Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NORMA MEXICANA
NMX-I-2700S-NYCE-2011
@PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
J
NMX-I-2700S-NYCE-2011
PREFACIO
BANAMEX.
Por otra parte, también fue aprobada por las Instituciones y Empresas que a
continuación se señalan y que conforman el Consejo Directi o de NYCE:
@PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
." ... _ .,
"'. ~~,
.•_ I ~'"
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
Páginas
O INTRODUCCIÓN 1
2 REFERENCIAS 2
3 TÉRMINOS Y DEFINICIONES 2
5 CONTEXTO 4
- 10 DE LA SEGURIDAD DE 29
13 BIBLIOGRAFÍA 33
APÉNDICE A 34
(Informativo)
DEFINIENDO EL ALCANCE Y LÍMITES DEL PROCESO DE GESTIÓN DEL
RIESGO DE LA SEGURIDAD DE LA INFORMACIÓN
@PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
APÉNDICE B 41
(Informativo)
IDENTIFICACIÓN Y VALORACIÓN DE ACTIVOS Y EVALUACIÓN DE
IMPACTO
APÉNDICE C 54
(Informativo)
EJEMPLOS DE AMENAZAS TÍPICAS
APÉNDICE O 57
(Informativo)
VULNERABILIDADES Y MÉTODOS PARA LA EVALUACIÓN
VULNERABILIDAD
APÉNDICE E
(informativo)
ENFOQUES DE DEL RIESGO DE LA SEGURIDAD DE LA
INFORMACIÓN
APÉNDICE F
(Informativo)
RESTRICCIONES PARA LA REDUCCIÓN DEL RIESGO
APÉNDICE G 74
(Informativo)
ESTÁNDAR INTERNACIONAL QUE SE MENCIONA EN ESTA NORMA
MEXICANA CON CARÁCTER INFORMATIVO
@PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.
NORMA MEXICANA
NMX-I-2700S-NYCE-2011
O INTRODUCCIÓN
Esta Norma Mexicana proporciona las directrices para la gestión del riesgo de la seguridad
de la información en una organización, apoyando en particular los requisitos de un SGSI en
conformidad a la NMX-I-27001-NYCE. Sin embargo, esta Norma Mexicana no proporciona
ninguna metodología específica para la gestión de riesgos de seguridad de la información.
Corresponde a la organización definir su enfoque para la gestión del riesgo, dependiendo,
por ejemplo, del alcance del SGSI, el contexto de la gestión del riesgo, o del sector
industrial. Una serie de metodologías existentes pueden utilizarse bajo el marco descrito en
esta Norma Mexicana para poner en práctica los requisitos de un SGSI.
Esta Norma Mexicana es importante para gerentes y personal involucrado con la gestión del
riesgo de la seguridad de la información dentro de una organización y, donde sea más
apropiado, las partes externas que apoyan tales actividades.
Esta Norma Mexicana proporciona las directrices para la gestión del riesgo de la seguridad
de la información.
Esta Norma Mexicana es aplicable a todos los tipos de organizaciones (por ejemplo,
empresas comerciales, dependencias gubernamentales, organizaciones sin fines de lucro)
que tienen la intención de gestionar los riesgos que puedan comprometer la seguridad de la
información de la organización.
@PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
2/74
2 REFERENCIAS
3 TÉRMINOS Y DEFINICIONES
Para los propósitos de esta Norma Mexicana, los términos y definiciomes proporcionados en
las NMX-I-27002-NYCE y NMX-I-27001-NYCE, y los siguientes aplican
3.1 Impacto
@PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
-
NMX-I-2700S-NYCE-2011
3/74
NOTAS
1 En el contexto de esta Norma Mexicana, el término "actividad" es usado en lugar del término "proceso"
para la estimación del riesgo.
NOTA: En el contexto de esta Norma Mexicana, el término "actividad" es usado en lugar del término "proceso"
para la identificación del riesgo.
-
-
NOTA: En el contexto de los riesgos de la seguridad de la informacion, so amente as consecuencias negativas
(pérdidas) son consideradas para la retención del riesgo.
NOTA: En el contexto de los riesgos de la seguridad de la información, solamente las consecuencias negativas
(pérdidas) son consideradas para transferencia del riesgo.
Esta Norma Mexicana contiene la descripción del proceso de gestión del riesgo de la
seguridad de la información y sus actividades.
- @PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
4/74
Todas las actividades de gestión del riesgo como se presentan del capítulo 7 al capítulo 12
son estructuradas como sigue:
5 CONTEXTO
@PROHIBIDA LA COPIA, REPRl 'UCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-27005-NYCE-2011
5/74
información para identificar las necesidades organizativas con respecto a los requisitos de la
seguridad de la información y crear un sistema de gestión de la seguridad de la información
(SGSI). Este enfoque debe ser conveniente para el ambiente de la organización, y en
particular debe alinearse completamente con la gestión de riesgo empresarial. Los esfuerzos
de la seguridad deben dirigirse a los riesgos en una forma efectiva y oportuna dónde y
cuándo sean necesarios. La gestión del riesgo de la seguridad de la información debe ser una
parte integral de todas las actividades de la gestión de la seguridad de la información y debe
aplicarse tanto a la implementación como a la operación en curso de un SGSI.
-
La gestión del riesgo de la seguridad de la información debe contribuin a lo siguiente:
- •
•
Orden de prlorjdád
Prioridad
para el tratamiento del riesgo que es establecido
- •
•
Efectividad
Riesgos y el
de la supervisión
proceso de
del tratamiento
gestión del
del riesgo
• Gerentes y personal que son instruidos acerca de los riesgos y las acciones tomadas para
mitigarlos
©PROHIBIDA lA COPIA, REPRODUCCiÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACiÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-20 11
6/74
rEv~iuAooÑDEL-- --------------
RIESGO
r-~---------
I ANALISIS DE
-------------1 I
I RIESGO I
I , I o
I IDENTIFICACION DEL RIESGO I (.9
(J)
I I
o I I UJ
(.9 I I C2
tIl ......... ~ I I _J
UJ
C2 : ESTIMACIÓN DEL RIESGO : o
_J IL 1I z
UJ
o 'o
.....
(J)
z
'o
......
:>
UJ
u EVALUACIÓN DEL RIESGO o:::
<{
u >-
...... L _ z
.~ 'o
......
2: PUNTO 1DE LA No
(J)
PUNTO 2 DE LA
DECISIÓN DEL RIESGO
Tratamiento satisfactorio
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN D~ ·YCE, S.C.
NMX-I-2700S-NYCE-2011
7/74
El contexto se establece primero. Entonces se lleva a cabo una evaluación del riesgo. Si esto
proporciona suficiente información para determi ar efectivamente las acciones requeridas
para modificar los riesgos a un nivel aceQtable entonces la tarea está completa y se continua
con el tratamiento del riesgo. Si la información es insuficiente, se debe llevar a cabo otra
iteración de la eva uación del riesgo con el contexto revisado ( or ejemplo, los criterios de
evaluación del riesgo, los criterios de aceptación del riesgo o los criterios de impacto),
posiblemente sobre partes limitadas del alcance total (véase figura 1, Punto 1 de la Decisión
del Riesgo).
La efectividad del tratamiento del riesgo depende de los resultados de la evaluación del
riesgo. Es posible que el tratamiento del riesgo no conduzca inmeéliatamente a un nivel
aceptable de riesgo residual. En esta situación, otra iteración de la evaluación del riesgo con
parámetros de contexto cambiados (por ejemplo, evaluación del riesgo, aceptación del
riesgo o criterios de impacto), si es necesario, puede requerirse, seguido por el tratamiento
de riesgo adicional (véase figura 1, Punto 2 de la Decisión del Riesgo).
La actividad de aceptación del riesgo tiene que asegurar que los riesgos residuales son
explícitamente aceptados por los gerentes de la organizaa:ión. Esto es importante
especialmente en una situación donde la implementación de los controles es omitida o
pospuesta, por ejemplo, debido a los costos.
En un SGSI, el establecimiento del contexto, evaluación del riesgo, desarrollo del plan de
tratamiento del riesgo, y aceptación del riesgo, forman parte de la fase "Planificar". En la
- fase "hacer" del SGSI, las acciones y controles requeridos para reducir el riesgo a un nivel
aceptable son implementados en conformidad al plan de tratamiento del riesgo. En la fase
©PROHIBIDA LA COPIA, REPRODUCCiÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACiÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
8/74
"verificar" del SGSI, los gerentes deben determinar la necesidad para las revisiones de la
evaluación del riesgo y el tratamiento del riesgo a la luz de los incidentes y cambios en las
circunstancias. En la fase "actuar", algunas acciones requeridas, que incluyen la aplicación
adicional del proceso de gestión del riesgo de la seguridad de la información, son
desempeñadas.
La siguiente tabla resume las actividades relevantes de la gestión del riesgo de la seguridad
de la información para las cuatro fases del proceso SGSI:
TABLA 1.- Alineación del SGSI y el Proceso de Gestión del Riesgo de la Seguridad de
la Información
--,
Proceso SGSI 1Proceso de Gestión del Riesgo de la Seguridad de la Información
Establecimiento del contexto
Planificar y Desarrollo
Evaluación del riesgo
@PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
9/74
Una guía de implementación para los elementos necesarios del establecimiento del contexto
para soportar a un SGSI es adicionalmente discutida en 7.2, 7.3 Y 7.4.
NOTA: La NMX-I-27001-NYCE no usa el término "contexto". Sin embargo, todo el capitulo 7 se relaciona a los
requisitos "definir el alcance y los límites del SGSI" [4.2.1 a ], "definir una política SGSI" [4.2.1 b)] Y
-
"definir el enfoque de la evaluación del iesgo" [~.2.1 e)], especificados en la NMX-I-27001-NYCE.
para
Dependiendo del alcance y objetivos de la gestión del riesgo, diferentes enfoques pueden
aplicarse. El enfoque también puede ser diferente para cada iteración.
