Está en la página 1de 23

UNIVERSIDAD DE HUANUCO

FACULTAD DE INGENIERA

E.A.P: ING. DE SISTEMAS E INFORMATICA

TEMA:

ISO 27005

DOCENTE: JOSE MARTIN SANTILLAN RUIZ

ALUMNA: SUSAN SANDRA SILVA MATTO

CURSO: SEGURIDAD DE LA INFORMACION

SEMESTRE: 2017-I

Tingo Mara - Per


2017
INTRODUCCION

En la actualidad, las empresas manejan la informacin referente a sus procesos de


negocio de forma fsica y digital. Dicha informacin, independiente de su medio de
almacenamiento y transmisin, es un recurso vital para el xito y la continuidad del
servicio en cualquier organizacin, ya que de ella depende la toma de decisiones y el
conocimiento interno de la empresa. Debe tenerse en cuenta que un sistema de
informacin no necesariamente est asociado a un sistema informtico. Un sistema de
informacin pueden ser personas, materiales, objetivos, actividades, etc., aunque
tambin tecnologas de la informacin y de comunicacin. Es por esto que la gestin
del riesgo en la seguridad de la informacin debe considerar aspectos tanto fsicos
como lgicos para lograr un adecuado tratamiento del riesgo.
La gestin del riesgo en la seguridad de la informacin implica inversin de tiempo,
esfuerzo y otros recursos con los que una pequea organizacin no suele disponer,
siendo esta una de las razones por las que no suelen ejecutar a gestin del riesgo
como una prioridad. Las organizaciones que conocen el valor de sus activos de
informacin y desean invertir en gestionar su riesgo, suelen acogerse a las normas de
la familia ISO 27000, en especial la norma ISO 27005. La norma ISO 27005 [1] es el
estndar internacional encargada de la gestin de riesgos de seguridad de
informacin. Dicha norma contiene las directrices que se deben realizar para llevar a
cabo el proceso de gestin del riesgo, y es aplicable a todo tipo de organizaciones que
tengan la intencin de gestionar los riesgos que amenacen la seguridad de la
informacin de su organizacin.
LA NORMA ISO/IEC 27005: GESTIN DE RIESGOS DE LA SEGURIDAD LA
INFORMACIN

1. DEFINICION:

La norma ISO 27005 reemplaza a la norma ISO 13335-2 Gestin de Seguridad de la


Informacin y la tecnologa de las comunicaciones. La norma fue publicada por
primera vez en junio de 2008, aunque existe una versin mejorada del ao 2011.

ISO 27005 es el estndar internacional que se ocupa de la gestin de riesgos de


seguridad de informacin. La norma suministra las directrices para la gestin de
riesgos de seguridad de la informacin en una empresa, apoyando particularmente los
requisitos del sistema de gestin de seguridad de la informacin definidos en ISO
27001.

ISO/IEC 27005:2008 proporciona una gua para la gestin del riesgo en un sistema de
seguridad de la informacin. Soporta los conceptos definidos en la ISO/IEC 27001 y
est diseado para ayudar a la implementacin de un sistema de seguridad de la
informacin basado en la gestin del riesgo.

La norma ISO 27005 no proporciona ninguna metodologa especfica para el anlisis y


la gestin del riesgo de la seguridad de la informacin

ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intencin de


gestionar los riesgos que puedan complicar la seguridad de la informacin de su
organizacin entre ellos tenemos:

Empresas comerciales
Organismos gubernamentales
Organismos sin fines de lucro
Entidades financieras
Entre otros

Corresponde a la organizacin definir su enfoque para la gestin del riesgo,


dependiendo por ejemplo del alcance de su SGSI, del contexto de la gestin del
riesgo. Se puede utilizar una variedad de metodologas existentes bajo la estructura
descrita en esta norma para implementar los requisitos de un sistema de gestin de
seguridad de la informacin. Esta norma es pertinente para los directores y el personal
involucrado en la gestin del riesgo en la seguridad de la informacin dentro de una
organizacin y, cuando corresponda, para las partes externas que dan soporte a
dichas actividades.

2. ESTRUCTURA DE LA NORMA ISO/IEC 27005

Composicin: 12 Clausulas y 6 Anexos que apoyan el desarrollo de cada una de las


clausulas para la implementacin de esta norma.

LAS 12 CLAUSULAS SON:

Objetivo y campo de aplicacin


Referencias normativas
Trminos y definiciones
Estructura
Informacin general
Visin general
Establecimiento del contexto
Valoracin del riesgo
Tratamiento del riesgo
Aceptacin del riesgo
Comunicacin de los riesgos de SI
Monitoreo y revisin

LOS 6 ANEXOS

Esta norma ofrece 6 anexos y son las siguientes:

A. ALCANCE Y LIMITACIONES:

Es all donde nos da una referencia para cmo definir un alcance y los lmites del
proceso de gestin de riesgos en la seguridad de la informacin

Se debe hacer un estudio a la organizacin, conocer sus objetivos, cul es su misin,


cul es su visin, de que se trata el negocio, cuales son los valores, como es su
estructura organizacional, se debe hacer un listado de las restricciones que afectan a
la organizacin.

Se debe tener un listado de referencias legislativas y reglamentarias que se aplican a


la

Organizacin, se debe tener un listado de restricciones que afectan el alcance que ya


se haya definido.

B. IDENTIFICACIN, EVOLUCIN DE ACTIVOS Y VALORACIN DE


IMPACTOS:

Se hace un inventario de activos y los caracterizamos de acuerdo a criterios pueden


ser primarios o secundarios

Nuestros activos primarios serian: todas las actividades y procesos de


negocios y adems la informacin.

Nuestros activos secundarios serian: el hardware, software, las redes, el


personal es decir toda la Infraestructura la cual soporta nuestros procesos y la
informacin.

