Está en la página 1de 18

NTP-27005:2009 1era Edicin Gestin del Riesgo en Seguridad de la Informacin La Norma Tcnica Peruana NTP-27005:2009, contiene recomendaciones y directrices

s generales para la gestin de riesgos en sistemas de seguridad de la Informacin; esta basada en la ISO/IEC 27005, la misma que forma parte de la familia de normas de ISO/IEC 27000. La NTP-27005:2009 esta alineada a la NTP-27001:2009 y est diseada como soporte para aplicar satisfactoriamente un SGSI basado en un enfoque de gestin de riesgos. Los riesgos hoy en da se encuentran inmersos en todas las actividades de la organizacin. Es as que encontramos producto de eventos externos (legales, polticos, criminales, outsourcing, fallas en los servicios pblicos, etc.), riesgos operativos (ocasionado por las personas), riesgos en procesos, riesgos de tecnologa. Estos mismos riesgos son la principal herramienta para cubrir los requisitos de
seguridad.

A continuacin se menciona brevemente los principales aspectos que menciona la norma NTP 27005. Gestin del Riesgos en Seguridad de la Informacin

ESTABLECIMIENTO DEL CONTEXTO: El punto inicial es establecer el contexto sobre el cual se va llevar a cabo la gestin del riesgo de la seguridad de la informacin; para lo cual se deber de agenciarse de toda la documentacin necesaria de la organizacin esta documentacin puede incluir registros vitales (procedimientos, polticas, reglamentos, etc.).
Establecer el contexto implica, definir los criterios bsicos que son necesarios y definir cual es el propsito de la Gestin del Riesgo de la Seguridad de la Informacin. El propsito puede ser para: Apoyar o dar soporte a un SGSI; Aplicar la ley y evidenciar diligencia debida; Preparar un plan para la continuidad del negocio; Preparar un plan de respuesta a incidentes; Describir los requisitos de seguridad de la informacin para un producto, un servicio o un mecanismo. Es aconsejable seleccionar o desarrollar un enfoque adecuado para la gestin del riesgo que aborde los criterios bsicos tales como: criterios de evaluacin del riesgo, criterios de impacto, criterios de aceptacin del riesgo. Adems, la organizacin debera evaluar si los recursos necesarios estn o no disponibles para: Realizar una evaluacin del riesgo y establecer un plan de tratamiento para el riesgo; Definir e implementar las polticas y los procedimientos, que incluyan la implementacin de los controles seleccionados; Monitorear los controles ; Monitorear los procesos de gestin del riesgo en la seguridad de la informacin. El establecimiento del contexto debe definir un alcance y un lmite de la gestin del riesgo en la seguridad de la informacin, con el fin de garantizar que todos los activos relevantes se toman en consideracin en la valoracin del riesgo. El alcance y lmite debe basarse en la misin, sus valores, su estructura y su estrategia, sus lugares y el medio ambiente cultural; tambin debe considerarse las limitaciones presupuestarias, culturales, polticas y tcnicas. Se recomienda establecer y mantener la organizacin, roles y las responsabilidades en el proceso de gestin del riesgo y la seguridad de la informacin como por ejemplo: Desarrollar el proceso de gestin del riesgo en la seguridad de la informacin que sea adecuado para la organizacin. Identificar y analizar las partes interesadas. Definir las funciones y las responsabilidades de todas las partes, tanto internas como externas, de la organizacin. Establecer las relaciones necesarias entre la organizacin y las partes interesadas, as como las interfaces con las funciones de la gestin del riesgo de alto nivel de la organizacin (por ejemplo, gestin del riesgo operativo), y las interfaces con otros proyectos o actividades relevantes. Definir las rutas para escalar decisiones. Especificar los registros que se deben conservar.

EVALUACION DEL RIESGO EN SEGURIDAD DE LA INFORMACION


Consta de un Anlisis de Riesgos y Evaluacin del Riesgo. El Anlisis del Riesgo Es un proceso que consiste en:

Identificar los Riesgos, consta de la identificacin de los activos a proteger dentro del contexto, la asignacin del propietario del activo, Identificacin de las amenazas, identificacin de los controles existentes, identificacin de las vulnerabilidades y la identificacin de las consecuencias. Estimacin del Riesgo, en base a metodologas, las cuales pueden ser cualitativa o cuantitativa, o una combinacin de ellas, dependiendo de las circunstancias. La estimacin se basa en evaluacin de las consecuencias, probabilidad de incidentes, nivel de estimacin del riesgo. La Evaluacin del Riesgo Consiste en comparar los niveles de riesgo frente a los criterios para la evaluacin del riesgo y sus criterios de aceptacin.

TRATAMIENTO DEL RIESGO


La organizacin adopta en base a la evaluacin realizada del riesgo el tratamiento aplicado al activo de informacin, este puede clasificar como una de las siguientes opciones: Reducir el riesgo: Aplicar controles para disminuir la probabilidad de ocurrencia o el impacto sobre el activo Aceptar el riesgo: En el caso de que el control sea ms costoso que el activo a proteger. Evitar el riesgo: Cuando se decide cancelar procesos o actividades que generan un riesgo alto. Transferir el riesgo: Cuando se administra a travs de terceros.

