Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ISO/IEC 27005
NORMA TECNICA
PERUA}IA
2009
Security techniques
management)
2009-09-30
1"
Edicin
INDICE
pagrna
INDICE
PREFACIO
l.
ALCANCE
REFERENCIAS NORMATTVAS
3.
rrumros Y DEFTNICIoNES
4.
ESTRUCTTTRA DE ESTA
NoRMA
rcuce
PERUANA
5.
BASES
6.
7.
t2
8.
l7
32
39
40
42
9.
10.
11.
t2.
ANTECEDENTES
RTESGo EN SEGURIDAD
ANEXOS
ANEXO
ANEXO
ANEXO
ANEXO
ANEXO
ANEXO
47
56
73
76
82
92
PREFACIO
A.
RESEA HISTRICA
4..l
Tcnico de
el Sistema
4.2
B.
Secretara
GSI PERU
Presidente
Roberto puy
Secretaria
Marv Wons
ENTIDAD
REPRESENTAIYTE
S.A.
Adela Barcenas
Walter Equizabel
Juan Aquije
E. WONG S.A.
Marcela Aparicio
Rolando Bartra
FOLIUM S.A.C.
Roberto Huby
Oscar Velsquez
Daniella Orellana
Ricardo Dioses
Viltor Khlebnikov
Willy Carera
Max Lzaro
Cesar Vlchez
Javier Kameya
SUPERINTENDENCTA DE ADMINISTRACION
TRIBUTARIA _ SUNAT
Daniel Llanos
Flor Febres
TCI S.A.
Renzo Alqntara
Rolando Rivadeneira
Luis Villena
GSI PERU
Tatiana Pea
--oooOooo---
lv
NoRMA rcNrca
PERUANA
NTP.ISO/IEC 27005
lde95
t.
ALCAIICE
Esta Norma Tcnica Peruana establece lineamientos para la gestin del riesgo en seguridad
de la informacin.
Esta Norma Tcnica Peruana apoya los conceptos generales especificados en la norma
ISO/IEC 27001 y estii diseado para asistir a la implementacin satisfactoria de la
seguridad de la informacin en base a un enfoque de gestin del riesgo.
2.
REFERENCIAS NOR]\,IATryAS
Las siguientes normas contienen disposiciones que al ser citadas en este texto, constituyen
requisitos de esta Norma Tcnica Peruana. Las ediciones indicadas estaban en vigencia en
el momento de esta publicacin. Como toda Norma esti sujeta a revisin, se recomienda a
aquellos que realicen acuerdos con base en ellas, que analicen la conveniencia de usar las
ediciones recientes de las nonnas citadas seguidamente. El Organismo peruano de
Normalizacin posee la informacin de las Normas Tcnicas Peruanas en vigencia en todo
momento.
NTP-ISOIIEC27005
2 de95
NORMA TECNICA
PERUANA
2.1
2.T.1
ISO/IEC 27001:2005
2.t.2
ISO/IEC 27002:2005
Information technology
Code
of
practice
management.
3.
TRMTNOS Y DEFINICIOI\IES
Para los fines de esta NTP, se aplican los trminos y definiciones que aparecen en las
normas ISO/IEC 2700l,ISOiIEC 27002 y los siguientes:
3.1
y su consecuencia.
3.4
3.5
NoRMA rcrrnce
NTP.ISO/IEC27OO5
PERUANA
3de95
NOTA l: En el contexto
NOTA 2: En el contexto de esta NTP, el termino "posibilidad" se utiliza en vez del trmino
"probabilidad" para la estimacin del riesgo.
3.6
identificacin
elementos de riesgo.
caracterizar
3.7
3.8
consideran
3.9
4.
Est NTP contiene la descripcin del proceso de gestin del riesgo en seguridad de
la
infbrnacin ) sus actiridades.
NoRMA rcucn
NTP.ISO/IEC27OO5
4 de95
PERUANA
Todas las actividades de gestin del riesgo en seguridad de la informacin que se presentan
en el captulo 6 se describen posteriormente en los captulos siguientes:
l,
En los anexos se presenta informacin adicional para las actividades de gestin del riesgo
en seguridad de la informacin. El Anexo A @efinicin del alcance y lrirites del proceso
de gestin del riesgo en seguridad de la informacin) establece el contexto. El Anexo B se
refiere a la identificacin y valoizacin de los activos y evaluacin de impacto (ejemplos
para activos), el Anexo C se refiere a ejemplos de amenazas tpicas y el Anexo D a
ejemplos de vulnerabilidades tpicas.
Todas las aptividades de gestin del riesgo tal como se presentan de el captulo 7 al
captulo 12 se estructuran del modo siguiente:
Iry,:
NoRMA rcNlce
PERUANA
NTP.ISOITEC 27005
5de95
Gu? de imolementacin: Provee gua sobre el desempeo de la accin. Parte de esta gua
puede no ser conveniente en todos los casos y en consecuencia otras maneras de realizar la
accin pueden ser ms apropiadas.
5.
BASES
la
estos
riesgos.
NORMA TECNICA
PERUANA
NTP.ISO/IEC27OO5
6de95
Monitoreo
y revisin
riesgo.
Captacin de informacin para mejorar el enfoque de gestin del riesgo.
la
6.
NoRMA rcNrce
NTP.ISO/IEC 27005
7 de95
PERUANA
rrGuRA I -
NORMA TECNICA
PERUANA
NTP-ISO/IEC27OO5
8de95
Primero se determina el contexto. Luego se realiza una evaluacin del riesgo. Si esto
provee suficiente informacin para determinar efectivamente las acciones requeridas para
modificar los riesgos a un nivel aceptable, entonces la tarea esti completa y sigue el
tratamiento del riesgo. Si la informacin es suficiente, se conducir otra iteracin de la
evaluacin del riesgo con el contexto revisado (por ejemplo criterios de evaluacin del
riesgo, criterios de aceptacin del riesgo o criterios de impacto) posiblemente en partes
limitadas del alcance total (vase la Figura l, Decisin sobre el Riesgo Captulo l).
La actividad de aceptacin del riesgo tiene que rsegurar que los gerentes de la organizacin
acepten explcitamente los riesgos residuales. Esto es especialmente importante en una
situacin donde la implementacin de controles se omite o pospone, por ejemplo debido al
costo.
NORMA TCNICA
PERUANA
NTP.ISO/IEC 27005
9de95
La norma ISOIIEC 27001especifica que los controles implementados dentro del alcance,
lmites y contexto del ISMS deben basarse en el riesgo. La aplicacin de un proceso de
gestin del riesgo en seguridad de la informacin puede satisfacer este requisiio. Existen
muchos enfoques por medio de los cuales se puede implementar exitosaminte el proceso
en una organizacin. La organizacin debe utilizar el enfoque que mejor se acomode a sus
circunstancias para cada aplicacin especfica del proceso.
en Seguridad
de la Informacin
Proceso
ISMS
Informacin
Determinar el contexto
Plan
Evaluar el riesgo
Desarrollar el plan de tratamiento del riesgo
Aceptar el riesgo
Hacer
Revisar
Hacer
la
NORMA TECMCA
PERUANA
NTP.ISO/IEC 27005
10 de 95
7.1
Consideraciones generales
Insumo: Toda la informacin sobre la organizacin que sea relevante para determinar el
contexto de la gestin del riesgo en seguridad de la informacin.
Gua de implementacin
Apoyar un ISMS.
En los captulos 7.2, 7.3 y 7.4 se trata en ms detalle la gua de implementacin para
establecer los elementos del contexto que se requieren para apoyar un ISMS.
NoRMA
rcmce
NTP.ISO/IEC27OO5
de95
ll
PERUANA
NOTA: La norma ISO/IEC 27001 no utiliza el termino "contexto". Sin embargo, todo el captulo 7 se
Id"fini, una poltica del
refiere a los requisitos de "definir el alcance y lmites del ISMS"
[4.2.1 a)),
ISMS' [4.2.1 b)] y "definir el enfoque de la evaluacin del rilsgo" i.z.t c1, especificados en
ISO/IEC 27001.
Producto:
7.2
la
Criterios bsicos
Dependiendo del alcance y objetivo de la gestin del riesgo se puede aplicar distintos
enfoques. El enfoque tambin puede ser diferente para cada itlracin.
procedimientos, incluyendo la
Monitorear controles.
Monitorear el proceso de gestin del riesgo en seguridad de la informacin.
NOTA: vase tambin la norma Iso/IEC 27001 lCaptulo 5.2.1) concerniente al suministro
recursos para la operacin de implementacin de un ISMS.
de
NORMA TECNICA
PERUANA
NTP.ISO/IEC27OO5
12 de 95
Los criterios de evaluacin del riesgo deben desarrollarse para evaluar el riesgo
de
Adicionalmente, se puede utilizar los criterios de evaluacin del riesgo para especificar
prioridades para el tratamiento del riesgo.
