Metodología de evaluación de riesgos ISO27001

1

Estoy en el proceso de definir una metodología de evaluación de riesgos para una empresa que quisiera estar alineada con la norma ISO 27001. La norma establece claramente que el objetivo es la protección de la CIA (confidencialidad, integridad, disponibilidad).

¿Tengo en mi metodología de riesgos el puntaje de las consecuencias para cada activo / proceso en comparación con la confidencialidad, integridad y disponibilidad por separado o es suficiente para otorgar un puntaje único para cada activo / proceso? En la mayoría de las herramientas aprobadas tengo el tratamiento de un solo puntaje por las consecuencias.

¿Está NO puntuando las consecuencias de forma independiente para cada uno de los miembros de la CIA? ¿El enfoque correcto?

    
pregunta Hashed_Then_Encrypted 20.10.2016 - 16:53
fuente

2 respuestas

1

No, no es necesario que califique cada área de control en C.I. &erio; A. Una puntuación para el estado general del elemento de control en la organización es suficiente. Una sola puntuación en cada área también reduce la confusión. En última instancia, la decisión sobre cómo se llevará a cabo la evaluación es parte de la cláusula en 6.1.2. Vea abajo para información adicional.

  

Hay muchos mitos sobre qué aspecto debería tener la evaluación de riesgos   Me gusta, pero en realidad ISO 27001: 2013 los requisitos no son muy   difícil - aquí está lo que requiere la cláusula 6.1.2:

     

1) Defina cómo identificar los riesgos que podrían causar la pérdida de   confidencialidad, integridad y / o disponibilidad de su información

     

2) Defina cómo identificar a los propietarios de riesgos

     

3) Defina los criterios para evaluar las consecuencias y evaluar los   probabilidad de riesgo

     

4) Defina cómo se calculará el riesgo

     

5) Defina criterios para aceptar riesgos

     

Básicamente, es necesario definir estos 5 elementos, lo que sea menos   no será suficiente, pero lo más importante es que no se necesita nada más,   lo que significa: no compliques demasiado las cosas.

SOURCE Nota: No consideraría esto tipo definitivo pero resume lo que habría dicho bastante bien.

    
respondido por el HashHazard 20.10.2016 - 17:29
fuente
0

No estoy muy familiarizado con la norma ISO 27001, pero sé cómo piensan los autores de CISSP al respecto. Sugieren métodos cualitativos y cuantitativos para la evaluación de riesgos. El resultado es una lista de prioridades y (creo) un valor monetario para cada activo. La CIA no desempeña un papel importante en esta ecuación (según CISSP) y creo que eso es correcto, como lo demuestra el siguiente ejemplo:

Digamos que la vulnerabilidad es el hecho de que los empleados son propensos a los ataques de ingeniería social y la amenaza es el ransomware. Supongamos además que las personas de recursos humanos son las más expuestas a esto. El análisis muestra que si el ransomware cifrara el cuadro local, no se propagaría en los servidores de archivos y usted tendría copias de seguridad de las máquinas locales. Usted cuantifica el esfuerzo de restauración en la suma X y la pérdida de trabajo desde el último punto de copia de seguridad hasta el momento en que se produjo el ataque por Y en promedio. Entonces, la expectativa de pérdida única es (X + Y) * # (empleados de recursos humanos) * (probabilidad de que esto ocurra). Ninguno de los miembros de la CIA está realmente afectado (su departamento de recursos humanos permanece operativo), pero tiene una buena cifra del riesgo en términos monetarios.

Descargo de responsabilidad: por supuesto, estoy simplificando, omití las consideraciones cualitativas, las amenazas a los departamentos técnicos y de operaciones asf, pero creo que entiendes mi punto.

    
respondido por el kaidentity 20.10.2016 - 17:37
fuente

Lea otras preguntas en las etiquetas