NMX I 27005 Nyce 2011

NYCE
NORMA MEXICANA
NMX-I-2700S-NYCE-2011
TECNOLOGÍA DE lA INFORMACIÓN - TÉCNICAS DE SEGURIDAD -

GESTIÓN DEL RIESGO EN SEGURIDAD DE lA INFORMACIÓN
INFORMATION TECHNOLOGY - SECURITY TECHNIQUES - INFORMATION SECURITY RISK

MANAGEMENT
@PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
J
PREFACIO
- 1. La presente Norma Mexicana fue elaborada por el Subcomité TINF 2: Software

del Comité Técnico de Normalización Nacional de Tecnologías de la Información
de NYCE, con la participación de las siguientes Instituciones y Empresas:
SECRETARÍA DE EDUCACIÓN PÚBLICA - INSTITUTO POLITÉCNICO NACIONAL

(Centro de Investigación en Computación).
BANAMEX.
NYCE/GEREN I.AI DIVISIÓN DE SOFrWARE DE NYCE
MICROSOFr MÉXICO, S. DE R.L. DE C.V.
Por otra parte, también fue aprobada por las Instituciones y Empresas que a
continuación se señalan y que conforman el Consejo Directi o de NYCE:
UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO.
CÁMARA NI1CIONAL DE LA INDUSTRIA ELECTRÓNICA, DE ifELECOMUNICACIONES Y

TECNOLOGÍ S DE LA INFORMACIÓN.
INDUSTRIAS RADSON, S.A. DE C.V.
ALCATEL-LUCEN::r:, S.A. DE c.'s;J';:::. ==========

ISATEL DE MÉXICO, S.A. DE C.V.
HERMES MUSIC, S.A. DE C.V.
LATTICE TELECOMUNICACIONES PERSONALES, S.A. DE C.V.
SOLUCIONES INTEGRALES PARA OFICINA, S.A. DE C.V.
AUDIOMEX, S.A. DE C.V.
2. En la presente Norma Mexicana el texto que se encuentre sombreado, hace

mención a Estándares Internacionales, los cuales son únicamente con carácter
informativo (véase apéndice G).
3. Esta Norma Mexicana cancela a la NMX-I-041/0S-NYCE-2009.
4. La Declaratoria de vigencia de esta Norma Mexicana se publicó en el Diario

Oficial de la Federación el 28 de junio de 2011 .
." ... _ .,
"'. ~~,
.•_ I ~'"
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
ÍNDICE DEL CONTENIDO
Páginas
O INTRODUCCIÓN 1
1 OBJETIVO Y CAMPO DE APLICACIÓN 1
2 REFERENCIAS 2
3 TÉRMINOS Y DEFINICIONES 2
4 ESTRUCTURA DE ESTA NORMA MEXICANA 3
5 CONTEXTO 4
6 PANORAMA DEL PROCESO DE GESTIÓN DEL RIESGO DE LA 6

SEGURIDAD DE LA INFORMACIÓN
7 ESTABLECIMIENTO DEL CONTEXTO 8
8 EVALUACIÓN RIESGO DE LA SEGURIDAD DE 13

INFORMACIÓN
9 TRATAMIENTO DEL RIESGO PARA LA SEGURIDAD DE LA 24

INFORMACIÓN
- 10 DE LA SEGURIDAD DE 29
11 COMUNICACIÓN DEL RIESGO DE LA SEGURIDAD DE LA 29

INFORMACIÓN
12 SUPERVISIÓN Y REVISIÓN DEL RIESGO DE LA SEGURIDAD DE 31

LA INFORMACIÓN
13 BIBLIOGRAFÍA 33
14 CONCORDANCIA CON NORMAS INTERNACIONALES 33
APÉNDICE A 34
(Informativo)
DEFINIENDO EL ALCANCE Y LÍMITES DEL PROCESO DE GESTIÓN DEL
RIESGO DE LA SEGURIDAD DE LA INFORMACIÓN
ÍNDICE DEL CONTENIDO
APÉNDICE B 41
(Informativo)
IDENTIFICACIÓN Y VALORACIÓN DE ACTIVOS Y EVALUACIÓN DE
IMPACTO
APÉNDICE C 54
(Informativo)
EJEMPLOS DE AMENAZAS TÍPICAS
APÉNDICE O 57
(Informativo)
VULNERABILIDADES Y MÉTODOS PARA LA EVALUACIÓN
VULNERABILIDAD
APÉNDICE E
(informativo)
ENFOQUES DE DEL RIESGO DE LA SEGURIDAD DE LA
INFORMACIÓN
APÉNDICE F
(Informativo)
RESTRICCIONES PARA LA REDUCCIÓN DEL RIESGO
APÉNDICE G 74
(Informativo)
ESTÁNDAR INTERNACIONAL QUE SE MENCIONA EN ESTA NORMA
MEXICANA CON CARÁCTER INFORMATIVO
@PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.
NORMA MEXICANA
TECNOLOGÍA DE lA INFORMACIÓN - TÉCNICAS DE SEGURIDAD -

GESTIÓN DEL RIESGO EN SEGURIDAD DE lA INFORMACIÓN
INFORMATION TECHNOLOGY - SECURITY TECHNIQUES - INFORMATION SECURITY RISK