Un enfoque de la gestión del riesgo apropiado debe seleccionarse o desarrollarse, que señale
el criterio básico tal coro: criterio de evaluación del riesgo, críterlo de impacto, criterio de la
aceptación del riesgo.
• Supervisar controles
NOTA: Véase también la NMX-I-27001-NYCE (5.2.1) con respecto a la provisión de recursos para la
implementación y operación de un SGSI.
El criterio de evaluación del riesgo debe desarrollarse para evaluar el riesgo de la seguridad
de la información de la organización que considera lo siguiente:
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL t ·OTAl DE ES¡'" NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
10/74
Adicionalmente, el criterio de evaluación del riesgo puede usarse para especificar prioridades
para el tratamiento del riesgo.
Criterio de impacto
El criterio de impacto debe desarrollarse y especlñcarse en términos del grado del daño a de
los costos a la organización, causada por un evento de la seguridad de la información que
considera lo siguie te:
• Daño de reputación
NOTA: Véase también la NMX~-2700lo.NYCE [4.2.1 d) 4] con r:especto a la identificación del criterio de impacto
para pérdidas de la confidencialidad, integridad y disponibilidad.
Una organización debe definir sus propias escalas para los niveles de aceptación del riesgo.
Lo siguiente debe considerarse durante el desarrollo:
• El criterio de aceptación del riesgo puede incluir múltiples umbrales, con un nivel
objetivo deseado del riesgo, pero la provisión para los gerentes superiores para aceptar
riesgos por arriba de este nivel bajo circunstancias definidas.
• El criterio de aceptación del riesgo puede expresarse como la razón de las utilidades
estimadas (u otros beneficios de los negocios) al riesgo estimado
• El criterio de aceptación del riesgo diferente puede aplicar a diferentes clases de riesgo,
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
11/74
por ejemplo, los riesgos que pueden resultar en una no-conformidad con las regulaciones
o leyes no pueden aceptarse, mientras que la aceptación de riesgos altos puede
permitirse si esto es especificado como un requisito contractual.
• El criterio de aceptación del riesgo puede incluir los requisitos para el tratamiento futuro
adicional, por ejemplo, un riesgo puede aceptarse si hay aprobación y compromiso para
tomar acción para reducirlo a un nivel aceptable dentro de un periodo de tiempo
definido.
El criterio de aceptación del riesgo puede diferir en conformidad a cuánto tiempo se espera
que el riesgo exista, por ejemj210, el riesgo j2ue e asociarse con una actividad temporal o de
corto plazo. El criterio de aceptación elel riesgo debe establecerse corrsiderando lo siguiente:
• Criterio de negocios
• Operaciones
• Tecnología
- • Finanzas
NOTA: El criterio de aceptación del riesgo corresponde al "criterio para aceptar riesgos e identificar el nivel
aceptable de riesgo" especificado en la NMX-I-27001-NYCE, 4.2.1 c) 2).
7.3
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
12/74
• Activos de información.
• Ambiente socio-cultural.
Ejemplos del alcance de la gestión del riesgo pueden ser una aplicación TI, infraestructura
TI, un proceso de rnegocios, o una parte definida de una organización.
NOTA: El alcance y límites de la gestión del riesgo de la seguridad de la información están relacionados al alcance
y límites del SGSI requeridos en la NMX-I-27001-NYCE, 4.2.1 a). .
• Definición de roles y responsabilidades de todas las partes tanto internas como externas
a la organización.
©PROHIBIDA lA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
- organización (por ejemplo, gestión del riesgo operacional) así como las interfases
13/74
a otros
proyectos a actividades relevantes.
NOTA: La NMX-I-27001-NYCE requiere la determinación y provisión de los recursos necesarios para establecer,
implementar, operar, supervisar, revisar, mantener y mejorar un SGSI [5.2.1 a)]. La organización para las
operaciones de gestión del riesgo puede consJderarse como uno de los recursos requeridos por la NMX-I-
27001-NYCE.
La evaluación del riesgo determina el valor de los activos de información, identifica las
amenazas y vulnerabilidades aplicables que existan (o puedan existir), identifica los
controles existentes y su efecto sobre el riesgo identificado, determina las consecuencias
potenciales y finalmente asigna una prioridad a los riesgos derivados y los clasifica en contra
@PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
14/74
La evaluación del riesgo es llevada a cabo a menudo en dos (o más) iteraciones. Primero una
evaluación de nivel alto es llevada a cabo para identificar los riesgos potencialmente altos
que justifica una evaluación adicional. La siguiente iteración puede involucrar más a fondo
una consideración de los riesgos potencialmente altos revelados en la iteración inicial. Donde
esto proporciona información insuficiente para evaluar el riesgo, entonces análisis detallados
adicionales son llevados a cabo, probablemente sobre partes del alcance total, y
posiblemente usando un método diferente.
Salida: Una lista de riesgos evaluados asignada con una prioridad en conformidad al criterio
de evaluación del riesgo.
El propósito de la identificación del riesgo es determinar qué puede suceder para causar una
pérdida potencial, y conseguir una. idea de cómo, dónde y por qué la pérdida puede suceder.
Los pasos descritos en los siguientes incisos de 8.2.1 deben recolectar datos de entrada para
la actividad de la estimación del riesgo.
NOTA: Las actividades descritas en los incisos posteriores pueden llevarse a cabo en un orden diferente que
depende de la metOclologla aplica a.
Entrada: Alcance y límites para la evaluación del riesgo a llevarse a cabo, lista de
componentes con propietarios, ubicación, función, etc.
Acción: Los activos dentro del alcance establecido deben identificarse (se relaciona a la NMX-
1-27001-NYCE, 4.2.1 d) 1)).
Guía de implementación: Un activo es algo que tiene valor para la organización y el cual, por
lo tanto, requiere protección. Para la identificación de activos debe considerarse que un
sistema de información consiste de más que solo hardware y software.
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-27005-NYCE-2011
15/74
Salida: Una lista de activos para gestionarse el riesgo, y una lista de procesos de negocios
relacionados a los activos y sus relevancias.
Guía de implementación: Una amenaza tiene el potencial para perjudicar les activos tales
como la información, procesos y sistemas, y por lo tanto, a las a ganizaciones. Las
amenazas pueden ser de origen natural a humano, y pueden ser accidentales a deliberados.
Tanto las fuentes de amenaza accidentales como las deliberadas deben identificarse. Una.
amenaza puede sl!.lrgir desde dentro a desde el exterior de la orga ización. Las amenazas
deben identificarse €Ienéfie:a e te 'i go e ti~o t130 ejSilll~, aecto es no autorizadas, daño
físico, fallas técnicas) y además donde las amenazas individuales apropiadas dentro de la
clase genérica identificada. Esto significa que ninguna amenaza es pasada por alto,
incluyendo la inesperada, pero el volumen de trabajo requerido es limitado.
Algunas amenazas pueden afectar a más de un activo. En tales casos, pueden causar
diferentes impactos que dependen de cuales activos son afectados.
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA 'IRMA MEXI~"'A POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
16/74
Salida: Una lista de amenazas con la identificación del tipo y. la fuente de amenaza.
Los controles que son planificados para ser implementados en conformidad a los planes de
implementación del tratamiento del riesgo deben considerarse en la misma forma como
aquellos que ya están implementados.
• Revisar documentos que contienen información acerca de los controles (por ejemplo, los
planes de implementación del tratamiento del riesgo). Si los procesos de la gestión de la
seguridad de la información están bien documentados, todo lo existente a los controles
planificados y el estatus de su implementación deben estar disponibles;
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-27005-NYCE-2011
17/74
• Llevar a cabo una revisión en sitio de los controles físicos, comparando aquellos
implementados con la lista de qué controles deben estar ahí, y verificar aquellos
implementados así como sí están trabajando correctamente y efectivamente, a
Acción: Vulnerabilidades que pueden explotarse mediante amenazas ara causar daño a los
activos a a la organización deben. identificarse (se relaciona a la M -I-27001-NYCE, 4.2.1
d) 3)).
• Organización.
• Procesos y procedimientos.
- .• Rutinas de gestión.
• Personal.
• Ambiente físico.
La presencia de una vulnerabilidad no causa daño por sí mismo, ya que las necesidades son
una amenaza presente para explotarlo. Una vulnerabilidad que no tiene amenaza
correspondiente puede no requerir la implementación de un control, pero debe reconocerse y
supervisarse para cambios. Debe notarse que un control implementado incorrectamente a un
control en mal funcionamiento a un control que es usado incorrectamente, puede por sí
mismo, ser una vulnerabilidad. Un control puede ser efectivo a inefectivo dependiendo del
ambiente en el cual opera. A la inversa, una amenaza que no tiene una vulnerabilidad
- @PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
18/74
Las vulnerabilidades pueden relacionarse a las propiedades del activo que puede usarse en
una forma, o para un propósito, aparte de aquel previsto cuando el activo fue comprado o
hecho. Las vulnerabilidades que surgen de diferentes fuentes necesitan considerarse, por
ejemplo, aquellas intrínsecos o extrínsecas al activo.
Salida: Una lista de vulnerabilidades en relación con los activos, amenazas y controles; una
lista de vulnerabilidades que no relaciona a cualquier amenaza identificada para revisión.
Entrada: Una lista de activos, una lista de procesos de negocios, y una lista de amenazas y
vulnerabilidades, donde sea más apropiado, relacionada a activos y sus relevancias.
