Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad de la información
ISO 27016 (II)
Tipo de
Categoría
valor
Descripción Activo Valor Una organización debería completar
El valor total podría
dividirse a los procesos
la valoración de sus activos de
Los activos
de negocio
relacionados con
información, considerando los
Partes dentro
definidos para
poder ejecutar y
activos específicos,
tales como los
diferentes grupos de interés que
A Organización del ámbito del
SGSI.
mantener el
negocio en el
derechos de propiedad
intelectual, bases de
incluyen:
tiempo. datos, recursos TIC,
etc. a los que se
podrían aplicar los
valores. a) Activos tangibles que componen
Los activos
definidos para una organización.
Clientes poder ejecutar y El valor definido para
B
2da y 3era
partes
individuales, mantener el los activos b) Valor de negocio generado por la
suministradores. negocio en involucrados.
relación a una cartera de clientes.
parte definida.
El valor total podría c) Activos intangibles como la
dividirse a los procesos
Cualquiera de
las partes Los activos
de negocio información, la percepción del cliente,
relacionados con
interesadas en
los aspectos de
definidos para
poder ejecutar y
activos específicos, el valor de marca, la percepción
Partes tales como derechos
C
interesadas
seguridad de
información de
mantener el
negocio en
de propiedad social.
intelectual, bases de
la organización, relación a una
datos, recursos TIC,
tales como parte definida.
etc. a los que se
propietarios.
podrían aplicar los
valores
Los activos que
Valor del impacto en la
podrían
Intereses comunidad que luego
D Sociedad comprometer el
comunitarios es transferido a la
interés de la
organización
comunidad.
Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
1.2. Costos Económicos
Para lograr los objetivos de seguridad de la información, un caso de negocio tiene que ser
presentado e incluir la gestión económica de la seguridad de la información basado en un
modelo de cálculo.
Una razón fundamental del caso de negocio como soporte para las inversiones en seguridad
de la información, es la inclusión de los costos, los ingresos y la rentabilidad.
Como todo caso de negocio será único, se debería considerar un enfoque específico en cada
caso. La gestión de inversiones de seguridad de la información no es muy diferente a la
gestión usada para justificar las inversiones destinadas al marketing para crear un impacto
en las ventas, u otra inversión organizacional. Los beneficios en términos de ingresos y
rendimientos son muy pocas veces conocidos y tienen que ser de igual manera estimados.
Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
1.3 Aplicación de cálculos económicos de las inversiones.
Los casos de negocios se pueden clasificar en dos tipos:
En la era de la sociedad de la información y con el uso creciente de Se ha venido incrementando el interés en la seguridad de la
las tecnologías de información y comunicación (TIC) los derechos información en la salud pública (información médica del paciente)
de información, de intimidad y de autor deben ser especialmente que se almacena en forma digital. Algunas veces los médicos
protegidos, ya que se trata de derechos fundamentales, con lo que necesitan acceder a esta información para poder tomar las
su vulneración o transgresión puede conllevar lesiones a la esfera mejores decisiones sobre el tratamiento del paciente, y los
más personal de un individuo. También es posible que existan pacientes tienen el derecho a determinar cómo y cuándo se va a
colisiones entre estos derechos, precisamente como consecuencia compartir la información médica de ellos.
del uso de la tecnología.
Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
2.Identificación de Partes Interesadas y objetivos para la definición de
valores.
Información Personal
En los casos en que la información se refiera a las personas y su intimidad, la norma tendrá un
efecto beneficioso, ya que es probable que la protección de la información personal y sensible
sea mejorada en las organizaciones que utilizan este estándar en asociación con un sistema de
gestión de seguridad de la información.
Medio ambiente
La norma ISO 27016 no afectará directamente al medio ambiente en un grado
significativo. Indirectamente la norma tendrá un efecto positivo sobre el medio
ambiente, ya que es probable que la información crítica para la gestión eficaz del
medio ambiente reciba una mejor protección en las organizaciones que lo utilizan en
asociación con un sistema de gestión de seguridad de la información que puede ser en
la actualidad la práctica.
Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
3. Modelos Económicos para la seguridad de la información..
El Modelo de Valor Básico tiene tres zonas con distintas características como se muestra a
continuación:
Los valores económicos directos hacen referencia a la pérdida material o inversiones directas.
En esta zona los valores pueden ser más precisos, por lo que la incertidumbre es menor.
Los valores económicos indirectos son extensiones de los valores directos y reflejan los valores
adicionales y más intangibles de pérdidas o ganancias. Los valores indirectos tienen una mayor
incertidumbre y, como tal, pueden tener rangos. Algunos de estos valores, podrían ser,
pérdidas de producción, o el aumento de la administración, entre otros.
Los valores económicos extendidos son los afectados por los valores directos e indirectos y
pueden ser bastante substanciales. Los valores extendidos tienen un mayor rango y deben ser
calculados utilizando la misma base que los valores
Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
3. Modelos Económicos para la seguridad de la información..
Modelo ROSI
En el mundo de las finanzas, la inversión de capital debe medirse por su efectividad para
generar rentabilidad para la organización. Aquí es donde entra el cálculo del retorno de
la inversión (ROSI) para la evaluación de una inversión.
Para que una inversión se justifique, debe expresar en términos cuantitativos por qué
debe suceder. Las propuestas con mayor potencial de rentabilidad generalmente ganan;
por eso las propuestas de seguridad a menudo pierden a menos que haya un evento
importante.
Este concepto de evaluación simple se aplica a todas las inversiones, incluida la seguridad.
La fuerza de una inversión se mide normalmente por la certeza y el tamaño del
rendimiento que proporcionará.
Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
3. Modelos Económicos para la seguridad de la información..
El objetivo del modelo es medir la eficacia de las inversiones, de cada uno de las
alternativas o propuestas a tener en cuenta.
La siguiente es una lista de pasos que comprenden un análisis genérico de costos y beneficios:
El objetivo del modelo es medir la eficacia de las inversiones, de cada uno de las
alternativas o propuestas a tener en cuenta.
La siguiente es una lista de pasos que comprenden un análisis genérico de costos y beneficios: