Norma Técnica Peruana - Indecopi EDI TI

NTP.
ISO/IEC 27005
NORMA TECNICA
PERUA}IA
2009
Comisin de Normalizacin y de Fiscalizacin de Barreras Comerciales No Arancelarias - INDECOPI

Lima, Peru
Calle de La Prosa 138, San Borja (Lima 4l
EDI. Tecnologa de la informacin. Tcnicas de seguridad.

Gestin del riesgo en seguridad de la informacin
EDI. Information technolory. Security techniques. Information security risk management
(EeV. ISOmC 27005:2008 EDI. Information technolory
Security techniques
Information security risk
management)
2009-09-30
1"
Edicin
R.029-2009/INDECOPI-CNB. Publicada el 2009- I 147
Precio basado en 95 pei
ESTA NORMA ES RECOMENDABLE

gestin del riesgo, seguridad de la
de
seguridad,
tcnicas
informacin,
la
de
Descriptores: EDI, tecnologa
informacin
INDICE
pagrna
INDICE
PREFACIO
l.
ALCANCE
REFERENCIAS NORMATTVAS
3.
rrumros Y DEFTNICIoNES
4.
ESTRUCTTTRA DE ESTA
NoRMA
rcuce
PERUANA
5.
BASES
6.
vrsrA pnNonurcA DEL pRocEso oe cstN or,r
RIESGo EN SEGURIDAD DE LA INFoRMAcTN
7.
DETERMTNAcTN DEL coNTEXTo
t2
8.
EVALUACTN pel RIESGo EN SEGURIDAD

DE LA INFoRMAcIN
l7
TRATAMIENTO DEL RIESGO EN SEGURIDAD

DE LA rNFoRMAcrN
32
ACEPTACIN nel RIESGo EN SEGURIDAD

DE LA rNFoRMAcrN
39
coMLrNICectN DEL RTESGo EN sEGURTDAD

DE LA rNFoRMActN
40
MoNrroREo y REVrsrN o,r

DE LA rNFoRMAclN
42
9.
10.
11.
t2.
ANTECEDENTES
RTESGo EN SEGURIDAD
ANEXOS
ANEXO
ANEXO
ANEXO
ANEXO
ANEXO
ANEXO
47
56
73
76
82
92
PREFACIO
A.
RESEA HISTRICA
4..l
Tcnico de
La presente Norma Tcnica Peruana ha sido elaborada por el Comit
Normalizacin de Codificacin e intercambio electrnico de datos, mediante

I o de Adopcin, durante el mes de agosto de 2009, utilizando como
antecedente a la norma ISO/IEC 27005:2008 lnformation technology
- Security
echniques - lnformation security risk management.
el Sistema
4.2
El Comit Tcnico de Normaluaciln de Codificacin e intercambio

electrnico de datos present a la Comisin de Normalizacin y de Fiscalizacin de
Barreras Comerciales No Arancelarias {NB-, con fecha 2009-05-25, elpNTp-ISO/IEC
27005:2009, para su revisin y aprobacin, siendo sometido a la etapa de Discusin
Pblica el 2009-08-28. No habindose presentado observaciones fue ocializado como
Norma Tcnica Peruana NTP-Iso/IEc 2700522009 EDI. Tecnologa de Ia
informacin. Tecnicas de seguridad. Gesn del riesgo en seguridad de la
informacin, lo Edicin, el 07 de noviembre de 2009.
4.3
Esta Norma Tcnica Peruana es una adopcin de la nonna
ISO/IEC 27005:2008. La presente Norma Tcnica Peruana presenta cambios editoriales
referidos principalmente a terminologa empleada propia del idioma espaol y ha sido
estructurada de acuerdo a las Guas Peruanas GP 001 :1995 y Gp 002:1995.
B.
INSTITUCIONES QIIE PARTICIPARON EN LA ELABORACIN

DE LA NORMA TCMCA PERUAI\IA
Secretara
GSI PERU
Presidente
Roberto puy
Secretaria
Marv Wons
ENTIDAD
REPRESENTAIYTE
DISTRIBUIDORA MAYORISTA SYMBOL
S.A.
Adela Barcenas
Walter Equizabel
DROKASA PERU S.A.
Juan Aquije
E. WONG S.A.
Marcela Aparicio
Rolando Bartra
FOLIUM S.A.C.
Roberto Huby
IBC SOLUTIONS PERU S.A.C.
Oscar Velsquez
Daniella Orellana
ITS CONSULTANTS S.A.C.
Ricardo Dioses
OFICINA DE NORMALIZACION PREVISIONAL Roberto Puy

PONT. UNTV. CATOLICA DEL PERU
Viltor Khlebnikov
Willy Carera
PRESIDENCIA DEL CONSEJO

DE MINISTROS
Max Lzaro
Cesar Vlchez
PROCTER & GAMBLE DEL PERU S.A.
Javier Kameya
SUPERINTENDENCTA DE ADMINISTRACION
TRIBUTARIA _ SUNAT
Daniel Llanos
Flor Febres
TECNOLOGA FLEXOGRAFICA S.A.
Luis Chvez Saavedra
TCI S.A.
Renzo Alqntara
UNILEVER ANDINA PERU S.A.
Rolando Rivadeneira
Luis Villena
GSI PERU
Tatiana Pea
--oooOooo---
lv
NoRMA rcNrca
PERUANA
NTP.ISO/IEC 27005
lde95
EDI. Tecnologa de la informacin. Tcnicas de seguridad.

Gestin del riesgo en segr:ridad de la informacin
t.
ALCAIICE
Esta Norma Tcnica Peruana establece lineamientos para la gestin del riesgo en seguridad
de la informacin.
Esta Norma Tcnica Peruana apoya los conceptos generales especificados en la norma
ISO/IEC 27001 y estii diseado para asistir a la implementacin satisfactoria de la
seguridad de la informacin en base a un enfoque de gestin del riesgo.
Es importante conocer los conceptos, modelos, procesos y tecnologas descritos en las

nonnas ISO/IEC 27001e ISO/IEC 27002 para entender cabalmene esta NTp.
Esta Norma Tcnica Peruana es aplicable a todo tipo de organizaciones (por ejemplo:
emPresas comerciales, dependencias gubernamentales, organizaciones sin fines de lucro)
que tratan de administrar los riesgos que podran comprometer la seguridad de la
informacin de la organizacin.
2.
REFERENCIAS NOR]\,IATryAS
Las siguientes normas contienen disposiciones que al ser citadas en este texto, constituyen
requisitos de esta Norma Tcnica Peruana. Las ediciones indicadas estaban en vigencia en
el momento de esta publicacin. Como toda Norma esti sujeta a revisin, se recomienda a
aquellos que realicen acuerdos con base en ellas, que analicen la conveniencia de usar las
ediciones recientes de las nonnas citadas seguidamente. El Organismo peruano de
Normalizacin posee la informacin de las Normas Tcnicas Peruanas en vigencia en todo
momento.
NTP-ISOIIEC27005
2 de95
NORMA TECNICA
PERUANA
2.1
Normas Tcnicas Internacionales
2.T.1
ISO/IEC 27001:2005
Information technology - Security techniques

lnformation security management systems
Requirements.
2.t.2
ISO/IEC 27002:2005
Information technology
Code
of
practice
- Security techniques for information security
management.
3.
TRMTNOS Y DEFINICIOI\IES
Para los fines de esta NTP, se aplican los trminos y definiciones que aparecen en las
normas ISO/IEC 2700l,ISOiIEC 27002 y los siguientes:
impacto: Cambio adverso en el nivel de objetivos empresariales logrados.
3.1
riesgo en la seguridad de la informacin: El potencial de que una

3.2
arnen zadada explote las vulnerabilidades de un activo o grupo de activos y cause as dao
ala organizacin.
NOTA:
Se mide en trminos de una combinacin de la probabilidad de un evento
evitamiento del riesgo: Decisin de

J.J
retirarse de una situacin de riesgo.
y su consecuencia.
no involucrarse en una accin para
comunicacin del riesgo: lntercambio o compartir informacin sobre el

riesgo entre quien toma las decisiones y otros interesados.
3.4
estimacin del riesgo: Proceso para asignar valores a la probabilidad y

consecuencias de un riesgo.
3.5
NoRMA rcrrnce
NTP.ISO/IEC27OO5
PERUANA
3de95
NOTA l: En el contexto
de esta NTP, el trmino "actividad" se utiliza en vez del trmino ..proceso,,

para la estimacin del riesgo.
NOTA 2: En el contexto de esta NTP, el termino "posibilidad" se utiliza en vez del trmino
"probabilidad" para la estimacin del riesgo.
3.6
identificacin
elementos de riesgo.
del riesgo: Proceso para encontrar, listar
caracterizar
3.7
reduccin del riesgo: Acciones que se toman para reducir la probabilidad,

consecuencias negativas o ambas asociadas con un riesgo.
3.8
retencin del riesgo: Aceptacin de la carga de la prdida o el beneficio de
la ganancia a partir de un riesgo en particular
NOTA: En el contexto de los riesgos para la seguridad de la informacin, slo se

consecuencias negativas (prdidas) para la rctencin del riesgo.
consideran
3.9
transferencia del riesgo: Compartir con otra parte la carga de Ia prdida o

el beneficio de la ganancia respecto de un riesgo.
NOTA: En el contexto de los riesgos prira la seguridad de la informacin, slo se consideran
consecuencias negativas (prdidas) para la transferencia del riesgo.
4.
ESTRUCTURA DE ESTA NORMA TCNICA PERUA{A
Est NTP contiene la descripcin del proceso de gestin del riesgo en seguridad de
la
infbrnacin ) sus actiridades.
El captulo 5 proporciona informacin sobre los antecedentes.
El captulo 6 proporciona una vista panor:mica del

seguridad de la informacin.
proceso de gestin del riesgo en
NoRMA rcucn
NTP.ISO/IEC27OO5
4 de95
PERUANA
Todas las actividades de gestin del riesgo en seguridad de la informacin que se presentan
en el captulo 6 se describen posteriormente en los captulos siguientes:
Establecimiento del contexto en el captulo 7,

Evaluacin del riesgo en el captulo 8,
Tratamiento del riesgo en el captulo 9,
Aceptacin del riesgo en el captulo 10,
Comunicacin del riesgo en el captulo I
l,
Monitoreo y revisin del riesgo en el captulo 12.
En los anexos se presenta informacin adicional para las actividades de gestin del riesgo
en seguridad de la informacin. El Anexo A @efinicin del alcance y lrirites del proceso
de gestin del riesgo en seguridad de la informacin) establece el contexto. El Anexo B se
refiere a la identificacin y valoizacin de los activos y evaluacin de impacto (ejemplos
para activos), el Anexo C se refiere a ejemplos de amenazas tpicas y el Anexo D a
ejemplos de vulnerabilidades tpicas.
En el Anexo E se presentan ejemplos sobre enfoques de evaluacin del riesgo en seguridad

de la informacin.
El Anexo F presenta restricciones para la reduccin del riesgo.
Todas las aptividades de gestin del riesgo tal como se presentan de el captulo 7 al
captulo 12 se estructuran del modo siguiente:
Iry,:
Identifica cualquier informacin requerida pararealizar la actividad.
Agg!@: Describe la actividad.
NoRMA rcNlce
PERUANA
NTP.ISOITEC 27005
5de95
Gu? de imolementacin: Provee gua sobre el desempeo de la accin. Parte de esta gua
puede no ser conveniente en todos los casos y en consecuencia otras maneras de realizar la
accin pueden ser ms apropiadas.
Producto: Identifica toda informacin derivada luego de realizar la actividad.
5.
BASES
Es necesario tener un enfoque sistemtico sobre la gestin del riesgo en seguridad de la

informacin para identificar las necesidades de la organizacin respecto de los requisitos
de seguridad de la informacin y para crear un sistema eficaz de gestin de seguridad de la
informacin (ISMS, por sus siglas en ingls). Este enfoque debera s"r.onu.niente para el
entomo de la organizacin y en particular debera estar alineado con la gestin general del
riesgo de la empresa. Los esfuerzos de seguridad deben enfrentar los riesgos d" "n"*
eficaz y oportuna cuando y donde sea necesario. La gestin del riesgo en siguridad de la
informacin debera ser parte integral de todas las actividades de gestin de segrrridad de la
informacin y debera aplicarse tanto a la implementacin
a la operacin en curso de
"omo
un ISMS.
La gestin del riesgo en seguridad de la informacin debe ser un proceso continuo. El

proceso debe establecer el contexto, evaluar los riesgos y tratarlos utilizando un plan de
trtamiento de riesgos para implementar las recomendaciones y decisiones. La gestin del
riesgo analiza lo que puede ocurrir y cules seran las consecuencias posibles, antes de
decidir qu debe hacerse y cundo para reducir el riesgo a un nivel aceptable.
La gestin del riesgo en seguridad de la informacin debe contribuir a lo siguiente:
Identificar los riesgos.

Evaluar los riesgos en trminos de sus consecuencias para la empresa
posibilidad de su ocurrencia.
La comunicacin y comprensin de la posibilidad y consecuencias de
la
estos
riesgos.
El establecimiento de un orden de prioridades para el tratamiento del riesgo.
NORMA TECNICA
PERUANA
NTP.ISO/IEC27OO5
6de95
Priorizacin de acciones para reducir la ocurencia de riesgo.

Participacin de los interesados cuando se toman las decisiones de gestin del
riesgo e informacin sobre la situacin de la gestin del riesgo.
Eficacia del monitoreo del tratamiento del riesgo.
Monitoreo
y revisin
regulares de los riesgos
y del proceso de gestin del
riesgo.
Captacin de informacin para mejorar el enfoque de gestin del riesgo.
Educacin a gerentes y personal respecto a los riesgos y acciones que se toman

para mitigarlos.
El proceso de gestin del riesgo en seguridad de la informacin puede aplicarse a
la
organizacin en su conjunto, a cualquier parte especfica de la organizacin (por ejemplo:

un departamento, una ubicacin fisica, un servicio), a cualquier sistema de informacin,
existente o planeado, o a aspectos particulares del control (por ejemplo: planeamiento de la
continuidad del negocio).
6.
VISTA PAIORMICA DEL PROCESO DE GESTIN DEL
RIESGO EN SEGURIDAD DE LA INFORMACIN
El proceso de gestin del riesgo en seguridad de la informacin consiste en establecer el

contexto (Captulo 7), evaluar el riesgo (Captulo 8), tratar el riesgo (Captulo 9), aceptar el
riesgo (Captulo l0), comunicar el riesgo (Captulo ll) y monitorear y revisar el riesgo
(Captulo l2).
NoRMA rcNrce
NTP.ISO/IEC 27005
7 de95
PERUANA
FIN DE LA PRIMERA O SUBSIGUTENTES ITERACIONES
rrGuRA I -
Proceso de gesn del riesgo de seguridad de la informacin
NORMA TECNICA
PERUANA
NTP-ISO/IEC27OO5
8de95
Tal como lo ilustra la Figura l, el proceso de gestin de seguridad de la informacin puede

ser iterativo para la evaluacin del riesgo ylo para las actividades de tratamiento del riesgo.
Un enfoque iterativo para la conduccin de la evaluacin del riesgo puede incrementar la
profundidad y detalle de la evaluacin en cada iteracin. El enfoque iterativo provee un
buen balance entre minimizar el tiempo y el esfuerzo que se emplea en identificar los
controles y alavez risegurar que se evale apropiadamente los altos riesgos.
Primero se determina el contexto. Luego se realiza una evaluacin del riesgo. Si esto
provee suficiente informacin para determinar efectivamente las acciones requeridas para
modificar los riesgos a un nivel aceptable, entonces la tarea esti completa y sigue el
tratamiento del riesgo. Si la informacin es suficiente, se conducir otra iteracin de la
evaluacin del riesgo con el contexto revisado (por ejemplo criterios de evaluacin del
riesgo, criterios de aceptacin del riesgo o criterios de impacto) posiblemente en partes
limitadas del alcance total (vase la Figura l, Decisin sobre el Riesgo Captulo l).
La eficacia en el tratamiento del riesgo depende de los resultados de la evaluacin del

riesgo. Es posible que el tratamiento del riesgo no conduzca inmediatamente a un nivel
aceptable de riesgo residual. En esta situacin, podra requerirse otra iteracin de la
evaluacin del riesgo con panmetros de contexto cambiados (por ejemplo evaluacin del
riesgo, aceptacin del riesgo o criterios de impacto), si fuera necesario, seguido de otro
tratamiento del riesgo (vase la Figura l, Decisin sobre el Riesgo Captulo 2).
La actividad de aceptacin del riesgo tiene que rsegurar que los gerentes de la organizacin
acepten explcitamente los riesgos residuales. Esto es especialmente importante en una
situacin donde la implementacin de controles se omite o pospone, por ejemplo debido al
costo.
Durante todo el proceso de gestin del riesgo en seguridad de la informacin es importante

que los riesgos y su tratamiento se comuniquen a los gerentes apropiados y al personal
operativo. Incluso antes del tratamiento de los riesgos puede ser muy valioso contar con
informacin sobre los riesgos identificados para administrar los incidentes y puede ayudar
a reducir el dao potencial. La conciencia de los gerentes y el personal respecto de los
riesgos, la naturaleza de los controles empleados para mitigar los riesgos y las reas de
preocupacin para la organizacin ayudan a tratar los incidentes y los eventos inesperados
de la manera ms eficaz. Deben documentrse los resultados detallados de toda actividad
del proceso de gestin del riesgo en seguridad de la informacin y de los dos puntos de
decisin sobre el riesgo.
NORMA TCNICA
PERUANA
NTP.ISO/IEC 27005
9de95
La norma ISOIIEC 27001especifica que los controles implementados dentro del alcance,
lmites y contexto del ISMS deben basarse en el riesgo. La aplicacin de un proceso de
gestin del riesgo en seguridad de la informacin puede satisfacer este requisiio. Existen
muchos enfoques por medio de los cuales se puede implementar exitosaminte el proceso
en una organizacin. La organizacin debe utilizar el enfoque que mejor se acomode a sus
circunstancias para cada aplicacin especfica del proceso.
En un ISMS, determinar el contexto, evaluar el riesgo, desarrollar un plan de tratamiento

del riesgo y aceptar el riesgo son parte de la fase del "plan". En la fase de ..hacer,, del
ISMS, se implementan las acciones y controles requeridos para reducir el riesgo a un nivel
aceptable de acuerdo con el plan de tratamiento del riesgo. En la fase de "verificar" del
ISMS, los gerentes determinann la necesidad de revisiones de la evaluacin del riesgo y el
tratamiento del riesgo a la luz de los incidentes y cambios en las circunstancias. En la fase
de "actuar", se realizan todas las acciones requeridas, incluyendo la aplicacin adicional
del proceso de gestin del riesgo en seguridad de la informacin
La tabla siguiente resume las actividades de gestin del riesgo en seguridad de

informacin relevantes a las cuato fases del proceso del ISMS:
TABLA 1-Alineamiento del ISMS y del Proceso de Gestin del Riesgo
en Seguridad
de la Informacin
Proceso
ISMS
Proceso de Gestin del Riesgo en Seguridad de Ia
Informacin
Determinar el contexto
Plan
Evaluar el riesgo
Desarrollar el plan de tratamiento del riesgo
Aceptar el riesgo
Hacer
Implementar el plan de tratamiento del riesgo

Monitoreo y revisin continuos de los riesgos
Revisar
Hacer
Mantener y mejorar el Proceso de Gestin del Riesgo en

Seguridad de la Informacin
la
NORMA TECMCA
PERUANA
NTP.ISO/IEC 27005
10 de 95
DETERMINACIN DEL CONTEXTO
7.1
Consideraciones generales
Insumo: Toda la informacin sobre la organizacin que sea relevante para determinar el
contexto de la gestin del riesgo en seguridad de la informacin.
Accin: Se debera establecer el contexto para la gestin del riesgo en seguridad de la

informacin, lo cual implica establecer los criterios bisicos necesarios para la gestin del
riesgo en seguridad de la informacin (7.2), definir el alcance y los lmites (7.3) y
establecer una organizacin apropiada que opere la gestin del riesgo en seguridad de la
informacin (7.4).
Gua de implementacin
Es esencial determinar el propsito de la gestin del riesgo en seguridad de la informacin,

ya que esto afecta el proceso general y la determinacin del contexto en particular. Este
propsito puede:
Apoyar un ISMS.
Aplicar la ley y evidenciar diligencia debida.