C. EJEMPLOS DE AMENAZAS COMUNES:

Estas amenazas pueden ser deliberadas accidentales y ambientales como por ejemplo
juego, sismos perdida de servicios radiacin, etc.
Hay que poner mucha atencin en las amenazas humanas ya que segn
estadsticamente el 80% de los incidentes de seguridad de informacin son
ocasionados por humanos.

D. VULNERABILIDADES Y METODOS PARA VALORARLAS:

Aqu se presentan ejemplos y amenazas que pueden explotar esas vulnerabilidades,


nos brinda una gua de como buscar esas vulnerabilidades en nuestra organizacin y
como tratarlas.

E. APPROXIMACIONES A VALORACION RSI

Nos proporciona diferentes enfoques para la valoracin del riesgo en la seguridad de


informacin, aqu hay q establecer un proceso de identificacin de activos, de
amenazas, de vulnerabilidades y determinar su tratamiento.

Este anexo nos facilita algunas matrices para la valoracin de activos y hacer algunos
clculos estadsticos como por ejemplo para establecer con que probabilidad puede
ocurrir un incidente de seguridad o se puede materializar una amenaza.

F. OBLIGACIONES PARA LA REDUCCIN DE RIESGOS

Trata de restricciones para la reduccin de riesgos, es aqu donde nos explica que
cuando se implementa un Sistema de gestin de riesgo podemos tener diferentes tipos
de restricciones como por ejemplo: Restricciones de tiempo, financieras, ambientales,
de personal, restricciones de facilidad de uso, tcnica, operativa.

Es all donde debemos poner mucha atencin en la integracin de controles nuevos


con los controles que ya poseen la organizacin

2.1. ESTRUCTURA

La estructura de esta norma contiene descripcin de todos los procesos para la


gestin de riesgos en la seguridad de la informacin y cada una de las actividades que
hay que llevar acabo para cumplir con estos procesos es necesario establecer un
enfoque sistmico para as saber que las actividades se estructuran de la siguiente
manera:

Entrada: identifica toda la informacin que se requiere para realizar la actividad.

Acciones: describe la actividad.

Gua de implementacin: proporciona guas para llevar a cabo la accin. Algunas de


ellas pueden no ser adecuadas en todos los casos y por ende otras formas de ejecutar
la accin pueden ser ms adecuadas.

Salida: identifica toda la informacin derivada despus de realizar la actividad.

Cada una de las actividades que apoyan los procesos debe estar estructurados en
forma sistmica.
3. OBJETIVO Y CAMPO DE APLICACIN

Esta norma suministra directrices para la gestin del riesgo en la seguridad de la


informacin. Esta norma brinda soporte a los conceptos generales que se especifican
en la norma ISO/IEC 27001 y est diseada para facilitar la implementacin
satisfactoria de la seguridad de la informacin con base en el enfoque de gestin del
riesgo. El conocimiento de los conceptos, modelos, procesos y terminologas que se
describen en la norma ISO/IEC 27001 y en ISO/IEC 27002 es importante para la total
comprensin de esta norma. Esta norma se aplica a todos los tipos de organizaciones
(por ejemplo empresas comerciales, agencias del gobierno, organizaciones sin nimo
de lucro) que pretenden gestionar los riesgos que podran comprometer la seguridad
de la informacin de la organizacin.

4. REFERENCIAS NORMATIVAS

Son la norma ISO/IEC 27001 y la norma ISO/IEC 27002 es necesario estudiar las tres
normas para el correcto entendimiento de todo el proceso en lo que se refiere a
sistemas de gestin de seguridad de informacin.

5. TRMINOS Y DEFINICIONES

Para los propsitos de este documento, se aplican los trminos y definiciones de las
normas ISO/IEC 27001 e ISO/IEC 27002 y las siguientes:

1. Impacto: Cambio adverso en el nivel de los objetivos del negocio logrados.

2. Riesgo en la seguridad de la informacin: Potencial de que una amenaza


determinada explote las vulnerabilidades de los activos o grupos de activos
causando as dao a la organizacin.

NOTA Se mide en trminos de una combinacin de la probabilidad de que


suceda un evento y sus consecuencias.

3. Evitacin del riesgo: Decisin de no involucrarse en una situacin de riesgo o


tomar accin para retirarse de dicha situacin. [ISO/IEC Gua 73:2002]
4. Comunicacin del riesgo: Intercambiar o compartir la informacin acerca del
riesgo entre la persona que toma la decisin y otras partes interesadas.
[ISO/IEC Gua 73:2002]

5. Estimacin del riesgo: Proceso para asignar valores a la probabilidad y las


consecuencias de un riesgo. [ISO/IEC Gua 73:2002]

NOTA 1 En el contexto de esta norma, el trmino "actividad" se utiliza en lugar


del trmino "proceso" para la estimacin del riesgo.
NOTA 2 En el contexto de esta norma, el trmino "posibilidad" se utiliza en
lugar del trmino "probabilidad" para la estimacin del riesgo.

6. Identificacin del riesgo: Proceso para encontrar, enumerar y caracterizar los


elementos de riesgo. [ISO/IEC Gua 73:2002]

NOTA En el contexto de esta norma, el trmino "actividad" se utiliza en lugar


del trmino "proceso" para la identificacin del riesgo.

7. Reduccin del riesgo: Acciones que se toman para disminuir la probabilidad


las consecuencias negativas, o ambas, asociadas con un riesgo. [ISO/IEC
Gua 73:2002]

NOTA En el contexto de esta norma, el trmino "posibilidad" se utiliza en lugar


del trmino "probabilidad" para la reduccin del riesgo.

8. Retencin del riesgo: Aceptacin de la prdida o ganancia proveniente de un


riesgo particular. [ISO/IEC Gua 73:2002]

NOTA En el contexto de los riesgos en la seguridad de la informacin,


nicamente se consideran las consecuencias negativas (prdidas) para la
retencin del riesgo.

9. Transferencia del riesgo: Compartir con otra de las partes la prdida o la


ganancia de un riesgo. [ISO/IEC Gua 73:2002]

NOTA En el contexto de los riesgos en la seguridad de la informacin,


nicamente se consideran las consecuencias negativas (prdidas) para la
transferencia del riesgo.

6. INFORMACIN GENERAL

Es necesario un enfoque sistemtico para la gestin del riesgo en la seguridad de la


informacin para identificar las necesidades de la organizacin con respecto a los
requisitos de seguridad de la informacin y para crear un sistema de gestin de la
seguridad de la informacin (SGSI) eficaz. Este enfoque debera ser adecuado para el
entorno de la organizacin y, en particular, debera cumplir los lineamientos de toda la
gestin del riesgo en la empresa. Los esfuerzos de seguridad deberan abordar los
riesgos de una manera eficaz y oportuna donde y cuando sean necesarios. La gestin
del riesgo en la seguridad de la informacin debera ser una parte integral de todas las
actividades de gestin de seguridad de la informacin y se deberan aplicar tanto a la
implementacin como al funcionamiento continuo de un SGSI.

La gestin del riesgo en la seguridad de la informacin debera ser un proceso


continuo. Tal proceso debera establecer el contexto, evaluar los riesgos, tratar los
riesgos utilizando un plan de tratamiento para implementar las recomendaciones y
decisiones. La gestin del riesgo analiza lo que puede suceder y cules pueden ser las
posibles consecuencias, antes de decidir lo que se debera hacer y cuando hacerlo,
con el fin de reducir el riesgo hasta un nivel aceptable. La gestin del riesgo en la
seguridad de la informacin debera contribuir a:

La identificacin de los riesgos


La evaluacin de los riesgos en trminos de sus consecuencias para el negocio
y la probabilidad de su ocurrencia
La comunicacin y entendimiento de la probabilidad y las consecuencias de
estos riesgos
El establecimiento del orden de prioridad para el tratamiento de los riesgos
La priorizacin de las acciones para reducir la ocurrencia de los riesgos
La participacin de los interesados cuando se toman las decisiones sobre
gestin del riesgo y mantenerlos informados sobre el estado de la gestin del
riesgo
La eficacia del monitoreo del tratamiento del riesgo
El monitoreo y revisin con regularidad del riesgo y los procesos de gestin de
riesgos; La captura de informacin para mejorar el enfoque de la gestin de
riesgos
La educacin de los directores y del personal acerca de los riesgos y las
acciones que se toman para mitigarlos.

El proceso de gestin del riesgo en la seguridad de la informacin se puede aplicar a


la organizacin en su totalidad, a una parte separada de la organizacin (por ejemplo,
un departamento, una ubicacin fsica, un servicio), a cualquier sistema de
informacin, existente o planificado, o a aspectos particulares del control (por ejemplo,
la planificacin de la continuidad del negocio).

7. VISIN GENERAL DEL PROCESO DE GESTIN DEL RIESGO EN LA


SEGURIDAD DE LA INFORMACIN

El proceso de gestin del riesgo en la seguridad de la informacin consta del


establecimiento del contexto, evaluacin del riesgo, tratamiento del riesgo, aceptacin
del riesgo, comunicacin del riesgo y monitoreo y revisin del riesgo.
El proceso de gestin del riesgo en la seguridad de la informacin puede ser iterativo
para las actividades de valoracin del riesgo y/o de tratamiento del riesgo. Un enfoque
iterativo para realizar la valoracin del riesgo puede incrementar la profundidad y el
detalle de la valoracin en cada iteracin. El enfoque iterativo suministra un buen
equilibrio entre la reduccin del tiempo y el esfuerzo requerido para identificar los
controles, incluso garantizando que los riesgos altos se valoren de manera correcta.

El contexto se establece primero. Luego se realiza una valoracin del riesgo. Si sta
suministra informacin suficiente para determinar de manera eficaz las acciones que
se necesitan para modificar los riesgos hasta un nivel aceptable, entonces la labor
est terminada y sigue el tratamiento del riesgo. Si la informacin no es suficiente, se
llevar a cabo otra iteracin de la valoracin del riesgo con un contexto revisado (por
ejemplo, los criterios de evaluacin del riesgo, los criterios para aceptar el riesgo o los
criterios de impacto), posiblemente en partes limitadas del alcance total.

La eficacia del tratamiento del riesgo depende de los resultados de la valoracin del
riesgo. Es posible que el tratamiento del riesgo no produzca inmediatamente un nivel
aceptable de riesgo residual. En esta situacin, si es necesaria, se puede requerir otra
iteracin de la valoracin del riesgo con cambios en los parmetros del contexto (por
ejemplo criterios para valoracin del riesgo, de aceptacin o de impacto del riesgo),
seguida del tratamiento del riesgo.

La actividad de aceptacin del riesgo debe asegurar que los riesgos residuales son
aceptados explcitamente por los directores de la organizacin. Esto es especialmente
importante en una situacin en la que la implementacin de los controles se omite o se
pospone, por ejemplo debido al costo.

Durante todo el proceso de gestin del riesgo en la seguridad de la informacin es


importante que los riesgos y su tratamiento se comuniquen a los directores y al
personal operativo correspondiente. Incluso antes del tratamiento de los riesgos, la
informacin acerca de los riesgos identificados puede ser muy valiosa para la gestin
de incidentes y puede ayudar a reducir el dao potencial. La toma de conciencia por
parte de los directores y el personal acerca de los riesgos, la naturaleza de los
controles establecidos para mitigar los riesgos y las reas de inters para la
organizacin facilitan el tratamiento de los incidentes y los eventos inesperados de una
manera ms eficaz. Se recomienda documentar los resultados detallados en cada
actividad del proceso de gestin del riesgo en la seguridad de la informacin y de los
dos puntos de decisin sobre el riesgo.