Esta actividad identifica el daño o las consecuencias a la organización que pueden ser
causadas por una pers,Rectiva de incidente. Una perspectiva de incidente es la descripción de
una amenaza que explota una cierta vulnerabilidad o conjunto de vulnerabilidades en un
incidente de la seguridad de la información (véase la NMX,-I-27002-NYCE, capítulo 13). El
impacto de las perspectivas de incidente es determinado considerando el criterio de impacto
definido durante la actividad del establecimiento del contexto. Pue e afectar uno o más
activos o parte de un activo. De este modo, los activos pueden tener asignados valores tanto
para su costo ñnahcíero como de ido a las c nsecuencias o negocios si son dañados o
comprometidos. Las consecuencias pueden ser de una naturaleza temporal o pueden ser
permanentes como en el caso de la destrucción de un activo.
NOTA: La NMX-I-27001-NYCE describe la ocurrencia de las perspectivas de incidente como "fallas de seguridad".
• Pérdida de oportunidad
• Salud y Seguridad
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
19/74
Salida: Una lista de perspectivas de incidente con sus consecuencias relacionadas a los
activos y procesos de negocios.
El análisis del riesgo puede asumirse en grados variables de detalle que dependen de la
importancia de lo activos, la extensión dé las vulnerabili ade"S conocidas, previo a los
incidentes que se involucran en la organización. Una metodología de la estimación puede ser
cualitativa o cuantitativa, o una combinación de estos, que depende de las circunstancias. En
la práctica, la esti ación cualitativa es a menudo usada primero para obtener una indicación
general del nivel de riesgo y revelar los riesgos mayores. Más tarde puede ser necesario
asumir análisis más e pecíficos o cuantitativos sobre los riesgos mayores debido a que es
usualmente menos omplejo y menos caro desempeñar análisis cualitativos que
cuantitativos.
La estimación cualitativa usa una escala de atributos eliminatorios para describir la magnitud
- de las consecuencias potenciales (por ejemplo, Baja, Media y Alta) y la probabilidad de que
aquellas consecuencias deban ocurrir.
facilidad de entendimiento
Una ventaja de la es imación cualitativa es su
Ror todo el ReFsonal relevant rníerítras una desventaja es la
dependencia de la elección subjetiva de la escala.
Estas escalas pueden adaptarse o ajustarse para convenir a las circunstancias y diferentes
descripciones pueden usarse para diferentes riesgos. Una estimación cualitativa puede
usarse:
• Como una actividad de proyección inicial para identificar riesgos que requieren análisis
más detallados.
• Donde este tipo de análisis es apropiado para decisiones.
• Donde los datos numéricos a recursos son inadecuados para una estimación cuantitativa
La estimación cuantitativa usa una escala con valores numencos (más que las escalas
descriptivas usadas en la estimación cualitativa) tanto para las consecuencias como para la
probabilidad, usando datos de una variedad de fuentes. La calidad de los análisis depende de
- ©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
20/74
La forma en la cual las consecuencias y la probabilidad son expresadas y, las formas en las
cuales son combinadas para proporcionar un nivel de riesgo, deben variar en conformidad al
tipo del riesgo y el propósito para el cual la salida de la evaluación del riesgo está para
usarse. La incertidumbre y la variabilidad t nto de las consecuencias Goma de la probabilidad
deben considerarse en el análisis y comunicarse efectivamente.
Entrada: Una lista de las perspectivas relevantes de incidente identificadas, que incluyen la
identificación de amenazas, vulnerabilidades, activos afectados, consecuencias para los
activos y los procesos de negocios.
Acción: El impacto de los negocios en la organización que puede resultar de los incidentes
de la seguridad de la información actual a posible debe evaluarse, tomando en cuenta las
consecuencias de un incumplimiento de la seguridad de la informaclón tal como la pérdida
de la confidencialidad, integridad a disponibilidad de los activos (se relaciona a la NMX-I-
27001-NYCE. 4.2.1 e) 1)).
Guía de implementación: Después de identificar todos los activos bajo revisión, los valores
asignados a estos activos deben tomarse en cuenta mientras se e alúan las consecuencias.
El valor del impacto de los negocios puede expresarse en forma cualitativa y cuantitativa,
pero cualquier método de asignación de valor monetario puede proporcionar generalmente
más información para la toma de decisión y, por consiguiente, facilita un proceso de toma de
decisión más eficiente.
• Las consecuencias de negocios de pérdida a compromiso del activo, tales como los
negocios adversos potenciales y/o consecuencias legales a reguladores de la revelación,
modificación, no-disponibilidad y/o destrucción de la información, y otros activos de
información.
Esta valoración puede determinarse del análisis del impacto de los negocios. El valor,
determinado por la consecuencia para los negocios, es usualmente, considerablemente, más
alto que el costo de reemplazo simple, que depende de la importancia del activo para la
organización en el cumplimiento de sus objetivos de negocios.
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZAC -'IN DE NYCE, :jI.C.
NMX-I-2700S-NYCE-2011
21/74
La valoración del activo es un factor clave en la evaluación del impacto de una perspectiva
de incidente, debido a que el incidente puede afectar más que un activo (por ejemplo,
activos dependientes), o solamente una parte de un activo. Las amenazas y vulnerabilidades
diferentes tienen impactos diferentes sobre los activos, tales como una pérdida de la
confidencialidad, integridad o disponibilidad. La evaluación de las consecuencias es así
relacionada a la evaluación del activo basado en el análisis del impacto de los negocios.
- Las consecuencias pueden expresarse en términos del criterio de impacto monetario, técnico
o humano, u otro criterio relevante a la organización. En algunos casos, más de un valor
numérico es requerido para especificar las consecuencias para diferentes tiempos, lugares,
grupos o situaciones.
Las consecuencias en tiempo y finanzas deben medirse con el mismo enfoque usado para la
probabilidad y vulnerabilidad de amenaza. La consistencia tiene que mantenerse sobre el
enfoque cuantltatlvo o cualitativo.
Más inforrnaélón tanto de la valoración del activo como de la eválüaélón del impacto puede
encontrarse en el apéndice B.
Salida: Una lista de consecuencias evaluadas de una perspectiva tie incidente expresada con
respecto a los activos y al criterio de impacto.
Entrada: Una lista de las perspectivas relevantes de incidente identificadas, que incluyen la
identificación de amenazas, aetivos afeet:ados, vulner "d des y. ca secuencias explotadas a
los activos y procesos de negocios. Además, las listas de todos los controles existentes o
planificados, su efectividad, implementación y estatus de uso.
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
22/74
Por ejemplo, un sistema de información puede tener una vulnerabilidad para las amenazas
de hacerse pasar por la identidad de un usuario y hacer mal uso de los recursos. La
vulnerabilidad de hacerse pasar por la identidad de un usuario puede ser alta debido a la
carencia de autentificación del usuario. Por una parte, la probabilidad del mal uso de los
recursos puede ser baja, a pesar de la carenoia de la autentificación del usuario, debido a
que las formas de acer mal uso de los recur: os son limitadas.
Entrada: Una lista de las perspectivas de incidente con sus consecuencias relacionadas a los
activos y procesos (le negocios y sus probabilidades (cuantitativas a cualitativas).
Acción: El nivel del riesgo debe estimarse .para todas las perspectivas de i eidente relevantes
(se relaciona a la NMX-I-27001-NYCE, 4.2.1 e) 4)).
Entrada: Una lista de los riesgos con niveles de valor asignados y el criterio de la evaluación
del riesgo.
Acción: El nivel de riesgos debe compararse en contra del criterio de la evaluación del riesgo
y el criterio de aceptación del riesgo (se relaciona a la NMX-I-27001-NYCE, 4.2.1 e) 4)).
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
23/74
riesgo y al criterio de la evaluación del riesgo que se usan para hacer esas decisiones pueden
haberse decidido cuando se establece el contexto. Estas decisiones y el contexto deben
reconsiderarse con más detalle en esta etapa cuando se conoce más acerca de los riesgos
particulares identificados. Para evaluar riesgos, las organizaciones deben comparar los
riesgos estimados (usando métodos a enfoques seleccionados como se discuten en el
apéndice E) con el criterio de evaluación del riesgo definido durante el establecimiento del
contexto.
,-- El criterio de evaluación del riesgo usado para hacer decisiones debe ser consistente con el
contexto de la gestión externa e interna del riesgo de la seguridad de la información definida
y tomar en cuenta los objetivos de la organizaoión y los puntos de vista del responsable, etc.
Las decisiones como se toman en la activiélad de la eva uácrón del riesgo son basadas
principalmente en I nivel del riesgo aceptable. Sin embar a las consecuencias, probabilidad
y el grado de confianza en la identificación de riesgo y el análisis deben considerarse
- también. La agrupación de los múltiples riesgos bajos a medios puede resultar en riesgos
globales mucho más altos y necesitan señalarse como corresponde.
.La evaluación del riesgo usa el entendimiento del riesgo obtenido mediante el análisis del
riesgo para hacer decisiones acerca de las acciones futuras. Las decisiones deben incluir:
• Asignar una prioridad para el tratamiento del riesgo que considera los niveles estimados
de los riesgos
- Durante la etapa de evaluación del riesgo, los requisitos contractuales, legales y reguladores
son factores que deben tomarse en cuenta adicional a los riesgos estimados.
Salida: Una lista de riesgos a los cuales se les asigna una prioridad en conformidad al
criterio de la evaluación del riesgo en relación con las perspectivas de incidente que
conducen a aquellos riesgos.
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
24/74
Entrada: Una lista de riesgos a los cuales se les asigna una prioridad en conformidad al
criterio de evaluación del riesgo en relación con las perspectivas de incidente que conduzcan
a esos riesgos.
Acción: Los controles para reducir retener, evitar, o transferir los riesgos deben seleccionarse
y un plan de tratamiento de riesgo definido.
Guía de implementación: Hay cuatro opciones disponibles para el tratamiento del riesgo: la
reducción del riesgo (véase 9.2), retención del riesgo (véase 9.3), evasión del riesgo (véase
9.4) y transferencia del riesgo (véase 9.5).
NOTA: La NMX-I-27001-NYCE, 4.2.1 f) 2) usa el término "aceptar el riesgo" en lugar tie "retener el riesgo".
La figura 2 ilustra la actividad del tratamiento del riesgo dentro del proceso de gestión del
riesgo de la seguridad de la información como se presenta en la figura 1.
Las opciones del tratamiento del riesgo deben seleccionarse basada en el resultado de la
evaluación del riesgo, los costos esperados para implementar estas opciones y los beneficios
esperados de estas opciones.
Cuando las reducciones grandes en los riesgos pueden obtenerse con un gasto bajo
relativamente, tales opciones deben implementarse. Las opciones adicionales para mejoras
pueden ser necesidades no-económicas y legales para ejercitarse sí son justificables.
Las cuatro opciones para el tratamiento del riesgo no son mutuamente exclusivas. Algunas
veces la organización puede beneficiar substancialmente, mediante una combinación de
opciones, tales como la reducción de la probabilidad de los riesgos, la reducción de sus
consecuencias, y la transferencia o retención de algunos riesgos residuales.
@PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
- NMX-I-27005-NYCE-2011
25/74
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEX_ '''NA POR CU"'r-QUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
26/74
El establecimiento del contexto (véase 7.2 - Criterio de evaluación del riesgo) proporciona la
información obre los requisitos legales y reguladores con los cuales la organización necesita
cumplir. El riesgo para las organizaciones es el fracaso para cumplir y las opciones del
tratamiento que limitan esta posibilidad deben implementarse. Todas las restricciones -
organizativas, técnicas, estructurales, etc. - que son identificadas durante la actividad del
establecimiento del contexto deben tomarse en cuenta durante el tratamiento del riesgo.
Una vez que el Ian de tratamiento del riesgo ha sido definido, los riesgos residuales
necesitan deterrniáarse. Esto involucra una actualización a re-iteración de la evaluación del
riesgo, tomando en cuenta los efectos esperados del tratarniento del riesgo propuesto. El
riesgo residual no debe cumplir aún con el criterio de aceptación del riesgo de la
organización, una iteración adicional del tratamiento del riesgo puede necesitarse antes de
proceder a la acepta€ión del r:iesgo. Más infosrnaeién Ruede eneontrarse en la NMX-I-27002-
NYCE, inciso 0.3.
Salida: El plan de tratamiento del riesgo y los riesgos residuales sujetos a la decisión de
aceptación de los gerentes de la organización.
Acción: El nivel del riesgo debe reducirse a través de la selección de controles, de modo que
el riesgo residual pueda re-evaluarse para ser aceptable.
@PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
- 27/74
Hay algunas restricciones que pueaen afectar la selección e controles. Las restricciones
técnicos tales como los requisitos de desem eño¡ la habilidad de gestionarse (requisitos de
soporte operacionales) y los asuntos de compatibilidad pueden difiaultar el uso de ciertos
controles o pueden inducir al error humano o anular el control, dando un sentido de
seguridad falso o aún al incremento del riesgo más allá de no tener el control (por ejemplo,
que se requiera contraseñas complejas sin la capacitación apropiada, Que lleva a los usuarios
a anotar las contraseñas). Además, puede ser el caso de que un C0 trol pueda afectar el
desempeño. Los gerentes deben intentar identificar una solución que satisfaga los requisitos
de desempeño mientras se garantiza lo sufi iente la seguridad de la información. El
resultado de este paso es una lista de controles posibles, con su costo; beneficio, y prioridad
de implementación.
Varias restricciones deben tomarse en cuenta cuando se seleccionan los controles y durante
la implementación. Tí icamente, los siguientes se consideran:
,....
• Restricciones de tiempo.
• Restricciones financieras.
• Restricciones téenle s
• Restricciones operacionales.
• Restricciones culturales.
• Restricciones éticas.
• Restricciones ambientales.
• Restricciones legales.
,...
• Facilidad de uso.
• Restricciones personales.
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
28/74
Acción: La decisión sobre retener el riesgo sin acción adicional debe tomarse dependiendo de
la evaluación del riesgo.
Guía de implementación: Si el nivel del riesgo cumple con el criterio de aceptación del
riesgo, no hay necesidad de implementar controles adicionales y el riesgo puede retenerse.
Guía de implementación: Cuando los riesgos identificados son conside ados demasiado altos,
a los costos de implementación de otras opciones del tratamiento (lei riesgo exceden los
beneficios, una decisión puede hacerse para evitar el riesgo completamente, mediante el
retiro de una actividad planeada a existente a conjunto de actividatles, a cambiando las
condiciones bajo las cuales la actividad es operada. Por ejemplo, parr los riesgos causados
por natura eza puede] alternativo, ser más efectivo en costos mover físicamente las
instalaciones del procesamiento de la información a un lugar donde el iesgo no existe a está
bajo control.
Acción: El riesgo debe transferirse a otra parte que pueda gestionar más efectivamente el
riesgo particular dependiendo de la evaluación del riesgo.
Guía de implementación: La transferencia del riesgo involucra una decisión para compartir
ciertos riesgos con las partes externas. La ransferencla dél riesgo puede crear nuevos
riesgos a modificar los existentes. Por lo tanto, el tratamiento adicional del riesgo puede ser
necesario.
Debe notarse que puede ser posible transferir la responsabilidad para gestionar el riesgo
pero es normalmente posible transferir la responsabilidad de un impacto. Los consumidores
deben atribuir usualmente un impacto adverso como la falla de la organización.
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
29/74
Entrada: El plan de tratamiento del riesgo y la evaluación del riesgo residual sujeto a la
decisión de aceptación de los gerentes de la organización.
Acción: La decisión para aceptar los riesgos y responsabilidades para la decisión deben
hacerse y registrarse formalmente (esto se relaciona a la NMX-I-27001-NYCE, 4.2.1 h)).
Guía de implementación: Los planes del tratamiento del riesgo deben describir como los
riesgos evaluados son tratados para €um¡;¡lir con el criterio de acegtación del riesgo (véase
7.2, Criterio de aceptación del riesgo). Es importante para los gerentes responsables revisar
y aprobar los planes propuestos de tratamiento del riesgo y ríesqos residuales resultantes, y
registrar algunas condiciones asociadas con tal aprobación.
El criterio de aceptación del riesgo puede ser más complejo que solo determinar sí, a no, un
riesgo residual cae por arriba a por debajo de un umbral sencillo.
En algunos casos el nivel del riesgo residual puede no cumplir con e criterio de aceptación
del riesgo debido a que el criterio que se aplica no toma en cuenta las circunstancias
prevalecient~. Por ejemplo, puede argumentarse que es necesan o aceptar los riesgos
debido a que los beneficios que acompañan a los riesgos son muy atractivos, a debido a que
el costo de la re ucción del riesgo es demasiado alto. Tales cincunsta cias que indican el
criterio de aceptación del riesgo son inadecuadas y deben revisarse, si es posible. Sin
embargo, no siempre es posible revisar el criterio de aceptación del riesgo en una forma
oportuna. En tales circunstancias, los gerentes de decisión pueden tener que aceptar los
riesgos que no cumplan con el criterio de aceptación normal. Si esto es necesario, el
tomador de decisión debe comentar explícitamente sobre los riesgos e incluir una
justificación para la decisión de invalidar el criterio normal de aceptaci9n del riesgo.
Salida: Una lista de riesgos aceptaaos con justificación par-a aqtlellos que no cumplen con el
criterio normal de aceptación del riesgo de la organización.
Entrada: Toda la información del riesgo obtenida de las actividades de la gestión del riesgo
(véase figura 1).
Acción: Información acerca del riesgo debe intercambiarse y/o compartirse entre el tomador
de decisión y otros responsables.
@PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
30/74
impacto significativo sobre las decisiones que deben hacerse. La comunicación debe asegurar
que aquellos responsables de implementar la gestión del riesgo, y aquellos con un
entendimiento del interés creado entiendan la base sobre la cual las decisiones son hechas y
por qué las acciones particulares son requeridas. La comunicación es bi-direccional.
Las percepciones del riesgo pueden variar debido a las variaciones en las suposiciones,
conceptos y las necesidades, temas y asuntos de los responsables como se relacionan al
riesgo o los temas bajo discusión. Los responsables posiblemente están para hacer los juicios
sobre la aceptabilidad del riesgo basado en us percepciones del riesgo. Esto es
especialmente importante para asegurar que las percepciones de los responsables del riesgo,
así como sus perce~ciones de los beneficios, pueden identificarse y documentarse y las
razones subyacentes se entiendan y señalen claramente.
• Compartir los resultados de la evaluación del riesgo y presentar el plan del tratamiento
del riesgo.
• Mejorar la conciencia.
Una organización debe desarrollar los planes de la cornunlcación del riesgo para las
operaciones normales así como para las situaciones de emergencia. Por lo tanto, la actividad
de la comunicación del riesgo debe desarrollarse continuamente.
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
31/74
riesgo
Acción: Los riesgos y sus factores (es decir, el valor de los activosr impactos, amenazas,
probabilidad de ocurrencia) deben supervisarse y revisarse para identificar cualquier cambio
en el contexto de la organización en cualquier etapa temprana.
• Nuevos activos que han sido incluidos en el alcance de la gestión del riesgo.