Preparar un plan de continuidad del negocio.
Preparar un plan de respuesta al incidente.
Describir los requisitos de seguridad de la informacin para un producto,

servicio o mecanismo.
En los captulos 7.2, 7.3 y 7.4 se trata en ms detalle la gua de implementacin para
establecer los elementos del contexto que se requieren para apoyar un ISMS.
NoRMA
rcmce
NTP.ISO/IEC27OO5
de95
ll
PERUANA
NOTA: La norma ISO/IEC 27001 no utiliza el termino "contexto". Sin embargo, todo el captulo 7 se
Id"fini, una poltica del
refiere a los requisitos de "definir el alcance y lmites del ISMS"
[4.2.1 a)),
ISMS' [4.2.1 b)] y "definir el enfoque de la evaluacin del rilsgo" i.z.t c1, especificados en
ISO/IEC 27001.
Producto:
La especificacin de los criterios bsicos, el alcance y los lmites y
organizacin para el proceso de gestin del riesgo en seguridad de la informacin.
7.2
la
Criterios bsicos
Dependiendo del alcance y objetivo de la gestin del riesgo se puede aplicar distintos
enfoques. El enfoque tambin puede ser diferente para cada itlracin.
Se debe seleccionar o desarrollar un enfoque de gestin del riesgo apropiado que

resuelva
criterios bsicos como: criterios de evaluacin del riesgo, criteris di impacto, criterios
de
aceptacin del riesgo.
Adems, la organizacin debe evaluar si se dispone de los recursos necesarios para:
Una evaluacin del riesgo y establecer un plan de tratamiento del riesgo.
Definir e implementar polticas y

implementacin de controles seleccionados.
procedimientos, incluyendo la
Monitorear controles.
Monitorear el proceso de gestin del riesgo en seguridad de la informacin.
NOTA: vase tambin la norma Iso/IEC 27001 lCaptulo 5.2.1) concerniente al suministro
recursos para la operacin de implementacin de un ISMS.
de
NORMA TECNICA
PERUANA
NTP.ISO/IEC27OO5
12 de 95
Criterios de evaluacin del riesgo
Los criterios de evaluacin del riesgo deben desarrollarse para evaluar el riesgo
de
seguridad para la informacin de la organizacin considerando lo siguiente:
El valor estratgico del proceso de informacin empresarial.
El carcter crucial de los activos de informacin involucrados.

Requisitos legales y regulatorios y obligaciones contractuales.
Importancia operativa
integridad.
empresarial de la disponibilidad, confidencialidad
Las expectativas y percepciones de los interesados as como las consecuencias

negativas para el buen nombre y la reputacin.
Adicionalmente, se puede utilizar los criterios de evaluacin del riesgo para especificar
prioridades para el tratamiento del riesgo.
Criterios de impacto
Se debe desarrollar y especificar criterios de impacto en trminos del grado de dao en
costos para la organizacin causados por un evento contra la seguridad de la informacin
considerando lo siguiente:
Nivel de clasificacin del activo de informacin impactado.

Infracciones
a la seguridad de la informacin (por ejemplo
confi dencial idad, integridad y disponib ilidad)
Operaciones impedidas (intemas o de terceros)
Lucro cesante y valor financiero.

Perturbacin de los planes y plazos.
prdida
de
NoRMA rcNtca
NTP.ISO/IEC27OO5
PERUANA
13 de 95
Dao a la reputacin.
ffracc iones de estipulaciones
le
gales, regulatorias o contractuales.
NOTA: Vase tambin la norma ISO/IEC 27001 [Captulo 4.2.1d) 4] concerniente a la identificacin
de criterios de impacto para prdidas de confidencialidad, integridad y disponibilidad.
Criterios de aceptacin del riesgo

Se debe desarrollar
especificar criterios de aceptacin del riesgo. Los criterios de

-itar, objetivos de los
aceptacin del riesgo a menudo dependen de los intereses, polticas,

interesados en la organizacin.
Una organizacin debe definir sus propias escalas para los niveles de aceptacin del riesgo.
Durante el desarrollo se deben considerar los siguientes factores:
Los criterios de aceptacin del riesgo pueden incluir umbrales mltiples con un
nivel objetivo deseado del riesgo, pero con advertencias para los altos gerentes
referentes a aceptar riesgos por encima de este nivel en determinadas
circunstancias.
Se puede expresar los criterios de aceptacin del riesgo como la tasa de utilidad
estimada (u otro beneficio empresarial) respecto del riesgo estimado.
Se puede aplicar distintos criterios de aceptacin del riesgo a distintas clases de
riesgo, por ejemplo, no se puede aceptar riesgos que podran resultar en el

incumplimiento de regulaciones o leyes, mientras que- se puede permitir la
aceptacin de riesgos altos si esto se especifica como un requisito contractual.
Los criterios de aceptacin del riesgo pueden inciuir requisitos para un
traiamiento a<iicionai iuturo, por ejempio se puecie aceprar un riesgo si existe

aprobacin y compromiso de accionar para reducirlo a un nivel aceptable
dentro de un perodo definido.
t'*>
NORMA TECNICA
PERUANA
NTP.ISO/IEC 27005
14 de 95
Los criterios de aceptacin del riesgo pueden diferir de acuerdo a por cunto tiempo se
espera que el riesgo exista; por ejemplo, el riesgo se puede asociar con una actividad
temporal o de corto plazo. Se debe establecer los criterios de aceptacin del riesgo
considerando lo siguiente:
Criterios empresariales
Aspectos legales y regulatorios
Operaciones
Tecnologa
Finanzas
Factores sociales y humanitarios
NOTA: Los criterios de aceptacin del riesgo coresponden a "criterios para aceptar riesgos e
identificar el nivel aceptable del riesgo", segn se especifica en la norma ISO/IEC 2700 I Cpitulo
4.2.r c) 2).
Se puede encontrar ms informacin en el
7.3
Anexo A.
El alcance y los lmites
Ila. organizacin debe definir el alcance

de la informacin.
y los lmites de la gestin del riesgo en seguridad
El alcance del proceso de gestin del riesgo en seguridad de la informacin debe definirse
para asegurar que se tomen en cuenta todos los activos relevantes en la evaluacin del
riesgo. Adems se tiene que identificar los lmites [vase tambin la norma ISO/IEC 27001
Captulo 4.2.1 a)l para enfrentar los riesgos que puedan surgir dentro de esos lmites.
Se debe recolectar informacin sobre la organizacin para determinar el entomo en el que

opera y su rele.,,ancia para e! prcceso de gestin del riesgc en seguridad de !a informacin.
Cuando se definen el alcance

siguiente:
Los objetivos,
organizacin.
y los lmites, la organizacin
estrategias
debe considerar la informacin
polticas empresariales estratgicas
de
la
NoRMA
rcmce
NTP.ISO/TEC27OO5
PERUANA
15 de 95
Procesos de negocios.
Las funciones y estructura de la organizacin.
Los requisitos legales regulatorios y contractuales aplicables a la organizacin.

La poltica de seguridad de informacin de la organizacin.
El enfoque general de la organizacin respecto de la gestin del riesgo.

Activos de informacin.
ubicaciones de la organizacin y sus caractersticas geogrficas.
Restricciones que afecten a la organizacin.
Expectativa de los interesados.

Entorno soc io-cultural.
lnterfases (es decir, intercambio de informacin con el entorno).
Adicionalmente, la organizacin debe proporcionar justificacin para cualquier

exclusin
del alcance.
Algunos ejemplos del alcance de la gestin del riesgo pueden ser una
aplicacin de
Tecnologa de Informacin - TI, una infraestructura de TI, un proceso
de negocio o una
parte definida de una organizacin.
NOTA: El alcance
lmites de la gestin del riesgo en seguridad de la informacin se relaciona

al
no.-" Isocz70or 4.2.ra).
alcance y rmites del ISMS que se requiere en la
Se puede encontrar ms informacin en el Anexo
A.
NORMA TECNICA
PERUANA
7.4
NTP-ISO/IEC27OO5
16 de 95
Organizacin para la gestin del riesgo de seguridad en la informacin
Se debe establecer y mantener la organizacin y responsabilidades para el proceso de

gestin del riesgo en seguridad de la informacin. Los siguientes son los roles y
responsabilidades principales de esta organizacin:
Desarrollo del proceso de gestin del riesgo en seguridad de la informacin

conveniente para la organizacin.
Identificacin y anlisis de los interesados.
Definicin de roles y responsabilidades de todas las partes tanto internas como

externas a la organizacin.
Establecimiento de las relaciones requeridas entre la organizacin y los
interesados, as como las interfases con las funciones de gestin del riesgo en
las altas esferas de la organizacin (por ejemplo gestin del riesgo operativo),
as como las interfaces con otros proyectos o actividades relevantes-
Definicin de los caminos para el escalamiento de las decisiones.

Especificacin de los registros que deben mantenerse.
Los gerentes apropiados de la organizacin deben aprobar esta estructura.
y proveer los recursos necesarios para establecer,

y mejorar un ISMS [5.2.1 a)]. Se puede considerar
mantener
revisar,
monitorear,
implementar, operar,
la organizacin para las operaciones de gestin del riesgo como uno de los recursos requeridos por la
norma ISOAEC 27001.
NOTA: ISOAEC 27001 requiere determinar
NoRMA
rcuce
NTP.ISO/IEC27OO5
PERUANA
8.
l7 de95
EVALUACIN
INT'ORMACIN
8-1
DEL RIESGO EN
Descripcin general de
informacin
SEGURIDAI)
DE
LA
la evaluacin del riesgo en seguridad de Ia
NOTA: La actividad de evaluacin del riesgo
se conoce como el proceso en la
norma ISO/IEC 27001.
Insumo: Determinacin de criterios bsicos, el alcance y los lmites, y la organizacin para

el proceso de gestin del riesgo en seguridad de la informacin.
Accin: Se debe identificar, cuantificar o describir cualitativamente, as como priorizar los

riesgos contra los criterios y objetivos de evaluacin del riesgo relevanies para la
organizacin.
Gua de implementcin:
Un riesgo es una combinacin de las consecuencias que se seguira de la ocurrencia de un

evento no deseado y de la posibilidad de la ocurrencia del evento. La evaluacin
del riesgo
cuantifica o describe cualitativamente el riesgo y permite a los gerentes priorizar los
riesgs
de acuerdo con la gravedad que perciben u otros criterios establecidos.
La evaluacin de riesgo consiste de las siguientes actividades:
Anlisis del riesgo (vase el apartado 8.2) que comprende:

Identificacin del riesgo (vase el apartado S.2.1)
Estimacin del riesgo (vase el apartado 5.2.2)
Evaluacin del riesgo (vase el apartado g.3)
NORMA TECNICA
PERUANA
NTP.ISO/IEC27OO5
l8
de 95
La evaluacin del riesgo determina el valor de los activos de la informacin, identifica las
amenlzar y vulnerabilidades aplicables que existen (o podran existir), identifica los
controles existentes y su efecto en el riesgo identificado, determina las consecuencias
potenciales y finalmente prioriza los riesgos derivados y los ordena respecto del conjunto
de criterios de evaluacin del riesgo establecidos en la determinacin del contexto.
La evaluacin del riesgo se conduce a menudo en dos (o ms) iteraciones. Primero se

realiza una evaluacin de alto nivel para identificar riesgos potencialmente altos que
implican una mayor evaluacin. La siguiente iteracin puede incluir otra consideracin
profunda de riesgos potencialmente altos revelados en la iteracin inicial. All donde esto
provea informacin insuficiente para evaluar el riesgo, se conducen ms anlisis detallados
probablemente en partes del alcance total y posiblemente utilizando un mtodo diferente.
La organizacin debe decidir la seleccin de su propio enfoque para la evaluacin del

riesgo en base a los objetivos y la meta de evaluacin del riesgo.
El Anexo E presenta enfoques sobre evaluacin del riesgo en seguridad de la informacin.

Producto: Una lista de riesgos evaluados priorizados de acuerdo con criterios de evaluacin
del riesgo.
8.2
Anlisis del riesgo
8.2.1
Identificacin del riesgo
8.2.1.1
Introduccin a la identificacin del riesgo
El propsito de la identificacin del riesgo es determinar qu podra suceder que cause una
prdida potencial y entender cmo, dnde y por qu podra ocurrir la prdida. Los pasos
essriius En ios apariacios ruc siguen ai apartado 8.2.i cieben recoiectar ciatos cie insumos
para la actividad de estimacin del riesgo.
NOTA: Las actividades descritas en los captulos siguientes

dependiendo de la metodologa aplicada.
deben describirse en el siguiente orden
NoRMA rcNrce
NTP.ISO/IEC 27005
PERUANA
8.2.1.2
19 de 95
Identificacin de acvos
Insumo: Alcance y lmites para Ia evaluacin del riesgo a conducirse, lista de interesados
con propietarios, ubicacin, funcin, etc.
Accin: Se debe identificar los activos dentro del alcance establecido (se relaciona con la
norrna ISOIEC 27001, aparrado 4.2.1 d) l)).
Gua de implementacin:
Un activo es cualquier cosa que tenga valor para la organizacin y que por lo tnto
requiera proteccin. Para la identificacin de activos debe record".r.- qui un sistema de
informacin es ms que hardware y software.
La identificacin de activos debe realizarse a un nivel adecuado de detalle que proporcione

suficiente informacin para la evaluacin del riesgo. El nivel de detalle utiiizado
en la
identificacin de activos influenciar la cantidad general de informacin recolectada
durante la evaluacin del riesgo. El nivel puede refinarse en iteraciones posteriores
de la
evaluacin del riesgo.
Se debe identificar al propietario de un activo para cada activo, para determinar

las
disposiciones sobre responsabilidad y rendicin de iuentas por el activo. El propietario
del
activo puede no tener derechos de propiedad sobre el actvo, pero tiene responsabilidad
sobre su produccin, desarrollo, mantenimiento, uso y seguridad, segn corresponda.
El
propietario del activo a menudo es la persona ms apropiada para detrminar
el valor que
el activo tiene para la organizacin (vase la valorizaciOn de u"tiuo, en el
aparta do g.2.2).
El lmite de revisin
es el permetro de activos de la organ izatcin que el proceso de
gestin del riesgo en seguridad de la informacin debe admiiistrar

segn definiciOn.
El Anexo B contiene ms informacin sobre la identificacin y valorizacin de activos
relacionados con la seguridad de la informacin.
NORMA TECNICA
PERUANA
NTP-ISOiIEC27OO5
20 de95
Producto: Una lista de activos a administrarse respecto de zu riesgo y una lista de procesos
de negocio relativos a activos y su relevancia.
Identilicacin de amenaias
8.2.1.3
lnsumo: lnformacin sobre amenazas obtenida a partir de la revisin de incidentes,

propietarios de activos, usuarios y otras fuentes, incluyendo catlogos externos de
amenazas.
Accin: Se debe identificar las amenazas

27 00 1,
sus fuentes (relativas a la norma ISO/IEC
apartado 4.2.1 d) 2)).
Una amenaza tiene el potencial de daar activos como la informacin, los procesos y los
sistemas Y, por tanto, las organizaciones. Las amenazas pueden ser de o.ig"n natural o
humano y pueden ser accidentales o deliberadas. Deben identificarse tanto las fuentes de
amenvrs accidentales como las deliberadas. Una arnenaza puede surgir desde adentro o
desde afuera de la organizacin. Se debe identificar las amenazas de manera genrica y por
tipo (por ejemplo acciones no autorizadas, dao fsico, fallas tcnicas) y entonces cuando
sea apropiado, las amenazas individuales dentro de la clase genrica identificada. Esto
significa que no se desatiende ninguna anrenaza, incluyendo las inesperadas, pero que el
volumen de trabajo requerido es limitado.
Algunas amenazas pueden afectar a ms de un activo. En dichos casos, pueden causar

distintos impactos dependiendo de qu activos sean afectados.
Se puede obtener insumos respecto de la identificacin de la amena
zay de la estimacin
de
la posibilidad de ocunencia (vase el apartado 5.2.2.3) que hacen los propietarios o

usuarios de activos, del personal de recursos humanos, de la gerencia de planta y de los
especialistas en seguridad de la informacin, expertos de seguridad fisica, departamento
legal y otras organizaciones, incluyendo organismos legales, autoridades meteorolgicas,
compaas de seguros y autoridades del gobierno nacional. Se debe considerar aspectos de
medioambiente y cultura cuando se enfrentan amenazas.
NoRMA
rcmce
PERUANA
NTP.ISO/IEC27OO5
2L de 95
Se debe considerar la experiencia interna de incidentes y las evaluaciones de amenazas

pasadas en la evaluacin actual. Puede valer la pena consultar otros ca&ilogos de amenazas
(quizs especficos a una organizacin o empresa) para completar la lista de amenazas
genricas, cuando sea relevante. Se dispone de catlogos y estadsticas de amenazas en
gremios industriales, gobiemos nacionales, organismos legales, compaas de seguros, etc.
Cuando se usa catlogos de amenzas o evaluaciones de los resultados de amenazas

pasadas, debemos ser conscientes de que hay un cambio continuo en las amenazas
relevantes, especialmente si el entomo empresarial o los sistemas de informacin cambian.
El Anexo C presenta ms informacin sobre tipos de amenazas.
Producto: Una lista de amenazas con la identificacin del tipo y fuente de la amenaza.
8.2.1.4
Identificacin de controles existentes
Insumo: Documentacin de controles, planes de implementacin de tratamiento de riesgos.
Accin: Se debe identificar los controles existentes y planificados.
Gua de imolementacin:
Se debe identificar los controles existentes para evitar trabajo o costo innecesarios, por
ejemplo en la duplicacin de controles. Adems, a la vez que se identifican los controles
existentes, se debe hacer una verificacin para asegurar que los controles estn
funcionando correctamente -una referencia a los informes de auditora ya existentes sobre
el ISMS limita el tiempo que se emplea en esta tarea. Si un control no funciona como se
esperaba, esto puede causar vulnerabilidades. Se debe considerar la situacin en la que un
control (o estrategia) seleccionado falle y, por lo tanto se requieran controles
complementarios para tratar de manera eftcaz el riesgo identificado. En un ISMS, de
acuerdo con ISO/IEC 27001, esto se logra gracias a la medicin de la eficacia de los
controles. Una manera de estimar el efecto del control es ver cmo reduce la posibilidad de
amenaza y la facilidad de explotacin de la vulnerabilidad o impacto del incidente. Las
revisiones de la gerencia y los informes de auditora tmbin proporcionan informacin
sobre la eficacia de los controles existentes.
NORMA TECNICA
PERUANA
NTP.ISO/IEC 27005
22 de95
Se debe considerar los controles que se ha planificado implementar de acuerdo con los
planes de implementacin de tratamiento de riesgo de la misma manera que aquellos que
ya se implementaron.
Un control existente y planificado puede identificarse como ineficaz, o no suficiente, o no

justificado. Si no es justificado ni suficiente, se debe verificar el control para determinar si
se le debe eliminar, si se le debe reemplazx por otro control ms adecuado o si debera
continuarse con el mismo, por ejemplo, por razones de costos.
Las siguientes actividades pueden ser tiles paru la identificacin de controles existentes o
planeados:
Revisin de documentos que tienen informacin sobre los controles (por

ejemplo, planes de implementacin de tratamiento del riesgo). Si los procesos
de gestin de seguridad de la informacin estn bien documentados, se debe
disponer de todos los controles existentes o planeados y de su situacin de
implementacin;
Verificacin de la seguridad de la informacin con las personas responsables