MANAGEMENT
O INTRODUCCIÓN
Esta Norma Mexicana proporciona las directrices para la gestión del riesgo de la seguridad
de la información en una organización, apoyando en particular los requisitos de un SGSI en
conformidad a la NMX-I-27001-NYCE. Sin embargo, esta Norma Mexicana no proporciona
ninguna metodología específica para la gestión de riesgos de seguridad de la información.
Corresponde a la organización definir su enfoque para la gestión del riesgo, dependiendo,
por ejemplo, del alcance del SGSI, el contexto de la gestión del riesgo, o del sector
industrial. Una serie de metodologías existentes pueden utilizarse bajo el marco descrito en
esta Norma Mexicana para poner en práctica los requisitos de un SGSI.
Esta Norma Mexicana es importante para gerentes y personal involucrado con la gestión del
riesgo de la seguridad de la información dentro de una organización y, donde sea más
apropiado, las partes externas que apoyan tales actividades.
1 OBJETIVO Y CAMPO DE APLICACIÓN
Esta Norma Mexicana proporciona las directrices para la gestión del riesgo de la seguridad
de la información.
Esta Norma Mexicana apoya los conceptos generales especificados en la NMX-I-27001-NYCE

y está diseñada para ayudar a la implementación satisfactoria de la seguridad de la
información basada sobre el enfoque de la gestión del riesgo.
El conocimiento de los conceptos, modelos, procesos y terminologías descritas en las NMX-I-

27001-NYCE Y NMX-I-27002-NYCE es importante para un entendimiento completo de esta
Norma Mexicana.
Esta Norma Mexicana es aplicable a todos los tipos de organizaciones (por ejemplo,
empresas comerciales, dependencias gubernamentales, organizaciones sin fines de lucro)
que tienen la intención de gestionar los riesgos que puedan comprometer la seguridad de la
información de la organización.
@PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIÓN DE NYCE, S.C.
2/74
2 REFERENCIAS
Esta Norma se complementa con las siguientes Normas Mexicanas vigentes
NMX-I-27001-NYCE Tecnología de la Información - Técnicas de seguridad -

Sistemas de gestión de la seguridad información -
Requisitos.
NMX-I-27002-NYCE Tecnologías de la información Seguridad de la

información - Parte 01: Código de buenas prácticas para
r¡.======.--!.:Ia gestión de la seguridad e la información.
3 TÉRMINOS Y DEFINICIONES
Para los propósitos de esta Norma Mexicana, los términos y definiciomes proporcionados en
las NMX-I-27002-NYCE y NMX-I-27001-NYCE, y los siguientes aplican
3.1 Impacto
Cambio adver a al nivel de los objetivos de negocios logrados.

. .
3.2 Riesgo de la seguridad de la información
El potencial de que una amenaza dada, aproveche vulnerabilidades de un activo a grupo de

activos y de tal momo cause daño a la organización.
NOTA: Es medido en términos de una combinación de la probabilidad de un eve to y su consecuencia.
3.3 Evasión del riesgo
La decisión de no involucrarse en, a retirarse de, una situación de riesgo.
[Guía ISO/lEC 73]
3.4 Comunicación del riesgo
Intercambio a compartición de la información acerca del riesgo entre la toma de decisiones y

otros responsables.
[Guía ISO/lEC 73]
3.S Estimación del riesgo
Proceso para asignar valores a la probabilidad y consecuencias de un riesgo.
[Guía ISO/lEC 73]
-
3/74
NOTAS
1 En el contexto de esta Norma Mexicana, el término "actividad" es usado en lugar del término "proceso"
para la estimación del riesgo.
- 2 En el contexto de esta Norma Mexicana, el término

"probabilidad" para la estimación del riesgo.
"posibilidad" es usado en lugar del término
3.6 Identificación del riesgo
Proceso para encontrar, listar y caracterizar los elementos del riesgo.
[Guía ¡SOLlEC 73]
NOTA: En el contexto de esta Norma Mexicana, el término "actividad" es usado en lugar del término "proceso"
para la identificación del riesgo.
3.7 Reduccióndel riesgo
Acciones tomadas para reducir la probabilidad, consecuencias negativas, a ambas, asociadas

con un riesgo.
- NOTA: En el contexto de esta Norma Mexicana, el término

"probabilidad" Rara la reducción del riesgo
"posibilidad" es usado en lugar del término
3.8 Retención (lei riesgo
Aceptación del impacto, en pérdidas a ganancias relacionado con un riesgo particular.
-
-
NOTA: En el contexto de los riesgos de la seguridad de la informacion, so amente as consecuencias negativas
(pérdidas) son consideradas para la retención del riesgo.
3.9 Transferencia del riesgo

r-
Compartir con otra parte, el impacto, en pérdidas a ganancias relacionado con un riesgo.
[Guía ISOllEC 73]
NOTA: En el contexto de los riesgos de la seguridad de la información, solamente las consecuencias negativas
(pérdidas) son consideradas para transferencia del riesgo.
- 4 ESTRUCTURA DE ESTA NORMA MEXICANA
Esta Norma Mexicana contiene la descripción del proceso de gestión del riesgo de la
seguridad de la información y sus actividades.
- @PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
4/74
La información de fondo se proporciona en el capítulo 5.
Un panorama general del proceso de gestión del riesgo de la seguridad de la información es