• Modificación necesaria de valores del activo, por ejemplo, debido a los requisitos de los
,..... negocios cambiado.
@PROHIBIDA LA COPIA, REPROc 'CCIÓN PARCl.~l O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
32/74
consideradas en el capítulo 9.
Los factores que afectan la probabilidad y las consecuencias de las amenazas que ocurren
pueden cambiar, al igual que los factores que afectan lo apropiado a el costo de las varias
opciones de tratamiento. Los cambios mayores que afectan a la organización deben ser
razón para una revisión más específica. Por lo tanto, las actividades de supervisión del riesgo
deben ser repetidas regularmente y las opciones seleccionadas para el tratamiento del riesgo
deben ser revisadas periódicamente.
El resultado de las actividades de supervisión del riesgo puede ser una entrada a otras
actividades de revisión del riesgo. La or anización debe revisar todos los riesgos
regularmente, y cuando camoios mayores ocurran (en conformidad a la NMX-I-27001-NYCE,
4.2.3).
Salida: Alineación continua de la gestión de los riesgos con los objetivos de negocios de la
organización, y com el criterio de aceptación del riesgo.
Entrada: Toda la información del riesgo obtenida de las actividades de la gestión del riesgo
(véase figura 1).
Adicionalmente, la organización debe verificar regularmente que el criterio usado para medir
el riesgo y sus elementos son aún válidos y consistentes con los objetivos, estrategias y
políticas de los negocios, y que los cambios al contexto de los negocios son tomados en
consideración adecuadamente durante el proceso de gestión del riesgo de la seguridad de la
información. Esta actividad de supervisión y revisión debe señalar (pero no limitarse a):
• Contexto de competencia.
• Enfoque de la evaluación del riesgo.
©PROHIBIDA LA COPIA, REPF. I)UCCIÓN PAR.>CIALO TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
33/74
• Criterio de impacto.
• Recursos necesarios.
La organización debe asegurar gue la evaluación del riesgo y. los recursos del tratamiento del
riesgo estén continuamente disponibles para revisar el riesgo, dirigir amenazas o
vulnerabilidades nuevas o cambiadas, y aconsejar a una gestión como corresponde.
• Cambios identificados.
• Objeto del proceso de gestión del riesgo de la seguridad de la información (por ejemplo,
organización, unidad de negocios, proceso de información, su implementación técnica,
aplicación, conexión a Internet)
13 BIBLIOGRAFÍA
- Esta Norma
"Information
Mexicana es idéntica (lOT) a la Norma Internacional
technology - Security techniques - Information security
ISO/lEC 27005: 2008
risk management".
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE I_ ·<:E, S.C.
NMX-I-2700S-NYCE-2011
34/74
APÉNDICE A
(Informativo)
Sus negocios. Los negocios de la orqanización, definidos mediante las técnicas y el saber
cómo de sus ernp eados, le permiten lograr sus misiones. Es específico al campo de la
organización de una actividad y a menudo define SI) cultura.
Sus valores. Los valores son principios mayores a un código bien definido de conducta
aplicado al ejercicio de un negocio. Esto puede concernir al personal, relaciones con agentes
externos (consumidores, etc.), la calidad de los productos provistos a servicios
proporcionados.
Tomar el ejemplo de una organización cuyo propósito es el servicio público, cuyo negocio es
transportar y cuyas misiones incluyen la transportación de niños a, y de, la escuela. Sus
valores pueden ser la puntualidad del servicio y la seguridad durante el transporte.
@PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-27005-NYCE-2011
35/74
Comentarios:
• Una organización puede decirse que tiene una estructura matriz si tiene
elementos de ambos tipos de estructura.
La estrategia de la organización. Esto requiere una expresión formal de los principios de guía
de la organización. La estrategia de la organización determina la dirección y el desarrollo
necesario para beneficiarse de los asuntos en juego y de los cambios mayores está
-. planeando.
@PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
36/74
Por ejemplo, algunos servicios deben ser capaces de continuar aún durante una crisis seria.
Restricciones estructurales
Por ejemplo, una estructura internacional debe ser capaz de reconciliar los requisitos de
seguridad específicos a cada país.
Restricciones funcionales
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
37/74
Por ejemplo, una organización que opera diario debe asegurar que sus recursos estén
..... disponibles continuamente .
Por ejemplo, el personal entero de una organización de defensa debe tener autorización para
manejar información altamente confidencial.
Los métodos apropiados al saber cómo de la organización necesitan imponerse para aspectos
tales como planificación, especificaciones, desarrollo de un proyecto, etc.
Por ejemplo, una restricción típica de este tipo es la necesidad para incorporar las
obligaciones legales de la organización dentro de la política de seguridad ..
Algunos hábitos de trabajo en las organizaciones a los negocios principales han llevado a
una "cultura" específica dentro de la organización, uno de los cuales pueden ser
incompatibles con los controles de la seguridad. Esta cultura es el marco de trabajo de
referencia general del personal y puede determinarse mediante algunos aspectos, que
incluyen educación, instrucción, experiencia profesional, experiencia ajena al trabajo,
opiniones, filosofía, creencias, estatus social, etc.
.....
Restricciones presupuestarias
Los controles de seguridad recomendados pueden tener, algunas veces, un costo muy alto.
..... Mientras no es siempre apropiado a las inversiones de seguridad base sobre la rentabilidad,
la justificación económica es requerida generalmente por el departamento financiero de la
orga nización.
Por ejemplo, en el sector privado y algunas organizaciones públicas, el costo total de los
controles de la seguridad no debe exceder el costo de las consecuencias potenciales de los
riesgos. La gestión superior debe, por lo tanto, evaluar y tomar los riesgos calculados si
quieren evitar los costos de seguridad excesivos.
- ©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
38/74
Los requisitos reguladores aplicables a la organización deben identificarse. Estos pueden ser
leyes, decretos, regulaciones específicas en el campo de la organización a las regulaciones
internas/externas. Esto puede concernir a contratos y acuerdos y generalmente más algunas
obligaciones de una naturaleza legal a reguladora.
Restricciones técnicas
Las restricciones técnicas, que se relacionan a la infraestructura, generalm nte surgen del
hardware y software instalado, y los cuartos a .sitlos que alojan los procesos:
• Hardware (requisitos que conciernen a normas, calidad, conformidad con normas, etc.).
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
.... 39/74
Restricciones financieras
Restricciones ambientales
Las restricciones ambientales surgen del ambiente geográfico u económico en las cuales los
procesos son implementados: ¡::>aísJclima, riesgos naturales, situación geográfica, clima
económico, etc.
Restricciones de tiempo
Los métodos apropiados para el saber cómo de la organización deben usarse para la
planificación, especificaciones, desarrollo del proyecto; y etc.
Restricciones organizativas
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
40/74
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
41/74
APÉNDICE B
,..... (Informativo)
Para desempeñar una valoración de activo, una organización necesita primero identificar sus
activos (en un nivel apropiado de detalle). Dos tipos de activos pueden distinguirse:
• Los activos de soporte (sobre los cuales los elementos primarios del alcance dependen)
de todos los tipos:
• Hardware.
• Red.
• Sitio.
Para describir el alcance más precisamente, esta actividad consiste en identificar los activos
primarios (procesos y actividades de negocios, información). Esta identificación es llevada a
cabo mediante un grupo de trabajo mezclado representativo del proceso (gerentes,
especialistas y usuarios de los sistemas de información).
Los activos primarios son usualmente los procesos e información esenciales de la actividad
en el alcance. Otros activos primarios tales como los procesos de la organización pueden
considerarse también, los cuales son más apropiados para preparar una política de la
seguridad de la información o un plan de continuidad de negocios. Dependiendo del
propósito, algunos estudios no requieren un análisis exhaustivo de todos los elementos que
completan el alcance. En tales casos, los límites de estudio pueden limitarse a los elementos
clave del alcance.
©PROHIBIDA lA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
42/74
• Procesos que son necesarios para que la organización cumpla con los requisitos
contractuales, legales o reguladores.
2.- Información:
• Información personal, así puede definirse específicamente e(l el sentido de las leyes
nacionales con respecto a la privacidad.
Los procesos e información que no son identificados como sensibles después de esta
actividad tienen una clasiflcaeión no definida en el resto del estudio. Esto significa que aún si
tales procesos o información son comprometidos, la organización aún logra la misión
exitosamente.
Sin embargo, a menudo heredan los controles implementados para proteger los procesos e
información identificados como sensibles.
El alcance consiste de activos que deben identificarse y describirse. Estos activos tienen
vulnerabilidades que son explotables mediante amenazas que apuntan a afectar los activos
primarios del alcance (procesos e información). Son de varios tipos:
Hardware
El tipo de hardware consiste de todos los elementos físicos que soportan los procesos.
©PROHIBIDA LA COPIA, REPRODUCCIÓN PA -IAL O TOTAL I:lE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
43/74
Equipo transportable
- Equipo de cómputo
Ejemplos: computadora
portátil.
Equipo fijo
Medio electrónico
Ejemplos: disco flexible, CD-ROM, cartucho de respaldo, disco duro removible, llave
de memoria, cinta.
Otros medios
Software
Sistema operativo
Esto incluye todos los programas de una computadora que prepara la base operacional de la
cual los demás programas (servicios a aplicaciones) se ejecutan. Incluye un kernel y
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
44/74
Software caracterizado por el hecho de que complementa los servicios del sistema operativo
y no está directamente en el servicio de los usuarios o aplicaciones (aún cuando es
usualmente esenéial o aún intlispensable para la operación global del sistema de
información).