La norma ISO/IEC 27001 especifica que los controles implementados dentro del
alcance, los lmites y el contexto de SGSI se deben basar en el riesgo. La aplicacin
de un proceso de gestin del riesgo en la seguridad de la informacin puede satisfacer
este requisito. Existen muchos enfoques mediante los cuales se puede implementar
exitosamente el proceso en una organizacin. La organizacin debera utilizar
cualquier enfoque que se ajuste mejor a sus circunstancias para cada aplicacin
especfica del proceso.

En un SGSI, el establecimiento del contexto, la valoracin del riesgo, el desarrollo del


plan de tratamiento del riesgo y la aceptacin del riesgo son parte de la fase de
"planificar". En la fase de "hacer" del SGSI, se implementan las acciones y los
controles que son necesarios para reducir el riesgo hasta un nivel aceptable, de
acuerdo con el plan de tratamiento del riesgo. En la fase de "verificar" del SGSI, los
directores determinarn la necesidad de revisiones de las valoraciones y del
tratamiento del riesgo a la luz de los incidentes y los cambios en las circunstancias. En
la fase de "actuar", se llevan a cabo todas las acciones que son necesarias,
incluyendo la aplicacin adicional del proceso de gestin del riesgo en la seguridad de
la informacin.

La siguiente tabla resume las actividades de gestin del riesgo en la seguridad de la


informacin que son pertinentes para las cuatro fases del proceso del SGSI:

Tabla 1. Alineamiento del SGSI y el proceso de Gestin del Riesgo en la


Seguridad de la Informacin
7.1. ESTABLECIMIENTO DEL CONTEXTO

Consideraciones Generales

Entrada: toda la informacin acerca de la organizacin que es pertinente para


establecer el contexto de la gestin del riesgo en la seguridad de la informacin.

Accin: se debera establecer el contexto para la gestin del riesgo en la seguridad de


la informacin, lo cual implica establecer los criterios bsicos que son necesarios para
la gestin del riesgo de la seguridad de la informacin, definir el alcance y los lmites y
establecer una organizacin adecuada que opere la gestin del riesgo la seguridad de
la informacin.

Gua para la implementacin: Es esencial determinar el propsito de la gestin del


riesgo en la seguridad de la informacin ya que esto afecta al proceso total y, en
particular, al establecimiento del contexto. Este propsito puede ser:

Dar soporte a un SGSI


Conformidad legal y evidencias de la debida diligencia
Preparacin de un plan para la continuidad del negocio
Preparacin de un plan de respuesta a incidentes
Descripcin de los requisitos de seguridad de la informacin para un producto,
un servicio o un mecanismo.

La gua de implementacin para los elementos del establecimiento del contexto que
son necesarios para dar soporte a un SGSI se discute posteriormente en los
numerales

Criterios Bsicos

Dependiendo del alcance y los objetivos de la gestin del riesgo, se pueden aplicar
diferentes enfoques. El enfoque tambin podra ser diferente para cada iteracin.

Es aconsejable seleccionar o desarrollar un enfoque adecuado para la gestin del


riesgo que aborde los criterios bsicos tales como: criterios de evaluacin del riesgo,
criterios de impacto, criterios de aceptacin del riesgo.

Adems, la organizacin debera evaluar si los recursos necesarios estn o no


disponibles para:
Realizar la valoracin del riesgo y establecer un plan de tratamiento para el
riesgo
Definir e implementar las polticas y los procedimientos, que incluyan la
implementacin de los controles seleccionados
Monitorear los controles
Monitorear los procesos de gestin del riesgo en la seguridad de la
informacin.

Criterios de evaluacin del riesgo

Se recomienda desarrollar criterios para la evaluacin del riesgo con el fin de


determinar el riesgo en la seguridad de la informacin de la organizacin, teniendo en
cuenta los siguientes aspectos:

El valor estratgico del proceso de informacin del negocio


La criticidad de los activos de informacin involucrados
Los requisitos legales y reglamentarios, as como las obligaciones
contractuales
La importancia de la disponibilidad, confidencialidad e integridad para las
operaciones y el negocio.
Las expectativas y percepciones de las partes interesadas y las consecuencias
negativas para el buen nombre y la reputacin.

De igual modo, los criterios de evaluacin del riesgo se pueden utilizar para especificar
las prioridades para el tratamiento del riesgo.

Criterios de impacto

Es recomendable desarrollar criterios de impacto del riesgo y especificarlos en


trminos del grado de dao o de los costos para la organizacin, causados por un
evento de seguridad de la informacin, considerando los siguientes aspectos:

Nivel de clasificacin de los activos de informacin impactados


Brechas en la seguridad de la informacin (por ejemplo, prdida de
confidencialidad, integridad y disponibilidad)
Operaciones deterioradas (partes internas o terceras partes)
Prdida del negocio y del valor financiero
Alteracin de planes y fechas lmites
Daos para la reputacin

Criterios de la aceptacin del riesgo

Es recomendable desarrollar y especificar criterios de aceptacin del riesgo. Estos


criterios dependen con frecuencia de las polticas, metas, objetivos de la organizacin
y de las partes interesadas. La organizacin debera definir sus propias escalas para
los niveles de aceptacin del riesgo. Durante el desarrollo, se deberan considerar los
siguientes aspectos:
Los criterios de aceptacin del riesgo pueden incluir umbrales mltiples, con
una meta de nivel de riesgo deseable, pero con disposiciones para que la alta
direccin acepte los riesgos por encima de este nivel, en circunstancias
definidas
Los criterios de aceptacin del riesgo se pueden expresar como la relacin
entre el beneficio estimado (u otros beneficios del negocio) y el riesgo estimado
Los diferentes criterios de aceptacin del riesgo se pueden aplicar a diferentes
clases de riesgos, por ejemplo los riesgos que podran resultar en
incumplimiento con reglamentos o leyes, podran no ser aceptados, aunque se
puede permitir la aceptacin de riesgos altos, si esto se especifica como un
requisito contractual
Los criterios de aceptacin del riesgo pueden incluir requisitos para tratamiento
adicional en el futuro, por ejemplo se puede aceptar un riesgo si existe
aprobacin y compromiso para ejecutar acciones que reduzcan dicho riesgo
hasta un nivel aceptable en un periodo definido de tiempo.