Criterios de impacto
Se debe desarrollar y especificar criterios de impacto en trminos del grado de dao en
costos para la organizacin causados por un evento contra la seguridad de la informacin
considerando lo siguiente:
prdida
de
NoRMA rcNtca
NTP.ISO/IEC27OO5
PERUANA
13 de 95
Dao a la reputacin.
le
NOTA: Vase tambin la norma ISO/IEC 27001 [Captulo 4.2.1d) 4] concerniente a la identificacin
de criterios de impacto para prdidas de confidencialidad, integridad y disponibilidad.
Una organizacin debe definir sus propias escalas para los niveles de aceptacin del riesgo.
Durante el desarrollo se deben considerar los siguientes factores:
Los criterios de aceptacin del riesgo pueden incluir umbrales mltiples con un
nivel objetivo deseado del riesgo, pero con advertencias para los altos gerentes
referentes a aceptar riesgos por encima de este nivel en determinadas
circunstancias.
Se puede expresar los criterios de aceptacin del riesgo como la tasa de utilidad
estimada (u otro beneficio empresarial) respecto del riesgo estimado.
Se puede aplicar distintos criterios de aceptacin del riesgo a distintas clases de
t'*>
NORMA TECNICA
PERUANA
NTP.ISO/IEC 27005
14 de 95
Los criterios de aceptacin del riesgo pueden diferir de acuerdo a por cunto tiempo se
espera que el riesgo exista; por ejemplo, el riesgo se puede asociar con una actividad
temporal o de corto plazo. Se debe establecer los criterios de aceptacin del riesgo
considerando lo siguiente:
Criterios empresariales
Aspectos legales y regulatorios
Operaciones
Tecnologa
Finanzas
Factores sociales y humanitarios
NOTA: Los criterios de aceptacin del riesgo coresponden a "criterios para aceptar riesgos e
identificar el nivel aceptable del riesgo", segn se especifica en la norma ISO/IEC 2700 I Cpitulo
4.2.r c) 2).
7.3
Anexo A.
El alcance del proceso de gestin del riesgo en seguridad de la informacin debe definirse
para asegurar que se tomen en cuenta todos los activos relevantes en la evaluacin del
riesgo. Adems se tiene que identificar los lmites [vase tambin la norma ISO/IEC 27001
Captulo 4.2.1 a)l para enfrentar los riesgos que puedan surgir dentro de esos lmites.
Los objetivos,
organizacin.
estrategias
de
la
NoRMA
rcmce
NTP.ISO/TEC27OO5
PERUANA
15 de 95
Procesos de negocios.
Algunos ejemplos del alcance de la gestin del riesgo pueden ser una
aplicacin de
Tecnologa de Informacin - TI, una infraestructura de TI, un proceso
de negocio o una
parte definida de una organizacin.
NOTA: El alcance
A.
NORMA TECNICA
PERUANA
7.4
NTP-ISO/IEC27OO5
16 de 95
NoRMA
rcuce
NTP.ISO/IEC27OO5
PERUANA
8.
l7 de95
EVALUACIN
INT'ORMACIN
8-1
DEL RIESGO EN
Descripcin general de
informacin
SEGURIDAI)
DE
LA
Gua de implementcin:
NORMA TECNICA
PERUANA
NTP.ISO/IEC27OO5
l8
de 95
La evaluacin del riesgo determina el valor de los activos de la informacin, identifica las
amenlzar y vulnerabilidades aplicables que existen (o podran existir), identifica los
controles existentes y su efecto en el riesgo identificado, determina las consecuencias
potenciales y finalmente prioriza los riesgos derivados y los ordena respecto del conjunto
de criterios de evaluacin del riesgo establecidos en la determinacin del contexto.
8.2
8.2.1
8.2.1.1
El propsito de la identificacin del riesgo es determinar qu podra suceder que cause una
prdida potencial y entender cmo, dnde y por qu podra ocurrir la prdida. Los pasos
essriius En ios apariacios ruc siguen ai apartado 8.2.i cieben recoiectar ciatos cie insumos
para la actividad de estimacin del riesgo.
NoRMA rcNrce
NTP.ISO/IEC 27005
PERUANA
8.2.1.2
19 de 95
Identificacin de acvos
Insumo: Alcance y lmites para Ia evaluacin del riesgo a conducirse, lista de interesados
Accin: Se debe identificar los activos dentro del alcance establecido (se relaciona con la
norrna ISOIEC 27001, aparrado 4.2.1 d) l)).
Gua de implementacin:
Un activo es cualquier cosa que tenga valor para la organizacin y que por lo tnto
requiera proteccin. Para la identificacin de activos debe record".r.- qui un sistema de
informacin es ms que hardware y software.
El lmite de revisin
NORMA TECNICA
PERUANA
NTP-ISOiIEC27OO5
20 de95
Producto: Una lista de activos a administrarse respecto de zu riesgo y una lista de procesos
de negocio relativos a activos y su relevancia.
Identilicacin de amenaias
8.2.1.3
Gua de implementacin:
Una amenaza tiene el potencial de daar activos como la informacin, los procesos y los
sistemas Y, por tanto, las organizaciones. Las amenazas pueden ser de o.ig"n natural o
humano y pueden ser accidentales o deliberadas. Deben identificarse tanto las fuentes de
amenvrs accidentales como las deliberadas. Una arnenaza puede surgir desde adentro o
desde afuera de la organizacin. Se debe identificar las amenazas de manera genrica y por
tipo (por ejemplo acciones no autorizadas, dao fsico, fallas tcnicas) y entonces cuando
sea apropiado, las amenazas individuales dentro de la clase genrica identificada. Esto
significa que no se desatiende ninguna anrenaza, incluyendo las inesperadas, pero que el
volumen de trabajo requerido es limitado.
zay de la estimacin
de
NoRMA
rcmce
PERUANA
NTP.ISO/IEC27OO5
2L de 95
Producto: Una lista de amenazas con la identificacin del tipo y fuente de la amenaza.
8.2.1.4
Gua de imolementacin:
Se debe identificar los controles existentes para evitar trabajo o costo innecesarios, por
ejemplo en la duplicacin de controles. Adems, a la vez que se identifican los controles
existentes, se debe hacer una verificacin para asegurar que los controles estn
funcionando correctamente -una referencia a los informes de auditora ya existentes sobre
el ISMS limita el tiempo que se emplea en esta tarea. Si un control no funciona como se
esperaba, esto puede causar vulnerabilidades. Se debe considerar la situacin en la que un
control (o estrategia) seleccionado falle y, por lo tanto se requieran controles
complementarios para tratar de manera eftcaz el riesgo identificado. En un ISMS, de
acuerdo con ISO/IEC 27001, esto se logra gracias a la medicin de la eficacia de los
controles. Una manera de estimar el efecto del control es ver cmo reduce la posibilidad de
amenaza y la facilidad de explotacin de la vulnerabilidad o impacto del incidente. Las
revisiones de la gerencia y los informes de auditora tmbin proporcionan informacin
sobre la eficacia de los controles existentes.
NORMA TECNICA
PERUANA
NTP.ISO/IEC 27005
22 de95
Se debe considerar los controles que se ha planificado implementar de acuerdo con los
planes de implementacin de tratamiento de riesgo de la misma manera que aquellos que
ya se implementaron.
Las siguientes actividades pueden ser tiles paru la identificacin de controles existentes o
planeados:
8.2.1.5
NORMA TCNICA
PERUANA
NTP-ISO/IEC27OO5
23 de 95
Accin: Se debe identificar las vulnerabilidades que las amenazas pueden explotar para
causar dao a los activos o a la organizacin (se relaciona con la norma ISO/fuC 27,
Gua de implementacin:
Se puede
reas siguientes:
Organizacin
Procesos y procedimientos
Rutinas administrativas
Personal
Entorno fisico
Configuracin del sistema de informacin
Hardware, software o equipo de comunicaciones
Dependencia de partes externas
Las vulnerabilidades se pueden relacionar con propiedades del activo que se pueden utilizar
de una manera o por un propsito que el que se desea cuando se compr o hizo el activo.
Se tienen que considerar vulnerabilidades que srrgen de distintas fuenies, por ejemplo, las
que son intrnsecas o extrnsecas al activo.
En el Anexo
mtodos para la
Producto: Una lista de vulnerabilidades en relacin con los activos, amenazas y controles,
una lista de vulnerabilidades que no se relaciona a ninguna aunenaza identificada para su
revisin.
NORMA TECNICA
PERUANA
NTP-ISOIIEC27OO5
24 de 95
8.2.1.6
Insumo: Una lista de activos, una lista de procesos de negocios, y una lista de amenvas y
vulnerabilidades donde sea apropiado en relacin con los activos y su relevancia.
Accin: Se debe identificar las consecuencias que pueden tener las prdidas de
confidencialidad, integridad y disponibilidad (vase la norma ISO/IEC 27001, apartado
4.2.1 d) 4)).
Gua
de.
implementacin:
Una consecuencia puede hacer perder eficacia, puede haber condiciones operativas
adversas, lucro cesante, dao a la reputacin, etc.