ACEPTACIN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN


En el caso se opte como un tratamiento del riesgo el Aceptar, esta decisin debe ser documentada y registrada por Alta Direccin.

COMUNICACIN DE LOS RIESGOS


La informacin acerca del riesgo se debera intercambiar y/o compartir entre la persona que toma la decisin y las otras partes involucradas.

MONITOREO Y REVISIN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN


Los riesgos y sus factores deben ser peridicamente revisado y la informacin que resulte de las revisiones debe servir como insumo para las siguientes iteraciones del Sistema.

En esta seccin se detalla un resumen de la Norma NTP 27005:2009 y se muestra una estructura similar a la misma.

3. TRMINOS Y DEFINICIONES: a) Impacto: Cambio adverso en el nivel de los objetivos del negocio logrados. b) Riesgo en la seguridad de la informacin: Potencial de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando as dao a la organizacin. c) NOTA: Se mide en trminos de una combinacin de la probabilidad de que suceda un evento y sus consecuencias. d) Evitacin del riesgo: Decisin de no involucrarse en una situacin de riesgo o tomar accin para retirarse de dicha situacin e) Comunicacin del riesgo: Intercambiar o compartir la informacin acerca del riesgo entre la persona que toma la decisin y otras partes interesadas. f) Estimacin del riesgo: Proceso para asignar valores a la probabilidad y las consecuencias de un riesgo. NOTA 1: En el contexto de esta norma, el trmino "actividad" se utiliza en lugar del trmino "proceso" para la estimacin del riesgo. NOTA 2: En el contexto de esta norma, el trmino "posibilidad" se utiliza en lugar del trmino "probabilidad" para la estimacin del riesgo.

g) Identificacin del riesgo: Proceso para encontrar, listar y caracterizar los elementos de riesgo. NOTA: En el contexto de esta norma, el trmino "actividad" se utiliza en lugar del trmino "proceso" para la identificacin del riesgo. h) Reduccin del riesgo: Acciones que se toman para disminuir la probabilidad las consecuencias negativas, o ambas, asociadas con un riesgo. NOTA: En el contexto de esta norma, el trmino "posibilidad" se utiliza en lugar del trmino "probabilidad" para la reduccin del riesgo. i) Retencin del riesgo: Aceptacin de la prdida o ganancia proveniente de un riesgo particular. NOTA: En el contexto de los riesgos en la seguridad de la informacin, nicamente se consideran las consecuencias negativas (prdidas) para la retencin del riesgo. Transferencia del riesgo: Compartir con otra de las partes la prdida o la ganancia de un riesgo. NOTA: En el contexto de los riesgos en la seguridad de la informacin, nicamente se consideran las consecuencias negativas (prdidas) para la transferencia del riesgo.

j)

4. ESTRUCTURA DE ESTA NORMA TCNICA PERUANA Informacin sobre los antecedentes (Captulo 5) Vista panormica del proceso de gestin del riesgo en Seguridad de Informacin (Captulo 6) Evaluacin del riesgo (Captulo 8) Tratamiento del riesgo (Captulo 9) Aceptacin del riesgo (Captulo 10) Comunicacin del riesgo (Captulo 11) Monitoreo y revisin del riesgo (Captulo 12)

5. BASES Es necesario un enfoque sistemtico para la gestin del riesgo en la seguridad de la informacin para identificar las necesidades de la organizacin con respecto a los requisitos de seguridad de la informacin y para crear un sistema de gestin de la seguridad de la informacin (SGSI) eficaz. Este enfoque debera ser adecuado para el entorno de la organizacin y, en particular, debera cumplir los lineamientos de toda la gestin del riesgo en la empresa. Los esfuerzos de seguridad deberan abordar los riesgos de una manera eficaz y oportuna donde y cuando sean necesarios. La gestin del riesgo en la seguridad de la informacin debera ser una parte integral de todas las actividades de gestin de seguridad de la informacin y se deberan aplicar tanto a la implementacin como al funcionamiento continuo de un SGSI. La gestin del riesgo en la seguridad de la informacin debera ser un proceso continuo. Tal proceso debera establecer el contexto, evaluar los riesgos, tratar los riesgos utilizando un plan de tratamiento para implementar las recomendaciones y decisiones. La gestin del riesgo analiza lo que puede suceder y cules pueden ser las posibles consecuencias, antes de decidir lo que se debera hacer y cuando hacerlo, con el fin de reducir el riesgo hasta un nivel aceptable. La gestin del riesgo en la seguridad de la informacin debera contribuir a: La identificacin de los riesgos; La evaluacin de los riesgos en trminos de sus consecuencias para el negocio y la probabilidad de su ocurrencia; La comunicacin y entendimiento de la probabilidad y las consecuencias de estos riesgos; El establecimiento del orden de prioridad para el tratamiento de los riesgos;- La priorizacin de las acciones para reducir la ocurrencia de los riesgos; La participacin de los interesados cuando se toman las decisiones sobre gestin del riesgo y mantenerlos informados sobre el estado de la gestin del riesgo; La eficacia del monitoreo del tratamiento del riesgo; El monitoreo y revisin con regularidad del riesgo y los procesos de gestin de riesgos; La captura de informacin para mejorar el enfoque de la gestin de riesgos; La educacin de los directores y del personal acerca de los riesgos y las acciones que se toman para mitigarlos.