(por ejemplo el funcionario encargado de la seguridad de la informacin y el
funcionario encargado de la seguridad del sistema de informacin, el gerente de
construccin o el gerente de operaciones) y los usuarios respecto de qu
controles se implementan realmente para el proceso de informacin o el
sistema de informacin que se est considerando;
Conduccin de una revisin in-situ de los controles fsicos, comparando los
implementados con la lista de qu controles debera tenerse y verificando los
implementados respecto de si esln funcionando de manera correcta y eficaz, o
Revisin de resultados de auditoras internas.
Producto: Una lista de todos los controles existentes y planeados, su implementacin y su

condicin de uso.
8.2.1.5
Identificacin de vu lnerab ilidades
Insumo: Una lista de amenazas conocidas, listas de activos y controles existentes.
NORMA TCNICA
PERUANA
NTP-ISO/IEC27OO5
23 de 95
Accin: Se debe identificar las vulnerabilidades que las amenazas pueden explotar para
causar dao a los activos o a la organizacin (se relaciona con la norma ISO/fuC 27,
apartado 4.2.1 d) 3)).
Se puede
identificar vulnerabilidades en las
reas siguientes:
Organizacin
Procesos y procedimientos
Rutinas administrativas
Personal
Entorno fisico
Configuracin del sistema de informacin
Hardware, software o equipo de comunicaciones
Dependencia de partes externas
La presencia de una vulnerabilidad no causa dao en s misma, ya que se requiere una

amenaza para explotarla. Una vulnerabilidad que no tiene amenaza correspondiente puede
no requerir la implementacin de un control, pero se debera reconocer y monitorear para
observar sus cambios. Debe notarse que un control implementado de manera incorrecta o
que funcione mal puede ser en s mismo una vulnerabilidad. Un control puede ser eficaz o
ineficaz dependiendo del entomo en el que opera. lnversamente, una amenazaque no tiene
una vulnerabilidad corespondiente puede no resultr en un riesgo.
Las vulnerabilidades se pueden relacionar con propiedades del activo que se pueden utilizar
de una manera o por un propsito que el que se desea cuando se compr o hizo el activo.
Se tienen que considerar vulnerabilidades que srrgen de distintas fuenies, por ejemplo, las
que son intrnsecas o extrnsecas al activo.
En el Anexo
se puede encontrar ejemplos de vulnerabilidades

evaluacin de la vulnerabilidad.
mtodos para la
Producto: Una lista de vulnerabilidades en relacin con los activos, amenazas y controles,
una lista de vulnerabilidades que no se relaciona a ninguna aunenaza identificada para su
revisin.
NORMA TECNICA
PERUANA
NTP-ISOIIEC27OO5
24 de 95
Identificacin de las consecuencias
8.2.1.6
Insumo: Una lista de activos, una lista de procesos de negocios, y una lista de amenvas y
vulnerabilidades donde sea apropiado en relacin con los activos y su relevancia.
Accin: Se debe identificar las consecuencias que pueden tener las prdidas de
confidencialidad, integridad y disponibilidad (vase la norma ISO/IEC 27001, apartado
4.2.1 d) 4)).
Gua
de.
implementacin:
Una consecuencia puede hacer perder eficacia, puede haber condiciones operativas
adversas, lucro cesante, dao a la reputacin, etc.
Esta actividad identifica el dao o las consecuencias a la organizacin que un incidente

podra causar. El escenario de un incidente es la descripcin de una amenva que explota
una cierta vulnerabilidad o conjunto de vulnerabilidades en un incidente de vulnerabilidad
de la informacin (vase la norma ISO/IEC 27002, Captulo l3). El impacto de los
escenarios del incidente debe determinarse considerando criterios de impacto definidos
durante la actividad de determinacin del contexto. Puede afectar a uno o ms activos o a
parte de un activo. De esta manera, los activos pueden tener valores asignados para su
costo financiero y debido a las consecuencias para la empresa si se les daa o compromete.
Las consecuencias pueden ser de naturaleza temporal o permanente como en el caso de la
destruccin de un activo.
NOTA: La norma ISOAEC 27001 describe la ocurrencia de escenarios de incidentes como "fallas
de
seguridad".
Las urganizaciones dcben ideniificar ias consecuencias operativas cie ios escenarios
incidentes en trminos de los siguientes elementos sin limitarse a los mismos:
Tiempo de investigacin y reparacin

Tiempo (trabajo) perdido
Oportunidad perdida
Salud y seguridad fsica
cie
NoRMA rcNrce
PERUANA
NTP.ISO/IEC27OO5
25 de 95
Costo financiero de habilidades especficas para reparar el dao

Reputacin de la imagen y buen nombre
En 83, Evaluacin de impacto, se puede encontrar detalles sobre la evaluacin
de
vulnerabilidades tcnicas.
Producto: Una lista de escenarios de incidentes con sus consecuencias relacionadas a los
activos y procesos de negocios.
8.2.2
Estimacin del riesgo
8.2.2.1
Metodologas para la estimacin del riesgo
Se debe realizar el anlisis del riesgo en grados variables de detalle dependiendo del
carcter crucial de los activos, extensin de las vulnerabilidades conocidas e incidentes
previos que involucran a la organizacin. Una metodologa de estimacin puede ser
cualitativa o cuantitativa o una combinacin de ambas dependiendo de las circunstancias.
Fn la'pnctica, se usa a menudo la estimacin cualitativa para obtener primero una
indicacin general del nivel de riesgo y para revelar los riesgos ms importantes. Luego
puede ser necesario realizar anlisis mis especficos o cuantitativos sobre los riesgos ms
importantes porque a menudo es menos complejo y menos caro realizar anlisis
cualitativos que anlisis cuantitativos.
La forma del anlisis debe ser consistente con los criterios de evaluacin del
riesgo
desarrollados como parte de la determinacin delcontexto.
A continuacin
se describe los detalles de las metodologas de estimacin:
(a) Estimacin cualitativa:
La estimacin cualitativa usa una escala de atributos calificadores para describir
la
magnitud de las consecuencias potenciales (por ejemplo, baja, media y alta) y la posibilidad
de que esas consecuencias ocurran. Una ventaja de la estimacin cualitativa es su facilidad
de comprensin por todo el personal relevante, mientras que una ventaja es la dependencia
en una eleccin subjetiva de la escala.
NoRMA rcuca
NTP.ISOIIEC2TOO5
PERUANA
26 de 95
Estas escalas pueden adaptarse o ajustarse para acomodarse a las circunstancias y se puede
usar distintas descripciones para distintos riesgos. Se puede usar estimacin cualitativa:
Como una actividad de clasificacin inicial para identificar los riesgos que
requieran un anlisis ms detallado.
Donde este tipo de anlisis sea apropiado para las decisiones.
Donde los datos numricos
los recursos sean inadecuados para
una
estimacin cuantitativa
El anlisis cualitativo debe usar informacin fctica y datos siempre que estn disponibles.
(b) Estimacin cuantitativa
La estimacin cuantittiva usa una escala con valores numricos (ms que escalas
descriptivas que se utilizan en la estimacin cualitativa) para las consecuencias y la
posibilidad, utilizando datos de una variedad de fuentes. La calidad del anlisis depende de
la exactitud y completitud de los valores numricos y de la validez de los modelos
utilizados. En la mayora de los casos la estimacin cuantitativa usa datos de incidentes
histricos, proveyendo la ventaja de que se puede relacionar directamente a los objetivos de
seguridad de la informacin y a las preocupaciones de la organizacin. Una desventaja es la
falt de dichos datos sobre nuevos riesgos o sobre las debilidades en la seguridad de la
informacin, Una desventaja del enfoque cuantitativo puede ocurrir donde no se disponga
de datos auditables, creando as una ilusin de valor y exactitud de la evaluacin del riesgo.
La manera en la que se expresan las consecuencias y la posibilidad y las maneras en las que
se combinan para proporcionar un nivel de riesgo variarn de acuerdo al tipo de riesgo y al
propsito para el cual se debe utilizar el producto de la evaluacin del riesgo. Se debe
considerar la incertidumbre y variabilidad de varias consecuencias y probabilidad en el
anlisis y comunicarse de manera eftcaz.
NoRMA rcNlce
PERUANA
8.2.2.2
NTP.ISOAEC2TOO5
27 de95
Evaluacin de consecuencias
Insumo: Una lista identificada de escenarios de incidentes relevantes que incluya la

identificacidn de alnenrlzas, vulnerabilidades, activos aceptador, .onr."uencias a los
activos yprocesos de negocio.
Accin: Se debe evaluar el impacto empresarial sobre la organizacin que podra resultar
de -incidentes posibles o reales en tomo a la seguridad de la informacin, tomando en
cuenta las consecuencias de una infraccin en la seguridad de la informacin tal como la
prdida de confidencialidad, integridad o disponibilidad de los activos (se relaciona con
ISO/IEC 27001, Captulo a.2.1 e) l)).
Luego de identificar todos los activos que se estn revisando, se debe tomar en cuenta los
valores asignados a estos activos alavez que se evalan las consecuencias.
El valor de impacto
sobre el negocio puede expresuse en formas cualitativas y

cuantitativas, pto cualquier mtodo de asignar valor monetario puede proveer
generalmente ms informacin para la toma de decisiones y por tanto facilitar un proceso
de toma de decisiones ms eficiente.
La valorizacin de activos comienza con la clasificacin de activos de acuerdo con
su
carcter crucial en trminos de la importancia de los activos para satisfacer los objetivos de
negocio de la organizacin. Entonces se determina el valor utilizando dos medidas:
El valor de reemplazo del activo: el costo de una limpieza, de la recuperacin y

de reemplazar la informacin (si es posible), y
Las consecuencias para el negocio por prdida o compromiso del activo, como
consecuencias potenciales adversas para el negocio y/o legales o regulatorias
debido a la divulgacin, modificacin, no-disponibilidad y/o destruccin de
informacin, y otros activos de informacin.
NoRMA rcNrce
PERUANA
NTP.ISO/IEC27OO5
28 de 95
Esta valorizacin se puede determinar desde el anlisis de impacto en el negocio. El valor,

determinado por la consecuencia para el negocio, es usualmente significativamente ms
alto que el simple costo de reemplazo, dependiendo de la importancia que tiene el activo
para que la organizacin logre sus objetivos de negocio.
La valorizacin del activo es un factor clave en la evaluacin de impacto de un escenario

de incidentes porque el incidente puede afectar a ms de un activo (por ejemplo activos
dependientes) o solamente a una parte de un activo. Las distintas amenazas y
vulnerabilidades tendnn diferentes impactos en los activos, como una prdida de
confidencialidad, integridad o disponibilidad.La evaluacin de consecuencias se relaciona
entonces a la valorizacin de los activos en base al anlisis de impacto sobre el negocio.
Las consecuencias o el impacto sobre el negocio pueden determinarse modelando los

resultados de un evento o conjunto de eventos o extrapolndolos de estudios
experimentales o datos pasados.
Se puede expresar las consecuencias en trminos de criterios monetarios, tcnicos o

humanos u otros criterios relevantes a la organizacin. En algunos casos se requiere ms de
un valor numrico para especificar las consecuencias de distintos momentos, lugares,
grupos o situaciones. Las consecuencias en el tiempo y las finanzas deben medirse con el
mismo enfoque que se utiliza para la posibilidad de amenazas y la vulnerabilidad. Se tiene
que mantener la consistencia sobre el enfoque cuantitativo o cualitativo.
En el Anexo B se puede encontrar mayor informacin sobre la valorizacin de los activos y

la evaluacin de impacto.
Producto: Una lista de consecuencias evaluadas de un escenario de incidentes expresada

con respecto a los activos y a criterios de impacto.
8.2.2.3
Evaluacin de la posibilidad de incidentes
Insumos: Una lista identificada de escenarios de incidentes relevantes, incluyendo la

identificacin de amenazas, los activos afectados, las vulnerabilidades explotadas y las
consecuencias para los activos y los procesos del negocio. Adems, listas de todos los
controles existentes y planeados, su eficacia, implementacin y condicin de uso.
NoRMA rcNrca
PERUANA
NTP.TSO/IEC27OO5
29 de 95
Accin: La posibilidad de los escenarios de incidentes debe evaluarse (se relaciona con la
norrna ISO/IEC 27001, apartado a.2.1 e) 2)).
Gua de imolementacin
Luego de identificar los escenarios de incidentes, es necesario evaluar la posibilidad de que

ocurra cada escenario e impacto utilizando tcnicas de estimacin cualitativa y cuantitativa.
Esto debe tomar en cuenta cun a menudo ocurren las amenazas y con qu facilidad se
puede explotar las vulnerabilidades, considerando :
la experiencia y las estdsticas aplicables paralaposibilidad de amenazas.
para fuentes de amenazas deliberadas: la motivacin y capacidades que

cambiarn en el tiempo y los recursos disponibles a los posibles atacantes, as
como la percepcin de la atraccin y la vulnerabilidad de los activos para un
posible atacante.
para fuentes de amenazas accidentales: factores geogrficos, por ejemplo

proximidad a plantas qumicas o petroleras, la posibilidad de condiciones
climticas extremas y factores que podran influenciar los erores humanos y el
malfuncionamiento de los equipos.
vulnerabilidades, tanto individualmente como de manera agregada.
controles existentes y cun eficazmente reducen las vulnerabilidades.
Por ejemplo, un sistema de informacin puede tener una vulnerabilidad a las amenazas de
suplantacin de identidad de usuario y mal uso de recursos. La vulnerabilidad de
suplantacin de identidad de usuario puede ser alta debido alafaltz de autentificacin de
usuario. Por otro lado, la posibilidad de un mal uso de recursos puede ser alta a pesar de la
falta de autentificacin de usuario porque las guas para utilizar mal los recursos son
limitadas.
Dependiendo de la necesidad de exactitud, los activos se pueden agrupar, o puede ser

necesario dividir los activos en srs elementos y relacionar los escenarios a los elementos.
Por ejemplo, a travs de sitios geogrficos la naturaleza de las amenazas a los mismos tipos
de activos puede cambiar o puede variar la eficacia de los controles existentes.
NORMA TECMCA
PERUANA
NTP.ISOiIEC2TOO5
30 de 95
Producto: Posibilidad de escenarios de incidentes (cuantitativos o cualitativos).
8.2.2.4
Nivel de estimacin del riesgo
lnsumos: Una list de escenarios de incidentes con sus consecuencias relacionadas a

activos y procesos del negocio y su posibilidad (cuantitativa o cualitativa).
Accin: El nivel de riesgo debe estimarse para todos los escenarios de incidentes relevantes
(se relaciona con la norma ISOiIEC 27001, apartado 4.2.1 e) $).
La estimacin del riesgo asigna valores a la posibilidad y a las consecuencias de un riesgo.

Estos valores pueden ser cualitativos o cuantitativos. La estimacin del riesgo se basa en
las consecuencias evaluadas y en su posibilidad. Adicionalmente, puede considerar el
beneficio del costo, las preocupaciones de los intereses y otras variables, segn sea
apropiado para la evaluacin del riesgo. El riesgo estimado es una combinacin de la
posibilidad de un escenario de incidentes y sus consecuencias.
En el Anexo E se pueden encontrar ejemplos de distintos mtodos o enfoques de

estimacin del riesgo en seguridad de la informacin.
Producto: Una lista de riesgos con niveles asignados de valor.
8.3
Evaluacin del riesgo
lnsumo: Una lista de riesgos con niveles asignados de valor y criterios de evaluacin del
riesgo.
Accin: El nivel de riesgo debe compararse contra los criterios de evaluacin del riesgo y
los criterios de aceptacin del riesgo (se relaciona con la norma ISO/IEC 2700I, apartado
a.Z.t e) $).
NoRMA
rcuce
PERUANA
NTP-ISOIIEC27OO5
3l
de 95
La naturaleza de las decisiones que corresponden a la evaluacin del riesgo y a

los criterios
de evaluacin del riesgo que se utilizarn para tomar esas decisiones se eciiren
cuando se
establezca el contexto. Estas decisiones y el contexto deben volverse a revisar
en ms
detalle en esta etapa cuando se sabe ms sobre los riesgos particulares identificados. para
evaluar los riesgos, las organizaciones deben comparar- Ios riesgos estimados (utilizando
mtodos o enfoques de seleccin tal como s"
-enciona en el Anexo E) con los ciiterios de
evaluacin del riesgo definidos durante la determinacin del contexto.
Los criterios de evaluacin del riesgo utilizados para tomar la decisin deben
ser
consistentes con el contexto de gestin del riesgo en slguridad de la informacin

definido
externa e internamente y se debe tomar en cuenta los objetivos de la organizacin
y el
punto de vista de los interesados, etc. Las decisiones qul s" toman en la
actividad de
evaluacin del riesgo se basan principalmente en el nivel e riesgo aceptable.
Sin embargo,
tambin se debe considerar las consecuencias, posibilidad y grado de confianza

en el
riesgo, identificacin y anlisis. La agregacin de mltiples risgos bajos o medios
pueden
resultar en riesgos generales mucho ms altos que ..qui...n -tratarse de
manera
correspondiente.
Las consideraciones deben incluir:
Propiedades de la seguridad de la informacin: si un criterio no es relevante

para la organizacin (por ejemplo prdida de confidencialidad), entonces
todos
los riesgos que impactan a este criterio pueden no ser relevantes.
La importancia del proceso de negocio o actividad apoyada por un activo

particular o conjunto de activos: si se determina que -el proceso es de baja
imporancia, los riesgos asociados con l deben recibir una consideracin
mls
baja que los riesgos que impactan a procesos o actividades ms importantes.
La evaluacin del riesgo utiliza la comprensin del riesgo obtenida por el anlisis
del
riesgo para tomar decisiones sobre acciones futuras. Las deJisiones
deben incluir:
Si una actividad debe realizarse.
Las.prioridades para el tratamiento del riesgo considerando niveles

estimados
de riesgos.
NORMA TECNICA
PERUANA
NTP-ISO/IEC27OO5
32 de 95
Durante la etapa de evaluacin del riesgo, los requisitos contractuales legales y regulatorios
son factores que deben tomarse en cuenta adems de los riesgos estimados.
Producto: Una lista de riesgos priorizada de acuerdo con los criterios de evaluacin del
riesgo en relacin con los escenarios de incidentes que llevan a esos riesgos.
9.
TRATAMIENTO
DEL RIESGO EN
SEGURIDAD
DE LA
INT'ORMACIN
Descripcin general del tratamiento del riesgo
9.1
Insumo: Una lista de riesgos priorizada de acuerdo con criterios de evaluacin del riesgo en
relacin con los escenarios de incidentes que llevan a esos riesgos.
Accin: Se debe seleccionar controles para reducir, retener, evitar o transferir los riesgos y
un plan del tratamiento del riesgo definido.
Existen cuatro opciones disponibles para el tratamiento del riesgo: reduccin del riesgo
(vase el apartado 9.2), retencin del riesgo (vase el apartado 9.3), evitamiento del riesgo
(vase el apartado 9.4)y transferencia del riesgo (vase el apartado 9.5).
NOTA: La norma ISOiIEC 27001 4.2.1,0 2) usa el trmino "aceptar el riesgo" en vez de "retener el
riesgo".
La Figura 2 ilustra la actividad de tratamiento del riesgo dentro del proceso de gestin del
riesgo en seguridad de la informacin tal como se presenta en la Figura l.
NoRMA rcNrce
NTP.ISO/IEC27OO5
33 de 95
PERUANA
Decisin sobre el
riesgo punto 1
Decisin sobre el
FTGURA 2
- Actividad de tratamiento
del riesgo
NoRMA rcNrce
PERUANA
NTP.ISO/IEC27OO5
34 de 95
Las opciones de tratamiento del riesgo deben seleccionarse en base al resultado de la

evaluacin del riesgo, el costo esperado de implementr esas opciones y el beneficio
esperado de esas opciones.
Cuando se puede obtener grandes reducciones en el riesgo con un gasto relativamente bajo,
dichas opciones deben implementarse. Las opciones adicionales para mejoras pueden ser
no econmicas y se tiene que utilizar el criterio para decidir si son justificables.
En general, las consecuencias adversas de los riesgos deben hacerse tan bajas como sea
practicable razonablemente y sin importar criterios absolutos. Los gerentes deben
considerar los riesgos poco frecuentes pero graves. En dichos casos, es posible que se tenga
que implementar controles que no son justificables desde el punto de vista estrictamente
econmico (por ejemplo, controles a la continuidad del negocio considerados para cubrir
riesgos altos especficos).
Las cuatros opciones para el tratamiento del riesgo no se excluyen mutuamente. A veces la
organizacin puede beneficiarse sustancialmente por una combinacin de opciones como la
reduccin de la posibilidad de riesgos, la reduccin de sus consecuencias, y la transferencia
o retencin de cualquier riesgo residual.
Algunos tratamientos del riesgo pueden enfrentar eficazmente ms de un riesgo (por

ejemplo, la capacitacin y concientizacin en seguridad de la informacin). Debe definirse
un plan de tratamiento del riesgo que identifique claramente la prioridad ordenando en
cules tratamientos del riesgo individual debe implementarse y su horizonte temporal. Se
puede establecer prioridades utilizando varias tcnicas, incluyendo puntajes de riesgo y
anlisis costo-beneficio. Es responsabilidad de los gerentes de la organizacin el decidir el
equilibrio entre los costos de implemeqtar controles y la asignacin presupuestal.
La identificacin de controles existentes puede determinar que los controles
existentes
excedan las necesidades corrientes en trminos de comparaciones de costos, incluyendo el
innecesarios
mantenimiento. Si se considera eliminar los controles redundantes
(especialmente si los controles tienen altos costos de mantenimiento), debe tomarse en

cuenta la seguridad de la informacin y los factores del costo. Debido a que los controles
pueden influenciar unos a otros, la eliminacin de los controles redundantes puede reducir
la seguridad general que existe. Adems, puede ser ms barato dejar en funcionamiento
controles redundantes o innecesarios que eliminarlos.
NoRMA rcluce
PERUANA
NTP.ISO/IEC 27005
35 de 95
se debe considerar las opciones de tratamiento del riesgo tomando en cuenta:
Cmo las partes afectadas perciben el riesgo.

