ISO 27005

Gestin de riesgos de seguridad de la

Informacin

Contenido
1.

INTRODUCCION............................................................................................. 2

2.

JUSTIFICACION.............................................................................................. 2

3.

MARCO TEORICO........................................................................................... 3

4.

ESTADO DEL ARTE......................................................................................... 3

5.

OBJETIVOS.................................................................................................... 4
5.1.

OBJETIVO GENERAL................................................................................ 4

5.2.

OBJETIVO ESPECIFICO............................................................................. 5

6.

MATERIALES Y METODOS.............................................................................. 5

7.

DESARALLO DEL PROYECTO..........................................................................5

7.1.

Gestin de Riesgos en Tecnologas de la Informacin............................5

7.2.

Identificacin de riegos..........................................................................5

7.2.1.

Ejemplos de Riesgos en IT................................................................6

7.3.

Evaluacin de riesgos............................................................................. 6

7.4.

Anlisis de Riesgo................................................................................... 9

7.5.

Escenarios de riesgo............................................................................. 10

7.6.

Respuesta a los Riesgos.......................................................................10

7.7.

Norma ISO 27000................................................................................. 11

7.8.

Norma ISO/IEC 27005...........................................................................11

8.

CONCLUSIONES........................................................................................... 12

9.

BIBLIOGRAFIA............................................................................................. 12

ISO 27005
Gestin de riesgos de seguridad de la
Informacin

1. INTRODUCCION
Esta norma contiene recomendaciones y directrices generales para la gestin de
riesgos en sistemas de seguridad de la Informacin. Es compatible con los
conceptos generales especificados en la norma ISO/IEC 27001 y est diseada
como soporte para aplicar satisfactoriamente un SGSI basado en un enfoque de
gestin de riesgos.
La norma ISO/IEC 27005 reemplaza a la norma anterior, ISO13335-2 "Gestin de
seguridad de la informacin y la tecnologa de las comunicaciones". La norma fue
publicada por primera vez en junio de 2008, aunque hay una nueva versin
mejorada en el 2011.
El riesgo se define como una amenaza que explota la vulnerabilidad de un activo
pudiendo causar daos. El RIESGO IT est relacionado con el uso, propiedad,
operacin, distribucin y la adopcin de las tecnologas de la Informacin en una
organizacin. Aunque no existe un mtodo concreto de cmo gestionar riesgos, se
recomienda usar un proceso estructurado, sistemtico y riguroso de anlisis de
riesgos para la creacin del plan de tratamiento de riesgos.
Los indicadores de riesgo muestran si la organizacin est sujeta o tiene una alta
probabilidad de ser sometida a un riesgo que excede el riesgo permitido.

2. JUSTIFICACION
Para la adecuada gestin de la seguridad de la informacin, es necesario
implantar un sistema que aborde esta tarea de una forma metdica, documentada
y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a
los que est sometida la informacin de la organizacin.

ISO 27005
Gestin de riesgos de seguridad de la
Informacin

3. MARCO TEORICO
ISO / IEC 27005:2011 proporciona directrices para la gestin de riesgos de
seguridad de informacin.
Es compatible con los conceptos generales especificados en ISO / IEC 27001 y
est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la
informacin basada en un enfoque de gestin de riesgos.
El conocimiento de los conceptos, modelos, procesos y terminologas descritas en
ISO / IEC 27001 e ISO / IEC 27002 es importante para una comprensin completa
de la norma ISO / IEC 27005:2011.
ISO / IEC 27005:2011 es aplicable a todo tipo de organizaciones (por ejemplo,
empresas comerciales, agencias gubernamentales, organizaciones sin fines de
lucro), que tienen la intencin de gestionar los riesgos que podran comprometer la
seguridad de la informacin de la organizacin.

4. ESTADO DEL ARTE

Esta norma que es la ISO 27005 trata sobre la gestin de riesgos en seguridad de
la informacin, para comenzar La seguridad absoluta no existe, pero esta norma lo
que trata es de reducir los riesgos a niveles asumibles con una serie de proceso,
es una actividad continua y requiere de soporte de la organizacin para tener
xito. Y lo hace proporcionando recomendaciones y lineamientos de mtodos y
tcnicas de evaluacin de riesgos de Seguridad en la Informacin, en soporte del
proceso de gestin de riesgos de la norma ISO 27001.

