Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Contenido
1.
INTRODUCCION............................................................................................. 2
2.
JUSTIFICACION.............................................................................................. 2
3.
MARCO TEORICO........................................................................................... 3
4.
5.
OBJETIVOS.................................................................................................... 4
5.1.
OBJETIVO GENERAL................................................................................ 4
5.2.
OBJETIVO ESPECIFICO............................................................................. 5
6.
MATERIALES Y METODOS.............................................................................. 5
7.
7.2.
Identificacin de riegos..........................................................................5
7.2.1.
7.3.
Evaluacin de riesgos............................................................................. 6
7.4.
Anlisis de Riesgo................................................................................... 9
7.5.
Escenarios de riesgo............................................................................. 10
7.6.
7.7.
7.8.
8.
CONCLUSIONES........................................................................................... 12
9.
BIBLIOGRAFIA............................................................................................. 12
ISO 27005
Gestin de riesgos de seguridad de la
Informacin
1. INTRODUCCION
Esta norma contiene recomendaciones y directrices generales para la gestin de
riesgos en sistemas de seguridad de la Informacin. Es compatible con los
conceptos generales especificados en la norma ISO/IEC 27001 y est diseada
como soporte para aplicar satisfactoriamente un SGSI basado en un enfoque de
gestin de riesgos.
La norma ISO/IEC 27005 reemplaza a la norma anterior, ISO13335-2 "Gestin de
seguridad de la informacin y la tecnologa de las comunicaciones". La norma fue
publicada por primera vez en junio de 2008, aunque hay una nueva versin
mejorada en el 2011.
El riesgo se define como una amenaza que explota la vulnerabilidad de un activo
pudiendo causar daos. El RIESGO IT est relacionado con el uso, propiedad,
operacin, distribucin y la adopcin de las tecnologas de la Informacin en una
organizacin. Aunque no existe un mtodo concreto de cmo gestionar riesgos, se
recomienda usar un proceso estructurado, sistemtico y riguroso de anlisis de
riesgos para la creacin del plan de tratamiento de riesgos.
Los indicadores de riesgo muestran si la organizacin est sujeta o tiene una alta
probabilidad de ser sometida a un riesgo que excede el riesgo permitido.
2. JUSTIFICACION
Para la adecuada gestin de la seguridad de la informacin, es necesario
implantar un sistema que aborde esta tarea de una forma metdica, documentada
y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a
los que est sometida la informacin de la organizacin.
ISO 27005
Gestin de riesgos de seguridad de la
Informacin
3. MARCO TEORICO
ISO / IEC 27005:2011 proporciona directrices para la gestin de riesgos de
seguridad de informacin.
Es compatible con los conceptos generales especificados en ISO / IEC 27001 y
est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la
informacin basada en un enfoque de gestin de riesgos.
El conocimiento de los conceptos, modelos, procesos y terminologas descritas en
ISO / IEC 27001 e ISO / IEC 27002 es importante para una comprensin completa
de la norma ISO / IEC 27005:2011.
ISO / IEC 27005:2011 es aplicable a todo tipo de organizaciones (por ejemplo,
empresas comerciales, agencias gubernamentales, organizaciones sin fines de
lucro), que tienen la intencin de gestionar los riesgos que podran comprometer la
seguridad de la informacin de la organizacin.
ISO 27005
Gestin de riesgos de seguridad de la
Informacin
Las personas que han llegado a escuchar de la norma ISO alguna vez, y
normalmente lo han relacionados con la palabra calidad. La gestin de la calidad
es un conjunto de acciones, planificadas y sistemticas, necesarias para dar la
confianza adecuada de que un producto o servicio va a satisfacer los requisitos de
calidad. En base a la aprobacin, por un organismo reconocido, de ese conjunto
de acciones y otras reglas y directrices de uso comn y repetido, se crean las
normas de calidad. La principal organizacin internacional emisora de normas de
calidad es ISO (Organizacin Internacional de Estndares) y la ms escuchada es
la 9001, pero ya habiendo relacionado todo esto, nace la necesidad de desarrollar
un sistema para la proteccin de la informacin, una materia prima muy importante
en todas las empresas, por eso se desarrollo la ISO 27005. Todo esto apunta a la
calidad en el manejo de la informacin, ms especficamente a la seguridad de la
informacin. Son un conjunto de mejores prcticas recomendadas para
desarrollar, implementar y mantener especificaciones para los Sistemas de
Gestin de la Seguridad de la Informacin (SGSI). Dentro de la serie ISO 27000,
la norma ISO 27005 que es la nica norma certificable, y define los requerimientos
para establecer, implementar y documentar una gestin efectiva de la seguridad
de la informacin.
La norma ISO 27005 proporciona directrices para la gestin de riesgos de
seguridad de la informacin.
5. OBJETIVOS.
5.1. OBJETIVO GENERAL
Describir la importacin de la norma 27005 en la Gestin de riesgos de
seguridad de la Informacin.