Las maneras mrs apropiadas de comunicarse con esas partes.
El
establecimiento del contexto (vase el apartado 7.2 Criterios de valorizacin

del
riesgo) provee informacin sobre requisitos legales y regulatorios sobre los
cuales la
organizacin debe cumplir. El riesgo para las organiiaciJnes es el no cumplimiento
y
deben implementarse las opciones de tratamiento para limitar esta posibilidad.
Todas las
restricciones -organizativas, tcnicas, estructuraleJ, etc. que se ientifiquen
durante la
actividad de determinacin del contexto deben tomarse en cuenta durante el tratamiento
del
riesgo.
U.na vez que el plan de tratamiento del riesgo se ha definido, se tiene que
determinar los
riesgos residuales. Esto incluye una actualizuiin o reiteracin de la evaluacin
del riesgo,
tomando en cuenta los efectos esperados del tratamiento propuesto del
riesgo. Si el riesgo
residual todava no cumple con los criterios de aceptacin et riesgo de li

organ izacin,
puede ser necesaria una nueva iteracin del trataminto del riesgo ntes
de prceder a Ia
aceptacin del riesgo. Se puede encontrar mis informacin en la norma
ISd/IEC 27002,
Captulo 0.3.
Producto: Plan de tratamiento del riesgo y riesgos residuales sujetos a

la decisin de
aceptacin por parte de los gerentes de la organizacin.
9.2
Reduccin del riesgo
Accin: El nivel de riesgo debe reducirse a travs de la seleccin de controles

de tal modo
que el riesgo residual se pueda re-evaluar como aceptable.
NoRMA rcnce
PERUANA
NTP.ISO/IEC27OO5
36 de 95
Se debe seleccionar controles apropiados y justificados para cumplir con los requisitos
identificados por la evaluacin y el tratamiento del riesgo. Esta seleccin debe tomar en
cuenta los criterios de aceptacin del riesgo as como los requisitos legales regulatorios y
contractuales Esta seleccin tambin debe tomar en cuenta el costo y el horizonte temporal
para la implementacin de controle sobre los aspectos tcnicos, ambientales y culturales. A
menudo es posible reducir el costo total de la propiedad de un sistema con controles de
se guridad de la informac in se lecc ionados aprop iadamente.
En general, los controles pueden proporcionar uno o ms de los siguientes tipos de

proteccin: correccin, eliminacin, prevencin, minimizacin del impacto, disuasin,
recuperacin, monitoreo y conciencia. Durante la seleccin del control es importante
contrapesar el costo de adquisicin, implementacin, administracin, operacin,.monitoreo
y mantenimiento de los controles contra el valor de los activos que se estn protegiendo.
Adems, se debe considerar el retorno sobre la inversin en trminos de reduccin del
riesgo y del potencial de explotar nuevas oportunidades de negocio que los controles
permitan. Adicionalmente, se debe considerar las habilidades especializadas que se pueden
requerir para definir e implementar nuevos controles o modificar los existentes.
La norma ISO/IEC 27002 provee informacin detallada sobre controles.
Existen muchas restricciones que pueden afectar la seleccin de controles. Las restricciones
tcnicas como los requisitos de desempeo, administrabilidad, requisitos de apoyo
operativo y cuestiones de compatibilidad pueden obstaculizar el uso de ciertos controles o
inducir a error humano ya sea anulando el control, dando una falsa sensacin de seguridad
o incluso incrementando el riesgo ms all del control. Por ejemplo, el requerir claves
complejas sin capacitacin adecuada lleva a los usuarios a escribir las claves. Ms an,
podra ser el caso q. un control afecte el desempeo. Los gerentes deben tratar de
identificar una solucin que satisfaga los requisitos de desempeo y a la vez garantice
suficiente seguridad de la informacin. El resultado de este paso es una lista de controles
posible con su costo, beneficio y prioridad de implementacin.
Se debe tomar en cuenta varias restricciones cuando se selecciona controles

implementacin. Normalmente se consideran los siguientes:
Restricciones de tiempo.
y durante la
NoRMATcuce
PERUANA
NTP-ISO/IEC27OO5
37 de95
Restricciones fi nancieras.
Restricciones tcnicas.
Restricciones operativas.
Restricciones culturales.
Restricciones ticas.
Restricciones ambientales.
Restricciones legales.
Facilidad de uso.
Restricciones personales.
Restricciones para integrar controles nuevos y existentes,
En el Anexo F se puede encontrar ms informacin sobre las restricciones

a la reduccin
del riesgo.
9.3
Retencin del riesgo
Accin: La decisin de retener el riesgo sin acciones ulteriores debe

tomarse dependiendo
de la evaluacin del riesgo.
NoTA: La norma ISO/IEC 27001, apartado 42.1 2) "aceptar riesgos a

sabiendas y de manera
D
objetiva siempre y cuando cumplan claranente las polticas de la
organizacin y los criterios
aceptacin de riesgos', describe la misma actividad.
para la
Si el nivel de riesgo satisface los criterios de aceptacin del riesgo

no es necesario
implementar controles adicionales y se puede retener ei riesgo.
NORMA TECNICA
PERUANA
9.4
NTP-ISOIIEC 27005
38 de 95
Evitamiento del riesgo
Accin: Se debe evitar la actividad o condicin que ocasiona el riesgo particular.
Cuando los riesgos identificados se consideran demasiado altos o los costos de

implementar otras opciones de tratamiento del riesgo exceden los beneficios, se puede
tomar la decisin de evitar el riesgo completamente, retirndose de una actividad o
conjunto de actividades planeadas o existentes, o cambiando las condiciones bajo las
cuales se opera la actividad. Por ejemplo, para riesgos causados por la naturaleza puede ser
una alternativa ms econmica mudar las instalaciones de procesamiento de la informacin
a un lugar donde el riesgo no exista o este bajo control.
9.5
Transferencia del riesgo
Accin: El riesgo debe transferirse a otra parte que pueda administrar ms eficazmente el
riesgo particular dependiendo de la evaluacin del riesgo.
La transferencia del riesgo involucra una decisin de compartir ciertos riesgos con partes
externas. La transferencia del riesgo puede crear nuevos riesgos o modificar los riesgos
existentes identificados. Por lo tanto, puede ser necesario el tratamiento adicional del
riesgo.
por medio de un seguro que soporte las consecuencias o

subcontratando a un socio cuyo rol ser monitorear el sistema de informacin y tomar
Se puede hacer la transferencia
acciones inmediats para evitar un ataque antes de que logre un nivel de dao definido.
Se debe notar que puede ser posible transferir la responsabilidad de administrar el riesgo,
pero nonnalmente no es posible transferir los pasivos de un impacto. Los clientes

atribuirn usualmente un impacto adverso a una falta de la organizacin
NoRMA rcNlca
NTP.ISO/IEC27OO5
39 de 95
PERUANA
10.
ACEPTACIN
INT'ORMACIN
DEL
RIESGO
EN
SEGURIDAD
DE
LA
El plan de tratamiento del riesgo y la evaluacin del riesgo residual estn

Instim,o:
sujetos a
la decisin de aceptacin de los g...nto dl la organizacin.
Accin: Debe tomarse y registrarse de manera formal la decisin de
aceptar los riesgos y
responsabilidades por esa decisin (esto se relaciona con la norma
ISO/IE 27001apartado
4.2.t h)).
Los planes de tratamiento del riesgo deben describir cmo se deben

tratar los riesgos
evaluados para satisfacer los criterios de aceptacin del riesgo (vase
el apartado 7.2 Criterios de aceptacin del riesgo). Es importante que los gerentes
responsables revisen y
aprueben los planes de tratamiento del riesgo propuestos y
ls riesgos residuales resultantes
y registrar cualquier condicin que se asocie .-on i"h"
aprobacin.
Los criterios de aceptacin del riesgo pueden ser ms complejos que

simplemente
determinar si un riesgo residual
.""
o n por encima o por debajo de un umbral especfico.
En algunos casos el nivel de riesgo residual puede no cumplir

con los criterios
aceptacin
de
del riesgo porque los criterios que se esn aplicando no

toman en cuenta las
circunstancias prevalecientes. Por ejemplo, ie puede argtir
.,
necesario
aceptar riesgos
lu.
debido a que los beneficios que u"o-f"* a tos .iesio,
,n rnuy atractivos, o porque el
costo de reduccin del riesgo es demasiado alto. oiJtras
circunstncias indican que los
criterios de aceptacin del riesgo son inadecuados y se
deberan revisar si fuera posible. sin
embargo, no siempre es posible revisar los criterios
de aceptacin del riesgo de manera
oportuna' En dichos casos' quienes toman las decisiones
fueden tener qu"e aceptar los
riesgos que no satisfacen los criterios de aceptacion
noai. si esto es necesario, quien
toma las decisiones debera comentar explcitamente
los riesgos e incluir una justificacin
para que la decisin pueda pasar por encima de
los criterios normales de ac"eptacin del
riesgo.
NoRMA rcNrce
NTP.ISO/IEC 27005
40 de 95
PERUANA
COMUNICACIN
11.
DEL RIESGO EN
SEGURIDAD
DE
LA
INT'ORMACION
Insumo: Toda la informacin del riesgo que se obtiene de las actividades de gestin del
riesgo (vase la Figura l).
Accin: La informacin sobre el riesgo debe intercambiarse y/o compartirse entre quienes
toman las decisiones y otros interesados.
La comunicacin del riesgo es una actividad para lograr acuerdos sobre cmo manejar los
riesgos intercambiando y/o compartiendo informacin sobre el riesgo entre quienes toman
las decisiones y otros interesados. La informacin incluye, pero no se limita a, la
existencia, naturaleza, forma, posibilidad, gravedad, tratamiento y aceptabilidad de los
riesgos.
La comunicacin eftcaz entre los interesados es importante ya que esto puede tener un
impacto significativo en las decisiones que se deben tomar. La comunicacin asegurar que
los responsables de implementar la gestin del riesgo y aquellos que tienen intereses
particulares comprendan la base sobre la cual se toman las decisiones y las acciones
particulares que se requieren. La comunicacin es bi-direccional.
Las percepciones del riesgo pueden variar debido a las diferencias en los supuestos,
conceptos y a las necesidades, problemas y preocupaciones de los interesados segn se
relacionen ellos con el riesgo o los problemas en cuestin. Los interesados probablemente
consideren la aceptabilidad del riesgo en base a su percepcin del riesgo. Esto es
especialmente importante para asegurar que las percepciones del riesgo de los interesados,
as como sus percepciones de los beneficios se pueden identificar y documentar y las
razones subyacentes se pueden entender y resolver de manera clara.
Debe realizarse la comunicacin sobre el riesgo de manera que se logre lo siguiente:
Proporcionar aseguramiento del resultado de la gestin del riesgo de la
organizacin.
NoRMA rcNrce
NTP-ISO/IEC27OO5
PERUANA
4l
de 95
Recolectar informacin sobre el riesgo.
Compartir los resultados de la evaluacin del riesgo y presentar el plan de

tratamiento del riesgo.
Evitr o reducir la ocurrencia y consecuencia de las infracciones a la

seguridad de la informacin debido a la falta de comprensin mutua entre quienes
toman las decisiones y los interesados.
Apoyar la toma de decisiones.
Obtener nuevo conocimiento sobre seguridad de la informacin.
Coordinar con otras partes
consecuencias de cualquier incidente.
planificar las respuestas para reducir
Darle a los que toman las decisiones
responsabilidad sobre los riesgos.
las
y a los interesados un sentido de
Mejorar la conciencia.
Una organizacin debe desarrollar planes de comunicacin del riesgo para operaciones
normales, as como para las situaciones de emergencia. Por lo tanto, la uciividad
de
comunicacin del riesgo debe realizarse de manera continua.
La coordinacin entre quienes toman las decisiones y los interesados ms importantes

debe
lograrse por medio de la formulacin de un comit donde se debata
ls riesgos, su
priorizacin y su tratamiento apropiado y aceptacin.
Es importante cooperar con la unidad de relaciones pblicas o comunicaciones

concernida
dentro de la organizacinpara coordinar todas las tareas relacionadas con
la comunicacin
del riesgo. Esto es crucial en el caso de acciones de comunicacin de la crisis,
por ejemplo
en respuesta a incidentes particulares.
Producto: La comprensin continua del proceso de gestin del riesgo en seguridad de la

informacin de la organizaciny sus resultados.
NoRMA rcNrce
PERUA\IA
12.
NTP-ISO/TEC27OO5
42 de 95
MONITOREO Y REVISION DEL RIESGO EN SEGURIDAD DE LA
nvronu.cIN
t2.l
Monitoreo y revisin de factores del riesgo
Insumo: Toda la informacin sobre el riesgo que se obtiene a travs de las actividades de
gestin del riesgo (Vase la Figura 1).
Accin: Se debe monitorear y revisar los riesgos y sus factores (es decir, valor de los
activos, impactos, amenazas, vulnerabilidades, posibilidad de ocurrencia) para identificar
cualquier cambio en el contexto de la informacin en una etapa temprana y para mantener
una visin general de toda la imagen del riesgo.
Los riesgos no son estticos. Las amenazas, vulnerabilidades, posibilidad o consecuencias

pueden cambiar abruptamente sin ninguna indicacin. Por lo tanto, es necesario el
monitoreo constante para detectar estos cambios. Esto lo pueden apoyar servicios externos
que provean informacin respecto a nuevas rlmenazas o vulnerabilidades.
Las organizaciones deben asegurar que se monitoree continuamente lo siguiente:
Nuevos activos que hayan sido incluidos en el alcance de la gestin del riesgo.
La modificacin necesaria de los valores de los activos, por ejemplo: debido a
las necesidades cambiantes del negocio.
Nuevas amenazas que podran ser activas tanto fuera como dentro de la
organizacin y que no se han evaluado.
La posibilidad de que las vulnerabilidades nuevas o aumentadas permitan que
haya amenazas que exploten estas vulnerabilidades nuevas o cambiadas.
Vulnerabilidades identificadas para determinar las que se estn exponiendo a
amenazas nuevas o re-emergentes.
El mayor impacto o las consecuencias de amenazas, vulnerabilidades y riesgos
evaluados resultan en un nivel de riesgo inaceptable cuando se agregan.
Incidentes de seguridad de la informacin.
NoRMA rcNlce
NTP.ISO/IEC27OO5
43 de 95
PERUANA
Las nuevas amenvas, vulnerabilidades o cambios en las posibilidades o las consecuencias

pueden incrementar los riesgos previamente evaluados cmo bajos. La
revisin de riesgos
bajos y aceptados debe considerar cada riesgo por separado y iodos los riesgos
como un
agregado tambin para evaluar su impacto acumulado potencial. Si los
riefios no caen
dentro de la categora baja o aceptable, se les debe tratar utilizando una o ms
de las
opciones consideradas en el Captulo 9.
Los factores que afectan las posibilidades y las consecuencias de que ocuran
las amenazas
pueden cambiar, as como pueden cambiar los factores que afectan la
conveniencia o el
costo de las distintas opciones de tratamiento.
Los factores que afectan la posibilidad y consecuencias de las amenazas que

ocurren
pueden cambiar, como pueden hacerlo los factores que afectan
la conveniencia o el costo
de las distintas opciones de tratamiento. Los cambios importantes que afectan
a la
organizacin deben recibir una revisin ms especfica. Por lo tanto,
las actividades de
monitoreo del riesgo deben repetirse regularmente y las opciones seleccionadas
para el
tratamiento del riesgo deben revisarse peridicamente.
El resultado de las actividades de monitoreo del riesgo pueden ser un insumo para
actividades de revisin del riesgo.
otras
La organizacin debe revisar todos los riesgos de manera regular y cuando

ocurren cambios
importantes (de acuerdo con la nonna ISo/IEc 2700l,upurdo i.z.l>.
Producto: El alineamiento continuo de la gestin del riesgo con los
objetivos de negocio de
la organizacin y con los criterios de aceptacin del riesg-o.
12.2
Monitoreo, revisin y mejoramiento de gestin der riesgo
Insumo: Toda la informacin sobre el riesgo que se obtiene

de las actividades de gestin
del riesgo (vase la figura
l).
Accin: El proceso de gestin del riesgo en seguridad de la informacin

debe monitorearse,
revisarse y mejorarse continurmente segn ,""-n...r*io y
apropiado.
NORMA TCNICA
PERUANA
NTP.ISO/IEC27OO5
44 de 95
Se necesita monitoreo y revisin constante para asegurar que el contexto, el resultado de la

evaluacin y el tratamiento del riesgo, as como los planes de manejo sigan siendo
relevantes y apropiados a las circunstancias.
La organizacin debe asegurane de que el proceso y gestin del riesgo de seguridad de la

informacin y las actividades relacionadas sigan siendo apropiadas en las circunstancias
presentes y se cumplan. Cualquier mejora acordada al proceso con las acciones necesarias
para mejorar el cumplimiento con el proceso deben notificarse a los gerentes adecuados
para asegurarse de que no se pase por alto o subestime ningn riesgo o elemento riesgoso y
que se tomen acciones y decisiones necesarias para proveer una compresin realist del
riesgo y par^tener la capacidad de responder.
Adems, la organizacin debe verificar regularmente que los criterios utilizados para medir
el riesgo y sus elementos siguen siendo vlidos y consistentes con los objetivos, estrategias
polticas empresariales
que los cambios al contexto empresarial se toman
en
consideracin de manera adecuada durante el proceso de gestin del riesgo en seguridad de
la informacin. Esta actividad de monitoreo y revisin debe ocuparse de, aunque
no
limitarse a, lo siguiente:
Contexto legal y ambiental.

Contexto competitivo.
Enfoque de evaluacin del riesgo.
Valor y categoras del activo.
Criterios de impacto.
Criterios de evaluacin del riesgo.
Criterios de acepacin del riesgo.
Costo total de propiedad.
Recursos necesarios.
la evaluacin y el tratamiento del

riesgo estn disponibles continuamente para revisar el riesgo, resolver amenazas o
vulnerabilidades nuevas o modificadas, y para aconsejar a la gerencia de manera
La organizacin debe asegurar que los recrrsos

correspondiente.
para
NoRMA rcNrce
NTP.ISOi]EC27OO5
PERUANA
45 de 95
El monitoreo de la gestin del riesgo puede resultar en
la
modificacin o adicin de
enfoques, metodologas o herramientas utilizados dependiendo de:
Cambios identificados.
Integracin de la evaluacin del riesgo.
Objetivo del proceso de gestin del riesgo en seguridad de Ia informacin
(por ejemplo, continuidad del negocio, capacidad de recuperacin ante los
incidentes,
cumplimiento).
Objetivo del proceso de gestin del riesgo en seguridad de la informacin
(por ejemplo, organizacin, unidad empresarial, proceso de la informacin,
implementacin tcnica" aplicacin, conexin a la Internet).
Producto: Relevancia continua del proceso de gestin del riesgo en seguridad

de la
informacin para los objetivos de negocio de la organizacin o la actualizacin
del
proceso.
13.
ANTECEDENTES
13.1.
ISOiIEC 27005:2008
Information technology - Security techniques

lnformation security risk management
NoRMA rcNrce
NTP.ISO/IEC27OO5
46 de 95
PERUANA
ANEXO A
(TNFORMATTVO)
DEFINCION DEL ALCANCE Y LIMITES DEL

PROCESO DE GESTION DEL RIESGO EN SEGURTDAD
DE LA INFORMACIN
4.1
Estudio de la organizacin
organizacin. El estudio de la organizacin nos recuerda los elementos

caractersticos que definen la identidad de una organizacin. Esto tiene que. ver con el
propsito, negocio, misiones, valores y estrategias de esta organizacin. Se debe identificar
estos elementos juntos con los que contribuyen a su desarrollo (por ejemplo, la
Evaluar
la
subcontratacin).
La dificultad de esta actividad reside en comprender exactamente cmo est estructurada la

organizacin. Identificar su estructura real proveer una comprensin del papel e
importancia de cada divisin en el logro de los objetivos de la organizacin.
Por ejemplo, el hecho de que el gerente de seguridad de la informacin reporte a los altos
gerentes en vez de a los gerentes de TI puede indicar la participacin de la alta gerencia
en la seguridad de la infurmacin.
El propsito princioal de la oreanizacin. El propsito principal de una organizacin puede

definirse como las razones por las que existe (su campo de actividad, sus segmentos de
mercado, etc.).
Su negocio. El negocio de la organizacin, definido por las tcnicas y el know-how de sus
empleados le permite lograr sus misiones. Es especfico al campo de actividad de la

organizacin y a menudo define su cultura.
NoRMA rcNlce
NTP-ISOAEC27OO5
PERUANA
47 de95
Su misin. La organizacin logra su propsito cumpliendo con su misin. La misin, los

servicios proporcionados y/o los productos manufach.rados deben identificarse en relacin
con los usuarios finales.
Sus valores. Los valores, los principios importantes o un cdigo bien definido de conducta
que se aplica al ejercicio de un negocio. Esto puede referirse al personal, a las relaciones
con agentes externos (clientes, etc.), a la calidad de productos suministrados o servicios
proporcionados.
Tomar el eiemplo de una organizacin cuyo propsito es el servicio pblico, cttyo negocio
es el transporte y cuyas misiones incluyen el transporte de nios y de la eicuela. Sus
valores pueden ser Ia puntualidad y la seguridad del servicio durante il transporte.
Estructura de la organizacin. Existen distintos tipos de estructura:
Estructura por divisiones: Cada divisin se coloca bajo la autoridad de un

gerente de divisin responsable por las decisiones estratgicas administrativas y
operativas que conciemen a su unidad.
Estructura funcional: Se ejerce autoridad funcional sobre los
procedimientos, la naturaleza del trabajo y a veces las decisiones o el planeamiento
(por ejemplo, produccin, TI, recursos humanos, marketing, etc.)
Comentarios:
Una divisin dentro de una organizacin con estructura por divisiones puede
organizarse como una estrucfura funcional y viceversa.
elel:qtr.
vv^vlvr
niveles:
Se puede decir que una organizacin tiene una estructura de matriz si tiene
- a^\iJ
u!
^rL^^
+i-^.
riljijb
J- d+-r^fit,^
i- JLIUrure.
En cualquier estructura organizativa se pueden distinguir los
siguientes
El nivel de toma de decisiones (definicin de orientaciones estratgicas);