dado en el capítulo 6.
Todas las actividades de la gestión del riesgo de la seguridad de la información como se

presentan en el capítulo 6 son subsecuentemente descritas en los siguientes incisos:
• Establecimiento del contexto en el capítulo 7,
• Evaluación del riesgo en el capitulo 8,
• Tratamiento del riesgo en el capítulo 9,
• Aceptación del riesgo en el capítulo 10,
• Comunicación (lei ri'esgo en el capítulo 11,
• Supervisión y revisión del riesgo en el capítulo 12.
La información adicional para las actividades de la gestión del riesgo de la seguridad de la

información es presentada en los apéndices. El establecimiento del contexto es soportado
por el apéndice A (Definiendo el alcance y límites del proceso de gestión del riesgo de la
seguridad de la información). La identificación y valoración de activos y evaluaciones del
impacto son discutidas en el apéndice B (ejemplos para activos), el apéndice C (ejemplos de
amenazas típicas) y el apéndice D (ejemplos de vulnerabilidades típicas).
Los ejemplos de enfoques de evaluación del riesgo de la seguridad de la información son

presentados en el apéndice E.
Las restricciones para la reducción del riesgo sen presenta€las en el ap-éndice F.
Todas las actividades de gestión del riesgo como se presentan del capítulo 7 al capítulo 12
son estructuradas como sigue:
Entrada: Identifica cualquier información requerida para desempeñar la actividad.
Acción: Descri be la actividad.
Guía de implementación: Proporciona una guía sobre el desempeño de la aceren. Algunas

partes de esta guía pueden no ser adecuadas en todos los casos de manera que otras formas
de realizar la acción pueden ser más apropiadas.
Salida: Identifica cualquier información resultante después de desempeñar la actividad.
5 CONTEXTO
Es necesario un enfoque sistemático para la gestión del riesgo de la seguridad de la
@PROHIBIDA LA COPIA, REPRl 'UCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-27005-NYCE-2011
5/74
información para identificar las necesidades organizativas con respecto a los requisitos de la
seguridad de la información y crear un sistema de gestión de la seguridad de la información
(SGSI). Este enfoque debe ser conveniente para el ambiente de la organización, y en
particular debe alinearse completamente con la gestión de riesgo empresarial. Los esfuerzos
de la seguridad deben dirigirse a los riesgos en una forma efectiva y oportuna dónde y
cuándo sean necesarios. La gestión del riesgo de la seguridad de la información debe ser una
parte integral de todas las actividades de la gestión de la seguridad de la información y debe
aplicarse tanto a la implementación como a la operación en curso de un SGSI.
-
La gestión del riesgo de la seguridad de la información debe contribuin a lo siguiente:
• Riesgos que son identificados
• Riesgos que son evaluados en términos de sus consecuencias a los negocios y la

probabilidad de sus ocurrencias
• La probabiliClad y consecuencias de estos riesgos que son comunicados y entendidos
- •
•
Orden de prlorjdád
Prioridad
para el tratamiento del riesgo que es establecido
para las acciones para reducir los riesgos que ocurre
- • Responsables que están involucrados cuando se toman decisiones

riesgo y se mantienen informados del estatus de la gestión del rle go
de la gestión del
- •
•
Efectividad
Riesgos y el
de la supervisión
proceso de
del tratamiento
gestión del
del riesgo
riesgo que son supervisados y revisados

regularmente
• Información que es capturada para mejorar el enfoque de la gestión del riesgo
• Gerentes y personal que son instruidos acerca de los riesgos y las acciones tomadas para
mitigarlos
El proceso de gestión del riesgo de la seguridad de la información puede aplicarse a la

organización en su totalidad, a cualquier parte de la organización (por ejemplo, un
departamento, una ubicación física, un servicio), cualquier sistema de información, aspectos
de control existentes o planificados o particulares (por ejemplo, planificación de continuidad
de los negocios).
©PROHIBIDA lA COPIA, REPRODUCCiÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACiÓN DE NYCE, S.C.
NMX-I-2700S-NYCE-20 11
6/74
6 PANORAMA DEL PROCESO DE GESTIÓN DEL RIESGO DE LA

SEGURIDAD DE LA INFORMACIÓN
El proceso de gestión del riesgo de la seguridad de la información consiste de un

establecimiento de contexto (capítulo 7L evaluación del riesgo (capítulo 8), tratamiento del
riesgo (capítulo 9), aceptación del riesgo (capítulo lO), comunicación del riesgo (capítulo
11), y supervisión y revisión del riesgo (capítulo 12).
rEv~iuAooÑDEL-- --------------
RIESGO
r-~---------
I ANALISIS DE
-------------1 I
I RIESGO I
I , I o
I IDENTIFICACION DEL RIESGO I (.9
(J)
I I
o I I UJ
(.9 I I C2
tIl ......... ~ I I _J
UJ
C2 : ESTIMACIÓN DEL RIESGO : o
_J IL 1I z
UJ
o 'o
.....
(J)
z
'o
......
:>
UJ
u EVALUACIÓN DEL RIESGO o:::
<{
u >-
...... L _ z
.~ 'o
......
2: PUNTO 1DE LA No
(J)
o DECISIÓN DEL RIESGO