6. VISIN GENERAL DEL PROCESO DE GESTIN DEL RIESGO EN LASEGURIDAD DE LA INFORMACIN El proceso de gestin del riesgo en la seguridad de la informacin consta: El establecimiento del contexto. (Numeral 7 de la norma)

Evaluacin del riesgo. (Numeral 8 de la norma) Tratamiento del riesgo (Numeral 9 de la norma) Aceptacin del riesgo (Numeral 10 de la norma) Comunicacin del riesgo (Numeral 11 de la norma) Monitoreo y revisin del riesgo (Numeral 12 de la norma)

Figura 1. Proceso de gestin del riesgo en la seguridad de la informacin

Tabla 1. Alineamiento del SGSI y el proceso de Gestin del Riesgo en la Seguridad de la Informacin Proceso del SGSI Proceso de gestin del riesgo en la seguridad de la informacin

7. Establecimiento del Contexto 7.1 Consideraciones Generales Entrada: Toda la informacin acerca de la organizacin que es pertinente para establecer el contexto de la gestin del riesgo en la seguridad de la informacin. Accin: Se debera establecer el contexto para la gestin del riesgo en la seguridad de la informacin, lo cual implica establecer los criterios bsicos que son necesarios para la gestin del riesgo de la seguridad de la informacin (vase el numeral 7.2 de la norma), definir el alcance y los lmites (vase el numeral 7.3 de la norma) y establecer una organizacin adecuada que opere la gestin del riesgo la seguridad de la informacin (vase el numeral 7.4 de la norma).
NOTA La norma ISO/IEC 27001 no utiliza el trmino "contexto". Sin embargo, todo el numeral 7 de esta norma se relaciona con los requisitos de "definir el alcance y los lmites del SGSI [(vase el numeral 4.2.1 a)], "definir la poltica de un SGSI" [(vase el numeral 4.2.1 b)] y "definir el enfoque para la evaluacin del riesgo" [(vase el numeral 4.2.1 c)] que se especifican en la norma ISO/IEC 27001.

Salida: Especificacin de los criterios bsicos, alcance y lmites, y organizacin del proceso de gestin del riesgo en la seguridad de la informacin.
Es esencial determinar el propsito de la gestin de riesgo en la seguridad de la informacin, ya que esto afecta el proceso general y la determinacin del contexto en particular. Este propsito puede ser: Apoyar o dar soporte a un SGSI; Aplicar la ley y evidenciar diligencia debida; Preparar un plan para la continuidad del negocio; Preparar un plan de respuesta a incidentes; Describir los requisitos de seguridad de la informacin para un producto, un servicio o un mecanismo.

7.2 Criterios Bsicos Dependiendo del alcance y los objetivos de la gestin del riesgo, se pueden aplicar diferentes enfoques. El enfoque tambin podra ser diferente para cada iteracin. Es aconsejable seleccionar o desarrollar un enfoque adecuado para la gestin del riesgo que aborde los criterios bsicos tales como: criterios de evaluacin del riesgo, criterios de impacto, criterios de aceptacin del riesgo. Adems, la organizacin debera evaluar si los recursos necesarios estn o no disponibles para: Realizar una evaluacin del riesgo y establecer un plan de tratamiento para el riesgo; Definir e implementar las polticas y los procedimientos, que incluyan la implementacin de los controles seleccionados; Monitorear los controles ; Monitorear los procesos de gestin del riesgo en la seguridad de la informacin.
NOTA Vase tambin la norma ISO/IEC 27001 (numeral 5.2.1) con relacin a la provisin de los recursos para la implementacin y el funcionamiento de un SGSI.

Criterios de evaluacin del riesgo Se recomienda desarrollar criterios para la evaluacin del riesgo con el fin de determinar el riesgo en la seguridad de la informacin de la organizacin, teniendo en cuenta los siguientes aspectos: El valor estratgico del proceso de informacin del negocio; La criticidad de los activos de informacin involucrados;

Los requisitos legales y reglamentarios, as como las obligaciones contractuales; La importancia de la disponibilidad, confidencialidad e integridad para las operaciones y el negocio. Las expectativas y percepciones de las partes interesadas y las consecuencias negativas para el buen nombre y la reputacin. De igual modo, los criterios de evaluacin del riesgo se pueden utilizar para especificar las prioridades para el tratamiento del riesgo. Criterios de Impacto Es recomendable desarrollar criterios de impacto del riesgo y especificarlos en trminos del grado de dao o de los costos para la organizacin, causados por un evento de seguridad de la informacin, considerando los siguientes aspectos: Nivel de clasificacin de los activos de informacin impactados; Brechas en la seguridad de la informacin (por ejemplo, prdida de confidencialidad, integridad y disponibilidad); Operaciones deterioradas (partes internas o terceras partes); Prdida del negocio y del valor financiero; Alteracin de planes y fechas lmites; Daos para la reputacin; Incumplimiento de los requisitos legales, reglamentarios o contractuales.
NOTA Vase tambin la norma ISO/IEC 27001 [numeral 4.2.1 d) 4] con respecto a la identificacin de los criterios del impacto para las prdidas de confidencialidad, integridad y disponibilidad.