NOTA: La norma ISOAEC 27001 describe la ocurrencia de escenarios de incidentes como "fallas
de
seguridad".
Las urganizaciones dcben ideniificar ias consecuencias operativas cie ios escenarios
incidentes en trminos de los siguientes elementos sin limitarse a los mismos:
cie
NoRMA rcNrce
PERUANA
NTP.ISO/IEC27OO5
25 de 95
de
vulnerabilidades tcnicas.
Producto: Una lista de escenarios de incidentes con sus consecuencias relacionadas a los
activos y procesos de negocios.
8.2.2
8.2.2.1
Se debe realizar el anlisis del riesgo en grados variables de detalle dependiendo del
carcter crucial de los activos, extensin de las vulnerabilidades conocidas e incidentes
previos que involucran a la organizacin. Una metodologa de estimacin puede ser
cualitativa o cuantitativa o una combinacin de ambas dependiendo de las circunstancias.
Fn la'pnctica, se usa a menudo la estimacin cualitativa para obtener primero una
indicacin general del nivel de riesgo y para revelar los riesgos ms importantes. Luego
puede ser necesario realizar anlisis mis especficos o cuantitativos sobre los riesgos ms
importantes porque a menudo es menos complejo y menos caro realizar anlisis
cualitativos que anlisis cuantitativos.
La forma del anlisis debe ser consistente con los criterios de evaluacin del
riesgo
A continuacin
la
magnitud de las consecuencias potenciales (por ejemplo, baja, media y alta) y la posibilidad
de que esas consecuencias ocurran. Una ventaja de la estimacin cualitativa es su facilidad
de comprensin por todo el personal relevante, mientras que una ventaja es la dependencia
en una eleccin subjetiva de la escala.
NoRMA rcuca
NTP.ISOIIEC2TOO5
PERUANA
26 de 95
Estas escalas pueden adaptarse o ajustarse para acomodarse a las circunstancias y se puede
usar distintas descripciones para distintos riesgos. Se puede usar estimacin cualitativa:
Como una actividad de clasificacin inicial para identificar los riesgos que
requieran un anlisis ms detallado.
Donde este tipo de anlisis sea apropiado para las decisiones.
una
estimacin cuantitativa
El anlisis cualitativo debe usar informacin fctica y datos siempre que estn disponibles.
La estimacin cuantittiva usa una escala con valores numricos (ms que escalas
descriptivas que se utilizan en la estimacin cualitativa) para las consecuencias y la
posibilidad, utilizando datos de una variedad de fuentes. La calidad del anlisis depende de
la exactitud y completitud de los valores numricos y de la validez de los modelos
utilizados. En la mayora de los casos la estimacin cuantitativa usa datos de incidentes
histricos, proveyendo la ventaja de que se puede relacionar directamente a los objetivos de
seguridad de la informacin y a las preocupaciones de la organizacin. Una desventaja es la
falt de dichos datos sobre nuevos riesgos o sobre las debilidades en la seguridad de la
informacin, Una desventaja del enfoque cuantitativo puede ocurrir donde no se disponga
de datos auditables, creando as una ilusin de valor y exactitud de la evaluacin del riesgo.
La manera en la que se expresan las consecuencias y la posibilidad y las maneras en las que
se combinan para proporcionar un nivel de riesgo variarn de acuerdo al tipo de riesgo y al
propsito para el cual se debe utilizar el producto de la evaluacin del riesgo. Se debe
considerar la incertidumbre y variabilidad de varias consecuencias y probabilidad en el
anlisis y comunicarse de manera eftcaz.
NoRMA rcNlce
PERUANA
8.2.2.2
NTP.ISOAEC2TOO5
27 de95
Evaluacin de consecuencias
Accin: Se debe evaluar el impacto empresarial sobre la organizacin que podra resultar
de -incidentes posibles o reales en tomo a la seguridad de la informacin, tomando en
cuenta las consecuencias de una infraccin en la seguridad de la informacin tal como la
prdida de confidencialidad, integridad o disponibilidad de los activos (se relaciona con
ISO/IEC 27001, Captulo a.2.1 e) l)).
Gua de implementacin
Luego de identificar todos los activos que se estn revisando, se debe tomar en cuenta los
valores asignados a estos activos alavez que se evalan las consecuencias.
El valor de impacto
su
carcter crucial en trminos de la importancia de los activos para satisfacer los objetivos de
negocio de la organizacin. Entonces se determina el valor utilizando dos medidas:
NoRMA rcNrce
PERUANA
NTP.ISO/IEC27OO5
28 de 95
8.2.2.3
NoRMA rcNrca
PERUANA
NTP.TSO/IEC27OO5
29 de 95
Accin: La posibilidad de los escenarios de incidentes debe evaluarse (se relaciona con la
norrna ISO/IEC 27001, apartado a.2.1 e) 2)).
Gua de imolementacin
Por ejemplo, un sistema de informacin puede tener una vulnerabilidad a las amenazas de
suplantacin de identidad de usuario y mal uso de recursos. La vulnerabilidad de
suplantacin de identidad de usuario puede ser alta debido alafaltz de autentificacin de
usuario. Por otro lado, la posibilidad de un mal uso de recursos puede ser alta a pesar de la
falta de autentificacin de usuario porque las guas para utilizar mal los recursos son
limitadas.
NORMA TECMCA
PERUANA
NTP.ISOiIEC2TOO5
30 de 95
8.2.2.4
Accin: El nivel de riesgo debe estimarse para todos los escenarios de incidentes relevantes
(se relaciona con la norma ISOiIEC 27001, apartado 4.2.1 e) $).
Gua de implementacin:
8.3
lnsumo: Una lista de riesgos con niveles asignados de valor y criterios de evaluacin del
riesgo.
Accin: El nivel de riesgo debe compararse contra los criterios de evaluacin del riesgo y
los criterios de aceptacin del riesgo (se relaciona con la norma ISO/IEC 2700I, apartado
a.Z.t e) $).
NoRMA
rcuce
PERUANA
NTP-ISOIIEC27OO5
3l
de 95
Gua de imolementacin:
Los criterios de evaluacin del riesgo utilizados para tomar la decisin deben
ser
La evaluacin del riesgo utiliza la comprensin del riesgo obtenida por el anlisis
del
riesgo para tomar decisiones sobre acciones futuras. Las deJisiones
deben incluir:
de riesgos.
NORMA TECNICA
PERUANA
NTP-ISO/IEC27OO5
32 de 95
Durante la etapa de evaluacin del riesgo, los requisitos contractuales legales y regulatorios
son factores que deben tomarse en cuenta adems de los riesgos estimados.
Producto: Una lista de riesgos priorizada de acuerdo con los criterios de evaluacin del
riesgo en relacin con los escenarios de incidentes que llevan a esos riesgos.
9.
TRATAMIENTO
DEL RIESGO EN
SEGURIDAD
DE LA
INT'ORMACIN
9.1
Insumo: Una lista de riesgos priorizada de acuerdo con criterios de evaluacin del riesgo en
relacin con los escenarios de incidentes que llevan a esos riesgos.
Accin: Se debe seleccionar controles para reducir, retener, evitar o transferir los riesgos y
un plan del tratamiento del riesgo definido.
Gua de implementacin
Existen cuatro opciones disponibles para el tratamiento del riesgo: reduccin del riesgo
(vase el apartado 9.2), retencin del riesgo (vase el apartado 9.3), evitamiento del riesgo
(vase el apartado 9.4)y transferencia del riesgo (vase el apartado 9.5).
NOTA: La norma ISOiIEC 27001 4.2.1,0 2) usa el trmino "aceptar el riesgo" en vez de "retener el
riesgo".
La Figura 2 ilustra la actividad de tratamiento del riesgo dentro del proceso de gestin del
riesgo en seguridad de la informacin tal como se presenta en la Figura l.
NoRMA rcNrce
NTP.ISO/IEC27OO5
33 de 95
PERUANA
Decisin sobre el
riesgo punto 1
Decisin sobre el
FTGURA 2
- Actividad de tratamiento
del riesgo
NoRMA rcNrce
PERUANA
NTP.ISO/IEC27OO5
34 de 95
Cuando se puede obtener grandes reducciones en el riesgo con un gasto relativamente bajo,
dichas opciones deben implementarse. Las opciones adicionales para mejoras pueden ser
no econmicas y se tiene que utilizar el criterio para decidir si son justificables.
En general, las consecuencias adversas de los riesgos deben hacerse tan bajas como sea
practicable razonablemente y sin importar criterios absolutos. Los gerentes deben
considerar los riesgos poco frecuentes pero graves. En dichos casos, es posible que se tenga
que implementar controles que no son justificables desde el punto de vista estrictamente
econmico (por ejemplo, controles a la continuidad del negocio considerados para cubrir
riesgos altos especficos).