ISO 27005
Gestin de riesgos de seguridad de la
Informacin

Las personas que han llegado a escuchar de la norma ISO alguna vez, y
normalmente lo han relacionados con la palabra calidad. La gestin de la calidad
es un conjunto de acciones, planificadas y sistemticas, necesarias para dar la
confianza adecuada de que un producto o servicio va a satisfacer los requisitos de
calidad. En base a la aprobacin, por un organismo reconocido, de ese conjunto
de acciones y otras reglas y directrices de uso comn y repetido, se crean las
normas de calidad. La principal organizacin internacional emisora de normas de
calidad es ISO (Organizacin Internacional de Estndares) y la ms escuchada es
la 9001, pero ya habiendo relacionado todo esto, nace la necesidad de desarrollar
un sistema para la proteccin de la informacin, una materia prima muy importante
en todas las empresas, por eso se desarrollo la ISO 27005. Todo esto apunta a la
calidad en el manejo de la informacin, ms especficamente a la seguridad de la
informacin. Son un conjunto de mejores prcticas recomendadas para
desarrollar, implementar y mantener especificaciones para los Sistemas de
Gestin de la Seguridad de la Informacin (SGSI). Dentro de la serie ISO 27000,
la norma ISO 27005 que es la nica norma certificable, y define los requerimientos
para establecer, implementar y documentar una gestin efectiva de la seguridad
de la informacin.
La norma ISO 27005 proporciona directrices para la gestin de riesgos de
seguridad de la informacin.

5. OBJETIVOS.
5.1. OBJETIVO GENERAL
Describir la importacin de la norma 27005 en la Gestin de riesgos de
seguridad de la Informacin.

ISO 27005
Gestin de riesgos de seguridad de la
Informacin

5.2. OBJETIVO ESPECIFICO

Especificar la norma ISO 27005.

6. MATERIALES Y METODOS.
Microsoft Word.
Internet.
Microsoft PowerPoint.

7. DESARALLO DEL PROYECTO

7.1. Gestin de Riesgos en Tecnologas de la
Informacin
Gestin del Riesgo es una actividad recurrente que se refiere al anlisis,
planificacin, ejecucin, control y seguimiento de las medidas implementadas y la
poltica de seguridad impuesta.
La actualizacin de establecimiento, mantenimiento y continua mejora de un SGSI
ofrecen una clara indicacin de que una empresa est utilizando un enfoque
sistemtico para la identificacin, evaluacin y gestin de riesgos de seguridad de
la informacin.

7.2. Identificacin de riegos

Un evento solo es un riesgo si existe un grado de incertidumbre asociado con l,
por ejemplo: El valor de un activo puede cambiar su valor durante la ejecucin de
un proyecto, por experiencia esto es cierto, pero cunto puede cambiar? no lo

ISO 27005
Gestin de riesgos de seguridad de la
Informacin
sabemos, por lo tanto es un riesgo que debemos evitar en un proyecto pequeo.
Por lo tanto debemos estar seguros de identificar el riesgo en realidad y no sus
causas o efectos.
Si consideramos otro ejemplo, debemos instalar una determinada aplicacin de
software en varias sucursales de una empresa, pero no todas las oficinas poseen
la misma capacidad de almacenamiento o las ltimas actualizaciones de sistemas
operativos.

Es un riesgo la instalacin? No, es un requerimiento.

Es un riesgo de que alguna sucursal termine sin usar la aplicacin? No,

este es un efecto en este proyecto, sin embargo puede ser un riesgo futuro
que la sucursal no tenga la aplicacin.

Es un riesgo que la aplicacin no se pueda instalar por algn motivo? Si,

es incierto, solo lo sabremos cuando lo intentemos.

7.2.1.Ejemplos de Riesgos en IT

Correr aplicaciones en condiciones vulnerables.

Sistemas operativos, vulnerables y sin actualizaciones.

Disear aplicaciones inapropiadas, incompletas, con bugs y errores

recurrentes.

Tecnologas obsoletas.

Mal rendimiento de la infraestructura IT.