El nivel de liderazgo (coordinacin y gestin);
El nivel operativo (actividades de produccin y apoyo).
NoRMA
rctuce
PERUANA
NTP.ISOIIEC2TOO5
48 de 95
Organigrama. La estructura de la organizacin se representa esquemticamente en un

organigrama. Esta representacin debe destcar las lneas jerrquicas y la delegacin de
autoridad, pero tambin debe incluir otras relaciones, las que incluso si no se basan en
ninguna autoridad formal, son no obstante lneas de flujo de la informacin.
La estratesia de la oreanizacin. Esto requiere una expresin formal de los principios gua
de la organizacin. La estrategia de la organizacin determina la direccin y el desanollo
que se necesitan para beneficiarse de los temas en juego y de los cambios importantes que
estiin planeandos.
Lista de restricciones que afectan a la organizacin
A.2
Deben tomarse en cuenta todas las restricciones que afectan a la organizacin y determinan
su orientacin en seguridad de la informacin. Su fuente puede estar dentro de la
organizacin, en cuyo caso tiene cierto control sobre ella o fuera de la organizacin y, por
lo tanto, generalmente no es negociable. Las restricciones a los recurSos (presupuesto,
personal) y las restricciones de emergencia estn entre las ms importantes.
La
organizacin frja sus objetivos (respecto de su negocio, comportamiento, etc.)

comprometindose con un cierto camino, posiblemente en un perodo largo. Define lo que
quiere ser y los medios que necesitar. para implementarlo. Cuando se especifica este
organizacin toma en cuenta los desarrollos, la tcnica y el know-how, los
deseos que los usuarios, los clientes, etc. han expresado. Este objetivo se puede expresar en
la forma de estrategias operativas o de desarrollo con la finalidad, por ejemplo, de cortar
costos operativos, mejorar la calidad del servicio, etc.
camino,
la
Estas estrategias probablemente incluyen informacin y el sistema de informacin (SI) que

ayuda en su aplicacin. Consecuentemente, las caractersticas concernientes a la identidad,
misin y estrategias de la organizacin son elementos fundamentales en el anlisis del
problema, ya que el incumplimiento de un aspecto de la seguridad de la informacin puede
resultar en repensar estos objetivos estratgicos.
Ademis, es esencial que las propuestas respecto de las necesidades de seguridad de la

informacin sigan siendo consistentes con las reglas, usos y medios vigentes en la
organizacin.
f1l
:l
:l
il
:l
:l:l
NoRMA rcurce
NTP.ISO/IEC27OO5
49 de 95
PERUANA
La lista de restricciones incluye pero no se limita a:
Restricciones de naturaleza poltica
Estas pueden referirse a administraciones gubernamentales, instituciones pblicas o ms

generalmente a cualquier organizacin que tenga que aplicar decisiones gubernamentales.
Normalmente son decisiones que conciernen a la orientacin estratgica u operativa que
una decisin gubemamental u rgano de toma de decisiones realiza y deben aplicarse.
Por ejemplo, la computarizacin de facturas

problemas de seguridad de la informacin.
docamentos administrativos introduce
Restricciones de naturaleza estratgica
Las restricciones pueden surgir de los cambios planeados o posibles a las estructuras u
orientacin de la organizacin. Se expresa en los planes estratgicos u operativos de la
organizacin.
Por eiemplo, la cooperacin internacional al compartir informacin delicada
puede
necesitar acuerdos concernientes al intercambo seguro.
Restricc iones territoriales
La estructuray/o el propsito de la organizacinpueden introducir restricciones especficas

como la distribucin de sitios en todo el territorio nacional o en el extranjero.
Los eiemplos incluyen senicos postales, embajadas, bancos, subsidiarias de grandes

grupos industriale s, etc.
NoRMA rcNrce
PERUANA
NTP.ISO/TEC27OO5
50 de 95
Las restricciones sursen del clima econmico v poltico
La operacin de una organizacin puede cambiar profundamente debido a
eventos
especficos como huelgas o crisis nacionales o internacionales.
Por ejemplo, algunos servicios pueden ser capaces de continuar incluso a pesar de una
seria crisis.
Restricc iones estructurales
La naturaleza de Ia estructura de una organizacin (por divisiones, funcional u otra) puede

llevar a una poltica de seguridad de la informacin especifica y a la organizacin de
seguridad adaptada a la estructura.
Por ejemplo, une estructura internacional puede ser copaz de reconciliar las necesidades
especficas de seguridad para cada pas.
Restricciones funcionales
Las restricciones funcionales surgen directamente de las misiones generales o especificas

de la organizaci.
Por ejemplo, una organizacin que opera 24 horas al da debe asegurar que sus recursos
estn continuamente disponibles.
Restricciones respecto al personal
La naturaleza de estas restricciones vara considerablemente. Esn ligadas al nivel de

responsabilidad, reclutamiento, calificacin, capacitacin, conciencia de la seguridad,
motivacin, disponibilidad, etc.
s._
af
il
rl
il
fl
il1l
:!
ii
,t
I
rl
;i
NoRMA rcNtce
NTP.ISO/IEC27OO5
PERUANA
5l
:l
de 95
it
;l
rl
il
:l
Por eiemplo, todo el personal de una organizacin de defensa debe tener autorizacin
par a manej ar informacin alt amente
co nfi denc
ial.
Restricciones que surgen del calendario de la oreanizacin
Estas restricciones pueden resultar de la reestructuracin o el establecimiento de polticas

nacionales o internacionales nuevas que imponen ciertos plazos.
Por ejemplo, Ia creacin de una divisin de seguridad.
Restricciones relacionadas a mtodos
Los mtodos apropiados al know-how de la organizacin tendrn que imponerse para

aspectos como el planeamiento, especificaciones, desarrollo, etc. de proyictos.
Por ejemplo, una restriccin tpica de este tipo es Ia necesidad de incorporar

obligaciones legales de la organizacin a ra poltica de seguridad.
las
Restricciones de nafuraleza cultural
En algunas organizaciones los hbitos de trabajo o el negocio principal han llevado

a una
cultura especfica dentro de la organizacin que puede s-r incmpatible con
los controles
de seguridad. Esta cultura es el marco de referencia general d-el personal y
se puede
determinar por muchos aspectos, incluyendo la educacin, la instruccin, la
experiencia
personal, la experiencia fuera del trabajo, las opiniones, la filosofa, las
creencias, el
estatus social, etc.
Restricc iones oresupuestales
Los controles de seguridad recomendados a veces pueden tener un costo muy

alto.
Mientras que no siempre es apropiado basar las inversiones en seguridad en la
economa,
generalmente se refiere a justificacin econmica del departamento financiero
de la
organizacin.
lr'
::
f
I
!
NoRMA rcNtce
NTP-ISO/IEC27OO5
52 de 95
PERUANA
Por ejemplo, en el sector privado y en algunas organizaciones pblicas, el costo total de

Ios controles de seguridadno debera exceder el costo de las consecuencias potenciales de
los riesgos. La alta gerencia debera por tanto evaluar y tomar riesgos calculados si desea
evitar excesivos costos de seguridad.
A.3
Lista de las referencias legislativas
regulatorias aplicables
a la
organizacin
Se deben identificar los requisitos regulatorios aplicables a
la organizacin. Estos
pueden
ser leyes, decretos, regulaciones especficas en el campo de la organizacin o regulaciones

intemas/extemas. Esto tambin se refiere a contratos y acuerdos y ms generalmente a
cualquier obligacin de haturaleza legal o regulatoria.
A.4
Lista de restricciones que afectan el alcance
identificar las restricciones, es posible listar aqullas que tienen un impacto en el

alcance y determinar cules estn no obstante dispuestas para la accin. Se aaden a las
restricciones de la organizacin que se han determinado anteriormente y posiblemente las
reforman. Los prirrafos siguientes presentan una list no exhaustiva de tipos posibles de
Al
restricciones.
Restricciones oue surgen de procesos no existentes
Los proyectos de aplicacin no necesariamente se desarrollan simultineamente. Algunos

dependen de procesos preexistentes. A pesar de que un proceso se puede desglosar en
,.rtp.o..ror, l pro..ro no est necesariamente influenciado por todos los subprocesos de
otro proceso.
Restricciones tcnicas
Las restricciones tcnicas relacionadas a
la infraestructura surgen
generalmente de
hardware y software instalados y de las habitaciones o lugares que albergan los procesos:
NoRMA rcNrce
PERUANA
NTP-ISO/IEC27OO5
53 de 95
Archivos (requisitos concernientes a la organizacin, la gestin de medios,

la gestin de reglas de acceso, etc.)
'
La
arquitectura general (requisitos concernientes
(centralizada, distribuida, cliente servidor), arquitectura fisica, etc.)
a la
topologa
Software de aplicacin (requisitos concernientes al diseo especfico del

software, estndares del mercado, etc.);
Software en paquetes (requisitos concernientes a los estndares,

evaluacin, calidad, cumplimiento con las normas, seguridad, etc.)
nivel
de
Hardware (requisitos concernientes a los estndares, calidad, cumplimiento
con las normas, etc.)
Redes de comunicacin (requisitos concernientes a la cobertura, estndares,

capacidad, confiabilidad, etc.)
Construccin de infraestructura (requisitos concernientes

civil, construccin, altos voltajes, bajos voltajes, etc.)
a la
ingeniera
Restricciones fi nancieras
El presupuesto restringe a menudo la implementacin de controles de seguridad con los

que la organizacin puede comprometerse. Sin embargo, la restriccin financiera debe ser
la ltima consideracin ya que la asignacin de presupuesto para seguridad puede
negociarse sobre la base del estudio de seguridad.
Restricciones ambientales
Las restricciones ambientales surgen del entomo geogrfico o econmico en el que se

implementan los procesos: pas, clima, riesgos naturales, situacin geogrfica, clima
econmico, etc.
NTP-ISO/IEC27OO5
54 de 95
NORMA TC}.IICA
PERUANA
Restricciones temporales
El tiempo requerido para implementar los controles de seguridad debe considerarse en

relacin con la capacidad de mejorar el sistema de informacin. Si el tiempo de
implementacin es muy largo, los riesgos para los que se disea el control pueden haber
cambiado. El tiempo es un factor determinante para seleccionar las soluciones y
prioridades.
Restricciones relacionadas a los mtodos
Se debe utilizar mtodos apropiados para
el know-how de la
otg?rnizacin
en
el
planeamiento de proyectos, las especificaciones, el desarrollo y otros'
Restricc iones
rsanizativas
Varias restricciones pueden deducirse de las necesidades organizativas:

Operacin (necesidades referidas a los tiempos de espera, suministro de
servicios, vigilancia, monitoreo, planes de emergencia, operacin degradada, etc')
Mantenimiento (requisitos referidos a la solucin de incidentes, acciones

preventivas, correccin rpida, etc.).
Administracin de recursos humanos (requisitos concernientes a la

para puestos como el de
capacitacin de operadores de usuarios, calificacin
etc')'
administrador de siitemas o ad"ministrador de datos'
a responsabilidades, etc.)
Gestin administrativa (requisitos concemientes
del desarrollo (requisitos concernientes a
heffamientas de
computadora,
planes
por
de aceptacin,
desarrollo, ingeniera de software asistida
Gestin
organizacin a establecerse, etc.)

concernientes a la organizacin de
Manejo de relaciones externas (requisitos
t"a""aos, contratos, etc')
relaciones
"on
NoRMA rcNrca
NTP-ISONEC27OO5
55 de 95
PERUANA
ANEXO B
Gr{FORMATTVO)
IDENTIFICACIX Y VALORIZACIN DE ACTIVOS Y

EVALUACTN DE IMPACTO
8.1
Ejemplos de identificacin de activos
Para realizar una valorizacin de activos, una organizacin necesita primero identificar sus
activos (a un nivel apropiado de detalle). Se puede distinguir dos tipos de activo:
Los activos primarios:

Procesos y actividades del negocio
Informacin
Los activos de apoyo (sobre los cuales descansan los elementos primarios
del alcance) de todo tipo:
Hardware
Software
Red
Personal
Sitio
Estructura de la organizacin
8.1.1
Identificacin de activos primarios
Para describir el alcance de manera ms exacta, esta actividad consiste en identificar

los
activos primarios (procesos y actividades del negocio, informacin). Esta identificacin
se
realiza por medio de un grupo de trabajo mixto que representa el proceso (gerentes,
especialistas en sistemas informticos y usuarios).
NTP.ISO/IEC 27005
56 de 95
NORMA TECNICA
PERUANA
Los activos primarios son usualmente los procesos e informacin centrales de la actividad
en cuestin. Otros activos primarios como los procesos de la organizacin tambin pueden
considerarse, lo cual ser ms apropiado para disear una poltica de seguridad de la
informacin o un plan de continuidad del negocio. Dependiendo del propsito, algunos
estudios no requerirn un anlisis exhaustivo de todos los elementos que conforman el
alcance. En dicho caso, los lmites del estudio se pueden restringir a los elementos clave
del alcance.
Los activos primarios son de dos tipos:
l.
Procesos lo subprocesos) y actividades del negocio. oor ejemolo:
Procesos cuya prdida o degradacin hace imposible llevar a cabo la misin
de la organizacin.
Procesos que contienen procesos secretos
procesos que involucran
tecno loga propietaria
Procesos que, si se modifican, pueden afectar grandemente

misin de la organizacin
Procesos que son necesarios para que

requisitos contractuales, legales o regulatorios.
la organizacin
el logro de la
cumpla con los
lnformacin:
2.
De manera ms general la informacin primaria comprende principalmente:
Informacin vital para
el eiercicio de la misin o los negocios de la
organizacin.
Informacin personal que se puede definir especficamente en el sentido de

las leyes nacionales respecto a la privacidad.
Informacin estratgica necesaria para lograr los objetivos determinados por

las orientaciones estratgicas
NoRMA rcNtce
NTP-ISOiIEC27OO5
57 de95
PERUANA
Informacin de alto costo cuya recoleccin, almacenamiento, procesamiento

y transmisin requieren tiempo largo y/o involucran un alto costo de adquisicin.
-
Los procesos y la informacin que no se identifican como sensibles no

tendrn luego de esta actividad clasificacin en el resto del estudio. Esto significa que
incluso
dichos procesos
informacin se encuentran comprometidos, la
organizacin seguir cumpliendo con la misin exitosamente.
si
Sin embargo, a menudo heredarn controles implementados par! proteger los procesos y
la
informacin identificados como sensibles.
8.1.2
Lista y descripcin de activos de apoyo
El alcance consiste de activos que deben identificarse y describirse. Estos activos tienen
vulnerabilidades que son explotables por amenazas que tienen como objetivo
desactivar los
activos primarios del alcance (procesos e informacion. son de varios tipos:
Hardware
El tipo de hardware consiste de todos los elementos fisicos que apoyan procesos.
El equipamiento automtico de procesamiento de la informacin incluye los

artculos
requeridos para operar independientemente.
Equipo por&itil
Equipo de cmputo portitil.
Ejemplos : computado ra laptop, Asistente Digital personal (pDA).
NTP.ISOIIEC2TOO5
58 de 95
NORMA TECNICA
PERUANA
Equipo ftio
Equipo de cmputo utilizado en los locales de la organizacin.
Ejemplos: servidor, microcomputadora usada como estacin de trabajo.
Perifricos de procesamiento
Equipo conectado a una computadora por medio de un puerto de comunicacin

(serial, enlace paralelo, etc.) para ingresar, llevar o transmitir datos.
Ejemplos: impresora, disco removible.
Medio de datos fpasivo)
Estos son medios para almacenar datos o funciones.
Medio electrnico
Un medio de informacin que puede conectarse a una computadora o a una red de

computadoras para el almacenamiento de datos. A pesar de su tamao compacto,
estos medios pueden contener una gran cantidad de datos. Se pueden usar con equipo
de cmputo estndar.
Ejemplos:
disco
floppy, CD
Rom, cartucho
de respaldo, disco duro removible,
memoria USB, cinta.
Otros medios
Medios estticos no electrnicos que contienen datos.
NoRMA
rcuce
NTP.ISO/IEC 27005
PERUANA
Ej emplos : papel,
59 de 95
diapositiva, transparenci4 documentacin, fax.
Software
El software consiste de todos los programas que contribuyen con la operacin de un

conjunto de procesamiento de datos.
Sistema ooerativo
Esto incluye todos los programas de una computadora que constituye la base operativa
desde la cual se corren todos los dems programas (servicios o aplicaciones). Incluye
un
kernel y funciones o servicios brlsicos. Dependiendo de la aiquitectura, un sistema
operativo puede ser monoltico o estar conformado de un microkernel y un conjunto de
servicios del sistema
Los elementos principales del sistema operativo son todos los servicios de administracin
del equipo (CPU. memoria, disco e interfases de red), servicios de administracin de tareas
o procesos y servicios de manejo de derechos de usuario.
Software de servicio. mantenimiento o administracin
Software caracterizado por el hecho de que complementa los servicios del sistema
operativo y no esti directamente al servicio de los usuarios o aplicaciones (aunque
usualmente es esencial o incluso indispensable para la operacin global del sistema
de
operacin).
Software en oaquetes o software estndar
El software estndar o el software en paquetes son productos completos que se

comercializan como tales (en vez de uno en su clase o desairollos especficts)
con medio,
versin y mantenimiento. Proporcionan servicios a los usuarios y aplicaciones pero
no
estin personalizados o son specficos como son las aplicaciones de negocios.
Ejemplos: software de administracin de bases de datos, software de mensajera
electrnic4 groupware, software de directorios, software para servidores de web, etc.
NoRMA rcNrce
NTP.ISO/IEC27OO5
60 de 95
PERUANA
Aolicacin emoresarial
Aplicacin emoresarial estndar
Este es software comercial diseado para dar a los usuarios acceso directo a los
servicios y funciones que requieren de su sistema de informacin en su contexto
profesional. Existe un rango de campos muy amplio, tericamente ilimitado.
Ejemplo: software de cuentas, softrvare de control metalmecnico, software
de
atencin al cliente, software de administracin de competencias personales, software
administrativo, etc.
Aplicacin empresarial especfi ca
Este es software en
el que varios aspectos (principalmente el
soporte, el
mantenimiento, las mejoras, etc.) se han desarrollado especficamente para darle a los
usuarios acceso directo a los servicios y funciones que requieren de su sistema de
informacin. Existe un rango de campos muy amplio, tericamente ilimitado.
Ejemplos: administracin
de
facturas
de
clientes
de
operadores
de
telecomunicaciones, aplicacin de monitoreo en tiempo real para el lanzamiento de

cohetes.
Red
El tipo red consiste de todos los dispositivos de telecomunicaciones que se usan para
interconectar varias computadoras fisicamente remoas o elementos de un sistema de
operacin.
NoRMA rcNrce
NTP.ISO/IEC27OO5
PERUANA
6l
de 95
Medio v soDorte
Las comunicaciones y los medios o equipos de telecomunicaciones se caracterizan

principalmente por las propiedades fisicas y tcnicas del equipo (punto a punto,
transmisin) y por los protocolos de comunicacin (enlace o red nlveles Z y I ae
modelo de capas OSIT).
Ejemplos: Red de Telefona Pblica Conmutada (PSTN), Ethernet, GigabitEthernet,
Lnea Digital Asimtrica de Suscriptor (ADSL), especificaciones e protocolos

inalmbricos (por ejemplo WiFi g02.lI), Bluetooth o Wirefire.
Rel oasivo o activo
Este sub-tipo incluye todos los dispositivos que no son las terminaciones lgicas
de las comunicaciones (visin IS), sino que son dispositivos intermedios o rels.
Los rels se caracterizan por los protocolos de comunicacin de red soportados.
Adems del rel bsico, a menudo incluye el ruteo y/o funciones y servicios de
filtrado, empleando conmutadores de comunicacin y ruteadores con filtro. A
menudo se pueden administrar remotamente y son usualmente capaces de generar

registros.
Ejemplos: puente, nrteador, z, conmutador, intercambio automtico.
Interfaz de comunicacin
Las interfaces de comunicacin de las unidades de procesamiento se conectan

a
las unidades de procesamiento pero se caracterizan por los medios y los
protocolos soportados, por cualquier filtrado instalado, iegistro o funcionls
de
generacin de advertencias y sus capacidades y por la posibiiidad y
el requisito de
la administracin remota.
Ejemplos:
Ethemet.
General de Radio por Paquetes (GpRS), adaptador de
NoRMA
roucn
PERUANA
NTP.ISO/IEC 27005
62 de 95
Personal
El tipo personal consiste de todos los grupos de personas involucradas en el
sistema
informtico.
Responsable de tomar decisiones
Los responsables de tomar decisiones son los propietarios de los activos

primarios (informacin y funciones) y los administradores de la organizacin o
del proyecto especfico.
Ejemplos: altos gerentes, lderes de proyectos.
Usuarios
Los usuarios son el personal que maneja elemenos sensibles en el contexto de su

actividad y que tienen una responsabilidad especial en este sentido. Pueden tener
derechos especiales de acceso al sistema de informacin para realizar sus tareas
cotidianas.
Ejemplos: gerente de recursos humanos, gerente financiero, gerente de riesgos.
Personal de ooeraciones y mantenimiento
Este es el personal que est a cargo de operar y mantener el sistema de

informacin. Tienen derechos especiales de acceso al sistema de informacin
para realizar sus tareas cotidianas.
Ejemplos: administrador del sistema, administrador de datos, respaldo, escritorio

de ayuda, operador de despliegue de aplicaciones, funcionarios de seguridad.
NoRMA rcNrce
NTP.ISO/IEC27OO5
63 de 95
PERUANA
Desarrolladores
Los desarrolladores estn a cargo de desarrollar las aplicaciones
de la
organizacin. Tienen acceso a parte del sistema de operacin
derechos de
"on
alto nivel pero no toman ninguna accin sobre los datoJde produccin.
Ejemplos : desa*olladores de
apr
icaciones empresariares.
Sitio
El tipo sitio comprende todos los lugares que contienen el alcance o parte
del alcance y los
medios fsicos requeridos para que opere.
Ubicacin
Entorno externo
Esto concieme a todos los lugares en los que los medios de seguridad
de la
organizacin no se pueden aplicar.
Ejemplos: lugares del personat, locales de otra organizacin, ambientes

fuera del
sitio (rea urbana, rea de peligro).
Locales
Este lugar est delimitado por el permeko de la organizacin que

se encuentra
directamente en contacto con el exterior. Este puede ser un
lindero protector
fsico obtenido por la creacin de barreras fisicas o medios j"alrededor de los edificios.
"igi;.i"
Ejemplos: establecimientos, edificios.
NoRMA rcNrce
PERUANA
NTP-ISO/IEC 27005
64 de 95
Zona
Una zona est formada por un lindero protector fisico que forma divisiones
dentro del local de una organizacin. Se obtiene creando barreras fsicas
alrededor de las infraestructuras de procesamiento de informacin de la
organizacin.
Ejemplos: oficinas, zona de acceso reservado, zona segura.