Los criterios de aceptacin del riesgo pueden diferir de acuerdo con la expectativa de
duracin que se tenga del riesgo, por ejemplo el riesgo puede estar asociado con una
actividad temporal o de corto plazo. Los criterios de aceptacin del riesgo se deberan
establecer considerando los siguientes elementos:

Criterios del negocio


Aspectos legales y reglamentarios
Operaciones
Tecnologa
Finanzas
Factores sociales y humanitarios.

El alcance y los lmites

La organizacin debera definir el alcance y los lmites de la gestin del riesgo de la


seguridad de la informacin.

Es necesario definir el alcance del proceso de gestin del riesgo en la seguridad de la


informacin, con el fin de garantizar que todos los activos relevantes se toman en
consideracin en la valoracin del riesgo. Adems, es necesario identificar los lmites
para abordar aquellos riesgos que se pueden presentar al establecer estos lmites.

Se debera recolectar informacin acerca de la organizacin para determinar el


ambiente en que ella funciona y establecer la pertinencia de la informacin para el
proceso de gestin del riesgo en la seguridad de la informacin.

Al definir el alcance y los lmites, la organizacin debera considerar la siguiente


informacin:

Los objetivos estratgicos de negocio, polticas y estrategias de la organizacin


Procesos del negocio
Las funciones y estructura de la organizacin
Los requisitos legales, reglamentarios y contractuales aplicables a la
organizacin
La poltica de seguridad de la informacin de la organizacin
El enfoque global de la organizacin hacia la gestin del riesgo
Activos de informacin
Ubicacin de la organizacin y sus caractersticas geogrficas
Restricciones que afectan a la organizacin
Expectativas de las partes interesadas
Entorno sociocultural
Interfaces

Adems, la organizacin debera suministrar la justificacin para cualquier exclusin


de este alcance.

Organizacin para la gestin del riesgo en la seguridad de la informacin

Se recomienda establecer y mantener la organizacin y las responsabilidades en el


proceso de gestin del riesgo y la seguridad de la informacin.

Las siguientes son las principales funciones y responsabilidades en esta organizacin:

Desarrollar el proceso de gestin del riesgo en la seguridad de la informacin


que sea adecuado para la organizacin.
Identificar y analizar las partes interesadas.
Definir las funciones y las responsabilidades de todas las partes, tanto internas
como externas, de la organizacin.
Establecer las relaciones necesarias entre la organizacin y las partes
interesadas, as como las interfaces con las funciones de la gestin del riesgo
de alto nivel de la organizacin (por ejemplo, gestin del riesgo operativo), y las
interfaces con otros proyectos o actividades relevantes.
Definir las rutas para escalar decisiones.
Especificar los registros que se deben conservar.

Esta organizacin para la gestin del riesgo, debera ser aprobada por los directores
correspondientes de la entidad.

7.2. VALORACIN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN

Descripcin general de la valoracin del riesgo en la seguridad de la informacin

Entrada: Criterios bsicos, el alcance y los lmites, y la organizacin establecida para


el proceso de la gestin del riesgo en la seguridad de la informacin.

Accin: Los riesgos se deberan identificar, describir cuantitativa o cualitativamente y


priorizar frente a los criterios de evaluacin del riesgo y los objetivos relevantes para la
organizacin.
Gua para la implementacin: Un riesgo es una combinacin de las consecuencias
que se presentaran despus de la ocurrencia de un evento indeseado y de su
probabilidad de ocurrencia. La valoracin del riesgo cuantifica o describe
cualitativamente el riesgo y permite a los directores priorizar los riesgos de acuerdo
con su gravedad percibida u otros criterios establecidos.

La valoracin del riesgo consta de las siguientes actividades:

Anlisis del riesgo el cual consiste en:


o Identificacin del riesgo
o Estimacin del riesgo
Evaluacin del riesgo

La valoracin del riesgo determina el valor de los activos de informacin, identifica las
amenazas y vulnerabilidades aplicables que existen (o que podran existir), identifica
los controles existentes y sus efectos en el riesgo identificado, determina las
consecuencias potenciales y, finalmente, prioriza los riesgos derivados y los clasifica
frente a los criterios de evaluacin del riesgo determinados en el contexto establecido.

Con frecuencia, la valoracin del riesgo se lleva a cabo en dos (o ms) iteraciones. En
primer lugar, se realiza una valoracin general para identificar riesgos potencialmente
altos que ameriten posterior valoracin. La siguiente iteracin puede implicar una
consideracin adicional en profundidad de los riesgos potencialmente altos revelados
en la iteracin inicial. Cuando estas actividades suministran informacin que no es
suficiente para evaluar el riesgo, entonces se realiza un anlisis ms detallado,
probablemente en partes del alcance total y, tal vez, utilizando un mtodo diferente.

Depende de la organizacin seleccionar su propio enfoque para la valoracin del


riesgo con base en los objetivos y la meta de esta valoracin.

7.3. TRATAMIENTO DEL RIESGO EN LA SEGURIDAD DE LA


INFORMACIN

Descripcin general del tratamiento del riesgo

Entrada: una lista de los riesgos con prioridad de acuerdo con los criterios de
evaluacin del riesgo, con relacin a los escenarios de incidente que llevan a tales
riesgos.

Accin: se deberan seleccionar controles para reducir, retener, evitar o transferir los
riesgos y se debera definir un plan para tratamiento del riesgo.