~
u UJ
Evaluación satisfactoria o,
:::>
(J)
TRATAMIENTO DEL RIESGO
PUNTO 2 DE LA
DECISIÓN DEL RIESGO
Tratamiento satisfactorio
ACEPTACIÓN DEL RIESGO
FIN DE LA PRIMERA O DE LAS SUBSECUENTES ITERACIONES
FIGURA 1.- Proceso de gestión del riesgo de la seguridad de la información
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN D~ ·YCE, S.C.
7/74
Como se ilustra en la figura 1, el proceso de gestión del riesgo de la seguridad de la

información puede ser iterativo para la evaluación del riesgo y/o las actividades de
tratamiento del riesgo. Un enfoque iterativo para conducir la evaluación del riesgo puede
incrementar la profundidad del detalle de la evaluación en cada iteración. El enfoque
iterativo proporciona un buen balance entre la minimización del tiempo y el esfuerzo
realizado en identificar los controles, mientras que aún se esté asegurando que los riesgos
altos sean evaluados apropiadamente.
El contexto se establece primero. Entonces se lleva a cabo una evaluación del riesgo. Si esto
proporciona suficiente información para determi ar efectivamente las acciones requeridas
para modificar los riesgos a un nivel aceQtable entonces la tarea está completa y se continua
con el tratamiento del riesgo. Si la información es insuficiente, se debe llevar a cabo otra
iteración de la eva uación del riesgo con el contexto revisado ( or ejemplo, los criterios de
evaluación del riesgo, los criterios de aceptación del riesgo o los criterios de impacto),
posiblemente sobre partes limitadas del alcance total (véase figura 1, Punto 1 de la Decisión
del Riesgo).
La efectividad del tratamiento del riesgo depende de los resultados de la evaluación del
riesgo. Es posible que el tratamiento del riesgo no conduzca inmeéliatamente a un nivel
aceptable de riesgo residual. En esta situación, otra iteración de la evaluación del riesgo con
parámetros de contexto cambiados (por ejemplo, evaluación del riesgo, aceptación del
riesgo o criterios de impacto), si es necesario, puede requerirse, seguido por el tratamiento
de riesgo adicional (véase figura 1, Punto 2 de la Decisión del Riesgo).
La actividad de aceptación del riesgo tiene que asegurar que los riesgos residuales son
explícitamente aceptados por los gerentes de la organizaa:ión. Esto es importante
especialmente en una situación donde la implementación de los controles es omitida o
pospuesta, por ejemplo, debido a los costos.
Durante todo el proceso' de gestión del riesgo de la sequri ad de la información, es

importante que 105 riesgos 'i su tratamiento sean eernunieades a los gerentes y personal
operacional apropiados. Aún antes del tratamiento de los riesgos, la información acerca de
los riesgos identificados puede ser muy valiosa para gestionar los incidentes y puede ayudar
a reducir el daño potencial. La conciencia por parte de los gerentes y el personal de riesgos,
la naturaleza de los controles en el lugar para mitigar los riesgos y las áreas involucradas en
la organización ayudan en tratar con los incidentes y eventos inesperados en la forma más
efectiva. Los resultados detallados de cada actividad del proceso de gestión del riesgo de la
seguridad de la información y de los dos puntos de decisión del riesgo deben documentarse.
La NMX-I-27001-NYCE especifica que los controles implementados dentro del alcance,

límites, y contexto del SGSI, deben basarse en el riesgo. La aplicación de un proceso de
gestión del riesgo de la seguridad de la información puede satisfacer este requisito. Hay
algunos enfoques mediante los cuales el proceso puede implementarse exitosamente en una
organización. La organización debe usar el enfoque que mejor convenga a sus circunstancias
para cada aplicación específica del proceso.
En un SGSI, el establecimiento del contexto, evaluación del riesgo, desarrollo del plan de
tratamiento del riesgo, y aceptación del riesgo, forman parte de la fase "Planificar". En la
- fase "hacer" del SGSI, las acciones y controles requeridos para reducir el riesgo a un nivel
aceptable son implementados en conformidad al plan de tratamiento del riesgo. En la fase
©PROHIBIDA LA COPIA, REPRODUCCiÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACiÓN DE NYCE, S.C.
8/74
"verificar" del SGSI, los gerentes deben determinar la necesidad para las revisiones de la
evaluación del riesgo y el tratamiento del riesgo a la luz de los incidentes y cambios en las
circunstancias. En la fase "actuar", algunas acciones requeridas, que incluyen la aplicación
adicional del proceso de gestión del riesgo de la seguridad de la información, son
desempeñadas.
La siguiente tabla resume las actividades relevantes de la gestión del riesgo de la seguridad
de la información para las cuatro fases del proceso SGSI:
TABLA 1.- Alineación del SGSI y el Proceso de Gestión del Riesgo de la Seguridad de
la Información
--,
Proceso SGSI 1Proceso de Gestión del Riesgo de la Seguridad de la Información
Establecimiento del contexto
Planificar y Desarrollo
Evaluación del riesgo
del plan de tratamiento de riesgo