Las cuatros opciones para el tratamiento del riesgo no se excluyen mutuamente. A veces la
organizacin puede beneficiarse sustancialmente por una combinacin de opciones como la
reduccin de la posibilidad de riesgos, la reduccin de sus consecuencias, y la transferencia
o retencin de cualquier riesgo residual.
existentes
excedan las necesidades corrientes en trminos de comparaciones de costos, incluyendo el
innecesarios
mantenimiento. Si se considera eliminar los controles redundantes
NoRMA rcluce
PERUANA
NTP.ISO/IEC 27005
35 de 95
El
U.na vez que el plan de tratamiento del riesgo se ha definido, se tiene que
determinar los
riesgos residuales. Esto incluye una actualizuiin o reiteracin de la evaluacin
del riesgo,
tomando en cuenta los efectos esperados del tratamiento propuesto del
riesgo. Si el riesgo
9.2
NoRMA rcnce
PERUANA
NTP.ISO/IEC27OO5
36 de 95
Gua de implementacin
Se debe seleccionar controles apropiados y justificados para cumplir con los requisitos
identificados por la evaluacin y el tratamiento del riesgo. Esta seleccin debe tomar en
cuenta los criterios de aceptacin del riesgo as como los requisitos legales regulatorios y
contractuales Esta seleccin tambin debe tomar en cuenta el costo y el horizonte temporal
para la implementacin de controle sobre los aspectos tcnicos, ambientales y culturales. A
menudo es posible reducir el costo total de la propiedad de un sistema con controles de
se guridad de la informac in se lecc ionados aprop iadamente.
y mantenimiento de los controles contra el valor de los activos que se estn protegiendo.
Adems, se debe considerar el retorno sobre la inversin en trminos de reduccin del
riesgo y del potencial de explotar nuevas oportunidades de negocio que los controles
permitan. Adicionalmente, se debe considerar las habilidades especializadas que se pueden
requerir para definir e implementar nuevos controles o modificar los existentes.
Existen muchas restricciones que pueden afectar la seleccin de controles. Las restricciones
tcnicas como los requisitos de desempeo, administrabilidad, requisitos de apoyo
operativo y cuestiones de compatibilidad pueden obstaculizar el uso de ciertos controles o
inducir a error humano ya sea anulando el control, dando una falsa sensacin de seguridad
o incluso incrementando el riesgo ms all del control. Por ejemplo, el requerir claves
complejas sin capacitacin adecuada lleva a los usuarios a escribir las claves. Ms an,
podra ser el caso q. un control afecte el desempeo. Los gerentes deben tratar de
identificar una solucin que satisfaga los requisitos de desempeo y a la vez garantice
suficiente seguridad de la informacin. El resultado de este paso es una lista de controles
posible con su costo, beneficio y prioridad de implementacin.
Restricciones de tiempo.
y durante la
NoRMATcuce
PERUANA
NTP-ISO/IEC27OO5
37 de95
Restricciones fi nancieras.
Restricciones tcnicas.
Restricciones operativas.
Restricciones culturales.
Restricciones ticas.
Restricciones ambientales.
Restricciones legales.
Facilidad de uso.
Restricciones personales.
Restricciones para integrar controles nuevos y existentes,
9.3
para la
Gua de implementacin:
NORMA TECNICA
PERUANA
9.4
NTP-ISOIIEC 27005
38 de 95
Gua de imolementacin:
9.5
Accin: El riesgo debe transferirse a otra parte que pueda administrar ms eficazmente el
riesgo particular dependiendo de la evaluacin del riesgo.
Gua de implementacin:
La transferencia del riesgo involucra una decisin de compartir ciertos riesgos con partes
externas. La transferencia del riesgo puede crear nuevos riesgos o modificar los riesgos
existentes identificados. Por lo tanto, puede ser necesario el tratamiento adicional del
riesgo.
acciones inmediats para evitar un ataque antes de que logre un nivel de dao definido.
Se debe notar que puede ser posible transferir la responsabilidad de administrar el riesgo,
NoRMA rcNlca
NTP.ISO/IEC27OO5
39 de 95
PERUANA
10.
ACEPTACIN
INT'ORMACIN
DEL
RIESGO
EN
SEGURIDAD
DE
LA
Gua de implementacin:
.""
de
riesgo.
NoRMA rcNrce
NTP.ISO/IEC 27005
40 de 95
PERUANA
COMUNICACIN
11.
DEL RIESGO EN
SEGURIDAD
DE
LA
INT'ORMACION
Insumo: Toda la informacin del riesgo que se obtiene de las actividades de gestin del
riesgo (vase la Figura l).
Accin: La informacin sobre el riesgo debe intercambiarse y/o compartirse entre quienes
toman las decisiones y otros interesados.
Gua de implementacin:
La comunicacin del riesgo es una actividad para lograr acuerdos sobre cmo manejar los
riesgos intercambiando y/o compartiendo informacin sobre el riesgo entre quienes toman
las decisiones y otros interesados. La informacin incluye, pero no se limita a, la
existencia, naturaleza, forma, posibilidad, gravedad, tratamiento y aceptabilidad de los
riesgos.
La comunicacin eftcaz entre los interesados es importante ya que esto puede tener un
impacto significativo en las decisiones que se deben tomar. La comunicacin asegurar que
los responsables de implementar la gestin del riesgo y aquellos que tienen intereses
particulares comprendan la base sobre la cual se toman las decisiones y las acciones
particulares que se requieren. La comunicacin es bi-direccional.
Las percepciones del riesgo pueden variar debido a las diferencias en los supuestos,
conceptos y a las necesidades, problemas y preocupaciones de los interesados segn se
relacionen ellos con el riesgo o los problemas en cuestin. Los interesados probablemente
consideren la aceptabilidad del riesgo en base a su percepcin del riesgo. Esto es
especialmente importante para asegurar que las percepciones del riesgo de los interesados,
as como sus percepciones de los beneficios se pueden identificar y documentar y las
razones subyacentes se pueden entender y resolver de manera clara.
organizacin.
NoRMA rcNrce
NTP-ISO/IEC27OO5
PERUANA
4l
de 95
las
Mejorar la conciencia.
Una organizacin debe desarrollar planes de comunicacin del riesgo para operaciones
normales, as como para las situaciones de emergencia. Por lo tanto, la uciividad
de
comunicacin del riesgo debe realizarse de manera continua.
NoRMA rcNrce
PERUA\IA
12.
NTP-ISO/TEC27OO5
42 de 95
nvronu.cIN
t2.l
Insumo: Toda la informacin sobre el riesgo que se obtiene a travs de las actividades de
gestin del riesgo (Vase la Figura 1).
Accin: Se debe monitorear y revisar los riesgos y sus factores (es decir, valor de los
activos, impactos, amenazas, vulnerabilidades, posibilidad de ocurrencia) para identificar
cualquier cambio en el contexto de la informacin en una etapa temprana y para mantener
una visin general de toda la imagen del riesgo.
Gua de implementacin
Nuevos activos que hayan sido incluidos en el alcance de la gestin del riesgo.
La modificacin necesaria de los valores de los activos, por ejemplo: debido a
las necesidades cambiantes del negocio.
Nuevas amenazas que podran ser activas tanto fuera como dentro de la
organizacin y que no se han evaluado.
La posibilidad de que las vulnerabilidades nuevas o aumentadas permitan que
haya amenazas que exploten estas vulnerabilidades nuevas o cambiadas.
Vulnerabilidades identificadas para determinar las que se estn exponiendo a
amenazas nuevas o re-emergentes.
El mayor impacto o las consecuencias de amenazas, vulnerabilidades y riesgos
evaluados resultan en un nivel de riesgo inaceptable cuando se agregan.
Incidentes de seguridad de la informacin.
NoRMA rcNlce
NTP.ISO/IEC27OO5
43 de 95
PERUANA
riefios no caen
dentro de la categora baja o aceptable, se les debe tratar utilizando una o ms
de las
opciones consideradas en el Captulo 9.
Los factores que afectan las posibilidades y las consecuencias de que ocuran
las amenazas
pueden cambiar, as como pueden cambiar los factores que afectan la
conveniencia o el
costo de las distintas opciones de tratamiento.
El resultado de las actividades de monitoreo del riesgo pueden ser un insumo para
actividades de revisin del riesgo.
otras
12.2
l).
NORMA TCNICA
PERUANA
NTP.ISO/IEC27OO5
44 de 95
Gua de imolementacin:
Adems, la organizacin debe verificar regularmente que los criterios utilizados para medir
el riesgo y sus elementos siguen siendo vlidos y consistentes con los objetivos, estrategias
polticas empresariales
en
no
limitarse a, lo siguiente:
para
NoRMA rcNrce
NTP.ISOi]EC27OO5
PERUANA
45 de 95
la
modificacin o adicin de
Cambios identificados.
Integracin de la evaluacin del riesgo.
Objetivo del proceso de gestin del riesgo en seguridad de Ia informacin
(por ejemplo, continuidad del negocio, capacidad de recuperacin ante los
incidentes,
cumplimiento).
Objetivo del proceso de gestin del riesgo en seguridad de la informacin
(por ejemplo, organizacin, unidad empresarial, proceso de la informacin,
implementacin tcnica" aplicacin, conexin a la Internet).
proceso.