Gua para la implementacin: Existen cuatro opciones disponibles para el


tratamiento del riesgo: reduccin del riesgo, retencin del riesgo, evitacin del riesgo y
transferencia del riesgo.
Actividad para el tratamiento del riesgo

Las opciones para el tratamiento del riesgo se deberan seleccionar con base en el
resultado de la evaluacin del riesgo, el costo esperado para implementar estas
opciones y los beneficios esperados como resultado de tales opciones.

Cuando se pueden obtener reducciones grandes en los riesgos con un costo


relativamente bajo, se deberan implementar esas opciones. Las opciones adicionales
para las mejoras pueden no ser econmicas y es necesario estudiarlas para
determinar si se justifican o no.

En general, las consecuencias adversas de los riesgos deberan ser tan bajas como
sea razonablemente viable e independientemente de cualquier criterio absoluto. Los
directores deberan tomar en consideracin los riesgos raros pero graves. En tales
casos, puede ser necesario implementar controles que nos son justificables en
trminos estrictamente econmicos (por ejemplo, los controles para la continuidad del
negocio considerados para cumplir riesgos altos especficos).

Las cuatro opciones para el tratamiento del riesgo no se excluyen mutuamente. En


ocasiones, la organizacin se puede beneficiar significativamente de una combinacin
de opciones tales como la reduccin de la probabilidad de los riesgos, reduccin de
sus consecuencias y transferencia o retencin de los riesgos residuales.

Algunos tratamientos de los riesgos pueden tratar eficazmente ms de un riesgo (por


ejemplo, el entrenamiento y la toma de conciencia sobre la seguridad de la
informacin). Conviene definir un plan para el tratamiento del riesgo que identifique
con claridad el orden de prioridad en el cual se deberan implementar los tratamientos
individuales, as como sus marcos temporales. Las prioridades se pueden establecer
utilizando diversas tcnicas, que incluyen clasificacin del riesgo y anlisis de costo-
beneficio. Es responsabilidad de los directores de la organizacin decidir el equilibrio
entre los costos de la implementacin de los controles y la asignacin de presupuesto.

La identificacin de los controles existentes puede determinar que tales controles


exceden las necesidades actuales, en trminos de comparaciones de costo,
incluyendo el mantenimiento. Si se considera la eliminacin de controles redundantes
o necesarios (especialmente si los controles tienen altos costos de mantenimiento), es
conveniente tener en cuenta la seguridad de la informacin y los factores de costo.
Dado que los controles pueden tener influencia entre s, la eliminacin de los controles
redundantes podra reducir la seguridad global establecida. Adems, puede ser ms
econmico dejar los controles redundantes o innecesarios en su lugar antes que
eliminarnos.

Las opciones para el tratamiento del riesgo se deberan considerar teniendo en


cuenta:

Cmo perciben el riesgo las partes afectadas


La forma ms adecuada de comunicacin con dichas partes.

El establecimiento del contexto suministra informacin sobre los requisitos legales y


reglamentarios que la organizacin debe cumplir. El riesgo para las organizaciones es
la falla en el cumplimiento y se recomienda implementar opciones de tratamiento para
limitar esta probabilidad. Todas las restricciones - organizativas, tcnicas,
estructurales, etc.- que se identifican durante la actividad de establecimiento del
contexto se deberan tomar en consideracin durante el tratamiento del riesgo. Una
vez se ha definido el plan para el tratamiento del riesgo, es necesario determinar los
riesgos residuales. Esto implica una actualizacin o repeticin de la evaluacin del
riesgo, considerando los efectos esperados del tratamiento propuesto para tal riesgo.
Si el riesgo residual an no satisface los criterios de aceptacin del riesgo de la
organizacin, puede ser necesaria otra repeticin del tratamiento del riesgo antes de
proceder con la aceptacin del riesgo.

Salida: plan para el tratamiento del riesgo y riesgos residuales sujetos a la decisin de
aceptacin de los directores de la organizacin.

Reduccin del riesgo

Accin: el nivel del riesgo se debera reducir mediante la seleccin de controles, de


manera tal que el riesgo residual se pueda revaluar como aceptable.

Gua para la implementacin: Se recomienda seleccionar controles adecuados y


justificados que satisfagan los requisitos identificados en la evaluacin y el tratamiento
del riesgo. En esta seleccin se deberan tener en cuenta los criterios de aceptacin
del riesgo as como nuevos requisitos legales, reglamentarios y contractuales. En esta
seleccin tambin se deberan considerar los costos y el marco temporal para la
implementacin de los controles, o los aspectos tcnicos, ambientales y culturales.
Con frecuencia es posible disminuir el costo total de la propiedad de un sistema con
controles de seguridad de la informacin adecuadamente seleccionados.
En general, los controles pueden brindar uno o ms de los siguientes tipos de
proteccin: correccin, eliminacin, prevencin, minimizacin del impacto, disuasin,
deteccin, recuperacin, monitoreo y concienciacin. Durante la seleccin del control
es importante ponderar el costo de adquisicin, implementacin, administracin,
operacin, monitoreo y mantenimiento de los controles en comparacin con el valor de
los activos que se protegen. Adems, el retorno de la inversin en trminos de
reduccin del riesgo y el potencial para explotar nuevas oportunidades de ejecucin
que brindan algunos controles tambin se deberan tomar en consideracin. Tambin
conviene considerar las habilidades especializadas que pueden ser necesarias para
definir e implementar nuevos controles o modificar los existentes.

La norma ISO/IEC 27002 proporciona informacin detallada sobre los controles.