Aplicación de negocios
Esto es un software comercial diseñado para dar a los usuarios acceso directo a los
servicios '{¡ funciones que requieren de su sistema de información en su contexto -
profesional. Hay un rango d campos l1l_uyexte so, teérícárnente sin límites.
©PROHIBIDA LA COPIA, REPRODUCCiÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-27005-NYCE-2011
45/74
Medio y soportes
Ejemplos: Red Telefónica de Conmutaeión Pública <PSTN, j20r sus siglas en inglés),
Ethernet, GigabitEthernet, Línea de Suscriptor Digital Asimétrica (LSDA),
especificaoiones de protocolo inalámbrico (Ror ejemJ)lo, WiFi 802.11), Bluetooth,
FireWire.
Este subtipo incluye todos los servrcros que no son ternninaciones lógicas de
comunicaciones (visión IS) pero son dispositivos intermedios o de retransmisión. Las
retransmisiones son caracterizadas por los protocolos soportados de comunicación de
red. Adicional a la retransmisión básica, a menudo incluyen funciones y servicios de
enrutamiento y/o filtraje, que emplean conmutadores y erirutadores de comunicación
con filtros. Pueden a menudo ser gestionados remotamente y son usualmente
capaces de enerar logaritmos.
Interfase de comunicación
Ejemplos: Servicio de Radio Paquete General (GPRS, por sus siglas en inglés),
adaptador Ethernet.
.... Personal
Tomador de decisión
Los tomadores de decisión son los propietarios de los activos primarios (información
y funciones) y los gerentes de la organización o un proyecto específico.
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
46/74
Usuarios
Los usuarios son el personal quienes manejan los elementos sensibles en el contexto
de sus actividades y quienes tienen una responsabilidad al respecto. Pueden tener
derechos especiales de acceso al sistema de información para llevar a cabo sus
tareas diarias.
Personal de operación/mantenimiento
El tipo de sitio ca prende todos los lugares que contienen el alcance a parte del alcance y
los medios físicos requeridos para que opere.
Ubicación
Ambiente externo
Esto concierne a todas las ubicaciones en las cuales los medios de la organización de
la seguridad no pueden aplicarse.
Establecimientos
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
47/74
Una zona está formada por un límite de protección físico que forma particiones
dentro de los establecimientos de la organización. Se obtiene mediante la creación
de barreras físicas alrededor de las infraestructuras de procesamiento de la
información de la organización.
Servicios esenciales
Comunicación
Orga n ización
El tipo de organización describe el marco de trabajo organizativo, que consiste de todas las
estructuras de personal asignadas a una tarea y los procedimientos que controlan estas
estructu ras.
Autoridades
@PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ES 'NORMA MEJtF.CANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
48/74
Estructura de la organización
Esto consiste de varias ramas de la organización, que incluye sus actividades multi-
funcionales, bajo el control de su gestión.
Subcontratistas/Proveedores/Fabricantes
Los términos típicos usados para la valoración cualitativa de activos incluyen palabras tales
como: insignificante, muy bajo, bajo, medio, alto, muy alto, y crítico. La elección y rango de
términos convenientes a una organización es fuertemente dependiente de las necesidades de
una organización para la seguridad, tamaño organizativo, y otros factores específicos de la
organización.
Criterio
El criterio usado como la base para asignar un valor a cada activo debe escribirse en
términos inequívocos. Esto es a menudo uno de los aspectos más difíciles de la valoración
del activo dado que los valores de algunos activos pueden determinarse subjetivamente
dado que algunos individuos diferentes son probables para hacer la determinación. El criterio
posible usado para determinar un valor de un activo incluye su costo original, su costo de
reemplazo a re-creación a su valor puede ser abstracto, por ejemplo, el valor de la
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
49/74
Otra base para la valoración de activos son los costos incurridos debido a la pérdida de
confidencialidad, integridad y disponibilidad como el resultado de un incidente. Ningún
repudio, contabilidad, autenticidad y fiabilidad deben considerarse también, como sea
apropiado. Tal valoración puede proporcionar las dimensiones de los elementos importantes
al valor de activo, adicional al costo de reemplazo, basado en aproximados de las
consecuencias de negocios adversas que pueden resultar de incidentes de seguridad con un
conjunto asumido de circunstancias. Se enfatiza que este enfoque da cuentas para las
consecuencias que son necesarias al factor dentro (le la evaluación del riesgo.
Algunos activos durante el curso efe la valoración pueden tener varios valores asignados. Por
ejemplo: un plan de negocios puede ser un valor basado en el trabajo empleado para
desarrollar el plan, que podría ser valioso en el trabajo para introducir. los datos, y podría ser
valorado en función de su valor a un competidor Cada uno de los valores asignados difiere
considerablemente. El alar asignado puede ser el máximo de todos los valores posibles a
puede ser la suma de algunos a todos los valores posibles. En el análisis final, qué valor a
valores son asignados un activo deben ser cuidadosamente determinados dado que el valor
final asignado entra dentro de la determinación de los recursos a gas arse para la protección
del activo.
En última instanci ,todas las valoraciones del activo necesitan reducirse a una base común.
Esto puede hacerse con la ayuda del criterio tal como aquellos que le siguen. El criterio que
puede usarse para evaluar las consecuencias posibles que resultan de na pérdida de
confidencialidad, integridad, disponibilidad, no-repudio, contabilidad, autenticidad, a
fiabilidad de los activos son:
• Incumplimiento de confidencialidad.
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C •
..-
NMX-I-27005-NYCE-2011
50/74
• Interrupción de servicio.
• Daño a la reputación.
• Infracción de leyes/regulaciones.
• Incumplimiento de contrato.
• Pérdidas financieras.
• En términos de personal.
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-27005-NYCE-2011
51/74
• En términos de equipo.
• Pérdida de bienes/fondos/activos.
• Pérdida de efectividad/confianza.
• Crisis gubernamentales.
• Despido.
• Daño material.
Escala
Una organización puede definir sus propios límites para los valores del activo, como "bajo",
"medio", o "alto". Estos límites deben evaluarse en conformidad al criterio seleccionado (por
ejemplo, para pérdida financiera posible, deben darse en valores monetarios, pero para
consideraciones tales como el nivel de riesgo de la seguridad del personal, la valoración
monetaria puede ser compleja y puede no ser apropiada para todas las organizaciones).
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-27005-NYCE-2011
52/74
Dependencias
Los procesos de negocios más relevantes y numerosos soportados por un activo, el valor
más grande de este activo. Las dependencias de los activos sobre los procesos de negocios u
otros activos deben identificarse también dado que esto puede influenciar los valores de los
activos. Por ejemplo, la confidencialidad de los datos debe guardarse desde el principio hasta
el final de su ciclo de vida, en todas las etapas, que incluye el almacenaje y procesamiento,
es decir, las necesidades de seguridad del almacenaje de datos y los programas de
procesamiento deben relacionarse directamente al valor que representa la confidencialidad
de los datos almacenados y procesados. También, si un proceso de negocios está
dependiendo de la integridad de ciertos datos que son producidos por un programa, los
datos de entrada de este programa deben ser de una responsabilidad apropiada. Además, la
integridad de la información es dependiente del hardware y software usado para su
almacenaje y procesamiento. También, el hardware es dependiente de la fuente de
alimentación y posiblemente del aire acondicionado. Así, la información acerca de las
dependencias ayuda en la identificación de amenazas y particulanmente de vulnerabilidades.
Adicionalmente, ayuda a asegurar que el valor de los activos (a través de las relaciones de
dependencia) es dado a los activos, de ese modo indicando el nivel apropiado de protección.
Los valores de los activos sobre los cuales otros activos son dependientes pueden
modificarse en la siguiente forma:
• Si los valores de los activos dependientes (por ejemplo, datos) son más bajos o iguales
al valor del activo considerado (por ejemplo, software), SUJ valor continúa siendo el
mismo.
• Si los valores del activo dependiente (por ejemplo, datos) son más grandes, entonces el
valor del activo considerado (por ejemplo, software) debe incrementarse en conformidad
a:
El grado de dependencia.
Una organización puede tener algunos activos que están disponibles más de una vez, como
copias de programas de software o el mismo tipo de computadora usada en la mayoría de
las oficinas. Es importante considerar este hecho cuando se hace la valoración del activo. Por
un lado, estos activos son pasados por alto fácilmente, por consiguiente el cuidado debe
tomarse para identificarlos a todos ellos; por otro lado, pueden usarse para reducirse los
problemas de disponibilidad.
Salida
La salida final de este paso es una lista de activos y sus valores relativos a la revelación
(preservación de confidencialidad), modificación (preservación de integridad, autenticidad,
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-27005-NYCE-2011
53/74
Directo:
- d)
proporcionado por el activo(s)
Resultados de i
es restablecido.
Indirecto:
Como tal, la primera evaluación (sin controles de ningún tipo) estima un impacto como muy
cercano al (combinación del) valor(es) del activo afectado. Para cualquier iteración siguiente
para este (estos) activo(s), el impacto debe ser diferente (normalmente mucho más bajo)
debido a la presencia y la efectividad de los controles implementados .
..-
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-27005-NYCE-2011
54/74
APÉNDICE C
(Informativo)
La siguiente tabla da ejemplos de amenazas típicas. La lista puede usarse durante el proceso
de evaluación de la amenaza. Las amenazas pueden ser deliberadas, accidentales o
ambientales (natural) y puede resultar, por ejemplo, en el daño o pérdida de servicios
esenciales. La siguiente lista indica cada tipo de amenaza donde D (deliberada), A
(accidental), E (ambiental) es relevante. D es usada para todas las acciones deliberadas
apuntadas en los activos de información, A es usado para todas las acciones humanas que
pueden accidentalmente dañar los activos de información, y E es usada para todos los
incidentes que no están basadas en acciones humanas. Los grupos de amenazas no están en
orden prioritario.