Criterios de la aceptacin del riesgo Es recomendable desarrollar y especificar criterios de aceptacin del riesgo. Estos criterios dependen con frecuencia de las polticas, metas, objetivos de la organizacin y de las partes interesadas. La organizacin debera definir sus propias escalas para los niveles de aceptacin del riesgo. Durante el desarrollo, se deberan considerar los siguientes aspectos: Los criterios de aceptacin del riesgo pueden incluir umbrales mltiples, con una meta de nivel de riesgo deseable, pero con disposiciones para que la alta direccin acepte los riesgos por encima de este nivel, en circunstancias definidas; Los criterios de aceptacin del riesgo se pueden expresar como la relacin entre el beneficio estimado (u otros beneficios del negocio) y el riesgo estimado; Los diferentes criterios de aceptacin del riesgo se pueden aplicar a diferentes clases de riesgos, por ejemplo los riesgos que podran resultar en incumplimiento con reglamentos o leyes, podran no ser aceptados, aunque se puede permitir la aceptacin de riesgos altos, si esto se especifica como un requisito contractual; Los criterios de aceptacin del riesgo pueden incluir requisitos para tratamiento adicional en el futuro, por ejemplo se puede aceptar un riesgo si existe aprobacin y compromiso para ejecutar acciones que reduzcan dicho riesgo hasta un nivel aceptable en un periodo definido de tiempo. Los criterios de aceptacin del riesgo pueden diferir de acuerdo con la expectativa de duracin que se tenga del riesgo, por ejemplo el riesgo puede estar asociado con una actividad temporal o de corto plazo. Los criterios de aceptacin del riesgo se deberan establecer considerando los siguientes elementos: Criterios del negocio; Aspectos legales y reglamentarios; Operaciones; Tecnologa;

Finanzas; Factores sociales y humanitarios.


NOTA Los criterios de aceptacin del riesgo corresponden a "los criterios para aceptar riesgos e identificar el nivel aceptable del riesgo" que se especifican en la norma ISO/IEC 27001, numeral 4.2.1 c) 2).

7.3 El Alcance y los Lmites La organizacin debera definir el alcance y los lmites de la gestin del riesgo de la seguridad de la informacin. Es necesario definir el alcance del proceso de gestin del riesgo en la seguridad de la informacin, con el fin de garantizar que todos los activos relevantes se toman en consideracin en la valoracin del riesgo. Adems, es necesario identificar los lmites (vase tambin la norma ISO/IEC 27001, numeral 4.2.1 a) para abordar aquellos riesgos que se pueden presentar al establecer estos lmites. Establecer el alcance y los lmites, la organizacin debera ser estudiado: su misin, sus valores, su estructura y su estrategia, sus lugares y el medio ambiente cultural. Las limitaciones (presupuestarias, culturales, polticos, tcnicos) de la organizacin deben ser recogidos y documentados como gua para los pasos a seguir. Adems, la organizacin debera suministrar la justificacin para cualquier exclusin de este alcance. Los ejemplos del alcance de la gestin del riesgo pueden ser una aplicacin de tecnologa de la informacin, infraestructura de tecnologa de la informacin, un proceso del negocio o una parte definida de una organizacin.
NOTA El alcance y los lmites de la gestin del riesgo en la seguridad de la informacin se relacionan con el alcance y los lmites del SGSI que se exigen en la norma NTC-ISO/IEC 27001, 4.2.1 a).

7.4 Organizacin para la gestin del riesgo en la Seguridad de la Informacin Se recomienda establecer y mantener la organizacin y las responsabilidades en el proceso de gestin del riesgo y la seguridad de la informacin. Esta organizacin para la gestin del riesgo, debera ser aprobada por los directores correspondientes de la entidad.
NOTA La norma NTC-ISO/IEC 27001 exige la determinacin y el suministro de los recursos necesarios para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI [(5.2.1 a)]. La organizacin de las operaciones de la gestin del riesgo se puede considerar como uno de los recursos exigidos por la norma NTC- ISO/IEC 27001.

8. Evaluacin del Riesgo en Seguridad de la Informacin. 8.1 Descripcin General La valoracin del riesgo consta de las siguientes actividades: Anlisis del riesgo (vase el numeral 8.2) el cual consiste en: Identificacin del riesgo (vase el numeral 8.2.1). Estimacin del riesgo (vase el numeral 8.2.2). Evaluacin del riesgo (vase el numeral 8.3).

8.2 Anlisis del Riesgo Este es el paso principal en el marco de la norma ISO/IEC 27005. La mayor parte de las actividades primarias se prev que el primer proceso de evaluacin de riesgos. Este paso implica la adquisicin de toda la informacin pertinente sobre la organizacin y la determinacin de los criterios bsicos, finalidad, alcance, lmites y organizacin de las actividades de gestin de riesgos. El objetivo es por lo general el cumplimiento de los requisitos legales y proporcionar la prueba de la debida diligencia el apoyo de un SGSI que puede ser certificado. El alcance puede ser un plan de notificacin de incidentes, un plan de continuidad del negocio. Los criterios incluyen la evaluacin del riesgo, aceptacin de riesgos y criterios de evaluacin de impacto. Estos estn condicionados por: requisitos legales y reglamentarios el valor estratgico para el negocio de los procesos de informacin expectativas de los interesados consecuencias negativas para la reputacin de la organizacin

Establecer el alcance y los lmites, la organizacin debera ser estudiado: su misin, sus valores, su estructura y su estrategia, sus lugares y el medio ambiente cultural. Las limitaciones (presupuestarias, culturales, polticos, tcnicos) de la organizacin deben ser recogidos y documentados como gua para los pasos a seguir. 8.2.1 Identificacin del Riesgo El propsito de la identificacin del riesgo es determinar qu podra suceder que cause una prdida potencial, y llegar a comprender el cmo, dnde y por qu podra ocurrir esta prdida. Los pasos que se describen en los siguientes numerales de la seccin 8.2.1 deberan recolectar datos de entrada para la actividad de estimacin del riesgo.
NOTA Las actividades que se describen en los siguientes numerales se pueden llevar a cabo en un orden diferente, dependiendo de la metodologa que se aplique.