ISO 27005
Gestin de riesgos de seguridad de la
Informacin
6. MATERIALES Y METODOS.
Microsoft Word.
Internet.
Microsoft PowerPoint.
ISO 27005
Gestin de riesgos de seguridad de la
Informacin
sabemos, por lo tanto es un riesgo que debemos evitar en un proyecto pequeo.
Por lo tanto debemos estar seguros de identificar el riesgo en realidad y no sus
causas o efectos.
Si consideramos otro ejemplo, debemos instalar una determinada aplicacin de
software en varias sucursales de una empresa, pero no todas las oficinas poseen
la misma capacidad de almacenamiento o las ltimas actualizaciones de sistemas
operativos.
7.2.1.Ejemplos de Riesgos en IT
Tecnologas obsoletas.
ISO 27005
Gestin de riesgos de seguridad de la
Informacin
Probabilidad.
Consecuencias.
Ocurrencia.
Urgencia.
Maleabilidad.
Dependencia.
Proximidad.
ISO 27005
Gestin de riesgos de seguridad de la
Informacin
1. Un estudio de vulnerabilidades, amenazas, probabilidad, prdidas o
impacto, y la supuesta eficiencia de las medidas de seguridad. Los
directivos de la organizacin utilizan los resultados de la evaluacin del
riesgo para desarrollar los requisitos de seguridad y sus especificaciones.
2. El proceso de evaluacin de amenazas y vulnerabilidades, conocidas y
postuladas para estimar el efecto producido en caso de prdidas y
establecer el grado de aceptacin y aplicabilidad en las operaciones del
negocio.
3. Identificacin de los activos y facilidades que pueden ser afectados por
amenazas y vulnerabilidades.
4. Anlisis de los activos del sistema y las vulnerabilidades para establecer un
estimado de prdida esperada en caso de que ocurran ciertos eventos y las
probabilidades estimadas de la ocurrencia de estos. El propsito de una
evaluacin del riesgo es determinar si las contramedidas son adecuadas
para reducir la probabilidad de la prdida o el impacto de la prdida a un
nivel aceptable.
5. Una herramienta de gestin que proporcione un enfoque sistemtico que
determine el valor relativo de:
La evaluacin de vulnerabilidades
ISO 27005
Gestin de riesgos de seguridad de la
Informacin
La aceptacin de riesgos
existencia
de
una relacin
razonable entre
ISO 27005
Gestin de riesgos de seguridad de la
Informacin
ser un plan de notificacin de incidentes, un plan de continuidad del negocio.
Los criterios incluyen la evaluacin del riesgo, aceptacin de riesgos y criterios de
evaluacin de impacto. Estos estn condicionados por:
ISO 27005
Gestin de riesgos de seguridad de la
Informacin
ISO 27005
Gestin de riesgos de seguridad de la
Informacin
Es una familia de Estndares Internacionales para Sistemas de Gestin de la
seguridad de la Informacin SGSI que proporcionan un marco de gestin de la
seguridad de la informacin.
Se describen a continuacin brevemente el alcance de cada uno:
ISO 27000 = Fundamentos.
ISO 27001 = Especificaciones de un SGSI (Certificable).
ISO 27002 = Cdigo de buenas prcticas.
ISO 27003 = Gua de implantacin.
ISO 27004 = Mtricas e Indicadores.
ISO 27005 = Gua para el Anlisis y Gestin del Riesgo.
ISO 27006 = Especificaciones para organismos certificadores.
ISO 27007 = Gua de requisitos para entidades auditora y certificacin
8. CONCLUSIONES
Llegamos a la conclusin de que la norma ISO / IEC 27005 proporciona directrices
para la gestin de riesgos de seguridad de informacin y est diseada para
ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un
enfoque de gestin de riesgos.
ISO 27005
Gestin de riesgos de seguridad de la
Informacin
9. BIBLIOGRAFIA
Paginas de Consulta:
1. ISO/IEC 27005 Gestin de riesgos de seguridad de la informacin
http://segweb.blogspot.com/2012/04/27005.html
2. ISO/IEC 27005:2011 Tecnologa de la informacin - Tcnicas de
seguridad - Informacin de gestin de riesgos de seguridad
http://translate.googleusercontent.com/translate_c?
depth=1&hl=es&prev=/search%3Fq%3Diso%2B27005%26biw
%3D1366%26bih
%3D638&rurl=translate.google.com&sl=en&u=http://www.iso.org/iso/ho
me/store/catalogue_ics/catalogue_detail_ics.htm%3Fcsnumber
%3D56742&usg=ALkJrhi2Ltcl8OASxy7qloU0PBJVX6V2gA
3. Club de Ensayos
http://clubensayos.com/Tecnolog%C3%ADa/%C2%BFPor-Qu%C3%A9-Est
%C3%A1n-Importante-La/1034886.html
4. Buenas tareas
http://www.buenastareas.com/ensayos/Serie-Iso-Iec27000/38972290.html