Servicios esenciales
Todos los servicios requeridos para que opere el equipo de la organizacin.
Comunicacin
Los servicios de telecomunicaciones y equipamiento que provee un operador.
Ejemplos: lnea telefnica, PABX, redes de telefona internas.
Servicios pblicos
Servicios y medios (fuentes y cableado) requeridos para proveer energa al equipo

de tecnologa de la informacin y perifericos.
Ejemplos: suministro de energa elctrica de bajo voltaje, inversor, cabecera de

cable de circuito elctrico.
Suministro de agua.
Disposicin de residuos.
servicios y medios (equipo, control) para enfriar y purificar el aire.
NoRMA rcucn
PERUANA
NTP.ISO/IEC27OO5
65 de 95
Ejemplos: tuberas de agua enfriadas, equipo de aire condicionado.
Organizacin
El tipo referente a organizacin describe el marco organizativo, consistente de

todas las estructuras de personal asignadas a una tarea y los procedimientos que
controlan estas estructuras.
Autoridades
Estas son organizaciones desde las cuales la institucin estudiada deriva

su
autoridad. Pueden estar afiliadas legalmente o ser extemas. Esto impone
restricciones en la organizacin estudiada en trminos de regulacines,
decisiones y acciones.
Ejemplo: rgano administrativo, oficina central de una organizacin
Estructura de la orsanizacin
Esta consiste de las distintas sucursales de la organizacin, incluyendo sus

actividades funcionales trasversales, bajo el control de su gerencia.
Ejemplos: gerencia de recursos humanos, gerencia de TI, gerencia

adquisiciones, gerencia de la unidad de negocio, servicio de siguridad
edificios, servicio contra incendios, gerencia de auditoras.
Orsanizacin de proyecto o sistema
Esto se refiere a la accin que se establece para un proyecto o

especfico.
de
de
NoRMA rcNrce
PERUANA
NTP.ISOIIEC2TOO5
66 de 95
Ejemplo: nueva aplicacin de un proyecto de desarrollo, proyecto
de
migracin del sistema de informacin.
Subcontratistas / Proveedores / Practicantes
Estas son organizaciones que proveen a la organizacin con un servicio o

recursos y que estn ligadas a ella por contrato.
Ejemplos: compaa de administracin de locales, compaa subcontratista,

compaas consultoras.
8.2
Valorizacin de activos
El siguiente paso luego de la identificacin del activo es acordar la escala que se debe
utilizar y los criterios para asignar una ubicacin particular en esa escala a cada activo en
base a la valorizacin. Debido a la diversidad de activos que se encuentra en la mayor parte
de organizaciones, probablemente algunos activos que tienen un valor monetario conocido
se valorizarn en la unidad de moneda local, mientras que a otros que tienen un valor
o'muy
cualitativo puede asignrseles un rango de valor, por ejemplo desde "muy bajo" a
alto". La decisin de usar una escala cuantitativa versus una escala cualitativa es en
realidad cuestin de preferencia de Ia organizacin, pero debe ser relevante a los activos
que se estn valorizando. Ambos tipos de valorizacin podran utilizarse para el mismo
activo.
Los trminos tpicos que se utilizan para la valorizacin cualitativa de activos incluyen
palabras como insignificante, muy bajo, bajo, medio, alto, muy alto y crucial.La eleccin y
iungo de los trminos convenientes a una organizacin depende fuertemente de la
necisidad que tiene una organizacin de seguridad, del tamao de la organizacin y de
otros factores especficos a la organizacin'
NoRMA rcNrc
PERUANA
NTP.ISO/IEC 27005
67 de95
Criterios
Los criterios utilizados como base para asignar un valor a cada activo deben
escribirse en
trminos claros. Este es a menudo uno de los aspectos ms difciles
de la valorizacin de
activos ya que los valores de algunos activos tendrn que determinarse
subjetivamente y
debido a que muchos individuos probablemente harn la determinacin.
Los criterios
posibles a utilizat para determinar el valor de un activo incluyen su costo
original, su costo
de reemplazo y re-creacin o su valor puede ser abstracto, por ejemplo
Jl valor de la
reputacin de una organizacin.
Otra base para la valorizacin de activos son los costos incurridos debido
a la prdida de
confidencialidad, integridad y disponibilidad como resultado de un incidente.
Tambin se
debe considerar como apropiados el no-repudio, la rendicin de cuentas,
la autentici dad y
la confiabilidad. Una valoracin as proveera las dimensiones de elementos
importantes
para el valor del activo, adems del costo de reemplazo, basndose
en estimados de las
consecuencias adversas al negocio que resultaran de incidentes
de seguridad con un
conjunto asumido de circunstancias. Se enfatiza que este enfoque
da cuenta de las
consecuencias que es necesario factorizar en la evaluaion del
riesgo.
Muchos activos pueden, durante el curso de la valori zaci6n, tener varios

valores asignados.
Por ejemplo, un plan de negocios se puede valorizar en base a la
mano de obra utllizada
para desarrollar el plan, se puede valorizar sobre la mano de obra
respecto de los insumos y
se puede valotizar sobre su valor para un competidor. Cada uno
de los valores asignados
probablemente diferir considerablemente. El valor asignado puede
ser el mximo de todos
los valores posible o puede ser la suma de uno o todos los valores posibles.
En el anlisis
final se debe determinar cuidadosamente cul valor o valores se asignan
a un activo, ya
el valor final asignado entra en la determinacin de los recursos que se emplearn paraque
la
proteccin del activo.
Reduccin a la base comn
Finalmente, todas las valorizaciones de activos tienen que reducirse

a una base comn.
Esto puede hacerse con la ayuda de criterios como los que siguen.
ror ..it".ios que se
pue{e_n utilizar para evaluar las condiciones posibles que resultan
de una prdida de
confidencialidad, integridad, disponibilidad, no-repudiacin, o"i.ion"
J cuentas,
autenticidad o confiabilidad de los activos son:
NoRMA rcNlca
PERUANA
NTP.ISO/IEC27OO5
68 de 95
Afectacin del desempeo empresarial.

Prdida de buen nombre/ efecto negativo sobre la reputacin.
Infraccin asociada con informacin personal.
Puesta en peligro de la seguridad personal.
Efectos adversos sobre la aplicacin de la ley.
Ruptura de la confidencialidad.
Ruptura del orden pblico.
Prdida financiera.
Intemrpcin de las actividades empresariales.
Puesta en peligro de la seguridad ambiental.
Oto
enfoque para evaluar las consecuencias podra ser:
Introduccin del servicio

incapacidad de proveer el servicio
Prdida de confianza por parte de los clientes
prdida de credibilidad en el sistema de informacin interna
dao a la reputacin
Interrupcin de la operacin interna

intemrpcin en la organizacin misma
costo intemo adicional
Interrupcin de la operacin de un tercero
interrupcin en terceros que transan con la organizacin
varios tipos de dao
Infraccin de leyes/ regulaciones:
incapacidad de cumplir con las obligaciones legales
Ruptura de contrato:
incapacidad de cumplir con las obligaciones contractuales
Peligro a la seguridad del personal / usuario:

peligro para el personal y/o los usuarios de la organizacin
Ataque a la vida privada de los usuarios
Prdidas financieras
NoRMA rcNrce
PERUANA
NTP.ISO/IEC 27005
69 de 95
Costos financieros para emergencia o reparacin:

en trminos del personal
en trminos del equipo
en trminos de los estudios, informes de expertos
Prdida de bienes/fondos/activos
Prdida de clientes, prdida de proveedores
Procesos judiciales y sanciones
Prdida de una ventaja competitiva
Prdida del liderazgo tecnolgico/tcnico

Prdida de efi cacialconfi anza
Prdida de reputacin tcnica
Debilitamiento de la capacidad de negociacin
Crisis industrial (huelgas)
Crisis gubernamental
Despidos
Dao material
Estos criterios son ejemplos de cuestiones a considerarse para la valorizacin

de activos.
Para llevar a cabo las valorizaciones, una organi zacin ti"n. qu" seleccionar
criterios
relevantes para su tipo de negocio y necesidades de seguridad. Esto puede
significar que
algunos de los criterios listados anteriormente no sean aplicables y qu"
oiro, puedan
requerir aadirse a la lista.
Escala
Luego de establecer los criterios a considerarse, la organizacin deber ponerse

de acuerdo
sobre una escala a ser utilizada en toda la organizacin. El primer puro .,
decidir sobre el
nmero de niveles r
a utilizarse.
uLrrrars.. No
r\o Exrslen
existen regras
reglas respecto al nmero de niveles
ni
ms
apropiado. Si hay ms niveles se provee una granularidad mayor, pero
a veces una
diferenciacin muy fina hace que las asignaciones onsistentes en toda li
organizacin sean
difciles. Normalmente cualquier nmero de niveles entre tres (por ejemplol
bao, medio v
alto) y diez puede utilizarse siempre y cuando sean consistentes *n
qu. la
organizacin est utilizando para todo el proceso de evaluacin del riesgo."l "ndqu"
NoRMA rcNrce
PERUANA
NTP.ISO/IEC 27005
70 de 95
Una organizacin puede definir sus propios lmites para la valorizacin de activos, como
'obajo", "medio", o "alto". Estos lmites deben evaluarse de acuerdo con criterios
seleccionados (por ejemplo, para prdidas financieras posibles, deben darse en valores
monetarios, pero para consideraciones como la puesta en peligro de la seguridad del
personal, la valorizacin monetaria puede ser compleja y puede no ser apropiada para todas
las organizaciones). Finalmente, depende completamente de la organizacin el decidir qu
se considera como una consecuencia "baja" o "alta". Una consecuencia que puede ser
desastrosa para una otganizacin pequea puede ser "baja" o "insignificante" para una
organizacin pequea.
Dependencias
Cuanto ms relevantes y numerosos sean los procesos empresariales apoyados por un

activo, mayor ser el valor de este activo. Deben identificarse las dependencias de los
activos en los procesos empresariales y en otros activos tambin, ya que esto puede
influenciar los valores de los activos. Por ejemplo, la confidencialidad de datos debe
mantenerse a lo largo de su ciclo de vida, en todas las etapas; incluyendo el
almacenamiento y el procesamiento, es decir, la seguridad necesita de almacenamiento y
los programas y el procesamiento deben estar directamente relacionados con el valor que
representa la confidencialidad de los datos almacenados y procesados. Adems, si un
proceso empresarial depende de la integridad de que un programa produzca ciertos datos,
los datos insumo de este programa deben tener una confiabilidad apropiada. Adems, la
integridad de la informacin depender del hardware y el software que se utilice para el
almacenamiento y el procesamiento. El hardware tambin depender del suministro de
electricidad y posiblemente del aire acondicionado. De este modo, la informacin sobre las
dependencias ayudar a identificar las amenazas y particularmente las vulnerabilidades.
Por otro lado, ayudar a asegurar que se de a los activos el verdadero valor de los activos (a
travs de las relaciones de dependencias), indicando as el nivel apropiado de proteccin.
Los valores de los activos de los que otros activos dependen se pueden modificar de la
manera siguiente:
Si los valores de los activos dependientes (por ejemplo datos) son ms bajos
o iguales a los valores del activo considerado (por ejemplo software), su
valor sigue siendo el mismo.
NoRMA rcNrce
NTP-ISO/IEC 27005
7l de95
PERUANA
si
los valores del activo dependiente (por ejemplo datos) es mayor, entonces
el valor del activo considerado (por ejemplo ioftware) debe incrementarse

de acuerdo con:
el grado de dependencia
los valores de otros activos
una organizacin puede tener algunos activos que estn disponibles

ms de una vez, como
Ias copias de programas de software o del
tipo
de
computadora
utilizado en la
-lrrno
mayor parte de oficinas. Es importante considerai este hecho cuando
se hace la
valorizacin de activos. Por un lado, estos activos se desatienden
fcilmente, por lo tanto se
debe tener cuidado en identificar a todos ellos. Por otro lado,
se les podra utilizar para
reducir los problemas de disponibilidad.
Producto
El producto final de este paso es una lista de activos y sus valores

relativos respecto de la
divulgacin (preservacin de confidencialidad), modificacin
de la
integridad, autenticidad, no-repudio y rendicin de cuentas), lpreservacn
no-disponibilidad v
destruccin (preservacin de la disponibilidad y confiabilidad)
y.orto de reemplazo.
8.3
Evaluacin del impacto
Un incidente en la seguridad de la informacin puede impactar

ms que un activo o slo
una parte de un activo. El impacto se relaciona Con el g*io
de xito del incidente. Como
consecuencia, existe una diferencia importante entre ei valor
del activo y .t i.pu"to que

resulta del incidente' Se considera que el impacto tiene ya
sea un efecto inmediato
(operativo) o futuro (empresarial) que incluye .onr""u.n.ias
financieras y de .r.uo.
El impacto operativo inmediato
es ya sea directo o indirecto.
NORMA TCNICA
PERUANA
NTP.ISO/IEC 27005
72 de 95
Directo:
a)
El valor de reemplazo financiero de activos perdidos o parte de los mismos.
b)
El costo de adquisicin, configuracin e instalacin del nuevo activo
respaldo.
c)
el costo de las operaciones suspendidas debido al incidente hasta que
el
servicio proporcionado por el (los) activo (s) se restaure.

d)
Resultados del impacto en una ruptura de la seguridad de la informacin.
Indirecto:
a)
Costo de oportunidad (se tiene que usar recursos financieros para reemplazar
o reparar un activo que podra haber sido utilizado en otro lugar.
b)
El costo de las operaciones interrumpidas.
c)
Un mal uso potencial de la informacin obtenida a travs de una ruptura de

la seguridad.
d)
Violacin de obligaciones estatutarias o regulatorias.
e)
Violacin de cdigos de conducta ticos.
Como tal, la primera evaluacin (sin controles de ningn tipo) estimar un impacto como
muy cercano al (a los) valor (es) concernido (s) o a una combinacin de los mismos. Para
cualquier iteracin siguiente sobre este (estos) activo (s), el impacto ser diferente,
normalmente mucho ms bajo debido a la presencia y a la eficacia de los controles
implementados.
NoRMA rcNlca
NTP.ISO/IEC27OO5
73 de 95
PERUANA
ANEXO C
(TNFORMATTVO)
EJEMPLOS DE AMENAZAS TPICAS

La siguiente tabla da ejemplos de amenazas tpicas. La lista se puede usar durante
el
Proceso de valorizacin de amenazas. Las amenazas pueden ser delieradas, accidentales o
ambientales (naturales) y pueden resultar, por ejemplo, en el dao

o prdida de servicios
esenciales. La lista siguiente indica para cada iipo-de amenaza
(accidental),
M (medioambiental) es relevante. D
donde D (deliberada), A
se utiliza para todas las acciones
deliberadas que tienen como objetivos los activos de informacin.

e se utiliza para todas
las acciones humanas que pueden daar accidentalmente los activos
de ta informacin y M
se utiliza para todos los incidenes que no se basan en acciones
humanas. El grupo de
amenazas no esti en orden de prioridad.
Incendio
Dao por agua
Contaminacin
Accidente mayor
Destruccin del equipo o los medios
Polvo, corrosin, congelacin
Fenmeno
Fenmeno
Fenmeno
Fenmeno
A,D,M
A,D,M
A,D,M
A,D,M
A,D,M
A,D,M
climtico
ssmico
volcinico
meteorolgico
Inundacin
Fallas del sistema de aire acondicionado
o del suministro de agua
Prdida del suministro de electricidad
Falla del equipo de telecomunicaciones
Radiacin electromagntica
Radiacin trmica
Pulsos electromagnticos
Intercepcin de seales de interferencia
comprometedoras
Espionaje remoto
Interceptacin de comunicaciones
Robo de medios o documentos
Robo de equipos
Hallazgo
de
medios reciclados
M
M
M
M
M
A,D
A,D,M
A,D
A,D,M
A,D,M
A,D,M
D
D
D
D
o
D
D
NoRMA rcNrce
PERUANA
NTP.ISO/IEC 27005
74 de 95
descartados
Divulgacin
A,D
A,D
Datos de fuentes no confiables

Adulteracin del hardware
Adulteracin del software
A,D
Deteccin de posicin
Falla del equipo
Mal funcionamiento del equipo
Saturacin del sistema de informacin
Mal funcionamiento del software
Ruptura de la mantenibilidad del sistema
A
A
A,D
A
A,D
de informacin
D
D
Uso no autorizado del equipo

Copia fraudulenta del software
Uso de software faisificado o copiado
Comrpcin de datos
A,D
D
D
Procesamiento ilegal de datos

Error en el uso
Abuso de derechos
Falsificacin de derechos
Negacin de acciones
Ruptura
en la
A,D
D
D
A.D,M
disponibilidad del
personal
Se debe dar atencin particular a las fuentes de amenazas humanas. Estas se desglosan en
la tabla siguiente:
Desafio
Ego
Rebelin
Hacking
- ingeniera social
- intrusin en el sistema,
Estatus
Dinero
Destruccin de informacin
Revelacin de informacin
iiegai
Ganancia monetaria
Alteracin no autorizada de
-Crimen informtico (acoso
datos
Chantaje
Destruccin
acceso no autorizado al sistema
ciberntico)
Acto fraudulento (reproducc in
de archivos, suplantacin,
intercepcin)
-Soborno informtico
-Falsificacin o usurpacin de la
direccin
-Intrusin en el sistema
- Bomba/Terrorismo
-Equipo de guerra informtico
NoRMA rcuce
PERUANA
NTP-ISO/IEC27OO5
75 de 95
Explotacin
-Ataque al sistema (por ejemplo

negacin distribuida del
servicio)
Venganza
Ganancia poltica
Cobertura meditica
-Penetracin en el sistema
Ventaja competitiva
Espionaje econmico
-Adulteracin del sistema

-Ventaja de defensa
-Ventaja poltica
-
Explotacin econmica
-Robo de informacin
-Intrusin en la privacidad
personal
-Ingeniera social
- Penetracin en el sistema
-Acceso no autorizado al
sistema (acceso a informacin
clasificad4 propietari4 y/o
relacionada con tecnologa)
Curiosidad
-Asalto a un empleado
Ego
-Chantaje
Inteligencia
Ganancia monetaria
Venganza
Errores y omisiones no
intencionales (por ejemplo
error en el ingreso de datos,
error en la programacin)
Busqueda de informacin
propietaria
-Abuso informtico
-Fraude y robo
- Soborno por informacin
-Ingreso de datos falsificados o

comrptos
- lntercepcin
- Cdigos maliciosos
(por
ejemplo virus, bomba lgic4

caballo troyano)
-Venta de informacin personal

-Disfunciones del sistema
(bugs)
-Intrusin en el sistema
-Sabotaje al sistema
-Acceso no autorizado al
sistema
NoRMA rcxrce
PERUANA
NTP.ISOiIEC 27005
76 de95
ANEXO D
(TNFORMATTVO)
WLNERABILIDADES Y METODOS PARA LA

EVALUACION DE LA VULNERABILIDAD
D.1
Ejemplos de vulnerabilidades
La siguiente tabla da ejemplos de vulnerabilidades en varias reas de seguridad, incluyendo

ejemplos de amenazas que pueden explotar estas vulnerabilidades. Las listas pueden
proveer ayuda durante la evaluacin de amenazas y vulnerabilidades para determinar
escenarios de incidentes relevantes. Se enfatiza que en algunos casos otras amenazas
tambin pueden explotar estas vulnerabilidades.
Hardware
Mantenimiento insufi ciente / instalacin

fallida de medios de almacenamiento
Falta de esquemari de reemplazo
peridicos
Susceptibilidad a la humedad, al polvo y
a la suciedad
Sensibilidad a la radiacin
electromagntica
Falta de control eficiente del cambio de
Ruptura de la mantenibilidad del

sistema de informacin
Destruccin de equipo o medio
Polvo, corrosin, congelamiento
Radiacin e lectromagntica
Error en el uso
configuracin
Prdida de suministro elctrico
Fenmeno meteorolgico
Susceptibilidad a variaciones de voltaje

Susceptibilidad a variaciones de
temperatura
Almacenamiento no protegido
Falta de cuidado al descartarlo
Copia no controlada
Software
D-'^L^
^-iUiiin
^l
.^f+"'^-^
ivrtrrsv
:-^..:^+^-+^^!dJtv^!eJ

v.
insuficientes
Errores conocidos en el software
No hacer 'logout' cuando se sale de la
estacin de trabajo
Disposicin o reutilizacin de medios de
almacenamiento sin borrar
AL-,^^
nuuJv
J^ l----l-^u! g9lgurrv
Abuso de derechos
Abuso de derechos
Abuso de derechos
apropiadamente
Falta de evidencias de auditoria
Abuso de derechos
NoRMA rcNrca
NTP.ISOIIEC2TOO5
77 de95
PERUANA
Asignacin equivocada de derechos de
Abuso de derechos
acceso
Software ampliamente distribuido

Aplicar programas de aplicacin a datos
incorrectos en trminos del tiempo
Interfaz de usuario complicada
Falta de documentacin
Seteo incorrecto de pariimetros
Fechas incorrectas
Falta de mecanismos de identificacin y
autentificacin como la autentificacin
Corrupcin de datos
Conupcin de datos
Error en el uso
Error en el uso
Error en el uso
Eror en el uso
Falsificacin de datos
de usuarios.
Tablas de claves no protegidrs.