13.
ANTECEDENTES
13.1.
ISOiIEC 27005:2008
NoRMA rcNrce
NTP.ISO/IEC27OO5
46 de 95
PERUANA
ANEXO A
(TNFORMATTVO)
4.1
Estudio de la organizacin
Evaluar
la
subcontratacin).
Por ejemplo, el hecho de que el gerente de seguridad de la informacin reporte a los altos
gerentes en vez de a los gerentes de TI puede indicar la participacin de la alta gerencia
en la seguridad de la infurmacin.
NoRMA rcNlce
NTP-ISOAEC27OO5
PERUANA
47 de95
Sus valores. Los valores, los principios importantes o un cdigo bien definido de conducta
que se aplica al ejercicio de un negocio. Esto puede referirse al personal, a las relaciones
con agentes externos (clientes, etc.), a la calidad de productos suministrados o servicios
proporcionados.
Tomar el eiemplo de una organizacin cuyo propsito es el servicio pblico, cttyo negocio
es el transporte y cuyas misiones incluyen el transporte de nios y de la eicuela. Sus
valores pueden ser Ia puntualidad y la seguridad del servicio durante il transporte.
Una divisin dentro de una organizacin con estructura por divisiones puede
organizarse como una estrucfura funcional y viceversa.
elel:qtr.
vv^vlvr
niveles:
Se puede decir que una organizacin tiene una estructura de matriz si tiene
- a^\iJ
u!
^rL^^
+i-^.
riljijb
J- d+-r^fit,^
i- JLIUrure.
siguientes
NoRMA
rctuce
PERUANA
NTP.ISOIIEC2TOO5
48 de 95
La estratesia de la oreanizacin. Esto requiere una expresin formal de los principios gua
de la organizacin. La estrategia de la organizacin determina la direccin y el desanollo
que se necesitan para beneficiarse de los temas en juego y de los cambios importantes que
estiin planeandos.
A.2
Deben tomarse en cuenta todas las restricciones que afectan a la organizacin y determinan
su orientacin en seguridad de la informacin. Su fuente puede estar dentro de la
organizacin, en cuyo caso tiene cierto control sobre ella o fuera de la organizacin y, por
lo tanto, generalmente no es negociable. Las restricciones a los recurSos (presupuesto,
personal) y las restricciones de emergencia estn entre las ms importantes.
La
camino,
la
f1l
:l
:l
il
:l
:l:l
NoRMA rcurce
NTP.ISO/IEC27OO5
49 de 95
PERUANA
Las restricciones pueden surgir de los cambios planeados o posibles a las estructuras u
orientacin de la organizacin. Se expresa en los planes estratgicos u operativos de la
organizacin.
puede
NoRMA rcNrce
PERUANA
NTP.ISO/TEC27OO5
50 de 95
eventos
Por ejemplo, algunos servicios pueden ser capaces de continuar incluso a pesar de una
seria crisis.
Por ejemplo, une estructura internacional puede ser copaz de reconciliar las necesidades
especficas de seguridad para cada pas.
Restricciones funcionales
Por ejemplo, una organizacin que opera 24 horas al da debe asegurar que sus recursos
estn continuamente disponibles.
s._
af
il
rl
il
fl
il1l
:!
ii
,t
I
rl
;i
NoRMA rcNtce
NTP.ISO/IEC27OO5
PERUANA
5l
:l
de 95
it
;l
rl
il
:l
Por eiemplo, todo el personal de una organizacin de defensa debe tener autorizacin
co nfi denc
ial.
las
lr'
::
f
I
!
NoRMA rcNtce
NTP-ISO/IEC27OO5
52 de 95
PERUANA
A.3
regulatorias aplicables
a la
organizacin
la organizacin. Estos
pueden
A.4
Al
restricciones.
Restricciones tcnicas
la infraestructura surgen
generalmente de
hardware y software instalados y de las habitaciones o lugares que albergan los procesos:
NoRMA rcNrce
PERUANA
NTP-ISO/IEC27OO5
53 de 95
'
La
a la
topologa
nivel
de
a la
ingeniera
Restricciones fi nancieras
NTP-ISO/IEC27OO5
54 de 95
NORMA TC}.IICA
PERUANA
Restricciones temporales
el know-how de la
otg?rnizacin
en
el
Restricc iones
rsanizativas
etc')'
administrador de siitemas o ad"ministrador de datos'
a responsabilidades, etc.)
Gestin administrativa (requisitos concemientes
heffamientas de
computadora,
planes
por
de aceptacin,
desarrollo, ingeniera de software asistida
Gestin
NoRMA rcNrca
NTP-ISONEC27OO5
55 de 95
PERUANA
ANEXO B
Gr{FORMATTVO)
8.1
Para realizar una valorizacin de activos, una organizacin necesita primero identificar sus
activos (a un nivel apropiado de detalle). Se puede distinguir dos tipos de activo:
Informacin
Los activos de apoyo (sobre los cuales descansan los elementos primarios
del alcance) de todo tipo:
Hardware
Software
Red
Personal
Sitio
Estructura de la organizacin
8.1.1
realiza por medio de un grupo de trabajo mixto que representa el proceso (gerentes,
especialistas en sistemas informticos y usuarios).
NTP.ISO/IEC 27005
56 de 95
NORMA TECNICA
PERUANA
Los activos primarios son usualmente los procesos e informacin centrales de la actividad
en cuestin. Otros activos primarios como los procesos de la organizacin tambin pueden
considerarse, lo cual ser ms apropiado para disear una poltica de seguridad de la
informacin o un plan de continuidad del negocio. Dependiendo del propsito, algunos
estudios no requerirn un anlisis exhaustivo de todos los elementos que conforman el
alcance. En dicho caso, los lmites del estudio se pueden restringir a los elementos clave
del alcance.
l.
de la organizacin.
la organizacin
el logro de la
lnformacin:
2.
organizacin.
NoRMA rcNtce
NTP-ISOiIEC27OO5
57 de95
PERUANA
si
Sin embargo, a menudo heredarn controles implementados par! proteger los procesos y
la
informacin identificados como sensibles.
8.1.2
El alcance consiste de activos que deben identificarse y describirse. Estos activos tienen
vulnerabilidades que son explotables por amenazas que tienen como objetivo
desactivar los
activos primarios del alcance (procesos e informacion. son de varios tipos:
Hardware
El tipo de hardware consiste de todos los elementos fisicos que apoyan procesos.
NTP.ISOIIEC2TOO5
58 de 95
NORMA TECNICA
PERUANA
Equipo ftio
Perifricos de procesamiento
Medio electrnico
Ejemplos:
disco
floppy, CD
Rom, cartucho
Otros medios
NoRMA
rcuce
NTP.ISO/IEC 27005
PERUANA
Ej emplos : papel,
59 de 95
Software
Esto incluye todos los programas de una computadora que constituye la base operativa
desde la cual se corren todos los dems programas (servicios o aplicaciones). Incluye
un
kernel y funciones o servicios brlsicos. Dependiendo de la aiquitectura, un sistema
operativo puede ser monoltico o estar conformado de un microkernel y un conjunto de
servicios del sistema
Los elementos principales del sistema operativo son todos los servicios de administracin
del equipo (CPU. memoria, disco e interfases de red), servicios de administracin de tareas
o procesos y servicios de manejo de derechos de usuario.
Software caracterizado por el hecho de que complementa los servicios del sistema
operativo y no esti directamente al servicio de los usuarios o aplicaciones (aunque
usualmente es esencial o incluso indispensable para la operacin global del sistema
de
operacin).
NoRMA rcNrce
NTP.ISO/IEC27OO5
60 de 95
PERUANA
Aolicacin emoresarial
Este es software comercial diseado para dar a los usuarios acceso directo a los
servicios y funciones que requieren de su sistema de informacin en su contexto
profesional. Existe un rango de campos muy amplio, tericamente ilimitado.
de
administrativo, etc.
Este es software en
soporte, el
mantenimiento, las mejoras, etc.) se han desarrollado especficamente para darle a los
usuarios acceso directo a los servicios y funciones que requieren de su sistema de
informacin. Existe un rango de campos muy amplio, tericamente ilimitado.
Ejemplos: administracin
de
facturas
de
clientes
de
operadores
de
Red
El tipo red consiste de todos los dispositivos de telecomunicaciones que se usan para
interconectar varias computadoras fisicamente remoas o elementos de un sistema de
operacin.
NoRMA rcNrce
NTP.ISO/IEC27OO5
PERUANA
6l
de 95
Medio v soDorte
Este sub-tipo incluye todos los dispositivos que no son las terminaciones lgicas
de las comunicaciones (visin IS), sino que son dispositivos intermedios o rels.
Los rels se caracterizan por los protocolos de comunicacin de red soportados.
Adems del rel bsico, a menudo incluye el ruteo y/o funciones y servicios de
Interfaz de comunicacin
Ejemplos:
Ethemet.