/ Aceptación del riesgo
Hacer ...... I Implementación del. plan de tratamlehtoi'del riesgo
Verificar Supervisión y revisión continua de riesgos
Mantener y mejorar el Proceso de Gestión del Riesgo de la Seguridad de la
Actuar
Información "-
JI ~ ~~-
7 ESTABLECIMIENTO DEL CONTEXTO
7.1 Consideraciones generales
Entrada: Toda la información acerca de la organización relevante al establecimiento del

contexto de la gestión del riesgo de la seguridad de la información.
Acción: El contexto para la gestión del riesgo de la seguridad de la información debe

establecerse, el cual involucra el ajuste de los criterios básicos necesarios para la gestión del
riesgo de la seguridad de la información (7.2), que define el alcance y límites (7.3), y el
establecimiento de una organización apropiada que opera la gestión del riesgo de la
seguridad de la información (7.4).
Guía de implementación: Es esencial determinar el propósito de la gestión del riesgo de la

seguridad de la información cuando este afecta al proceso global y al establecimiento del
contexto en particular. Este propósito puede ser:
• Para soportar un SGSI
• Conformidad y evidencia legal de la diligencia debida
• Preparación de un plan de continuidad de negocios
9/74
• Preparación de un plan de respuesta de incidente
• Descripción de los requisitos de la seguridad de la información para un producto, un

servicio o un mecanismo
Una guía de implementación para los elementos necesarios del establecimiento del contexto
para soportar a un SGSI es adicionalmente discutida en 7.2, 7.3 Y 7.4.
NOTA: La NMX-I-27001-NYCE no usa el término "contexto". Sin embargo, todo el capitulo 7 se relaciona a los
requisitos "definir el alcance y los límites del SGSI" [4.2.1 a ], "definir una política SGSI" [4.2.1 b)] Y
-
"definir el enfoque de la evaluación del iesgo" [~.2.1 e)], especificados en la NMX-I-27001-NYCE.
para
7.2 Criterios básicos
Dependiendo del alcance y objetivos de la gestión del riesgo, diferentes enfoques pueden
aplicarse. El enfoque también puede ser diferente para cada iteración.
Un enfoque de la gestión del riesgo apropiado debe seleccionarse o desarrollarse, que señale
el criterio básico tal coro: criterio de evaluación del riesgo, críterlo de impacto, criterio de la
aceptación del riesgo.
Adicionalmente, la organización debe evaluar sí los recursos necesarios están disponibles

para:
• Desempeñar la evaluación del riesgo y establecer un plan de tratamiento del riesgo

. .
• Definir e implementar políticas y procedimientos, que incluyan la impiementación de los

controles seleccionados
• Supervisar controles
• Supervisar el proceso de gestión del riesgo de la seguridad de la información
NOTA: Véase también la NMX-I-27001-NYCE (5.2.1) con respecto a la provisión de recursos para la
implementación y operación de un SGSI.
Criterio de evaluación del riesgo
El criterio de evaluación del riesgo debe desarrollarse para evaluar el riesgo de la seguridad
de la información de la organización que considera lo siguiente:
• El valor estratégico del proceso de información de los negocios
• La importancia de los activos de información involucrados
• Requisitos legales y reguladores, y obligaciones contractuales
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL t ·OTAl DE ES¡'" NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.
10/74
• Importancia operacional y de los negocios de la disponibilidad, confidencialidad e

integridad
• Expectativas y percepciones de los responsables, y consecuencias negativas para la

buena voluntad y reputación
Adicionalmente, el criterio de evaluación del riesgo puede usarse para especificar prioridades
para el tratamiento del riesgo.
Criterio de impacto
El criterio de impacto debe desarrollarse y especlñcarse en términos del grado del daño a de
los costos a la organización, causada por un evento de la seguridad de la información que
considera lo siguie te:
• Nivel de clasificación del activo de información impactado
• Incumplimientos de la seguridad de la información (por ejemplo, pérdida de

confidencialiClad, integridad y disponibilidad)
• Operaciones dañadas (internas a de tercera parte) .
• Pérdida de negocios y valor financiero
• Trastorno de planes y plazos de entrega
• Daño de reputación
•. Incumplimientos de los requisitos legales, reguladores a
NOTA: Véase también la NMX~-2700lo.NYCE [4.2.1 d) 4] con r:especto a la identificación del criterio de impacto
para pérdidas de la confidencialidad, integridad y disponibilidad.
Criterio de aceptación del riesgo
El criterio de aceptación del riesgo debe desarrollarse y especificarse. El criterio de