Mala administracin de claves.
Habilitacin de servicios innecesarios.
Software inmaduro o nuevo.
Especificaciones no claras o
incompletas para los desarrolladores.
Falta de control de cambios eftc^2.
Descarga y uso incontrolado de
softwae.
Falta de copias de respaldo.
Falta de proteccin fisica del edificio,
puertas y ventanas
No producir informes de gestin
Falta de prueba de envo o recepcin de
un mensaje
Lneas de comunicacin no protegidas
Trfico delicado no protegido
Juntas malas en el cableado
Punto de falla nico.

Red
Falta de identificacin y autentificacin

de destinador y destinatario.
Arquitectura de red insegura
Personal
Transferencia de claves en claro.

Gestin inadecuada de la red (capacidad
ric rccupcrauiu tici ruieu).
Conexiones no protegidq de la red
pblica.
Ausencia de personal.
Mediacin de acciones
Intercepcin
Intercepcin
Falla del equipo de
telecomunicaciones
Falla del equipo de
telecomunicaciones
Falsifi caciones de derechos
Espionaje remoto
Espionaje remoto
Saturacin del sistema de
iniormacin
Ruptura de la disponibilidad del

personal
Procedimientos inadecuados de
reclutamiento.
Capacitacin de seguridad insuficiente.
Uso incorrecto del software y hardware.
Destruccin de equipo o medios

Error en uso
Error en uso
NTP.ISOIIEC2TOO5
78 de 95
NORMA TECNICA
PERUANA
Falta de conciencia de seguridad.

Falta de mecanismos de monitoreo.
Trabajo no supervisado del personal
externo o de limpieza
Falta de polticas para el uso correcto de
medios de telecomunicaciones y
Sitio
Organizacin
mensajera.
Uso inadecuado o negligente del control
de acceso fsico a edificios y
habitaciones.
Ubicaciones en un ea susceptible a las
inundaciones.
Error en uso
Destruccin de equipo o de
medios
Inundacin
Red inestable de energa elctrica.
Prdida de suministro de
Falta de proteccin fisica del edificio,
electricidad
Robo de equipos
puertas y ventanas.
Falta de un procedimiento formal para el
registro y baja de los usuarios.
Falta de proceso formal para revisar el
derecho de acceso (supervisin).
Disposiciones inexistentes o
insuficientes (respecto de la seguridad)
en contratos con clientes y / o terceros.
Falta de procedimiento de monitoreo de

las instalaciones de procesamiento de la
informacin.
Falta de auditorias regulares
(supervisin).
Falta de procedimientos de
identificacin y evaluacin del riesgo
Falta de informes de fallas registradas
en los registros del administrador y del
operador.
Respuesta inadecuada del
mantenimiento del servicio

Inexistencia o insuficiencia de acuerdo
sobre el nivel del servicio
I
__ -
-l
-tF-rr-,-----l:.--:-,-r-luc
ue
luruur
pieuLitlL
i aii
cambios
Falta de procedimiento formal para el

control de la documentacin del ISNS
Falta de procedimiento formal parala
supervisin del registro del ISNS
Falta de proceso formal Para
autorizacin de informacin pblica
disponible
Abuso de derechos
Abuso de derechos
Abuso de derechos
Abuso de derechos
Abuso de derechos
Abuso de derechos
Abuso de derechos
Ruptura de la mantenibilidad del

Ruptura de la mantenibilidad det
R.upiura dc ia rnarienibiiidad riei
Corrupcin de datos
Corrupcin de datos
Datos de fuentes no confiables
NoRMA rcnce
NTP-ISOMC 27005
PERUANA
79 de 95
Falt de asignacin apropiada de

responsabilidades de seguridad en la
Negacin de acciones
informacin
Faltad de planes de continuidad
Falta de una poltica de uso de correos
electrnicos
Falta de procedimientos para introducir
software en sistemas operativos
Faltas de registros en los historiales del
administrador y del operador
Falta de procedimientos pra manejo de
la informacin clasifi cada
Falta de responsabilidades sobre la
seguridad de la informacin en las
descripciones de puestos
Ausencia o insuficiencia de
disposiciones (concemientes a la
seguridad de la informacin en contratos
con empleados)
Falta de proceso disciplinario definido
en caso de incidentes en la seguridad de
la informacin
Falta de poltica formal sobre el uso de
computadoras portrtiles
Falta de control de activos que se
encuentran fuera del local
Inexistencia o insuficiencia de la
poltica de "Escritorio despejado y

pantalla despejada"
Falta de autorizacin al acceso a las
instalaciones de procesamiento de la
Falla del equipo

Error en uso
Error en uso
Error en uso
Error en uso
Error en uso
Robo de equipos.
Robo de equipos
Robo de equipos
informacin
Falta de mecanismos de monitoreo
establecidos para las rupturas de la
seguridad
Falta de revisiones regulares de la

gestin
Falta de procedimientos para reportar
,,iebiii,ja.ies eri ia scguridati
Falta de procedimientos sobre el
cumplimiento de disposiciones respecto
de derechos intelechrales.

Uso de software falsificado o
copiado
NoRMA rcNrce
PERUANA
D.2
NTP.ISO/IEC 2IOO5
80 de 95
Mtodos para evaluar las vulnerabilidades tcnicas
Se puede usar mtodos proactivos como la verificacin del sistema de informacin para
identificar vulnerabilidades que dependen del carcter crucial de la informacin del sistema
de tecnologa de informacin y comunicaciones (TIC) as como los recursos disponibles
(por ejemplo: fondos asignados, tecnologa disponible, personas con experiencia
para
conducir la prueba). Los mtodos de prueba incluyen los puntos siguientes:
Herramienta automatiz ada para el escaneo de vulnerabil idades.

Pruebas y evaluacin de seguridad.
Prueba de penetracin.
Revisin del cdigo.
La herramienta automatizada para escanear la vulnerabilidad se usa para escanear un grupo

de anfitriones o una red de servicios vulnerables conocidos (por ejemplo el sistema permite
un protocolo de transferencia de archivos (STP) annimo, y hacer rels en el envo de
coneos). Debe notarse sin embargo, que algunas de las vulnerabilidades potenciales
identificadas por la herramienta automatizada de escaneo pueden no representar verdaderas
vulnerabilidades en el contexto del entorno del sistema. Por ejemplo, algunas de estas
herramientas de escaneo dan puntaje a vulnerabilidades potenciales sin considerar el
entorno y necesidades del sitio. Algunas de las vulnerabilidades que el software
automatizado de escaneo muestra con alertas, en realidad puede no ser vulnerable para un
sitio en particular, sino que estn consideradas de esa manera porque el ambiente as lo
requiere. Por tanto, este mtodo de pruebas puede producir falsos positivos.
Otra tcnica que se puede utilizar para identificar vulnerabilidades en el sistema TIC
durante el proceso de evaluacin del riesgo es la prueba de seguridad y evaluacin (STE,
por sus siglas en ingles). Incluye el desanollo y ejecucin de un plan de pruebas (por
ejemplo libreto de la prueba, procedimientos de la prueba y resultados esperados de la
prueba). El propsito de las pruebas al sistema de seguridad es comprobar la eficacia de los
controles de seguridad de un sistema TIC tal como se han aplicado en un entorno
operatlvo. b,l obletrvo es asegurar que los controles aplicados cumplan con la
especificacin aprobada de seguridad para el software y hardware e implementen la poltica
de seguridad de la organizacin o satisfagan los estndares de la industria.
NoRMA rcNlce
PERUANA
NTP-ISO/TEC27OA5
8l
de 95
La prueba de penetracin puede utilizarse para complementar la revisin

de los controles
de seguridad y asegurar que los distintos fctores del sistema TIC cuenten
con seguridad.
Cuando se usa en el proceso de evaluacin del riesgo, la prueba de penetracin
puede
utilizarse para evaluar la capacidad que tiene un 1irt"-" TIC de
soportar intentos
intencionales de evitar cumplir con los sistemas de seguridad.
Su objetivo es probar el
sistema del TIC desde el punto de vista de una fuente d! amenazas
e identificar las fallas
potenciales en los esquemas de proteccin de los sistemas
TIC.
La revisin del cdigo es la manera ms exhaustiva de evaluacin

de vulnerabilidad, pero
tambin puede ser la ms cara.
Los resultados de estos tipos de pruebas de seguridad ayudaran a identificar

las
vulnerabilidades de un sistema. Es importante notar que las
herramientas y tcnicas de
penetracin pueden dar resultados falsos salvo que se

&plote con xito la vulnerabilidad.
Para explotar vulnerabilidades particulares uno ii.n" que
saber cules son los farches de
sistema-aplicacin exactos instalados en los sistemas qu" ," prueban.
Si esos datos no son
conocidos en el momento de realizar las pruebas, pu.i"
no i.. posible explotar con xito
vulnerabilidades particulares (por ejemflo adquiriendo un remote

reverse shen). Sin
embargo, todava es posible averiar o rei,niciar rn proceso

o sistema probado. En tal caso,
el objeto probado debe considerarse tambin como vulnerable.
Los mtodos pueden incluir las siguientes actividades:
Entrevistas a personas y usuarios.

Cuestionarios.
Inspeccin fsica.
Anlisis de documentos.
NoRMA rcNtce
NTP.ISO/IEC27OO5
82 de95
PERUANA
ANEXO E
(TNFORMATTVO)
ENFOQUES DE EVALUACIONI DEL RIESGO EN

SEGURIDAD DE LA INFORMACION
Evaluacin del riesgo en seguridad de Ia informacin de alto nivel
8.1
La evaluacin de alto nivel permite la definicin de prioridades y de la cronologa en las

acciones. Por varias rLzones, como el presupuesto, puede no ser posible implementar todos
los controles simultiineamente y slo se pueden resolver los riesgos cruciales a travs del
proceso de tratamiento del riesgo. Asimismo, puede ser prematuro comenzar a hacer una
gestin detallada del riesgo si se avizora que la implementacin se debe realizar luego de
uno o dos aos. Para alcaruar este objetivo, la evaluacin de alto nivel puede comenzar con
una evaluacin de las consecuencias de alto nivel en vez de comenzar con un anlisis
sistemtico de amenazas, vulnerabilidades, activos y consecuencias.
Otra razn de comenzar con la evaluacin de alto nivel es sincronizar otros planes
relacionados con la gestin del cambio (o continuidad el negocio) por ejemplo, no hay que
asegurar completamente un sistema o aplicacin si se planea tercerizar en el futuro cercano,
aunque quizs todava vale la pena hacer la evaluacin del riesgo para definir el contrato de
tercerizacin.
Las caractersticas de la iteracin de la evaluacin del riesgo del alto nivel pueden incluir
las siguientes:
La evaluacin del riesgo de alto nivel puede dirigirse a una visin ms

rle la nroanizqin r rlc crrc sistenes de infomacin, conslCcnndo los
aspectos de la tecnologa como independientes de las cuestiones empresariales. Al
hacer esto, el anlisis del contexto de concentra ms en el negocio y el entomo
operativo que en los elementos tecnolgicos.
La evaluacin del riesgo de alto nivel puede resolver una lista ms limitada
de amenazas y vulnerabilidades agrupadas en dominios defrnidos o para hacer el
proceso mris expeditivo, puede centrarse en los escenarios de riesgo o ataque en vez
de sus elementos.
NoRMA
rcuce
NTP.ISO/IEC 27005
83 de 95
PERUANA
-^
Los riesgos que se presentan en una evaluacin del riesgo de alto

nivel
frecuentemente son dominios de riesgo ms generales que los
rie-sgos especficos
identificados.
Como los escenarios o los riesgos se agrupan en dominios, el tratamiento

del
riesgo propone listas de controles. En este .".po, las actividades
de tratamiento del
riesgo tratan ento-nces primero de proponer y seieccionar
controles comunes que sean
vlidos en todo el sistema.
Sin embargo la evaluacin del riesgo de alto nivel, como pocas

veces se refiere a detalles
de tecnologa, es ms. apropiada p." p.ou"er controles
organizacionales y no tcnicos y
aspectos de gestin de los controles tcnicos o salvaguaras
tcnicas clave y comunes
como los respaldos y los antivirus.
Las ventajas de una evaluacin del riesgo de alto nivel

son las siguientes:
La
un enfoque simple inicial
probablemente gane
ser posible construir una imagen estratgica

:informacin
^ Debeorganizacional,
es
de un programa de
buena ayuda a la
incorporacin de
aceptacin del programa de evaluacin del riesgo.
planificacin.
decir acfuar como
una
Se puede aplicar recursos y dinero all donde sean

ms beneficiosos
tratar primero los sistemas que tengan una mayor
necesidad de proteccin.
se
Como los anlisis de riesgo inicial estn en un alto nivel

y son
potencialmente menos exactos, la nica desventaja
potencial es que pueda no
identificarse que algunos procesos o sistemas n
.rpr.rariales requieren una
segunda evaluacin detallada del riesgo. Esto
se puede evitar si existe una
informacin adecuada sobre todos los asp'ectos de laorganizacin
y su informacin y
sistemas, incluyendo informacin adquirida a partir
de la evaluacin de incidentes de
seguridad de la informacin.
La evaluacin del riesgo de alto nivel considera
los valores empresariales de los activos de
informacin y los riesgos desde el punto de
vista del negocio de la organ izacin. En el
primer punto de decisin (vase ta figura
l) varios factres ayudan a determinar si la
evaluacin de alto nivel es adecuada pira
tratar los riesgos. Estos factores pueden incluir
los siguientes:
t
tf
r!
.
il
't
il
NORMA TECNICA
PERUANA
NTP-ISO/IEC27OO5
84 de 95
Los objetivos de negocio a lograrse utilizando varios activos de
informacin.
El grado en el cual el negocio de la organizacin depende de cada activo de

informacin, es decir que funciones que la organizacin considera cruciales para su
supervivencia o para el control eftcaz del negocio dependen de cada activo o de la
confidencialidad, integridad, disponibilidad, no repudio, rendicin de cuentas,
autenticidad y confiabilidad de la informacin almacenada y procesada en este activo.
El nivel de inversin en cada activo de informacin en trminos de
desarrollo, mantenimiento o reemplazo del activo y los activos de informacin para

los cuales la organizacin asigna valor directamente.
Cuando se evala estos activos, la decisin se hace ms tlicil. Si los objetivos de un activo
son extremadamente importantes para la conduccin del negocio de una organizacin, o si
los activos estn en grave riesgo entonces se debe conducir a una segunda evaluacin
detallada del riesgo para el activo de informacin particular (o parte del mismo).
Una regla general que debe aplicarse es si la falta de seguridad en la informacin puede
resultar en consecuencias adversas significativas para la organizacin, sus procesos
empresariales o sus activos, luego se hace necesaria una segunda iteracin de la evaluacin
del riesgo a nivel ms detallado para identificar los riesgos potenciales.
8.2
Evaluacin detallada del riesgo en seguridad de la informacin
El proceso de evaluacin detallada del riesgo en seguridad de la informacin incluye una

identificacin y valorizacin profunda de los activos, la evaluacin de amenazas a esos
activos y la evaluacin de vulnerabilidades. Los resultados de esas actividades se utilizan
entonces para evaluar los riesgos y luego identificar el tratamiento del riesgo.
Ei paso detallado generalmente requiere mucho tiempo, esfuerzo y experiencia y por lo

tanto debe ser conveniente para sistemas de informacin en alto riesgo.
etapa final de la evaluacin detllada del riesgo en seguridad de

evaluar los riesgos generales, lo cual es materia de este anexo.
La
la informacin
es
r
J
NoRMA rcNlce
PERUANA
NTP.ISO/IEC 27005
85 de 95
Se puede evaluar las consecuencias de varias maneras, incluyendo

el uso de medidas
cuantitativas' por ejemplo monetarias, y cualitativas (las que
pueden
se
basar en el uso de
adjetivos como moderado o grave), o una combinacin de ambas. para
evaluar la
posibilidad de la ocurrencia de alnena?as, se debe establecer
el horizonte temporal sobre el
cual el activo tendr valor.o requiera proteccin. La posibilidad
de que o.u.ru un" amenaza
especfica depende de lo siguiente:
La atraccin del activo, o el posible impacto aplicable cuando

se considera
una amenaza humana deliberada.
'
La facilidad de conversin que explota una vulnerabilidad del activo
recompensa, aplicable si se considera una amenazahumana

deliberada.
en
'
Las capacidades tcnicas del agente de la amen aza aplicables

a amenazas
humanas deliberadas, y
'
La susceptibilidad de la vulnerabilidad a la explotacin aplicable
tanto a
vulnerabilidades tcnicas como no tcnicas
Muchos mtodos utilizan tablas y combinan las medidas
subjetivas y empricas. Es
importante que la organizacin utilice un mtodo
con el que est cmoda, en el que la
organizacin tenga confianza y que produzca resultados
repetibles. A continuacin
algunos ejemplos de tcnicas basadas en tablas:
8.2.r
Ejemplo
I Matriz
se dan
con valores predefinidos
En los mtodos de waluacin del riesgo de este tipo,

se valorizalos activos fsicos, reales o
propuestos en trminos de los costos de reemplazo
o reconstruccin (es decir, medidas
cuantitativas)' Estos costos se convierten entonces
a la misma escala cualitativa que la que
se utiliza para la informacin (vase a continuacin).
Se valorizan activos de software
reales o propuestos de la misma manera que
los activos fisicos con costos de compra o
reconstruccin que se rdentitican y luego se convierten
a la misma escala cualitativa que se
utiliza para la informacin. eiionalmente, si
se encuentra que cualquier software de
aplicacin tiene sus necesidades intrnsecas de
confidencialidad o integridad (por ejemplo
si el cdigo fuente por s mismo es delicado comercialmente)
se valorizade Ia misma
manera que para la informacin.
NoRMA rcNrce
PERUANA
NTP.ISO/IEC 27005
86 de 95
Los valores para la informacin se obtienen entrevistando a gerentes
empresariales
seleccionados (los "propietarios de los datos") que pueden hablar con autoridad sobre los
datos, para determinar el valor y sensibilidad de los datos que esin verdaderamente en uso
o que se deben almacenar, procesar o a los que se tiene que tener acceso. Las entrevistas
facilitan la evaluacin del valor y la sensibilidad de la informacin en trminos de los

escenarios del peor caso que se podra esperar razonablemente ocurra debido a
consecuencias adversas sobre el negocio por divulgacin no autorizada, modificacin no
autorizada, no disponibilidad para perodos variables y destruccin.
La valorizacin se logra utilizando lineamientos de valorizacin de la informacin
que
cubren cuestiones como:
Seguridad personal.
Informacin personal.
Obligaciones legales y regulatorias.
Aplicacin de la ley.
Intereses comerciales y econmicos .
Prdida financiera/ intemrpcin de actividades.
Orden pblico.
Poltica y operaciones empresariales.
Prdida de buen nombre.
Contrato o acuerdo con un cliente.
Los lineamientos facilitan identificacin de los valores en una escala numrica como la
escala de 0 a 4 que se muestra en la matriz del ejemplo a continuacin, permitiendo as el
reconocimiento de valores cuantitativos donde sea posible y lgico y de valores cualitativos
donde los valores cuantitativos no sean posibles, por ejemplo si se pone en peligro la vida
humana.
La siguiente actividad importante es completar las parejas de cuestionarios para cada tipo
de amenazas, para cada agrupamiento de activos a los que se relaciona un tipo de amenaza,
para permitir la evaluacin de los niveles de amenazas (probabilidad de ocunencia) y los
niveles de vulnerabilidades (facilidad de explotacin por las amenazas para causar
consecuencias adversas). Cada respuesta a una pregunta implica un puntaje. Estos puntajes
se acumulan a travs de una base de conocimientos y se comparan con rangos. Esto
identifica niveles de amenaza en una escala de alta a baja y niveles de vulnerabilidad de
manera similar, tal como se muestra en la matriz del ejemplo siguiente, diferenciando entre
los tipos de consecuencias como relevantes. La informacin para completar los
cuestionarios debe reunirse a partir de entrevistas con personal tcnico apropiado y las
NoRMA rcNrce
NTP.ISOITEC 27005
87 de 95
PERUANA
personas concernidas, as como inspecciones de la ubicacin

fisica
documentacin.
y revisiones de la
TABLA E.l a)
Facilidad de
234
345
456
567
678
Los valores de los activos y los niveles de amenaza y vulnerabilidad

relevantes para cada
tipo de consecuencias se hacen corresponder en una matriz como
la que se muestra a
continuacin de modo que se identifique para cada combinacin
la medida relevante de
riesgo en una escala de 0 a 8. Los valoris se colocan en la
matriz de manera estructurada. A
continuacin se proporciona un ejemplo:
Para cada activo, se consideran las vulnerabilidades relevantes

y sus amenazas
correspondientes. Si hay una vulnerabilidad sin amenaza
corespondientl, o una amenaza
sin
vulnerabilidad correspondiente, actualmente no hay riesgo