NoRMA
roucn
PERUANA
NTP.ISO/IEC 27005
62 de 95
Personal
sistema
informtico.
Responsable de tomar decisiones
Usuarios
NoRMA rcNrce
NTP.ISO/IEC27OO5
63 de 95
PERUANA
Desarrolladores
de la
organizacin. Tienen acceso a parte del sistema de operacin
derechos de
"on
alto nivel pero no toman ninguna accin sobre los datoJde produccin.
Ejemplos : desa*olladores de
apr
icaciones empresariares.
Sitio
El tipo sitio comprende todos los lugares que contienen el alcance o parte
del alcance y los
medios fsicos requeridos para que opere.
Ubicacin
Entorno externo
Esto concieme a todos los lugares en los que los medios de seguridad
de la
organizacin no se pueden aplicar.
Locales
NoRMA rcNrce
PERUANA
NTP-ISO/IEC 27005
64 de 95
Zona
Una zona est formada por un lindero protector fisico que forma divisiones
dentro del local de una organizacin. Se obtiene creando barreras fsicas
alrededor de las infraestructuras de procesamiento de informacin de la
organizacin.
Comunicacin
Servicios pblicos
Suministro de agua.
Disposicin de residuos.
NoRMA rcucn
PERUANA
NTP.ISO/IEC27OO5
65 de 95
Organizacin
Estructura de la orsanizacin
de
de
NoRMA rcNrce
PERUANA
NTP.ISOIIEC2TOO5
66 de 95
de
8.2
Valorizacin de activos
El siguiente paso luego de la identificacin del activo es acordar la escala que se debe
utilizar y los criterios para asignar una ubicacin particular en esa escala a cada activo en
base a la valorizacin. Debido a la diversidad de activos que se encuentra en la mayor parte
de organizaciones, probablemente algunos activos que tienen un valor monetario conocido
se valorizarn en la unidad de moneda local, mientras que a otros que tienen un valor
o'muy
cualitativo puede asignrseles un rango de valor, por ejemplo desde "muy bajo" a
alto". La decisin de usar una escala cuantitativa versus una escala cualitativa es en
realidad cuestin de preferencia de Ia organizacin, pero debe ser relevante a los activos
que se estn valorizando. Ambos tipos de valorizacin podran utilizarse para el mismo
activo.
Los trminos tpicos que se utilizan para la valorizacin cualitativa de activos incluyen
palabras como insignificante, muy bajo, bajo, medio, alto, muy alto y crucial.La eleccin y
iungo de los trminos convenientes a una organizacin depende fuertemente de la
necisidad que tiene una organizacin de seguridad, del tamao de la organizacin y de
otros factores especficos a la organizacin'
NoRMA rcNrc
PERUANA
NTP.ISO/IEC 27005
67 de95
Criterios
Los criterios utilizados como base para asignar un valor a cada activo deben
escribirse en
trminos claros. Este es a menudo uno de los aspectos ms difciles
de la valorizacin de
activos ya que los valores de algunos activos tendrn que determinarse
subjetivamente y
debido a que muchos individuos probablemente harn la determinacin.
Los criterios
posibles a utilizat para determinar el valor de un activo incluyen su costo
original, su costo
de reemplazo y re-creacin o su valor puede ser abstracto, por ejemplo
Jl valor de la
reputacin de una organizacin.
Otra base para la valorizacin de activos son los costos incurridos debido
a la prdida de
confidencialidad, integridad y disponibilidad como resultado de un incidente.
Tambin se
debe considerar como apropiados el no-repudio, la rendicin de cuentas,
la autentici dad y
la confiabilidad. Una valoracin as proveera las dimensiones de elementos
importantes
para el valor del activo, adems del costo de reemplazo, basndose
en estimados de las
consecuencias adversas al negocio que resultaran de incidentes
de seguridad con un
conjunto asumido de circunstancias. Se enfatiza que este enfoque
da cuenta de las
consecuencias que es necesario factorizar en la evaluaion del
riesgo.
NoRMA rcNlca
PERUANA
NTP.ISO/IEC27OO5
68 de 95
Oto
NoRMA rcNrce
PERUANA
NTP.ISO/IEC 27005
69 de 95
Prdida de bienes/fondos/activos
Prdida de clientes, prdida de proveedores
Procesos judiciales y sanciones
Prdida de una ventaja competitiva
Escala
NoRMA rcNrce
PERUANA
NTP.ISO/IEC 27005
70 de 95
Una organizacin puede definir sus propios lmites para la valorizacin de activos, como
'obajo", "medio", o "alto". Estos lmites deben evaluarse de acuerdo con criterios
seleccionados (por ejemplo, para prdidas financieras posibles, deben darse en valores
monetarios, pero para consideraciones como la puesta en peligro de la seguridad del
personal, la valorizacin monetaria puede ser compleja y puede no ser apropiada para todas
las organizaciones). Finalmente, depende completamente de la organizacin el decidir qu
se considera como una consecuencia "baja" o "alta". Una consecuencia que puede ser
desastrosa para una otganizacin pequea puede ser "baja" o "insignificante" para una
organizacin pequea.
Dependencias
Los valores de los activos de los que otros activos dependen se pueden modificar de la
manera siguiente:
Si los valores de los activos dependientes (por ejemplo datos) son ms bajos
o iguales a los valores del activo considerado (por ejemplo software), su
valor sigue siendo el mismo.
NoRMA rcNrce
NTP-ISO/IEC 27005
7l de95
PERUANA
si
los valores del activo dependiente (por ejemplo datos) es mayor, entonces
el grado de dependencia
los valores de otros activos
Producto
NORMA TCNICA
PERUANA
NTP.ISO/IEC 27005
72 de 95
Directo:
a)
b)
respaldo.
c)
el
Indirecto:
a)
Costo de oportunidad (se tiene que usar recursos financieros para reemplazar
o reparar un activo que podra haber sido utilizado en otro lugar.
b)
c)
d)
e)
Como tal, la primera evaluacin (sin controles de ningn tipo) estimar un impacto como
muy cercano al (a los) valor (es) concernido (s) o a una combinacin de los mismos. Para
cualquier iteracin siguiente sobre este (estos) activo (s), el impacto ser diferente,
normalmente mucho ms bajo debido a la presencia y a la eficacia de los controles
implementados.
NoRMA rcNlca
NTP.ISO/IEC27OO5
73 de 95
PERUANA
ANEXO C
(TNFORMATTVO)
el
(accidental),
M (medioambiental) es relevante. D
donde D (deliberada), A
se utiliza para todas las acciones
Incendio
Dao por agua
Contaminacin
Accidente mayor
Destruccin del equipo o los medios
Polvo, corrosin, congelacin
Fenmeno
Fenmeno
Fenmeno
Fenmeno
A,D,M
A,D,M
A,D,M
A,D,M
A,D,M
A,D,M
climtico
ssmico
volcinico
meteorolgico
Inundacin
Fallas del sistema de aire acondicionado
o del suministro de agua
Prdida del suministro de electricidad
Falla del equipo de telecomunicaciones
Radiacin electromagntica
Radiacin trmica
Pulsos electromagnticos
Intercepcin de seales de interferencia
comprometedoras
Espionaje remoto
Interceptacin de comunicaciones
Robo de medios o documentos
Robo de equipos
Hallazgo
de
medios reciclados
M
M
M
M
M
A,D
A,D,M
A,D
A,D,M
A,D,M
A,D,M
D
D
D
D
o
D
D
NoRMA rcNrce
PERUANA
NTP.ISO/IEC 27005
74 de 95
descartados
Divulgacin
A,D
A,D
A,D
Deteccin de posicin
Falla del equipo
Mal funcionamiento del equipo
Saturacin del sistema de informacin
Mal funcionamiento del software
Ruptura de la mantenibilidad del sistema
A
A
A,D
A
A,D
de informacin
D
D
A,D
D
D
Ruptura
en la
A,D
D
D
A.D,M
disponibilidad del
personal
Se debe dar atencin particular a las fuentes de amenazas humanas. Estas se desglosan en
la tabla siguiente:
Desafio
Ego
Rebelin
Hacking
- ingeniera social
- intrusin en el sistema,
Estatus
Dinero
Destruccin de informacin
Revelacin de informacin
iiegai
Ganancia monetaria
Alteracin no autorizada de
datos
Chantaje
Destruccin
ciberntico)
Acto fraudulento (reproducc in
de archivos, suplantacin,
intercepcin)
-Soborno informtico
-Falsificacin o usurpacin de la
direccin
-Intrusin en el sistema
- Bomba/Terrorismo
NoRMA rcuce
PERUANA
NTP-ISO/IEC27OO5
75 de 95
Explotacin
Venganza
Ganancia poltica
Cobertura meditica
-Penetracin en el sistema
Ventaja competitiva
Espionaje econmico
Explotacin econmica
-Robo de informacin
-Intrusin en la privacidad
personal
-Ingeniera social
- Penetracin en el sistema
-Acceso no autorizado al
sistema (acceso a informacin
clasificad4 propietari4 y/o
relacionada con tecnologa)
Curiosidad
-Asalto a un empleado
Ego
-Chantaje
Inteligencia
Ganancia monetaria
Venganza
Errores y omisiones no
intencionales (por ejemplo
error en el ingreso de datos,
error en la programacin)
Busqueda de informacin
propietaria
-Abuso informtico
-Fraude y robo
- Soborno por informacin
(por
-Acceso no autorizado al
sistema
NoRMA rcxrce
PERUANA
NTP.ISOiIEC 27005
76 de95
ANEXO D
(TNFORMATTVO)
D.1
Ejemplos de vulnerabilidades
Hardware
configuracin
Prdida de suministro elctrico
Fenmeno meteorolgico
D-'^L^
^-iUiiin
^l
.^f+"'^-^
ivrtrrsv
:-^..:^+^-+^^!dJtv^!eJ
insuficientes
Errores conocidos en el software
No hacer 'logout' cuando se sale de la
estacin de trabajo
Disposicin o reutilizacin de medios de
almacenamiento sin borrar
AL-,^^
nuuJv
J^ l----l-^u! g9lgurrv
Abuso de derechos
Abuso de derechos
Abuso de derechos
apropiadamente
Abuso de derechos
NoRMA rcNrca
NTP.ISOIIEC2TOO5
77 de95
PERUANA
Abuso de derechos
acceso
Corrupcin de datos
Conupcin de datos
Error en el uso
Error en el uso
Error en el uso
Eror en el uso
Falsificacin de datos
de usuarios.