8.2.1.2 Identificacin de los activos Entrada: Alcance y lmites para la valoracin del riesgo que se va a realizar, lista de los componentes con sus propietarios, ubicacin, funciones, etc. Accin: Se deberan identificar los activos dentro del alcance establecido (se relaciona con la norma NTC-ISO/IEC 27001, numeral 4.2.1 d) 1)). Salida: una lista de los activos que van a estar sometidos a gestin del riesgo, y una lista de los procesos del negocio relacionados con los activos y su importancia.

8.2.1.3 Identificacin de las amenazas Entrada: informacin sobre las amenazas obtenida de los propietarios de los activos, de los usuarios, de la revisin de incidentes, y de otras fuentes, incluidos los catlogos de amenazas externas. Accin: se deberan identificar las amenazas y sus orgenes (se relaciona con la norma ISO/IEC 27001, numeral 4.2.1 d) 2)). Salida: una lista de las amenazas con la identificacin del tipo y el origen de la amenaza.

8.2.1.4 Identificacin de los controles existentes Entrada: documentacin de los controles, planes para la implementacin del tratamiento del riesgo. Accin: se deberan identificar los controles existentes y los planificados. Salida: una lista de todos los controles existentes y planificados, su estado de implementacin y utilizacin.

8.2.1.5 Identificacin de las vulnerabilidades Entrada: lista de las amenazas conocidas, lista de los activos y los controles existentes. Accin: se deberan identificar las vulnerabilidades que pueden ser explotadas por las amenazas para causar daos a los activos o la organizacin (se relaciona con ISO/IEC 27001, numeral 4.2.1 d) 3)). Salida: una lista de las vulnerabilidades con relacin a los activos, las amenazas y los controles; una lista de las vulnerabilidades que no se relacionen con ninguna amenaza identificada para revisin.

8.2.1.6 Identificacin de las consecuencias Entrada: una lista de los activos y una lista de los procesos del negocio, una lista de las amenazas y las vulnerabilidades, cuando corresponda, con respecto a los activos y su pertinencia. Accin: se deberan identificar las consecuencias que pueden tener las prdidas de confidencialidad, integridad y disponibilidad de los activos (vase la norma ISO/IEC 27001, 4.2.1 d) 4)). Salida: una lista de los escenarios de incidente con sus consecuencias relacionadas con los activos y los procesos del negocio.

8.2.2 Estimacin del riesgo 8.2.2.1 Metodologas para la estimacin del riesgo El anlisis del riesgo se puede realizar con diferentes grados de detalle dependiendo de la criticidad de los activos, la amplitud de las vulnerabilidades conocidas y los incidentes anteriores que implicaron a la organizacin. Una metodologa de estimacin puede ser cualitativa o cuantitativa, o una combinacin de ellas, dependiendo de las circunstancias. En la prctica, con frecuencia se utiliza la estimacin cualitativa en primer lugar para obtener una indicacin general del nivel del riesgo y revelar los riesgos ms importantes. Posteriormente puede ser necesario realizar un anlisis ms especfico o cuantitativo de los riesgos importantes dado que es, por lo general, menos complejo y menos costoso realizar un anlisis cualitativo que uno cuantitativo.

8.2.2.2 Evaluacin de las consecuencias

Entrada: una lista de los escenarios de incidentes pertinentes, que incluya la identificacin de las amenazas, las vulnerabilidades, los activos afectados, las consecuencias para los activos y los procesos del negocio. Accin: se debera evaluar el impacto en el negocio de la organizacin que pueda resultar de incidentes posibles o reales en la seguridad de la informacin, teniendo en cuenta las consecuencias de una brecha en la seguridad de la informacin, por ejemplo la prdida de confidencialidad, integridad o disponibilidad de los activos (se relaciona con ISO/IEC 27001, numeral 4.2.1 e) 1)). Salida: una lista de las consecuencias evaluadas de un escenario de incidente, expresadas con respecto a los activos y los criterios del impacto. 8.2.2.3 Evaluacin de la probabilidad de incidentes Entrada: una lista de los escenarios de incidentes pertinentes, que incluya la identificacin de las amenazas, los activos afectados, las vulnerabilidades explotadas y las consecuencias para los activos y los procesos del negocio. Adems, listas de todos los controles existentes y planificados, su eficacia, implementacin y estado de utilizacin. Accin: se debera evaluar la probabilidad de los escenarios de incidente (se relaciona con ISO/IEC 27001, numeral 4.2.1 e) 2)). Salida: probabilidad de los escenarios de incidente (cuantitativa o cualitativa). 8.2.2.4 Nivel de estimacin del riesgo Entrada: una lista de los escenarios de incidente con sus consecuencias relacionadas con los activos y los procesos del negocio, y su probabilidad (cuantitativa o cuantitativa). Accin: se deberan estimar el nivel de riesgo para todos los escenarios de incidente pertinentes (se relaciona con ISO/IEC 27001, numeral 4.2.1 e) 4). Salida: una lista de los riesgos con niveles de valor asignado.