Existen muchas restricciones que puede afectar la seleccin de los controles. Las
restricciones tcnicas tales como los requisitos de desempeo, el manejo (requisitos
de soporte operativo) y los aspectos de compatibilidad pueden dificultar el uso de
algunos controles o podran inducir error humano bien sea anulando el control, dando
una falsa sensacin de seguridad o incluso aumentando el riesgo de modo que no
haya control (por ejemplo exigiendo contraseas complejas sin entrenamiento
adecuado, haciendo que los usuarios escriban las contraseas). Adems, podra darse
el caso de que un control pueda afectar el desempeo. Los directores deberan
intentar la identificacin de una solucin que satisfaga los requisitos de desempeo al
tiempo que garantizan suficiente seguridad de la informacin. El resultado de este
paso es una lista de los controles posibles, con sus costos, beneficios y prioridades de
implementacin.

Es conveniente considerar varias restricciones al seleccionar los controles y durante la


implementacin. Por lo comn, se consideran los siguientes aspectos:

restricciones de tiempo;
restricciones financieras;
restricciones tcnicas;
restricciones operativas;
restricciones culturales;
restricciones ticas;
percepciones ambientales;
restricciones legales;
facilidad de utilizacin;
restricciones personales.
restricciones para la integracin de controles nuevos y existentes.

Retencin del riesgo

Accin: Aceptar los riesgos objetivamente y con conocimiento, siempre y cuando ellos
satisfagan claramente las polticas de la organizacin y los criterios para la aceptacin
de los riesgos", describe la misma actividad.

Gua para la implementacin: Si el nivel del riesgo satisface los criterios para su
aceptacin, no es necesario implementar controles adicionales y el riesgo se puede
retener.

Evitacin del riesgo


Accin: se debera evitar la actividad o la accin que da origen al riesgo particular.

Gua para la implementacin: Cuando los riesgos identificados se consideran muy


altos, o si los costos para implementar otras opciones de tratamiento del riesgo
exceden los beneficios, se puede tomar una decisin para evitar por completo el
riesgo, mediante el retiro de una actividad o un conjunto de actividades planificadas o
existentes, o mediante el cambio en las condiciones bajo las cuales se efecta tal
actividad. Por ejemplo, para los riesgos causados por la naturaleza, puede ser una
alternativa ms eficaz en trminos de costo, transferir fsicamente las instalaciones de
procesamiento de la informacin a un lugar donde no exista el riesgo o est bajo
control.

Transferencia del riesgo

Accin: el riesgo se debera transferir a otra de las partes que pueda manejar de
manera ms eficaz el riesgo particular dependiendo de la evaluacin del riesgo.

Gua para la implementacin: La transferencia del riesgo involucra una decisin para
compartir algunos riesgos con las partes externas. La transferencia del riesgo puede
crear riesgos nuevos o modificar los riesgos identificados existentes. Por lo tanto,
puede ser necesario el tratamiento adicional para el riesgo. La transferencia se puede
hacer mediante un seguro que dar soporte a las consecuencias o mediante
subcontratacin de un asociado cuya funcin ser monitorear el sistema de
informacin y tomar acciones inmediatas para detener un ataque antes de que ste
produzca un nivel definido de dao. Conviene anotar que puede ser posible transferir
la responsabilidad para la gestin del riesgo, pero normalmente no es posible transferir
la responsabilidad de un impacto. Los clientes por lo general atribuirn un impacto
adverso a fallas de la organizacin.

7.4. ACEPTACIN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN

Entrada: plan para el tratamiento del riesgo y evaluacin del riesgo residual, sujetos a
la decisin de aceptacin de los directores de la organizacin.

Accin: se debera tomar la decisin de aceptar los riesgos y las responsabilidades de


la decisin, y registrarla de manera formal (esto se relacionan con ISO/IEC 27001).

Gua para la implementacin: Los planes para el tratamiento del riesgo deberan
describir la forma en que los riesgos evaluados se deben tratar, con el fin de satisfacer
los criterios de aceptacin del riesgo. Es importante que los directores responsables
revisen y aprueben los planes propuestos para el tratamiento del riesgo y los riesgos
residuales resultantes, y que registren todas las condiciones asociadas a tal
aprobacin.

Los criterios de aceptacin del riesgo pueden ser ms complejos que slo determinar
si un riesgo residual est o no por encima o por debajo de un solo umbral.
En algunos casos, es posible que el nivel del riesgo residual no satisfaga los criterios
de aceptacin del riesgo porque los criterios que se aplican no toman en consideracin
las circunstancias prevalentes. Por ejemplo, se puede argumentar que es necesario
aceptar los riesgos porque los activos fsicos que los acompaan son muy atractivos o
porque el costo de la reduccin del riesgo es demasiado alto. Dicha circunstancia
indica que los criterios de aceptacin del riesgo no son adecuados y, si es posible, se
deberan revisar. No obstante, no siempre es posible revisar los criterios de aceptacin
del riesgo de manera oportuna. En tales casos, quienes toman las decisiones pueden
tener que aceptar riesgos que no satisfacen los criterios normales de aceptacin. Si
esto es necesario, quienes toman la decisin deberan comentar explcitamente los
riesgos e incluir una justificacin para la decisin de hacer caso omiso de los criterios
normales de aceptacin del riesgo.

7.5. COMUNICACIN DE LOS RIESGOS PARA LA SEGURIDAD DE LA


INFORMACIN

Entrada: toda la informacin sobre el riesgo obtenida a partir de las actividades de


gestin del riesgo.

Accin: la informacin acerca del riesgo se debera intercambiar y/o compartir entre la
persona que toma la decisin y las otras partes involucradas.

Gua para la implementacin: La comunicacin del riesgo es una actividad para lograr
un acuerdo sobre la manera de gestionar los riesgos al intercambiar y/o compartir la
informacin acerca de los riesgos, entre quienes toman las decisiones y las otras
partes involucradas. La informacin incluye, pero no se limita a la existencia,
naturaleza, forma, probabilidad, gravedad, tratamiento y aceptabilidad de los riesgos.

La comunicacin eficaz entre las partes involucradas es importante dado que puede
tener un impacto significativo en las decisiones que se deben tomar. La comunicacin
garantizar que aquellos responsables de la implementacin de la gestin del riesgo y
aquellos con derechos adquiridos comprenden las bases sobre las cuales toman las
decisiones y por qu se requieren acciones particulares. La comunicacin es
bidireccional.