Personal
Falsificacin de datos
Falsificacin de datos
Procesamiento ilegal de datos
Mal funcionamiento del software
Mal funcionamiento del software
Mal funcionamiento del software
Adulteracin del software
Adulteracin del software
Robo de medios o documentos
Uso no autorizado del equipo
Mediacin de acciones
Intercepcin
Intercepcin
Falla del equipo de
telecomunicaciones
Falla del equipo de
telecomunicaciones
Falsifi caciones de derechos
Espionaje remoto
Espionaje remoto
Saturacin del sistema de
iniormacin
Uso no autorizado del equipo
Procedimientos inadecuados de
reclutamiento.
Capacitacin de seguridad insuficiente.
Uso incorrecto del software y hardware.
NTP.ISOIIEC2TOO5
78 de 95
NORMA TECNICA
PERUANA
Sitio
Organizacin
mensajera.
Uso inadecuado o negligente del control
de acceso fsico a edificios y
habitaciones.
Ubicaciones en un ea susceptible a las
inundaciones.
Error en uso
Procesamiento ilegal de datos
Robo de medios o documentos
Uso no autorizado del equipo
Destruccin de equipo o de
medios
Inundacin
Prdida de suministro de
electricidad
Robo de equipos
puertas y ventanas.
Falta de un procedimiento formal para el
registro y baja de los usuarios.
Falta de proceso formal para revisar el
derecho de acceso (supervisin).
Disposiciones inexistentes o
insuficientes (respecto de la seguridad)
en contratos con clientes y / o terceros.
Abuso de derechos
Abuso de derechos
Abuso de derechos
Abuso de derechos
Abuso de derechos
Abuso de derechos
Abuso de derechos
Corrupcin de datos
Datos de fuentes no confiables
NoRMA rcnce
NTP-ISOMC 27005
PERUANA
79 de 95
Negacin de acciones
informacin
Faltad de planes de continuidad
Falta de una poltica de uso de correos
electrnicos
Falta de procedimientos para introducir
software en sistemas operativos
Faltas de registros en los historiales del
administrador y del operador
Falta de procedimientos pra manejo de
la informacin clasifi cada
Falta de responsabilidades sobre la
seguridad de la informacin en las
descripciones de puestos
Ausencia o insuficiencia de
disposiciones (concemientes a la
seguridad de la informacin en contratos
con empleados)
Falta de proceso disciplinario definido
en caso de incidentes en la seguridad de
la informacin
Falta de poltica formal sobre el uso de
computadoras portrtiles
Falta de control de activos que se
encuentran fuera del local
Inexistencia o insuficiencia de la
Robo de equipos.
Robo de equipos
Robo de equipos
Robo de medios o documentos
informacin
Falta de mecanismos de monitoreo
establecidos para las rupturas de la
seguridad
NoRMA rcNrce
PERUANA
D.2
NTP.ISO/IEC 2IOO5
80 de 95
Se puede usar mtodos proactivos como la verificacin del sistema de informacin para
identificar vulnerabilidades que dependen del carcter crucial de la informacin del sistema
de tecnologa de informacin y comunicaciones (TIC) as como los recursos disponibles
para
Otra tcnica que se puede utilizar para identificar vulnerabilidades en el sistema TIC
durante el proceso de evaluacin del riesgo es la prueba de seguridad y evaluacin (STE,
por sus siglas en ingles). Incluye el desanollo y ejecucin de un plan de pruebas (por
ejemplo libreto de la prueba, procedimientos de la prueba y resultados esperados de la
prueba). El propsito de las pruebas al sistema de seguridad es comprobar la eficacia de los
controles de seguridad de un sistema TIC tal como se han aplicado en un entorno
operatlvo. b,l obletrvo es asegurar que los controles aplicados cumplan con la
especificacin aprobada de seguridad para el software y hardware e implementen la poltica
de seguridad de la organizacin o satisfagan los estndares de la industria.
NoRMA rcNlce
PERUANA
NTP-ISO/TEC27OA5
8l
de 95
NoRMA rcNtce
NTP.ISO/IEC27OO5
82 de95
PERUANA
ANEXO E
(TNFORMATTVO)
8.1
Otra razn de comenzar con la evaluacin de alto nivel es sincronizar otros planes
relacionados con la gestin del cambio (o continuidad el negocio) por ejemplo, no hay que
asegurar completamente un sistema o aplicacin si se planea tercerizar en el futuro cercano,
aunque quizs todava vale la pena hacer la evaluacin del riesgo para definir el contrato de
tercerizacin.
Las caractersticas de la iteracin de la evaluacin del riesgo del alto nivel pueden incluir
las siguientes:
La evaluacin del riesgo de alto nivel puede resolver una lista ms limitada
de amenazas y vulnerabilidades agrupadas en dominios defrnidos o para hacer el
proceso mris expeditivo, puede centrarse en los escenarios de riesgo o ataque en vez
de sus elementos.
NoRMA
rcuce
NTP.ISO/IEC 27005
83 de 95
PERUANA
-^
La
probablemente gane
de un programa de
buena ayuda a la
incorporacin de
planificacin.
una
se
t
tf
r!
.
il
't
il
NORMA TECNICA
PERUANA
NTP-ISO/IEC27OO5
84 de 95
informacin.
Cuando se evala estos activos, la decisin se hace ms tlicil. Si los objetivos de un activo
son extremadamente importantes para la conduccin del negocio de una organizacin, o si
los activos estn en grave riesgo entonces se debe conducir a una segunda evaluacin
detallada del riesgo para el activo de informacin particular (o parte del mismo).
Una regla general que debe aplicarse es si la falta de seguridad en la informacin puede
resultar en consecuencias adversas significativas para la organizacin, sus procesos
empresariales o sus activos, luego se hace necesaria una segunda iteracin de la evaluacin
del riesgo a nivel ms detallado para identificar los riesgos potenciales.
8.2
La
la informacin
es
r
J
NoRMA rcNlce
PERUANA
NTP.ISO/IEC 27005
85 de 95
'
en
'
'
La susceptibilidad de la vulnerabilidad a la explotacin aplicable
tanto a
vulnerabilidades tcnicas como no tcnicas
Muchos mtodos utilizan tablas y combinan las medidas
subjetivas y empricas. Es
importante que la organizacin utilice un mtodo
con el que est cmoda, en el que la
organizacin tenga confianza y que produzca resultados
repetibles. A continuacin
8.2.r
Ejemplo
I Matriz
se dan
NoRMA rcNrce
PERUANA
NTP.ISO/IEC 27005
86 de 95
empresariales
seleccionados (los "propietarios de los datos") que pueden hablar con autoridad sobre los
datos, para determinar el valor y sensibilidad de los datos que esin verdaderamente en uso
o que se deben almacenar, procesar o a los que se tiene que tener acceso. Las entrevistas
que
Seguridad personal.
Informacin personal.
Obligaciones legales y regulatorias.
Aplicacin de la ley.
Intereses comerciales y econmicos .
Prdida financiera/ intemrpcin de actividades.
Orden pblico.
Poltica y operaciones empresariales.
Prdida de buen nombre.
Contrato o acuerdo con un cliente.
Los lineamientos facilitan identificacin de los valores en una escala numrica como la
escala de 0 a 4 que se muestra en la matriz del ejemplo a continuacin, permitiendo as el
reconocimiento de valores cuantitativos donde sea posible y lgico y de valores cualitativos
donde los valores cuantitativos no sean posibles, por ejemplo si se pone en peligro la vida
humana.