aceptación del riesgo a menudo depende de las políticas, metas, objetivos de la organización
y los intereses de los responsables.
Una organización debe definir sus propias escalas para los niveles de aceptación del riesgo.
Lo siguiente debe considerarse durante el desarrollo:
• El criterio de aceptación del riesgo puede incluir múltiples umbrales, con un nivel
objetivo deseado del riesgo, pero la provisión para los gerentes superiores para aceptar
riesgos por arriba de este nivel bajo circunstancias definidas.
• El criterio de aceptación del riesgo puede expresarse como la razón de las utilidades
estimadas (u otros beneficios de los negocios) al riesgo estimado
• El criterio de aceptación del riesgo diferente puede aplicar a diferentes clases de riesgo,
11/74
por ejemplo, los riesgos que pueden resultar en una no-conformidad con las regulaciones
o leyes no pueden aceptarse, mientras que la aceptación de riesgos altos puede
permitirse si esto es especificado como un requisito contractual.
• El criterio de aceptación del riesgo puede incluir los requisitos para el tratamiento futuro
adicional, por ejemplo, un riesgo puede aceptarse si hay aprobación y compromiso para
tomar acción para reducirlo a un nivel aceptable dentro de un periodo de tiempo
definido.
El criterio de aceptación del riesgo puede diferir en conformidad a cuánto tiempo se espera
que el riesgo exista, por ejemj210, el riesgo j2ue e asociarse con una actividad temporal o de
corto plazo. El criterio de aceptación elel riesgo debe establecerse corrsiderando lo siguiente:
• Criterio de negocios
• Aspectos legales y reguladores
• Operaciones
• Tecnología
- • Finanzas
• Factores sociales y humanitarios
NOTA: El criterio de aceptación del riesgo corresponde al "criterio para aceptar riesgos e identificar el nivel
aceptable de riesgo" especificado en la NMX-I-27001-NYCE, 4.2.1 c) 2).
Más información puede encontrarse en el apéndice A.
7.3
La organización debe definir el alcance y límites de la gestión del riesgo de la seguridad de la

información.
El alcance del proceso de gestión del riesgo de la seguridad de la información necesita

definirse para asegurar que todos los activos relevantes sean tomados en cuenta en la
evaluación del riesgo. Además, los límites necesitan identificarse [véase también la NMX-I-
27001-NYCE, 4.2.1 a)] para dirigir aquellos riesgos que puedan surgir a través de estos
límites.
La información acerca de la organización debe recopilarse para determinar el ambiente en el

que opera y su importancia para el proceso de la gestión del riesgo de la seguridad de la
información.
Cuando se define el alcance y los límites, la organización debe considerar la siguiente

información:
• Los objetivos, estrategias y políticas de los negocios estratégicos de la organización.
12/74
• Procesos de los negocios.
• Las funciones y marco de trabajo de la organización.
• Requisitos legales, reguladores y contractuales aplicables a la organización.
• La política de la seguridad de la información de la organización.
• El enfoque global de la organización para la gestión del riesgo.
• Activos de información.
• Ubicaciones de la organización y sus características geo ráficas.
• Restricciones que afectan a la organización.
• Expectativa de los responsables.
• Ambiente socio-cultural.
• Interfases (es decir, intercambio de información con el ambiente).
Adicionalmente, la organización debe proporcionar la justificación para cualquier exclusión

del alcance.
Ejemplos del alcance de la gestión del riesgo pueden ser una aplicación TI, infraestructura
TI, un proceso de rnegocios, o una parte definida de una organización.
NOTA: El alcance y límites de la gestión del riesgo de la seguridad de la información están relacionados al alcance
y límites del SGSI requeridos en la NMX-I-27001-NYCE, 4.2.1 a). .
Información adicional puede encontrarse en el apéndice A.
7.4 Organización para la gestión del riesgo de la seguridad de la

información
La organización y responsabilidades para el proceso de gestión del riesgo de la seguridad de

la información deben establecerse y mantenerse. Los siguientes son los roles y
responsabilidades principales de esta organización:
• Desarrollo conveniente para la organización del proceso de gestión del riesgo de la

seguridad de la información.
• Identificación y análisis de los responsables.
• Definición de roles y responsabilidades de todas las partes tanto internas como externas
a la organización.
• Establecimiento de las relaciones requeridas entre la organización y los responsables, así

como de las interfases a las funciones de la gestión del riesgo de alto nivel de la
©PROHIBIDA lA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
- organización (por ejemplo, gestión del riesgo operacional) así como las interfases
13/74
a otros
proyectos a actividades relevantes.
• Definición de vías de escalada de decisión.
• Especificación de los registros a guardarse.
Esta organización debe aprobarse por los gerentes apropiados de la organización.
NOTA: La NMX-I-27001-NYCE requiere la determinación y provisión de los recursos necesarios para establecer,
implementar, operar, supervisar, revisar, mantener y mejorar un SGSI [5.2.1 a)]. La organización para las
operaciones de gestión del riesgo puede consJderarse como uno de los recursos requeridos por la NMX-I-
27001-NYCE.
8 EVAll!JACIÓN DEL RIESGO DE lA DE lA

INFORMACIÓN
- 8.1 Descripción general

información
de la evaluación del riesgo de la seguridad de la
NOTA: La actividad de la evaluación del riesgo es referida como un proceso en la NMX-I-27001-NYCE.