8.3 EVALUACIN DEL RIESGO Entrada: Una lista de los riesgos con niveles de valor asignado y criterios para la evaluacin del riesgo. Accin: se deberan comparar los niveles de riesgo frente a los criterios para la evaluacin del riesgo y sus criterios de aceptacin (se relaciona con ISO/IEC 27001, numeral 4.2.1 e) 4). Salida: una lista de los riesgos con prioridad de acuerdo con los criterios de evaluacin del riesgo, con relacin a los escenarios de incidente que llevan a tales riesgos.

Gua de Implementacin:
La naturaleza de las decisiones pertinentes para la evaluacin del riesgo y los criterios de evaluacin del riesgo que se utilizarn para tomar dichas decisiones, deben haber sido determinados durante el establecimiento del contexto. Estas decisiones y el contexto se deberan revisar con mayor detalle en esta etapa cuando se sabe ms acerca de los riesgos particulares identificados. Con el fin de evaluar los riesgos, las organizaciones deberan comparar los riesgos estimados con los criterios de evaluacin del riesgo que se definieron durante el establecimiento del contexto. Las consideraciones deberan incluir: - Propiedades de la seguridad de la informacin: si un criterio no es pertinente para la organizacin (por ejemplo la prdida de confidencialidad), entonces todos los riesgos que tienen impacto sobre este criterio pueden no ser pertinentes; - La importancia de los procesos del negocio o de la actividad sustentada por un activo particular o un conjunto de activos: si se determina que el proceso tiene importancia baja, los riesgos asociados con l

deberan tener una consideracin ms baja que los riesgos que tienen impacto en procesos o actividades ms importantes. La evaluacin del riesgo utiliza la comprensin del riesgo que se obtiene mediante el anlisis del riesgo para tomar decisiones sobre acciones futuras. Las decisiones deberan incluir: - Si se debera realizar una actividad; - Prioridades para el tratamiento de los riesgos considerando los valores estimados de ellos. Durante la etapa de evaluacin del riesgo, los requisitos contractuales legales y regulatorios deben tomarse en cuenta adems de los riesgos estimados.

9. TRATAMIENTO DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN 9.1 DESCRIPCIN GENERAL DEL TRATAMIENTO DEL RIESGO

Entrada: una lista de los riesgos con prioridad de acuerdo con los criterios de evaluacin del riesgo, con relacin a los escenarios de incidente que llevan a tales riesgos. Accin: se deberan seleccionar controles para reducir, retener, evitar o transferir los riesgos y se debera definir un plan para tratamiento del riesgo. Salida: plan para el tratamiento del riesgo y riesgos residuales sujetos a la decisin de aceptacin de los directores de la organizacin.
Existen cuatro opciones disponibles para el tratamiento del riesgo: - Reduccin del riesgo (vase el numeral 9.2) - Retencin del riesgo (vase el numeral 9.3), o asumir o aceptar (Usada en la NTP 27001). - Evitacin del riesgo (vase el numeral 9.4) - Transferencia del riesgo (vase el numeral 9.5).

Figura 2. Actividad para el tratamiento del riesgo

Las opciones para el tratamiento del riesgo se deberan seleccionar con base en el resultado de la evaluacin del riesgo, el costo esperado para implementar estas opciones y los beneficios esperados como resultado de tales opciones. En general, las consecuencias adversas de los riesgos deberan ser tan bajas como sea razonablemente viable e independientemente de cualquier criterio absoluto. Los directores deberan tomar en consideracin los riesgos raros pero graves. En tales casos, puede ser necesario implementar controles que nos son justificables en trminos estrictamente econmicos (por ejemplo, los controles para la continuidad del negocio considerados para cumplir riesgos altos especficos).

Las cuatro opciones para el tratamiento del riesgo no se excluyen mutuamente. Algunos tratamientos de los riesgos pueden tratar eficazmente ms de un riesgo. Las prioridades se pueden establecer utilizando diversas tcnicas, que incluyen clasificacin del riesgo y anlisis de costo-beneficio. Es responsabilidad de los directores de la organizacin decidir el equilibrio entre los costos de la implementacin de los controles y la asignacin de presupuesto. Las opciones para el tratamiento del riesgo se deberan considerar teniendo en cuenta: - Cmo perciben el riesgo las partes afectadas. - La forma ms adecuada de comunicacin con dichas partes. El establecimiento del contexto suministra informacin sobre los requisitos legales y reglamentarios que la organizacin debe cumplir. Una vez se ha definido el plan para el tratamiento del riesgo, es necesario determinar los riesgos residuales. Esto implica una actualizacin o repeticin de la evaluacin del riesgo, considerando los efectos esperados del tratamiento propuesto para tal riesgo. Si el riesgo residual an no satisface los criterios de aceptacin del riesgo de la organizacin, puede ser necesaria otra repeticin del tratamiento del riesgo antes de proceder con la aceptacin del riesgo. Mayor informacin se puede encontrar en ISO/IEC 27002, numeral 0.3.

9.2 REDUCCIN DEL RIESGO Accin: el nivel del riesgo se debera reducir mediante la seleccin de controles, de manera tal que el riesgo residual se pueda revaluar como aceptable.
Se recomienda seleccionar controles adecuados y justificados que satisfagan los requisitos identificados en la evaluacin y el tratamiento del riesgo, teniendo en cuenta los criterios de aceptacin, requisitos legales, reglamentarios y contractuales; as mismo considerar los costos de implementacin y los aspectos tcnicos, ambientales y culturales. En general, los controles pueden brindar uno o ms de los siguientes tipos de proteccin: correccin, eliminacin, prevencin, minimizacin del impacto, disuasin, deteccin, recuperacin, monitoreo y concienciacin. La norma ISO/IEC 27002 proporciona informacin detallada sobre los controles. Es conveniente considerar varias restricciones al seleccionar los controles y durante la implementacin. Por lo comn, se consideran los siguientes aspectos: - restricciones de tiempo; - restricciones financieras; - restricciones tcnicas; - restricciones operativas; - restricciones culturales; - restricciones ticas; - percepciones ambientales; - restricciones legales; - facilidad de utilizacin; - restricciones personales. - restricciones para la integracin de controles nuevos y existentes.

9.3 RETENCIN DEL RIESGO Accin: la decisin sobre la retencin o aceptacin del riesgo sin accin posterior se debera tomar dependiendo de la evaluacin del riesgo.
NOTA La normal ISO/IEC 27001, 4.2.1 f) 2), "aceptar los riesgos objetivamente y con conocimiento, siempre y cuando ellos satisfagan claramente las polticas de la organizacin y los criterios para la aceptacin de los riesgos", describe la misma actividad.

Si el nivel del riesgo satisface los criterios para su aceptacin, no es necesario implementar controles adicionales y el riesgo se puede retener.

9.4 EVITACIN DEL RIESGO Accin: se debera evitar la actividad o la accin que da origen al riesgo particular.
Cuando los riesgos identificados se consideran muy altos, o si los costos para implementar otras opciones de tratamiento del riesgo exceden los beneficios, se puede tomar una decisin para evitar por completo el riesgo, mediante el retiro de una actividad o un conjunto de actividades planificadas o existentes, o mediante el cambio en las condiciones bajo las cuales se efecta tal actividad. Por ejemplo, para los riesgos causados por la naturaleza, puede ser una alternativa ms eficaz en trminos de costo, transferir fsicamente las instalaciones de procesamiento de la informacin a un lugar donde no exista el riesgo o est bajo control.

9.5 TRANSFERENCIA DEL RIESGO Accin: el riesgo se debera transferir a otra de las partes que pueda manejar de manera ms eficaz el riesgo particular dependiendo de la evaluacin del riesgo.
La transferencia del riesgo involucra una decisin para compartir algunos riesgos con las partes externas. La transferencia del riesgo puede crear riesgos nuevos o modificar los riesgos identificados existentes. Por lo tanto, puede ser necesario el tratamiento adicional para el riesgo. La transferencia se puede hacer mediante un seguro que dar soporte a las consecuencias o mediante subcontratacin de un asociado cuya funcin ser monitorear el sistema de informacin y tomar acciones inmediatas para detener un ataque antes de que ste produzca un nivel definido de dao.

10. ACEPTACIN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN Entrada: plan para el tratamiento del riesgo y evaluacin del riesgo residual, sujetos a la decisin de aceptacin de los directores de la organizacin. Accin: se debera tomar la decisin de aceptar los riesgos y las responsabilidades de la decisin, y registrarla de manera formal (esto se relacionan con ISO/IEC 27001, prrafo 4.2.1 h)). Salida: una lista de los riesgos aceptados con la justificacin para aquellos que no satisfacen los criterios normales de aceptacin de riesgos de la organizacin.
Es importante que los directores responsables revisen y aprueben los planes propuestos para el tratamiento del riesgo y los riesgos residuales resultantes, y que registren todas las condiciones asociadas a tal aprobacin. Quienes toman la decisin deberan comentar explcitamente los riesgos e incluir una justificacin para la decisin de hacer caso omiso de los criterios normales de aceptacin del riesgo.

11. COMUNICACIN DE LOS RIESGOS PARA LA SEGURIDAD DE LA INFORMACIN

Entrada: toda la informacin sobre el riesgo obtenida a partir de las actividades de gestin del riesgo (vase la Figura 1). Accin: la informacin acerca del riesgo se debera intercambiar y/o compartir entre la persona que toma la decisin y las otras partes involucradas. Salida: comprensin continua del proceso y los resultados de la gestin del riesgo en la seguridad de la informacin de la organizacin.
La informacin que se comunique incluye, pero no se limita a la existencia, naturaleza, forma, probabilidad, gravedad, tratamiento y aceptabilidad de los riesgos. Es particularmente importante garantizar que las percepciones que tienen las partes involucradas sobre el riesgo, as como sus percepciones de los beneficios se pueden identificar y documentar, y que las razones de base se comprendan y traten claramente. La comunicacin del riesgo se debera realizar con el fin de lograr lo siguiente:

brindar seguridad del resultado de la gestin del riesgo de la organizacin; recolectar informacin sobre el riesgo; compartir los resultados de la evaluacin del riesgo y presentar el plan para el tratamiento del riesgo; evitar o reducir tanto la ocurrencia como la consecuencia de las brechas en la seguridad de la informacin debidas a la falta de comprensin mutua entre quienes toman las decisiones y las partes involucradas; brindar soporte para la toma de decisiones; obtener conocimientos nuevos sobre la seguridad de la informacin; coordinar con otras partes y planificar las respuestas para reducir las consecuencias de cualquier incidente; dar a quienes toman las decisiones y a las partes involucradas un sentido de responsabilidad acerca de los riesgos; Mejorar la concientizacin.

12. MONITOREO Y REVISIN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN 12.1 MONITOREO Y REVISIN DE LOS FACTORES DE RIESGO Entrada: toda la informacin sobre el riesgo obtenida en las actividades de gestin del riesgo (vase la Figura 1). Accin: los riesgos y sus factores (es decir, el valor de los activos, los impactos, las amenazas, las vulnerabilidades, la probabilidad de ocurrencia) se deberan monitorear y revisar con el fin de identificar todo cambio en el contexto de la organizacin en una etapa temprana, y para mantener una visin general de la perspectiva completa del riesgo. Salida: alineacin continua de la gestin de los riesgos con los objetivos del negocio de la organizacin y con los criterios de aceptacin del riesgo.
Las organizaciones deberan garantizar el monitoreo continuo de los siguientes aspectos: - activos nuevos que se han incluido en el alcance de la gestin del riesgo; - modificaciones necesarias de los valores de los activos, debido, por ejemplo, a cambios en los requisitos de negocios; - amenazas nuevas que podran estar activas tanto fuera como dentro de la organizacin y que no se han evaluado; - probabilidad de que las vulnerabilidades nuevas o aumentadas puedan permitir que las amenazas exploten tales vulnerabilidades nuevas o con cambios; - vulnerabilidades identificadas para determinar aquellas que se exponen a amenazas nuevas o que vuelven a emerger; - el impacto aumentado o las consecuencias de las amenazas evaluadas, las vulnerabilidades y los riesgos en conjunto que dan como resultado un nivel inaceptable de riesgo; - incidentes de la seguridad de la informacin. El resultado de las actividades de monitoreo del riesgo puede ser la entrada para otras actividades de revisin del riesgo. La organizacin debera revisar todos los riesgos con regularidad, y cuando se presenten cambios importantes (de acuerdo con ISO/IEC 27001, numeral 4.2.3)).

12.2 MONITOREO, REVISIN Y MEJORA DE LA GESTIN DEL RIESGO Entrada: toda la informacin sobre el riesgo obtenida en las actividades de gestin del riesgo (vase Figura 1). Accin: el proceso de gestin del riesgo en la seguridad de la informacin se debera monitorear, revisar y mejorar continuamente, segn sea necesario y adecuado. Salida: relevancia continua del proceso de gestin del riesgo en la seguridad de la informacin para los objetivos del negocio de la organizacin o la actualizacin del proceso.
La organizacin debera garantizar que el proceso de gestin del riesgo en la seguridad de la informacin y las actividades relacionadas an son adecuadas en las circunstancias actuales y se cumplen. Todas las mejoras

acordadas para el proceso o las acciones necesarias para mejorar la conformidad con el proceso se deberan notificar a los directores correspondientes para tener seguridad de que no se omite ni subestima ningn riesgo o elemento del riesgo, y que se toman las acciones necesarias y las decisiones para brindar una comprensin realista del riesgo y la capacidad para responder. Adems, la organizacin debera verificar con regularidad que los criterios utilizados para medir el riesgo y sus elementos an son vlidos y consistentes con los objetivos, las estrategias y las polticas del negocio, y que los cambios en el contexto del negocio se toman en consideracin de manera adecuada durante el proceso de gestin del riesgo en la seguridad de la informacin. Esta actividad de monitoreo y revisin debera abordar los siguientes aspectos (pero no limitarse a ellos): - Contexto legal y ambiental; - Contexto de competicin; - Enfoque para la evaluacin del riesgo; - Categoras y valor de los activos; - Criterios del impacto; - Criterios de evaluacin del riesgo; - Criterios de aceptacin del riesgo; - Costo total de la propiedad; - Recursos necesarios. La organizacin debera garantizar que los recursos para el tratamiento y la evaluacin del riesgo estn disponibles continuamente para revisar el riesgo, tratar las amenazas o vulnerabilidades nuevas o con cambios y asesorar a la direccin segn corresponda. El monitoreo de la gestin del riesgo puede dar como resultado una modificacin o adicin al enfoque, en la metodologa o los instrumentos utilizados dependiendo de: - cambios identificados; - repeticin de la evaluacin del riesgo; - metas del proceso de gestin del riesgo en la seguridad de la informacin (por ejemplo, continuidad del negocio, flexibilidad ante los incidentes, conformidad); - objetivo del proceso de gestin del riesgo en la seguridad de la informacin (por ejemplo, organizacin, unidad de negocios, proceso de informacin, su implementacin tcnica, aplicacin, conexin con Internet).