La siguiente actividad importante es completar las parejas de cuestionarios para cada tipo
de amenazas, para cada agrupamiento de activos a los que se relaciona un tipo de amenaza,
para permitir la evaluacin de los niveles de amenazas (probabilidad de ocunencia) y los
niveles de vulnerabilidades (facilidad de explotacin por las amenazas para causar
consecuencias adversas). Cada respuesta a una pregunta implica un puntaje. Estos puntajes
se acumulan a travs de una base de conocimientos y se comparan con rangos. Esto
identifica niveles de amenaza en una escala de alta a baja y niveles de vulnerabilidad de
manera similar, tal como se muestra en la matriz del ejemplo siguiente, diferenciando entre
los tipos de consecuencias como relevantes. La informacin para completar los
cuestionarios debe reunirse a partir de entrevistas con personal tcnico apropiado y las
NoRMA rcNrce
NTP.ISOITEC 27005
87 de 95
PERUANA
y revisiones de la
TABLA E.l a)
Facilidad de
234
345
456
567
678
resolverse.
NORMA TCNICA
PERUANA
NTP.ISO/IEC 27005
88 de 95
Una matriz similar como la que se muestra en la matriz E.1 b) resulta de la consideracin
de la posibilidad de un escenario de incidentes, mapeado contra el impacto estimado sobre
el negocio. La posibilidad de un escenario de incidentes est dada por una amenaza que
explota una vulnerabilidad con una cierta posibilidad. La tabla mapea esta posibilidad
contra el impacto sobre el negocio relacionado al escenario de incidentes. El riesgo
resultante se mide en una escala de 0 a 8 que se puede evaluar contra los criterios de
aceptacin del riesgo. Esta escala de riesgos puede tambin mapearse a un puntaje general
de riesgo, por ejemplo del modo siguiente:
Riesgo bajo:0-2
Riesgo medio: 3-5
Riesgo alto: 6-8
TABLA 8,.1 b)
Posibilidad
Muy baja
de escenario
(Muy poco
de incidentes
Baja
(Probable)
Mediano
(Posible)
Alta
Muy Alta
(Probable)
(Frecuente)
;.t
,l
,i
.
f
:t
Impacto
Bajo
sobre el
Medio
negocio
Alto
Muy alto
;f
it
I
8.2.2
Ejemplo
utilizar una matriz o tabla como la que se muestra en la tabla E.2 para relacionar
y la posibilidad de ocurrencia de las
alnenazas (tomando en cuenta los aspectos de vulnerabilidad). El primer paso es evaluar las
consecuencias lvaloracin de activos en una escala predefinida, or e.iemnlo cle I a 5, de
cada activo amenazado (columna "b" en la tabla). El segundo paso es evaluar la posibilidad
de la ocurrencia de amenazas en una escala predefinid4 por ejemplo I a 5, de cada
arcnaza (columna "c" en la tabla). El tercer paso es calcular la medida del riesgo por
medio de la multiplicacin (b x c). Finalmente se puede calificar las amenazas en orden de
su medida del riesgo asociada. Ntese que en este ejemplo se toma I como la consecuencia
ms baja y como la posibilidad ms baja de ocurencia.
Se puede
NORMA TECNICA
PERUANA
NTP-ISO/IEC27OO5
89 de 95
TABLA E.2
Descriptor de la
amenaza
(a)
Valor de la
consecuencia (activo)
ocurrencia de amenaza
(b)
(c)
')
l0
l5
4
2
Amenaza A
Amenaza B
Amenaza C
Amenaza D
Amenaza E
Amenaza F
Posibilidad de la
Medida
del
Calificacin de
riesgo
(d)
la amenaza
(e)
E.2.3
Ejemplo
3-
la
probabilidad
las
la
NORMA TECNICA
PERUANA
NTP.ISO/IEC 27005
90 de 95
TABLA 8.3
Probabilidades de la
amenaTa
Niveles de
Vulnerabilidad
Valor de vulnerabilidad
Baja
Media
Alta
de un escenario de
incidentes
TABLA E.4
Valor deI activo
Valor de la probabilidad
0
I
2
3
01234
12345
23456
34567
45678
El paso final es totalizar todos los puntajes totales del activo para los activos del sistema,
produciendo un puntaje del sistema. Esto se puede utilizar para diferenciar entre sistemas y
para determinar a que proteccin del sistema debera drsele prioridad.
Supongamos que el sistema S tiene tres activos AI, A2 y A3.Tambin suPongamos que
hay dos amenazas TI y T2 aplicables al sistema S. Digamos que el valor de 41 es 3, de
manera similar digamos que el valor del activo de A2 seaZ y que el valor del activo de .{3
sea 4.
NoRMA rcNrce
PERUANA
NTP-ISOiIEC27OO5
9l
de 95
Ahora se puede comparar diferentes sistemas para establecei prioridades y distintos activos
dentro
de un sistema tambin.
NoRMA rcNIce
NTP-ISOIIEC27OO5
92 de 95
PERUANA
ANEXO F
(INFORMATTVO)
Cuando se consideran las restricciones para la reduccin del riesgo, se debe tomar en
cuenta las siguientes restricciones:
Restricciones de tiempo
Pueden existir muchos tipos de restricciones de tiempo. Por ejemplo, se debe irnplementar
controles dentro de un perodo aceptable para los gerentes de la organizacin. Otro tipo de
restriccin de tiempo es si se puede implementar un control dentro del tiempo de vida de la
informacin o sistema. Un tercer tipo de restriccin de tiempo puede ser el perodo que los
gerentes de la organizacin deciden que es un perodo aceptable para exponerse a un riesgo
en particular.
Restricciones financieras
Los controles no deben ser ms caros de implementar o mantener que el valor de los
riesgos que van a proteger, excepto donde el cumplimiento sea obligatorio (por ejemplo
con la legislacin). Se debe hacer todos los esfuerzos para no exceder presupuestos
asignados y lograr ventaja financiera a travs de los controles. Sin embargo, en algunos
casos puede no ser posible lograr la seguridad deseada y el nivel de aceptacin del riesgo
debido a las restricciones del presupuesto. Por lo tanto, esto se convierte en una decisin de
los gerentes de la organizacinpara la resolucin de esta situacin.
Se debe tener mucho cuidado si el presupuesto reduce el nmero o calidad de los controles
a implementarse ya que esto puede llevar a la retencin implcita de un mayor riesgo del
que se haba planeado. El presupuesto establecido para los controles debe utilizarse como
un factor limitante solamente con mucho cuidado.
NoRMA rcNrce
PERUANA
NTP.ISO/IEC27OO5
93 de 95
Restricciones tcnicas
Restricciones operativas
en partes de Medio
oriente' Los aspectos culturales no t. pud.n ignorar po.qu"
muchos controles se basan en
el apoyo activo del personal. Si el perional no.o^pr"nd"
la necesidad del control o no lo
encuentra culturalmente aceptable, el control se har ineficaz
con el tiempo.
Restricciones ticas
NoRMA rcNtce
PERUANA
NTP.ISO/IEC27OO5
94 de 95
Restricciones ambientales
Restricciones legales
i
1
-.
j,
Los factores legales como la proteccin de los datos personales o las disposiciones del
cdigo penal para el procesamiento de la informacin pueden afectar la seleccin de
controles. El cumplimiento legislativo regulatorio puede obligar a ciertos tipos de control
incluyendo la proteccin de datos y la auditoria financiera. Tambin pueden impedir el uso
de algunos controles, por ejemplo la encriptacin. Otras leyes y regulaciones como la
legislacin de las leyes laborales, el departamento de bomberos, la salud y la seguridad, as
como las regulaciones del sector econmico, etc. podran afectar tambin la seleccin de
controles.
,l
,!
a
Facilidad de uso
:!
i
t
Una mala interfaz humano-tecnologa resultar en eror humano y puede hacer que el
control sea intil. Los controles deben seleccionarse para proveer facilidad ptima de uso a
lavez que se logra un nivel aceptable de riesgo residual al negocio. Los controles que son
difciles de usar impactarn su eficacia, ya que los usuarios pueden tratar de evitarlos o
ignorarlos tanto como sea posible. Los controles de acceso complejo dentro de una
organizacin pueden alentar a los usuarios a encontrar mtodos de acceso altemativos y no
autorizados.
costosos para la organizacin. Otros aspectos que pueden tener implicaciones importantes
para las polticas y prcticas de seguridad son la tendencia de cierto personal de discriminar
NORMA TECMCA
PERUANA
NTP.ISO/IEC27OO5
95 de 95
a otros miembros del personal que no pasan por un :ermizaje de seguridad. Asimismo,
la
seguridad de contratar a las personas correctas para el trabajo y tambin de encontrar
a las
personas correctas puede resultar en que se culmine una contratacin antes
de hacer la
seleccin por seguridad. El requisito de que la seleccin utilizando criterios de
seguridad se
realice antes de la contratacin es la prctica normal y ms segura.