r
Entrada: Criterio básico, el alcance y límites, y la organización para el prpceso de gestión del
riesgo de la seguridad de la información que son establecidos.
r Acción: Los riesgos deben identificarse, describirse cuantitativa a cualitativamente, y

asignarse con una prioridad en contra del criterio de la evaluación del riesgo y los objetivos
relevantes a la organización.
- .
Guía de implementación: Un riesgo es una combinación de las consecuencias que pueden
.
seguir de la ocurreneia ae un evento inesperaao y la pr06a5iliClaCl de la ocurrencia del

evento. La evaluación del riesgo describe cuantitativa a cualitativamente el riesgo y permite
a los gerentes establecer una prioridad a los riesgos en conformidad a su formalidad
percibida u otro criterio establecido.
La evaluación del riesgo consiste de las siguientes actividades:
• Análisis del riesgo (8.2), el cual comprende:
Identificación del riesgo (8.2.1)
Estimación del riesgo (8.2.2)
• Evaluación del riesgo (8.3)
La evaluación del riesgo determina el valor de los activos de información, identifica las
amenazas y vulnerabilidades aplicables que existan (o puedan existir), identifica los
controles existentes y su efecto sobre el riesgo identificado, determina las consecuencias
potenciales y finalmente asigna una prioridad a los riesgos derivados y los clasifica en contra
14/74
del criterio de evaluación del riesgo fijado en el establecimiento del contexto.
La evaluación del riesgo es llevada a cabo a menudo en dos (o más) iteraciones. Primero una
evaluación de nivel alto es llevada a cabo para identificar los riesgos potencialmente altos
que justifica una evaluación adicional. La siguiente iteración puede involucrar más a fondo
una consideración de los riesgos potencialmente altos revelados en la iteración inicial. Donde
esto proporciona información insuficiente para evaluar el riesgo, entonces análisis detallados
adicionales son llevados a cabo, probablemente sobre partes del alcance total, y
posiblemente usando un método diferente.
Depende de cada organización seleccionar su propio enfoque a la evaluación del riesgo,

basada sobre los objetivos y el objetivo de la evaluación del riesgo.
La discusión sobre los enfoques de la evaluación del riesgo de la seguridad de la información

puede encontrarse en el apéndice E.
Salida: Una lista de riesgos evaluados asignada con una prioridad en conformidad al criterio
de evaluación del riesgo.
8.2 Análisis del riesgo
8.2.1 Identificación (lei riesgo
8.2.1.1 Introducción a la identificación del riesgo
El propósito de la identificación del riesgo es determinar qué puede suceder para causar una
pérdida potencial, y conseguir una. idea de cómo, dónde y por qué la pérdida puede suceder.
Los pasos descritos en los siguientes incisos de 8.2.1 deben recolectar datos de entrada para
la actividad de la estimación del riesgo.
NOTA: Las actividades descritas en los incisos posteriores pueden llevarse a cabo en un orden diferente que
depende de la metOclologla aplica a.
8.2.1.2 Identificación de activos
Entrada: Alcance y límites para la evaluación del riesgo a llevarse a cabo, lista de
componentes con propietarios, ubicación, función, etc.
Acción: Los activos dentro del alcance establecido deben identificarse (se relaciona a la NMX-
1-27001-NYCE, 4.2.1 d) 1)).
Guía de implementación: Un activo es algo que tiene valor para la organización y el cual, por
lo tanto, requiere protección. Para la identificación de activos debe considerarse que un
sistema de información consiste de más que solo hardware y software.
La identificación del activo debe desarrollarse en un nivel conveniente de detalle que

proporciona suficiente información para la evaluación del riesgo. El nivel de detalle usado en
la identificación del activo influye en la cantidad global de información recopilada durante la
evaluación de riesgo. El nivel puede refinarse en iteraciones adicionales de la evaluación del
riesgo.
NMX-I-27005-NYCE-2011
15/74
Un propietario de activo debe identificarse para cada activo, proporcionar responsabilidad y

rendir cuentas por el activo. El propietario del activo puede no tener derechos de propiedad
para el activo, pero tiene la responsabilidad para su producción, desarrollo, mantenimiento,
uso y seguridad como sea más apropiado. El propietario del activo es a menudo la persona
más conveniente para determinar el valor del activo para la organización (véase 8.2.2.2 para
valoración del activo).
r- El límite de la revisión es el perímetro de activos de la organización definida para gestionarse

mediante el proceso de gestión del riesgo de la seguridaa de la información.
Más información sobre la iaentificaciOn y la valoración de los respecto a la

seguridad de la información puede encontr-arse en el aRéndice B.
Salida: Una lista de activos para gestionarse el riesgo, y una lista de procesos de negocios
relacionados a los activos y sus relevancias.
8.2.1.3 Identificación de amenazas
Entrada: Información sobre amenazas obtenidas de la revisión del in "dente, propietarios de

activo, usuarios y otras fuentes, que incluye catálogos de amenazas externa.
Acción: Amenazas y sus fuentes deben identificarse (se relaciona a la NMX-I-27001-NYCE,