(pero se debe tener cuidado
en el caso en que esta situacin cambie). Ahora la
fila up.oii"a" en la matriz se identifica
por el valor del activo.y.la. columna apropiada se identifica
por la posibilidad de que ocurra
la amenaza y la facilidad de explotacin. Por ejempto, si el activo
tiene el valor 3 la
amenaza es "alta" y la vulnerabilidad "baja",la
medicin de riesgo es 5. Asumamos que un
activo tiene un valor de.2, por ejemplo para modificacin,
el nivil de amenaza es ..bajo,, y
la facilidad de explotacin es ualta;,

la medida del riesgo es 4. El tamao de la
"nton.", con posibilidad
maff'u, en trminos del nmero de categoras
i" u^n, iu"iliau "
categoras de explotacin y nmero de categoras ie
valori zacin e activos se puede
ajustar a las necesidades de la organizacin. ias column^
y nu, adicionales necesitarn
medidas de riesgo adicional. EI valor de este enfoque
estr enia calificacin de los riesgos a
resolverse.
NORMA TCNICA
PERUANA
NTP.ISO/IEC 27005
88 de 95
Una matriz similar como la que se muestra en la matriz E.1 b) resulta de la consideracin
de la posibilidad de un escenario de incidentes, mapeado contra el impacto estimado sobre
el negocio. La posibilidad de un escenario de incidentes est dada por una amenaza que
explota una vulnerabilidad con una cierta posibilidad. La tabla mapea esta posibilidad
contra el impacto sobre el negocio relacionado al escenario de incidentes. El riesgo
resultante se mide en una escala de 0 a 8 que se puede evaluar contra los criterios de
aceptacin del riesgo. Esta escala de riesgos puede tambin mapearse a un puntaje general
de riesgo, por ejemplo del modo siguiente:
Riesgo bajo:0-2
Riesgo medio: 3-5
Riesgo alto: 6-8
TABLA 8,.1 b)
Posibilidad
Muy baja
de escenario
(Muy poco
de incidentes
Baja
(Probable)
Mediano
(Posible)
Alta
Muy Alta
(Probable)
(Frecuente)
;.t
,l
,i
.
f
:t
Impacto
Bajo
sobre el
Medio
negocio
Alto
Muy alto
;f
it
I
8.2.2
Ejemplo
Calificacin de las amenaza por mediciones del riesgo
utilizar una matriz o tabla como la que se muestra en la tabla E.2 para relacionar
y la posibilidad de ocurrencia de las
alnenazas (tomando en cuenta los aspectos de vulnerabilidad). El primer paso es evaluar las
consecuencias lvaloracin de activos en una escala predefinida, or e.iemnlo cle I a 5, de
cada activo amenazado (columna "b" en la tabla). El segundo paso es evaluar la posibilidad
de la ocurrencia de amenazas en una escala predefinid4 por ejemplo I a 5, de cada
arcnaza (columna "c" en la tabla). El tercer paso es calcular la medida del riesgo por
medio de la multiplicacin (b x c). Finalmente se puede calificar las amenazas en orden de
su medida del riesgo asociada. Ntese que en este ejemplo se toma I como la consecuencia
ms baja y como la posibilidad ms baja de ocurencia.
Se puede
los factores de consecuencia (valor de activos)
NORMA TECNICA
PERUANA
NTP-ISO/IEC27OO5
89 de 95
TABLA E.2
Descriptor de la
amenaza
(a)
Valor de la
consecuencia (activo)
ocurrencia de amenaza
(b)
(c)
')
l0
l5
4
2
Amenaza A
Amenaza B
Amenaza C
Amenaza D
Amenaza E
Amenaza F
Posibilidad de la
Medida
del
Calificacin de
riesgo
(d)
la amenaza
(e)
Tal como se muestra arriba, ste es un procedimiento que permite comparar

distintas
-de
con diferentes consecuencias y probabilidades
ocurren cia y colocarlas en
orden de prioridad tal como se muestra uqui. En algunas instancias
ser necesario asociar
valores monetarios con las escalas empricas que se itilizan aqu.
amenzas
E.2.3
Ejemplo
3-
Evaluacin del valor para
consecuencias posibles de los riesgos
la
probabilidad
las
En este ejemplo, se enfatiza las consecuencias de los incidentes en seguridad

de
la
informacin (es decir escenario de incidencias) y el determinar a cul

sistema se debe dar
prioridad. Esto se hace evaluando dos valores para cada activo y
riesgo, Io cual en
combinacin determinar el puntaje para cada activo. Cuando todos
los p-unta"s activos
para el sistema se suman, se determina una medida de riesgo para
ese sistema.
Primero, se asigna un valor a cada activo. Este valor se relaciona a

las consecuencias
adversas potenciales que pueden surgir si se amen aza el activo.
Para cada amenaza
aplicable al activo, este valor del activo se asigna al activo.
Luego se evala el valor de probabilidad. Esto se evala a partir de

una combinacin de la
probabilidad de que la amenaza ocurra y la facilidad de eiplotacin
de la v,rln"rauilidad.
Vase la tabla 8.3 que expresa la probabilidad de un .r""n*i'o
de incidentes.
NORMA TECNICA
PERUANA
NTP.ISO/IEC 27005
90 de 95
TABLA 8.3
Probabilidades de la
amenaTa
Niveles de
Vulnerabilidad
Valor de vulnerabilidad
Baja
Media
Alta
de un escenario de
incidentes
Luego, se asigna un puntaje de activo/amenaza encontrando la intercepcin del valor del

activo y el valor de probabilidad en la tabla E.4. Los puntajes de activo/amenaza se
totalizan para producir un puntaje total de activos. Esta figura se puede utilizar para
diferenciar entre los activos que forman parte de un sistema.
TABLA E.4
Valor deI activo
Valor de la probabilidad
0
I
2
3
01234
12345
23456
34567
45678
El paso final es totalizar todos los puntajes totales del activo para los activos del sistema,
produciendo un puntaje del sistema. Esto se puede utilizar para diferenciar entre sistemas y
para determinar a que proteccin del sistema debera drsele prioridad.
En los siguientes ejemplos se elige todos los valores de manera aleatoria.
Supongamos que el sistema S tiene tres activos AI, A2 y A3.Tambin suPongamos que
hay dos amenazas TI y T2 aplicables al sistema S. Digamos que el valor de 41 es 3, de
manera similar digamos que el valor del activo de A2 seaZ y que el valor del activo de .{3
sea 4.
NoRMA rcNrce
PERUANA
NTP-ISOiIEC27OO5
9l
de 95
Al y Tl la probabilidad de amenaza es baja y la facilidad de la explotacin de la

vulnerabilidad es media, entonces el valor de probabilidad es I (vase la tabla E.:.
Si para
El puntaje de activo/amen^za A1/Tl se puede derivar de la tabla E.4 como la intercepcin

del valor 3 del activo y el valor de probabilidad I, es decir 4. De manera similar, para
Alnz digamos que la probabilidad de la amenazaes media y la facilidad de explotacin de
la vulnerabilidad es alt4 dado un punraje AI/'12 de 6.
Ahora el puntaje total del activo
AIT se puede calcular, es decir, 10. El puntaje total del activo se

y arnen ?aaplicable. El puntaje total del sistema se clcula aadiendo Al
T+A2T+A3TparadarST.
calcula para cada activo
Ahora se puede comparar diferentes sistemas para establecei prioridades y distintos activos
dentro
de un sistema tambin.
El ejemplo de arriba se plantea en trminos de sistemas de informacin. Sin embargo, se puede

aplicar un enfoque similar a los procesos empresariales.
NoRMA rcNIce
NTP-ISOIIEC27OO5
92 de 95
PERUANA
ANEXO F
(INFORMATTVO)
RESTRICCIONIES PARA LA REDUCCIN DEL RIESGO
Cuando se consideran las restricciones para la reduccin del riesgo, se debe tomar en
cuenta las siguientes restricciones:
Restricciones de tiempo
Pueden existir muchos tipos de restricciones de tiempo. Por ejemplo, se debe irnplementar
controles dentro de un perodo aceptable para los gerentes de la organizacin. Otro tipo de
restriccin de tiempo es si se puede implementar un control dentro del tiempo de vida de la
informacin o sistema. Un tercer tipo de restriccin de tiempo puede ser el perodo que los
gerentes de la organizacin deciden que es un perodo aceptable para exponerse a un riesgo
en particular.
Restricciones financieras
Los controles no deben ser ms caros de implementar o mantener que el valor de los
riesgos que van a proteger, excepto donde el cumplimiento sea obligatorio (por ejemplo
con la legislacin). Se debe hacer todos los esfuerzos para no exceder presupuestos
asignados y lograr ventaja financiera a travs de los controles. Sin embargo, en algunos
casos puede no ser posible lograr la seguridad deseada y el nivel de aceptacin del riesgo
debido a las restricciones del presupuesto. Por lo tanto, esto se convierte en una decisin de
los gerentes de la organizacinpara la resolucin de esta situacin.
Se debe tener mucho cuidado si el presupuesto reduce el nmero o calidad de los controles
a implementarse ya que esto puede llevar a la retencin implcita de un mayor riesgo del
que se haba planeado. El presupuesto establecido para los controles debe utilizarse como
un factor limitante solamente con mucho cuidado.
NoRMA rcNrce
PERUANA
NTP.ISO/IEC27OO5
93 de 95
Restricciones tcnicas
Se puede evitar fcilmente problemas tcnicos como la compatibilidad

de los programas o
de hardware si se toman en cuenta durante la seleccin de controles.
Adems, a menudo las
restricciones tcnicas retrasan la implementcin retrospectiva de

controles a un proceso o
sistema existente- Estas dificultades pueden mover ei equilibrio
de controles hacia los
aspectos de procedimiento y fisicos de la seguridad. Puede
ser necesario revisar el
programa de seguridad de la informacin pata lograr objetivos
de seguridad. Esto puede
ocurrir cuando los controles no satisfacen los ultads esperados in
la reduccin de
riesgos sin reducir la productividad.
Restricciones operativas
Las restricciones operativas como la necesidad de operar 24

horas al da por 7 das a la
semana requiere realnar respaldos y puede resultar in un"
implementacin de controles
compleja y costosa salvo que estn incorporados en el diseo
desde el inicib.
Restricciones culturales
Las restricciones culturales a la seleccin de controles pueden

ser especficas a un pas, un
sector, una organizacin o incluso un departamento entro
de una organizacin. No se
puede aplicar todos los controles en tods los pases. por
ejemplo, puede ser posible
implementar bsquedas en carteras en partes de Europa, pero
no
en partes de Medio
oriente' Los aspectos culturales no t. pud.n ignorar po.qu"
muchos controles se basan en
el apoyo activo del personal. Si el perional no.o^pr"nd"
la necesidad del control o no lo
encuentra culturalmente aceptable, el control se har ineficaz
con el tiempo.
Restricciones ticas
Las restricciones ticas pueden tener implicaciones importantes

sobre los controles ya que
la tica cambia en base a las normas sciales. Esto p;ede
impedir la implementacin de
controles como el escaneo de correos electrnicos en
algunos pases. La privacidad de Ia
informacin tambin puede cambiar dependiendo de la
tica de la regin o del gobierno.
Esto puede preocupar ms en algunos sectores industriales
que en otros, por ejemplo el
gobierno y la atencin de salud.
NoRMA rcNtce
PERUANA
NTP.ISO/IEC27OO5
94 de 95
Restricciones ambientales
Los factores ambientales pueden influir la seleccin de controles como la disponibilidad de

espacio, las condiciones climticas extremas, la geografia natural y urbana circundantes.
Por ejemplo, se puede requerir en algunos pases que las construcciones sean anti-ssmicas,
pero esto ser innecesario en otros.
Restricciones legales
i
1
-.
j,
Los factores legales como la proteccin de los datos personales o las disposiciones del
cdigo penal para el procesamiento de la informacin pueden afectar la seleccin de
controles. El cumplimiento legislativo regulatorio puede obligar a ciertos tipos de control
incluyendo la proteccin de datos y la auditoria financiera. Tambin pueden impedir el uso
de algunos controles, por ejemplo la encriptacin. Otras leyes y regulaciones como la
legislacin de las leyes laborales, el departamento de bomberos, la salud y la seguridad, as
como las regulaciones del sector econmico, etc. podran afectar tambin la seleccin de
controles.
,l
,!
a
Facilidad de uso
:!
i
t
Una mala interfaz humano-tecnologa resultar en eror humano y puede hacer que el
control sea intil. Los controles deben seleccionarse para proveer facilidad ptima de uso a
lavez que se logra un nivel aceptable de riesgo residual al negocio. Los controles que son
difciles de usar impactarn su eficacia, ya que los usuarios pueden tratar de evitarlos o
ignorarlos tanto como sea posible. Los controles de acceso complejo dentro de una
organizacin pueden alentar a los usuarios a encontrar mtodos de acceso altemativos y no
autorizados.
Restricciones del personal
El costo de la disponibilidad y de los salarios de personal especializado para implementar

los controles y la capacidad de movilizar personal entre lugares en condiciones operativas
adversas es algo que debe considerarse. Es posible que los expertos no estn disponibles de
inmediato para implementar controles planificados o que dichos expertos sean demasiado
costosos para la organizacin. Otros aspectos que pueden tener implicaciones importantes
para las polticas y prcticas de seguridad son la tendencia de cierto personal de discriminar
NORMA TECMCA
PERUANA
NTP.ISO/IEC27OO5
95 de 95
a otros miembros del personal que no pasan por un :ermizaje de seguridad. Asimismo,
la
seguridad de contratar a las personas correctas para el trabajo y tambin de encontrar
a las
personas correctas puede resultar en que se culmine una contratacin antes
de hacer la
seleccin por seguridad. El requisito de que la seleccin utilizando criterios de
seguridad se
realice antes de la contratacin es la prctica normal y ms segura.
Restricciones de integrar controles nuevos y existentes
A menudo se pasa por alto la integracin de nuevos controles en la infraestructura existente

y las inter-dependencias entre controles. Los nuevos controles pueden no implementarse
fcilmente si existe incongruencia o incompatibilidad con los controles existentes. por
ejemplo, un plan parautilizar elementos biomtricos para el control de acceso
fisico puede
causar conflicto con un sistema existente basado en PINs para el control
de acceso. El
costo de cambiar los controles de controles existent.r
oles planeados
" "ont del riesgo. debe incluir
los elementos a aadirse a los costos generales del tratamiento
euizs no sea
posible implementar un control seleccionado debido a la interferencia .on io,
controles
actuales.

Norma Técnica Peruana - Indecopi EDI TI

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Norma Técnica Peruana - Indecopi EDI TI

Cargado por

Copyright:

Formatos disponibles

NTP.

Comisin de Normalizacin y de Fiscalizacin de Barreras Comerciales No Arancelarias - INDECOPI

EDI. Tecnologa de la informacin. Tcnicas de seguridad.

(EeV. ISOmC 27005:2008 EDI. Information technolory

Information security risk

R.029-2009/INDECOPI-CNB. Publicada el 2009- I 147

Precio basado en 95 pei

ESTA NORMA ES RECOMENDABLE

vrsrA pnNonurcA DEL pRocEso oe cstN or,r

RIESGo EN SEGURIDAD DE LA INFoRMAcTN

DETERMTNAcTN DEL coNTEXTo

EVALUACTN pel RIESGo EN SEGURIDAD

TRATAMIENTO DEL RIESGO EN SEGURIDAD

ACEPTACIN nel RIESGo EN SEGURIDAD

coMLrNICectN DEL RTESGo EN sEGURTDAD

MoNrroREo y REVrsrN o,r

La presente Norma Tcnica Peruana ha sido elaborada por el Comit

Normalizacin de Codificacin e intercambio electrnico de datos, mediante

El Comit Tcnico de Normaluaciln de Codificacin e intercambio

INSTITUCIONES QIIE PARTICIPARON EN LA ELABORACIN

DISTRIBUIDORA MAYORISTA SYMBOL

DROKASA PERU S.A.

IBC SOLUTIONS PERU S.A.C.

ITS CONSULTANTS S.A.C.

OFICINA DE NORMALIZACION PREVISIONAL Roberto Puy

PRESIDENCIA DEL CONSEJO

PROCTER & GAMBLE DEL PERU S.A.

TECNOLOGA FLEXOGRAFICA S.A.

Luis Chvez Saavedra

UNILEVER ANDINA PERU S.A.

EDI. Tecnologa de la informacin. Tcnicas de seguridad.

Es importante conocer los conceptos, modelos, procesos y tecnologas descritos en las

Normas Tcnicas Internacionales

Information technology - Security techniques

- Security techniques for information security

impacto: Cambio adverso en el nivel de objetivos empresariales logrados.

riesgo en la seguridad de la informacin: El potencial de que una

Se mide en trminos de una combinacin de la probabilidad de un evento

evitamiento del riesgo: Decisin de

no involucrarse en una accin para

comunicacin del riesgo: lntercambio o compartir informacin sobre el

estimacin del riesgo: Proceso para asignar valores a la probabilidad y

de esta NTP, el trmino "actividad" se utiliza en vez del trmino ..proceso,,

del riesgo: Proceso para encontrar, listar

reduccin del riesgo: Acciones que se toman para reducir la probabilidad,

retencin del riesgo: Aceptacin de la carga de la prdida o el beneficio de

la ganancia a partir de un riesgo en particular

NOTA: En el contexto de los riesgos para la seguridad de la informacin, slo se

transferencia del riesgo: Compartir con otra parte la carga de Ia prdida o

ESTRUCTURA DE ESTA NORMA TCNICA PERUA{A

El captulo 5 proporciona informacin sobre los antecedentes.

El captulo 6 proporciona una vista panor:mica del

proceso de gestin del riesgo en

Establecimiento del contexto en el captulo 7,

Monitoreo y revisin del riesgo en el captulo 12.

En el Anexo E se presentan ejemplos sobre enfoques de evaluacin del riesgo en seguridad

El Anexo F presenta restricciones para la reduccin del riesgo.

Identifica cualquier informacin requerida pararealizar la actividad.

Agg!@: Describe la actividad.

Producto: Identifica toda informacin derivada luego de realizar la actividad.

Es necesario tener un enfoque sistemtico sobre la gestin del riesgo en seguridad de la

La gestin del riesgo en seguridad de la informacin debe ser un proceso continuo. El

La gestin del riesgo en seguridad de la informacin debe contribuir a lo siguiente:

Identificar los riesgos.