puertos USB abiertos de los equipos de computo, permitiran usar a cualquier usuario como caballo de troya. Facil acceso al datacenter local no cuenta con una cerradura o un control de acceso bien standarizado permitiendo el ingreso a cualquier persona

Edilson Daniel Gomez Herrera

student•

Y como se define lampoñitica de seguridad?

Bernardo Zapata Olivares

student•

Las políticas de seguridad son un conjunto de reglas, normas y protocolos de actuación que se encargan de velar por la seguridad informática de la empresa. Se trata de un plan realizado para combatir todos los riesgos a los que se expone la empresa en el Internet. De esta forma se mantendrá la empresa alejada de cualquier ataque externo peligroso. En la actualidad existe una gran cantidad de ciberdelincuencia que esta dispuesta a atacar a las empresas por sus aparatos informáticos para conseguir información valiosa que pueda permitirles realizar estafas o sacar algún beneficio. Es necesario controlar mucho más todos los aspectos relacionados con la seguridad, ya que cualquier error puede provocarles grandes problemas.

Rodrigo Andrés Gonzalez Aróstegui

student•

¿Existe una regla para poder definir las partes que son altas, medias y bajas o esto queda a criterio de quien se encuentra gestionando los riesgos? Me explico, ¿puede un encargado de riesgos establecer que un riesgo bajo en el mapa de calor solo existe cuando el impacto es “insignificante” y la probabilidad es “improbable”; el resto dejarlo como medio; y solo si la impacto es “Catastrófico” y la probabilidad “Constante”, es considerado Alto?

Emanuel Moreno Manriquez

student•

De que puede puede pero en el caso de los hospitales en Mexico CENETEC y OMS tienen clasificaciones de riesgo de los equipos donde debes basarte en sus guías para clasificar el equipo de manera interna. Si se apega a las normas y dentro de la empresa todos están de acuerdo con su sistema de gestión de riesgos, no debela haber problema.

Jeison Sneider Ruiz Zemanate

student•

TRATAMIENTO DE RIESGOS:

Proceso de selección y puesta en aplicación de medidas para modificar el riesgo.

El término “tratamiento de riesgos” se utiliza a veces para las propias medidas. El tratamiento del riesgo puede originar nuevos riesgos o modificar los riesgos existentes. (Guia ISO 73:2009) ** *Mitigar: **Implementar controles

***Transferir: **Cederlo a un tercero (Pólizas de seguro)

*Aceptar: No hacer nada (Quienes puedes tomar la decisión de aceptar los riesgos deben ser los gerentes, alta gerencia…hacer acta de aceptación como soporte de la ISO 27001)

*Evitar: Dejar de hacer la actividad

El dueño del Riesgo: Persona o entidad que tiene la responsabilidad y autoridad para gestionar un riesgo (Guía ISO 73:2009)

Fer Gz

student•

Yo no trabajo en alguna compañia, pero soy un estudiante de media superior y considero que es bueno aprender sobre la gestion de seguridad.

Pedro Richard Barzola Mucha

student•

Donde laboro existen todos los riesgos, no se aplican políticas de SI como tal

Huverney Gomez Matiz

student•

Si el servicio que yo presto de un software esta sobre la infra-estrucutura del cliente, debo contar ese servicio como un activo o ya pasa a ser directamente activo y riesgo del cliente ?

Massimo Di Berardino

student•

¡Hola @huver20! Me parece que en este caso sería activo y riesgo del cliente, ya que al ser su infraestructura él se debe encargar de la seguridad de la misma, más allá del software que tú tengas corriendo en ella.

Huverney Gomez Matiz

student•

gracias, por la aclaración.

Huverney Gomez Matiz

student•

Cuando presto un servicio web (aplicación web) a una empresa y todo esta alojado en mi datacenter, en ese caso evaluó mis riesgos y también debo aceptar o manejar los riesgos de la evaluación que haga el cliente ?

Martin Borges Nogueira

student•

Puede que esto quite tus dudas: https://www.pmg-ssi.com/2015/04/iso-27001-proteger-informacion-terceras-personas/

Huverney Gomez Matiz

student•

no mucho la verdad, pero gracias.

miguelangelbermudezbetancourt

student•

Rognark, Según entiendo dicha calificación la debes definir el profesional encargado de gestionar los riesgos, esto mediante una valoración cuantitativa rigurosa; para ello debería definir, el rango de valores que tendrá cada uno de los tipos de riesgos, que bien podría ser = Bajo de 1-3 medio de 3-6 y alto de 6-10.