Las percepciones del riesgo pueden variar debido a las diferencias en las
estimaciones, los conceptos y las necesidades, los problemas y los intereses de las
partes involucradas en cuanto se relacionan con el riesgo, o los aspectos bajo
discusin. Es probable que las partes involucradas hagan juicios sobre la aceptabilidad
del riesgo con base en su percepcin de ste. Es particularmente importante
garantizar que las percepciones que tienen las partes involucradas sobre el riesgo, as
como sus percepciones de los beneficios se pueden identificar y documentar, y que las
razones de base se comprendan y traten claramente.

La comunicacin del riesgo se debera realizar con el fin de lograr lo siguiente:

Brindar seguridad del resultado de la gestin del riesgo de la organizacin.


Recolectar informacin sobre el riesgo; - compartir los resultados de la
evaluacin del riesgo y presentar el plan para el tratamiento del riesgo.
Evitar o reducir tanto la ocurrencia como la consecuencia de las brechas en
la seguridad de la informacin debidas a la falta de comprensin mutua
entre quienes toman las decisiones y las partes involucradas.
Brindar soporte para la toma de decisiones.
Obtener conocimientos nuevos sobre la seguridad de la informacin.
Coordinar con otras partes y planificar las respuestas para reducir las
consecuencias de cualquier incidente; - dar a quienes toman las decisiones
y a las partes involucradas un sentido de responsabilidad acerca de los
riesgos.
Mejorar la concienciacin.

Una organizacin debera desarrollar planes de comunicacin del riesgo para las
operaciones normales as como para las situaciones de emergencia. Por lo tanto, la
actividad de comunicacin del riesgo se debera realizar de manera continua.

La coordinacin entre las personas principales que toman las decisiones y las partes
involucradas se puede lograr mediante la formacin de un comit en el cual pueda
tener lugar el debate acerca de los riesgos, su prioridad, el tratamiento adecuado y la
aceptacin.

Es importante cooperar con las unidades correspondientes de relaciones pblicas o


comunicaciones dentro de la organizacin para coordinar todas las labores que se
relacionan con la comunicacin del riesgo. Esto es importante en el caso de acciones
de comunicacin de crisis, por ejemplo, en respuesta a incidentes particulares.

7.6. MONITOREO Y REVISIN DEL RIESGO EN LA SEGURIDAD DE LA


INFORMACIN

Monitoreo y revisin de los factores de riesgo

Entrada: toda la informacin sobre el riesgo obtenida en las actividades de gestin del
riesgo.

Accin: los riesgos y sus factores (es decir, el valor de los activos, los impactos, las
amenazas, las vulnerabilidades, la probabilidad de ocurrencia) se deberan monitorear
y revisar con el fin de identificar todo cambio en el contexto de la organizacin en una
etapa temprana, y para mantener una visin general de la perspectiva completa del
riesgo.

Gua para la implementacin: Los riesgos no son estticos. Las amenazas, las
vulnerabilidades, la probabilidad o las consecuencias pueden cambiar abruptamente
sin ninguna indicacin. Por ende, es necesario el monitoreo constante para detectar
estos cambios. Esta actividad puede estar soportada por servicios externos que
brinden informacin con respecto a nuevas amenazas o vulnerabilidades.
Las organizaciones deberan garantizar el monitoreo continuo de los siguientes
aspectos:

Activos nuevos que se han incluido en el alcance de la gestin del riesgo;


Modificaciones necesarias de los valores de los activos, debido, por ejemplo, a
cambios en los requisitos de negocios;
Amenazas nuevas que podran estar activas tanto fuera como dentro de la
organizacin y que no se han evaluado;
Probabilidad de que las vulnerabilidades nuevas o aumentadas puedan permitir
que las amenazas exploten tales vulnerabilidades nuevas o con cambios;
Vulnerabilidades identificadas para determinar aquellas que se exponen a
amenazas nuevas o que vuelven a emerger;
El impacto aumentado o las consecuencias de las amenazas evaluadas, las
vulnerabilidades y los riesgos en conjunto que dan como resultado un nivel
inaceptable de riesgo; - incidentes de la seguridad de la informacin.

Las amenazas, vulnerabilidades o cambios nuevos en la probabilidad o las


consecuencias pueden incrementar los riesgos evaluados previamente como riesgos
bajos. En la revisin de los riesgos bajos y aceptados se debera considerar cada
riesgo independientemente, y tambin todos estos riesgos como un conjunto, para
evaluar su impacto acumulado potencial. Si los riesgos no estn en la categora de
riesgo aceptable o bajo

Los factores que afectan a la probabilidad ya las consecuencias de las amenazas que
se presentan podran cambiar, como lo haran los factores que afectan a la idoneidad
o el costo de las diversas opciones de tratamiento. Los cambios importantes que
afectan a la organizacin debera ser la razn para una revisin ms especfica. Por lo
tanto, las actividades de monitoreo del riesgo de deberan repetir con regularidad y las
opciones seleccionadas para el tratamiento del riesgo se deberan revisar
peridicamente.
BIBLIOGRAFIA

http://www.pmg-ssi.com/2014/01/isoiec-27005-gestion-de-riesgos-de-la-
seguridad-la-informacion/
http://foro.elhacker.net/seguridad/norma_iso_27005-t379342.0.html
http://www.xperimentos.com/2008/10/20/publicada-la-norma-iso-27005-gestion-
del-riesgo/
http://www.pmg-ssi.com/2014/01/isoiec-27005-gestion-de-riesgos-de-la-
seguridad-la-informacion/
https://www.isotools.org/2015/10/05/como-implantar-eficazmente-la-norma-iso-
27005/
https://es.slideshare.net/danger-leinad/iso-27005espanol