ISO 27005
Gestin de riesgos de seguridad de la
Informacin

7.3. Evaluacin de riesgos

Es necesario establecer un vnculo entre los escenarios de riesgos IT y el impacto
empresarial que estos generaran, para as comprender el efecto de los eventos
adversos que se pueden desencadenar.
La evaluacin de riesgos se ejecuta en los puntos discretos de tiempo (por
ejemplo una vez al ao, en la demanda, etc.) y - hasta que el rendimiento de la
prxima evaluacin - proporciona una visin temporal de los riesgos evaluados.
La evaluacin de riesgos se realiza a menudo en ms de una iteracin, la primera
es una evaluacin de alto nivel para identificar los riesgos altos, mientras que las
iteraciones posteriores detallan en el anlisis de los riesgos principales y
tolerables. Varios factores ayudan a seleccionar eventos con cierto grado de
riesgo:

Probabilidad.

Consecuencias.

Ocurrencia.

Urgencia.

Maleabilidad.

Dependencia.

Proximidad.

Adicionalmente la evaluacin de riesgos requiere los siguientes puntos:

ISO 27005
Gestin de riesgos de seguridad de la
Informacin
1. Un estudio de vulnerabilidades, amenazas, probabilidad, prdidas o
impacto, y la supuesta eficiencia de las medidas de seguridad. Los
directivos de la organizacin utilizan los resultados de la evaluacin del
riesgo para desarrollar los requisitos de seguridad y sus especificaciones.
2. El proceso de evaluacin de amenazas y vulnerabilidades, conocidas y
postuladas para estimar el efecto producido en caso de prdidas y
establecer el grado de aceptacin y aplicabilidad en las operaciones del
negocio.
3. Identificacin de los activos y facilidades que pueden ser afectados por
amenazas y vulnerabilidades.
4. Anlisis de los activos del sistema y las vulnerabilidades para establecer un
estimado de prdida esperada en caso de que ocurran ciertos eventos y las
probabilidades estimadas de la ocurrencia de estos. El propsito de una
evaluacin del riesgo es determinar si las contramedidas son adecuadas
para reducir la probabilidad de la prdida o el impacto de la prdida a un
nivel aceptable.
5. Una herramienta de gestin que proporcione un enfoque sistemtico que
determine el valor relativo de:

La sensibilidad al instalar activos informticos

La evaluacin de vulnerabilidades

La evaluacin de la expectativa de prdidas

La percepcin de los niveles de exposicin al riesgo

La evaluacin de las caractersticas de proteccin existentes

ISO 27005
Gestin de riesgos de seguridad de la
Informacin

Las alternativas adicionales de proteccin

La aceptacin de riesgos

La documentacin de las decisiones de gestin.

Decisiones para la implementacin de las funciones de proteccin adicionales se

basan normalmente en la

existencia

de

una relacin

razonable entre

costo/beneficio de las salvaguardia y la sensibilidad / valor de los bienes que

deben protegerse.

Las evaluaciones de riesgos pueden variar de una revisin informal de una

instalacin a escala microprocesador pequeo para un anlisis ms formal y
plenamente documentado (por ejemplo, anlisis de riesgo) de una instalacin a
escala de ordenadores. Metodologas de evaluacin de riesgos pueden variar
desde los enfoques cualitativos o cuantitativos a cualquier combinacin de estos
dos enfoques.

7.4. Anlisis de Riesgo

Este es el paso principal en el marco de la norma ISO/IEC 27005. La mayor parte
de las actividades primarias se prev que el primer proceso de evaluacin de
riesgos. Este paso implica la adquisicin de toda la informacin pertinente sobre la
organizacin y la determinacin de los criterios bsicos, finalidad, alcance, lmites
y organizacin de las actividades de gestin de riesgos. El objetivo es por lo
general el cumplimiento de los requisitos legales y proporcionar la prueba de la
debida diligencia el apoyo de un SGSI que puede ser certificado. El alcance puede

ISO 27005
Gestin de riesgos de seguridad de la
Informacin
ser un plan de notificacin de incidentes, un plan de continuidad del negocio.
Los criterios incluyen la evaluacin del riesgo, aceptacin de riesgos y criterios de
evaluacin de impacto. Estos estn condicionados por:

Requisitos legales y reglamentarios.

El valor estratgico para el negocio de los procesos de informacin.

Expectativas de los interesados.

Consecuencias negativas para la reputacin de la organizacin.