A I II
Tipo Amenazas Origen
Incendio I H A D E
Daño por aqua 1 1 1 I II A D E
Contaminación I
I I I I LI A D E
Daño físico
'",~,
Accidente mayor I I I I II A D E
Destrucción de equipo a medio I I i A D E
...
" Polvo,! corrosión congelamiento
Fenómeno climático
Fenómeno sísmico
I i I - I I
I -,
A D E
E
E
Eventos naturales Fenómeno volcánico
Fenómeno meteorológico
I
' I
I
" .......
-,
E
E
Inundación / E
-Falla del aire acondicionado a del sistema de suministro del agua / A D
Pérdida de servicios
esenciales
Pérdida de fuente de alimentación " A D E
Falla de equipo de telecomunicaciones ;/ I A D
Radiación electromagnética I /" A D E
Disturbio debido a la
radiación
Radiación térmica 1/ __.II A D E
Pulsos electromagnétieos A D E
Interceptación de señales de interferencia comprometedoras D
Espionaje remoto D
ES_Qionajeelectrónico i -- - \ -, -_.
.~ D
Robo de medios o documentos ! 1 _I I I D
Compromiso de
información
Robo de equipo
Recuperación de medios reciclados o desechados
I
I-~~ ,
~ -- --I
D
D
Revelación I A D
Datos de fuentes no fidediqnas
_- ~ I
A D
Alteración con hardware D
Alteración con software A D
Detección de posición D
Falla de equipo A
Mal funcionamiento del equipo A
Fallas técnicas Saturación del sistema de la información A D
Malfuncionamiento del software A
Incumplimiento de la mantenibilidad del sistema de la información A D
Uso no autorizado del equipo D
Copia fraudulenta de software D
Acciones no
Uso de software falsificado o copiado A D
autorizadas
Corrupción de datos D
Procesamiento ilegal de datos D
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-27005-NYCE-2011
55/74
Error en el uso A
Abuso de derechos A D
Compromiso de Falsificación de derechos D
funciones Negación de acciones D
Incumplimiento de disponibilidad del personal A D E
Atención particular debe prestarse a las fuentes de amenaza humanas. Estas son detalladas
específicamente en la siguiente tabla:
Estatus
Dinero
Destrucción de información
Suplantación
Chantaje
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-27005-NYCE-2011
56/74
• Explotación económica
Robo de información
Ego Chantaje
@PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-27005-NYCE-2011
57/74
APÉNDICE D
(Informativo)
."
Sensibilidad a la radiación electromagnética Radiación.rrectromagnética
-... .. "" .
Carencia de control de cambio de configuración Error en uro
eficiehte..,
- de trabajo
©PROHIBIDA lA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-27005-NYCE-2011
58/74
@PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-27005-NYCE-2011
59/74
- limpieza
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
60/74
Los métodos proactivos tales como la prueba del sistema de información pueden usarse para
identificar vulnerabilidades que dependan de la habilidad de ser criticado del sistema de la
Tecnología de la Información y Comunicaciones (TIC) y recursos disponibles (por ejemplo,
fondos asignados, tecnología disponible, personas con la pericia para conducir la prueba).
Los métodos de prueba incluyen:
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
61/74
• Prueba de penetración.
• Revisión de código.
La revisión del código es la más rigurosa (pero también la más cara) forma de evaluación de
la vulnerabilidad.
Es importante notar que las herramientas y técnicas de penetración pueden dar resultados
falsos a menos que la vulnerabilidad sea exitosamente explotada. Para explotar
vulnerabilidades particulares, uno necesita conocer la configuración exacta del
sistema/aplicación/parches en el sistema probado. Si esos datos no son conocidos en el
tiempo de la prueba, no puede ser posible, exitosamente, explotar la vulnerabilidad
particular (por ejemplo, que adquiere la concha reversa remota); sin embargo, es aún
posible caer a restablecer un proceso a sistema probado. En tal caso, el objeto probado debe
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
62/74
• Cuestionarios
• Inspección física.
• Análisis de documentos.
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
63/74
APÉNDICE E
(Informativo)
Otra razón para comenzar con una evaluación de alto nivel es sincronizar con otros planes
relacionados para cambiar la gestión (o la continuidad de los negocios). Por ejemplo, no
suena completamente seguro un sistema o aplicación si se planea subcontratarlo en un
futuro cercano, aunque puede aún ser de valor hacer la evaluacíén del riesgo para definir el
contrato del subcontratado.
• La evaluación de alto nivel del riesgo puede señalar un panorama más global de la
organización y sus sistemas de información, que considera los aspectos tecnológicos
- como independientes
se concentra
de los asuntos de negocios. Haciendo esto, el análisis del contexto
más en los negocios y el ambiente operacional que los elementos
tecnológicos.
• La evaluación de alto nivel del riesgo puede señalar una lista más limitada de amenazas,
y vulnerabilidades agrupadas en dominios definidos o, al acelerar el proceso, puede
enfocarse sobre el riesgo o atacar las perspectivas en lugar de sus elementos.
• Los riesgos presentados en una evaluación de alto nivel del riesgo son frecuentemente
dominios de riesgo más generales que los riesgos identificados específicos. Como las
perspectivas o las amenazas son agrupadas en dominios, el tratamiento del riesgo
propone listas de controles en este dominio. Las actividades del tratamiento del riesgo
intentan entonces primero proponer y seleccionar controles comunes que son válidos a
través del sistema entero.
• Sin embargo, la evaluación de alto nivel del riesgo, debido a que pocas veces dirige los
detalles tecnológicos, es más apropiada para proporcionar controles organizativos y no-
técnicos y aspectos de gestión de controles técnicos, o salvaguardas técnicas claves o
comunes tales como respaldos y antivirus.
@PROHIBIDA LA COPIA, REPRODUCCiÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACiÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
64/74
Las ventajas de la evaluación de alto nivel del riesgo son las siguientes:
• Los recursos y el dinero pueden aplicarse donde sean más benéficos; y a los sistemas
probables que tengan una necesidad más grande de protección deben dirigirse primero.
Como los análisis iniciales del riesgo están en un alto nivel y potencialmente son menos
exactos, solamente la desventaja potencial es que algunos procesos de negocios o sistemas
no puedan identificarse por lo que se requiere una segunda evaluación del riesgo detallada.
Esto puede evitarse si hay información adecuada sobre todos los aspectos de la organización
y su información y sistemas, que incluyen la información adquirida de la evaluación de los
incidentes de la seguridad de la información.
La evaluación de alto nivel del riesgo considera los valores de los negocios de los activos de
información, y a los riesgos desde el punto de vista de los negocios de la organización. En el
primer punto de decisión (véase figura 1), varios factores ayudan para determinar si la
evaluación de alto nivel es adecuada para tratar riesgos; estos factores pueden incluir lo
siguiente:
• Los activos de información, para los cuales la organización directamente asigna un valor.
Cuando estos factores son evaluados, la decisión se vuelve más fácil. Si los objetivos de un
activo son extremadamente importantes para una conducta de los negocios de la
organización, o si los activos están en riesgo alto, entonces una segunda iteración, la
evaluación detallada del riesgo, debe conducirse para el activo de información particular (o
parte del mismo).
Una regla general para aplicar es: si la carencia de la seguridad de la información puede
resultar en consecuencias significativas adversas, en un nivel más detallado, es necesario
identificar riesgos potenciales.
©PROHIBIDA LA COPIA, REPRODUCCIO PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-27005-NYCE-2011
65/74
El paso detallado usualmente requiere tiempo, esfuerzo y pericia considerable, y por lo tanto
puede ser más conveniente para los sistemas de la información en alto riesgo.
la información es
r
Las consecuencias pueden ser evaluadas de varias formas, que incluyen el uso de medidas
cuantitativas, por ejemplo, monetario, y cualitativas (las cuales pueden estar basadas en el
uso de adjetivos tales como moderado a severo), a una combinación die ambas. Para evaluar
la probabilidad de ocurrencia de amenaza, el plazo sobre el cual el activo tiene valor a
necesita protege se debe establecerse. La probabilidad de una a enaza específica que
ocurre, es afectada por lo siguiente:
• El atra ti va del activo, a impacto posible aplicable cuando una amenaza humana
deliberada está siendo considerada.
• La facilidad e conversión que explota una vulnerabilidad del activo dentro de una
compensación, a llcable si una amenaza humana deliberada está considerándose
• Las capacidades técnicas del agente de amenaza, aplicables a las amenazas humanas
deliberadas, y
- • La. susceptibilidad
vulnerabilidades
de la vulnerabilidad a la explotación,
técnicas como no téGnil:;as;~.=-==._--==--
a licable tanto a las
En los métodos de evaluación del riesgo de este tipo, los activos físicos actuales a
propuestos son valuados en términos de costos de reemplazo a reconstrucción (es decir,
mediciones cuantitativas). Estos costos son entonces convertidos en la misma escala
cualitativa como aquellos usados para la información (véase más adelante). Los activos de
software actuales a propuestos son valuados en la misma forma como los activos físicos, con
costos de compra a de reconstrucción identificados y después convertidos a la misma escala
..... cualitativa como aquella usada para información. Adicionalmente, si cualquier software de
aplicación se encuentra que tiene sus propios requisitos intrínsecos para confidencialidad a
integridad (por ejemplo, si el código fuente es por sí mismo comercialmente sensible), es
valuado en la misma forma como para información.