Angel Beltran

student•

Hola compañero, no necesariamente, esta matriz la puede redactar y diligenciar un analista de seguridad, oficial de seguridad, etc. Pero lo que si se debe es tener como base es la guía o metodología de Gestión de Riesgos, puesto que esta es la que nos indica los valores y descripciones que se pueden indicar en la matriz, así mismo definiciones y controles

Saludos. :)

Diego Fernando Ramos Aguirre

student•

Tratamiento de riesgo

Proceso de selección y puesta en aplicacion de medidas para modificar el riesgo. El termino “tratamiento de riesgo” se utiliza a veces para las propias medidas. El tratamiento del riesgo puede originar nuevos riesgo o modificar los riesgos existentes. (Guia ISO 73:2009)

Mitigar: implementando controles
Transferir: Tercerizar
Aceptar: no intervenir (Informar a gerencia para que asuman los riesgos)
Evitar: dejar la actividad (El menos viable )

El Dueño del Riesgo Persona o entidad que tiene la responsabilidad y la autoridad para gestionar un riesgo. (Guia ISO 73:2009)

Edwin Absalón Martinez Moreno

student•

Tratamiento de riesgos

Proceso de selección y puesta en aplicación de medidas para modificar el riesgo. El término "tratamiento de riesgos" se utiliza a veces para las propias medidas. El tratamiento del riesgo puede originar nuevos riesgos o modificar los riesgos existentes. Guía ISO 73:2009

● Mitigar ○ Implementar controles ● Transferir ○ Cederlo a un tercero ● Aceptar ○ No hacer nada ● Evitar ○ Dejar de hacer la actividad

El dueño del riesgo

Persona o entidad que tiene la responsabilidad y autoridad para gestionar un riesgo. [Guía ISO 73:2009] Prácticamente l que maneja esa área

Anthony Yoel Matheus García

student•

Pobre de mi cerebro jajaja

Gianlucas Pierre Echevarria Canchari

student•

Un riesgo ya materializado en el área es el uso del Protocolo SMB01 para la utilización de un file server antiguo donde aún respaldan información. Los riesgos inherentes a este son las vulnerabilidades del mismo al ser un puerto inseguro del cual agentes maliciosos pueden suponer ventaja, la desactivación del mismo y el traslado de toda esta información supone una manera de poder mitigar el riesgo.

Carlos Alonso Rivas Vega

student•

Estimado buenas tardes, tengo una duda con respecto a este tema que mencionas respecto al protocolo SMB1, tengo un software que realiza la labor de gestor de parches de seguridad la cual yo administro y uno de los requisitos para que el equipo microinformático deba ser escaneado en su totalidad pide que el protocolo SMB1 deba estar habilitado tanto en el Servidor donde esta alojado este programa como en los equipos clientes, de lo contrario la herramienta no funcionaria( es uno de los protocolos requisitos) . Hace unas semanas Microsoft lanzo un boletín de seguridad indicando que se bloquee este puerto ya que presenta lo que tu mencionas, ante ello yo que puedo hacer por que como vez es necesario para que la herramienta funcione de forma correcta, la única labor que hice fue informar a jefatura sobre que dicho protocolo no se podrá bloquear por tal y tal motivo.

Nicolás Oscar Llorente

student•

Que sucede cuando a un riesgo se lo puede tratar de diferentes maneras? Se opta por aquella que lo minimice más o se describen todas las opciones?

Emanuel Moreno Manriquez

student•

Yo lo clasificaría como el peor de los casos, si en el peor de los casos tiene riesgo 4 y en otro de 2 lo considero como que siempre sera 4 a no ser que sea riesgo 4 en el departamento A y riesgo 2 en el departamento B en ese caso lo separaría por áreas.

Marcia Castro Moya

student•

Un riesgo puede tener varios controles, según su criticidad es posible que existan riesgos que necesiten mas de un control, por ejemplo, puedes tener un seguro, y aún así poner barreras físicas, encriptación de información u otras. Lo que se debe tener en cuenta es que cada control implica utilización de recursos, sea dinero, horas de trabajo. También se debe tener en cuenta que no se deben tener tantos controles que paralicen la operación.

Usuario anónimo

user•

-fuga de información valiosa en términos de producción y diseño exclusivo de la empresa. -robo de información de bases de datos sobre información personal de empleados -paralización total de la producción por medio de ataques de ingeniería social al personal debido a falta de consientizacion y educación sobre peligros de Internet.