Establecer el alcance y los lmites, la organizacin debera ser estudiado: su

misin, sus valores, su estructura y su estrategia, sus lugares y el medio ambiente
cultural. Las limitaciones (presupuestarias, culturales, polticos, tcnicos) de la
organizacin deben ser recogidas y documentados como gua para los pasos a
seguir.

7.5. Escenarios de riesgo

Escenarios de riesgo es el corazn del proceso de evaluacin de riesgos. Los

escenarios pueden derivarse de dos maneras diferentes y complementarias:

ISO 27005
Gestin de riesgos de seguridad de la
Informacin

Enfoque de arriba hacia abajo de los objetivos generales de la empresa

a los escenarios de riesgo ms probable es que puede tener un
impacto.

Enfoque de abajo hacia arriba, donde se aplica una lista de escenarios

de riesgo genricos a la situacin

Cada uno de los escenarios de riesgo se analiza para determinar la frecuencia y el

impacto, sobre la base de los factores de riesgo.

7.6. Respuesta a los Riesgos

El propsito de definir una respuesta al riesgo es llevar el riesgo en nivel que se

pueda tolerar. es decir, el riesgo residual debe ser dentro de los lmites de
tolerancia al riesgo. El riesgo puede ser manejado de acuerdo cuatro estrategia
principales (o una combinacin de ellos):

Evitar el riesgo aislando las actividades que dan lugar al riesgo.

Mitigar el riesgo adoptando medidas que detectan y reducen el impacto del

riesgo.

Transferir riesgos a otras reas menos susceptibles o a otras entidades con

ms experiencia (outsourcing).

Aceptar riesgos que se corren deliberadamente y que no se pueden evitar,

sin embargo es necesario identificarlos, documentarlos y medirlos.

7.7. Norma ISO 27000.

ISO 27005
Gestin de riesgos de seguridad de la
Informacin
Es una familia de Estndares Internacionales para Sistemas de Gestin de la
seguridad de la Informacin SGSI que proporcionan un marco de gestin de la
seguridad de la informacin.
Se describen a continuacin brevemente el alcance de cada uno:
ISO 27000 = Fundamentos.
ISO 27001 = Especificaciones de un SGSI (Certificable).
ISO 27002 = Cdigo de buenas prcticas.
ISO 27003 = Gua de implantacin.
ISO 27004 = Mtricas e Indicadores.
ISO 27005 = Gua para el Anlisis y Gestin del Riesgo.
ISO 27006 = Especificaciones para organismos certificadores.
ISO 27007 = Gua de requisitos para entidades auditora y certificacin

7.8. Norma ISO/IEC 27005

Trata la gestin de riesgos en seguridad de la informacin. Es la que proporciona
recomendaciones y lineamientos de mtodos y tcnicas de evaluacin de riesgos
de Seguridad en la Informacin, en soporte del proceso de gestin de riesgos.

8. CONCLUSIONES
Llegamos a la conclusin de que la norma ISO / IEC 27005 proporciona directrices
para la gestin de riesgos de seguridad de informacin y est diseada para
ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un
enfoque de gestin de riesgos.

ISO 27005
Gestin de riesgos de seguridad de la
Informacin

9. BIBLIOGRAFIA
Paginas de Consulta:
1. ISO/IEC 27005 Gestin de riesgos de seguridad de la informacin
http://segweb.blogspot.com/2012/04/27005.html
2. ISO/IEC 27005:2011 Tecnologa de la informacin - Tcnicas de
seguridad - Informacin de gestin de riesgos de seguridad
http://translate.googleusercontent.com/translate_c?
depth=1&hl=es&prev=/search%3Fq%3Diso%2B27005%26biw
%3D1366%26bih
%3D638&rurl=translate.google.com&sl=en&u=http://www.iso.org/iso/ho
me/store/catalogue_ics/catalogue_detail_ics.htm%3Fcsnumber
%3D56742&usg=ALkJrhi2Ltcl8OASxy7qloU0PBJVX6V2gA
3. Club de Ensayos
http://clubensayos.com/Tecnolog%C3%ADa/%C2%BFPor-Qu%C3%A9-Est
%C3%A1n-Importante-La/1034886.html
4. Buenas tareas
http://www.buenastareas.com/ensayos/Serie-Iso-Iec27000/38972290.html