Los valores para la información son obtenidos mediante entrevista a la gestión de los
,.- ©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
66/74
negocios seleccionados (los "propietarios de los datos") quien puede hablar con autoridad
acerca de los datos, para determinar el valor y la sensibilidad de los datos actualmente en
uso, a ser almacenados, procesados a accedidos. Las entrevistas facilitan la evaluación del
valor y la sensibilidad de la información en términos de los peores casos de perspectivas que
pueden, razonablemente, esperarse que sucedan de las consecuencias de los negocios
debido a la revelación no autorizada, modificación no autorizada, no-disponibilidad para
variar periodos de tiempo, y destrucción.
•
• Información personal.
• Aplicación de la ley.
• Orden público.
Las directrices facilitan la identificación de los valores sobre una escala numérica, tal como la
escala 0-4 mostrada en la matriz de ejemplo, señalada más adelante; de este modo, permite
el reconocimiento de los valores cuantitativos donde son posibles y lógicos, y los valores
cualitativos donde valores cuantitativos no son posibles, por ejemplo, para el nivel de riesgo
de la vida humana.
@PROHIBIDA lA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, 5.\
- NMX-I-2700S-NYCE-2011
67/74
identificar cada combinación de la medida relevante del riesgo sobre una escala de O a 8.
Los valores son colocados en la matriz en una forma estructurada. Un ejemplo está dado
abajo:
Tabla E.l a)
Probabilidad
de
Baja r- Media Alta ,
ocurrencia -
Amenaza
Facilidad de
I-B M A B _A I'M B- M A
r explotación
I O 1"'0 ~ 2~ J_ ,~2~ _3 2 3 4
1 1 2 3 2 3 4 3 4 5
Valor del
2 2 3 4 3 4 5 4 5 6
activo
3 3 4 5 4 5 6 5 I 6 7
,/ I 4 4 5 6 5 6 7 6 7 1
8
Una matriz similar como la que se muestra en la tabla E.l b), resulta de la consideración de
la probabilidad de una perspectiva de incidente, trazado en contra del impacto de negocios
estimado. La probabilidad de una perspectiva de incidente es dada por una amenaza que
explota una vulnerabilidad con una cierta probabilidad. La Tabla traza esta probabilidad en
contra del impacto de negocios relacionado con la perspectiva de incidente. El riesgo
resultante es medido sobre una escala de O a 8 que puede evaluarse en contra del criterio de
aceptación del riesgo. Esta escala de riesgo puede trazarse también a una clasificación
simple del riesgo global, por ejemplo como:
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACiÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
68/74
Tabla E.l b)
Probabilida
d de Muy bajo Bajo Medio Alto Muy alto
(Muy
perspectiva improbable) (Improbable) (Posible) (Probable) (Frecuente)
de incidente
Muy bajo O 1 2 3 4
1 2 ~ 3
2 3 '110.. 4
3 4 5
r-tuv atto
~
4
- 5 6 'I 7
Una matriz a tabla como la mostrada en la Tabla E.2 puede usarse para relacionar los
factores de consecuencias (valor del activo) y probabilidad de la ocurrencia de amenaza
(tomando en cuenta los aspectos de vulnerabilidad). El primer paso es evaluar las
consecuencias (valor del activo) sobre una escala predefinida, por ejemplo, de 1 hasta 5, de
cada activo amenazado (columna "b" en la tabla). El segundo paso es evaluar la probabilidad
de ocurrencia de amenaza sobre una escala predefinida, por ejern lo de 1 hasta 5, de cada
amenaza (columna "c" en la tabla). El tercer paso es calcular la medida del riesgomedianté
multiplicación (b x e). Finalmente, las amenazas pueden clasificarse para su medida
asociada de riesgo. Nótese que en este ejemplo, 1 se toma como la consecuencia más baja y
la probabilidad más baja de ocurrencia.
Tabla E.2
I ,
Descripción de la Valor de la Probabilidad de Medida de riesgo Clasificación de
amenaza consecuencia ocurrencia de (él) amenaza
(a) (activo)
- amenaza
=- (e)
(b) (c)
Amenaza A 5 j 2 10 2
Amenaza B ", 2 4 I 8 3
Amenaza C 3 5 ! 15 1
Amenaza D 1 3 I 3 5
,
Amenaza E 4 1 4 4
Amenaza F 2 4 8 3
Como se muestra arriba, esto es un procedimiento el cual permite diferentes amenazas con
consecuencias que difieren y probabilidad de ocurrencia para compararse y clasificado en
orden prioritario, como se muestra aquí. En algunos ejemplos debe ser necesario asociar
valores monetarios con escalas empíricas usadas aquí.
@PROHIBIDA LA COPIA, REPRODUCCiÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACiÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
69/74
Primero, un valor es asignado a cada activo. ste valor se relaciona a las consecuencias
adversas potenciales que pueden surgir si e activo es amenazado. Para cada amenaza al
activo aplicable, este valor de activo es as'gnado al activo:.;..
__
Tabla E.3
Tabla E.4
El paso final es totalizar todos los resultados finales del activo para los activos del sistema,
que produce un resultado final del sistema. Esto puede usarse para diferenciar entre los
sistemas y determinar cual protección del sistema debe darse prioridad.
Suponga que el Sistema S tiene tres activos Al, A2 Y A3. También suponga que hay dos
amenazas Tl y T2 aplicables al Sistema S. Permita que el valor de Al sea 3, similarmente
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL ( . ESTA NORMA .MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
70/74
Ahora el resultado final del activo total A1T puede calcularse, es decir, 10. El resultado final
del activo total es calculado para cada activo y amenaza aplicables. El resultado final total
del sistema es calculado mediante la suma A1T + A2T + A3T para dar ST.
Arriba, los ejemplos muestran en términos de los sistemas de información, sin embargo el
enfoque similar puede aplicarse a los procesos de negocios.
@PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
71/74
APÉNDICE F
(Informativo)
Mientras se consideran las restricciones para la reducción del riesgo, las siguientes
restricciones deben tomarse en cuenta:
Restricciones de tiempo:
Algunos tipos de restricciones de tiempo p eden existir. Por ejemplo, los controles deben
implementarse dentro de un periodo de tiempo aceptable para los gerentes de la
organización. Otro tipo de restricción de tiempo es sí un control puede implementarse dentro
de la vida de la información a sistema. Un tercer tipo de restricción tie tiempo puede ser el
periodo de vida de los gerentes de la organización que decide que es un periodo para
exponerse a un riesgo particular.
Restricciones financieras:
Los controles no deben ser más caros para implementar a mantener que el valor de los
riesgos que so . diseñados para proteger, excepto donde la conférfhtdad en obligatoria (por
ejemplo, con legislación). Cada esfuerzo debe hacer que no exceda los presupuestos
asignados y lograr ventaja financiera a través del uso de controles. Sin embargo, en algunos
casos no puede ser posible lograr la seguridad deseada y el nivel de la aceptación del riesgo
debido a las restricciones de presupuesto. Seto por lo tanto se vuelve una decisión de los
gerentes de la organización para la resolución de esta situación.
Gran cuidado debe tomarse si el presupuesto reduce el número a la calidad de los controles
a irilplementarsedado que esto puede llevar a la retención implíci a de riesgo más grande
que el planeado. 61 presupuesto establecido para los controles drebe solamente usarse como
un factor restrictivo con cuidado considerable.
Restricciones técnicas
Restricciones operacionales
- Las restricciones operacionales tales como la necesidad para operar 24 x 7 aún para
desarrollar respaldos puede resultar en implementación compleja y costosa de controles a
menos que sean construidos en el diseño desde el principio.
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
72/74
Restricciones culturales
Las restricciones culturales a la selección de los controles pueden ser específicas a un país,
un sector, una organización a aún a un departamento dentro de una organización. No todos
los controles pueden aplicarse en todos los países. Por ejemplo, puede ser posible para
implementar búsquedas de bolso en partes de Europa pero no en partes en Medio Oriente.
Los aspectos culturales no pueden ignorarse debido a algunos controles dependen del
soporte activo del personal. Si el personal no entiende la necesidad para el control a no lo
encuentran culturalmente aceptable, el control debe volverse inefectivo tiempo extra.
Restricciones éticas:
Las restricciones éticas pueden tener implicaciones mayores sobre los controles como cambio
ético basado en normas sociales. Esto puede prevenir los controles de implementación tales
como la exploración de correo electrónico en algunos países. la privacidad de la información
puede también cambiar dependiente de las éticas de la región a gobierno. Estos pueden ser
de más incumbencia en algunos sectores industriales que otros, por ejemplo, gobierno y
asistencia sanitaria.
Restricciones ambientales:
Restricciones legales:
Los factores legales tales como la protección de datos personales a provisiones de código
criminal para el procesamiento de información puede afectar la selección de controles. La
conformidad legislativa y reguladora puede mandar ciertos tipos de control que incluye
protección de datos y auditoría financiera; pueden también prevenir el uso de algunos
controles, por ejemplo, codificación. Otras leyes y regulaciones tales como la legislación de
las relaciones laborales, departamento de incendios, salud y seguridad, y regulaciones del
sector económico, etc., pueden afectar la selección de control también.
Facilidad de uso:
Una pobre interfaz humana-tecnológica debe resultar en error humano y puede volver el
control inútil. Los controles deben seleccionar para proporcionar la facilidad óptima de uso
mientras se logra un nivel aceptable de riesgo residual a los negocios. Los controles que son
difíciles de usar deben impactar su efectividad, como usuarios pueden intentar sortear a
ignorarlos tanto como sea posible. Los controles de acceso complejos dentro de una
organización pueden alentar a los usuarios, que encuentren métodos de acceso alternos, sin
autorización.
Restricciones personales:
©PROHIBIDA lA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
73/74
@PROHIBIDA lA COPIA, REPRODUCCiÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACiÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-2011
74/74
APÉNDICE G
(Informativo)
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.