4.2.1 d) 2)).
Guía de implementación: Una amenaza tiene el potencial para perjudicar les activos tales
como la información, procesos y sistemas, y por lo tanto, a las a ganizaciones. Las
amenazas pueden ser de origen natural a humano, y pueden ser accidentales a deliberados.
Tanto las fuentes de amenaza accidentales como las deliberadas deben identificarse. Una.
amenaza puede sl!.lrgir desde dentro a desde el exterior de la orga ización. Las amenazas
deben identificarse €Ienéfie:a e te 'i go e ti~o t130 ejSilll~, aecto es no autorizadas, daño
físico, fallas técnicas) y además donde las amenazas individuales apropiadas dentro de la
clase genérica identificada. Esto significa que ninguna amenaza es pasada por alto,
incluyendo la inesperada, pero el volumen de trabajo requerido es limitado.
Algunas amenazas pueden afectar a más de un activo. En tales casos, pueden causar
diferentes impactos que dependen de cuales activos son afectados.
La entrada a la identificación y estimación de la amenaza de la probabilidad de ocurrencia

(véase 8.2.2.3) puede obtenerse de los propietarios a usuarios del activo, del personal de
recursos humanos, de la gestión de la instalación y los especialistas de la seguridad de la
información, de los expertos de la seguridad física, del departamento legal y otras
organizaciones que incluyen organismos legales, autoridades del clima, compañías de
seguros y autoridades gubernamentales nacionales. Los aspectos del ambiente y la cultura
deben considerarse cuando se señalen amenazas.
La experiencia interna de los incidentes y las evaluaciones de amenazas pasadas deben

considerarse en la evaluación actual. Puede ser que valga la pena consultar otros catálogos
,.... de amenazas (tal vez específicos a una organización a negocios) para completar la lista de
amenazas genéricas, donde sea relevante. Los catálogos y estadísticas de amenazas están
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA 'IRMA MEXI~"'A POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
16/74
disponibles de los organismos industriales, gobiernos nacionales, organismos legales,

compañías de seguros, etc.
Cuando se usan catálogos de amenazas, a los resultados de evaluaciones de las amenazas

anteriores, uno debe estar consciente de que hay un cambio continuo a amenazas
relevantes, especialmente, si el ambiente de negocios a los sistemas de información
cambian.
Más información sobre los tipos de amenazas puede encontrarse en el apéndice C.
Salida: Una lista de amenazas con la identificación del tipo y. la fuente de amenaza.
8.2.1.4 Identificación de controles existentes
Entrada: Documentación de los controles, planes de la implementación del tratamiento del

riesgo.
Acción: Controles existentes y planificados deben identificarse.
Guía de implementación: La identificación de los controles existentes debe hacerse para

evitar trabajo a costos innecesarios, por ejemplo, en la dupllcación de controles. Además,
mientras se identifican los controles existentes, una verificación debe hacerse para asegurar
que los controles están trabajando correctamente - una referencia a los reportes de la
auditoría del SGSI ya existentes debe limitar el tiempo gastado en esta tarea. Si un control
no trabaja como se espera, esto puede causar vulnerabilidades. Ua consideración debe darse
a la situación donde un control seleccionado (o estrategia) falla en la operación y por lo
tanto los controles complementarios son requeridos para diliigir el riesgo identificado
efectivamente. En un SGSI, en conformidad a la NMX-I-27001-NiY'CE, esto es soportado por
la medición de la efectividad del control. Una forma de estimar el efecto del control es ver
como se reduce la probabilidad de amenaza y la facilidad de explotar la vulnerabilidad,o el
impacto del incidente. Las revisiones de la §lestión y los reportes de auditoría también
proporcionan información acerca de la efectividad de los controles existentes.
Los controles que son planificados para ser implementados en conformidad a los planes de
implementación del tratamiento del riesgo deben considerarse en la misma forma como
aquellos que ya están implementados.
Un control existente a planeado puede identificarse como ineficaz, a no suficiente, a no

justificado. Si no es justificado a no es suficiente, el control debe verificarse para determinar
sí debe removerse, reemplazarse por otro, más control conveniente, a sí debe permanecer
en lugar, por ejemplo, por razones de costos.
Para la identificación de los controles existentes a planificados, las siguientes actividades
pueden ser útiles:
• Revisar documentos que contienen información acerca de los controles (por ejemplo, los
planes de implementación del tratamiento del riesgo). Si los procesos de la gestión de la
seguridad de la información están bien documentados, todo lo existente a los controles
planificados y el estatus de su implementación deben estar disponibles;
NMX-I-27005-NYCE-2011
17/74
• Verificar con la gente responsable de la seguridad de la información (por ejemplo, oficial

- de seguridad de la información y oficial de seguridad del sistema de información, gerente
del edificio a gerente de operaciones) y los usuarios así como cuáles controles son
realmente implementados para el proceso de la información a el sistema de información
bajo consideración;
• Llevar a cabo una revisión en sitio de los controles físicos, comparando aquellos
implementados con la lista de qué controles deben estar ahí, y verificar aquellos
implementados así como sí están trabajando correctamente y efectivamente, a
• Revisar resultados de las auditorías internas.
Salida: Una lista de todos los controles existentes y RlanifiGados, su implementación y

estatus de uso.
8.2.1.5 Identificación de vulnerabilidades
Entrada: Una lista de amenazas conocidas, listas de activos y controle existentes.
Acción: Vulnerabilidades que pueden explotarse mediante amenazas ara causar daño a los
activos a a la organización deben. identificarse (se relaciona a la M -I-27001-NYCE, 4.2.1
d) 3)).
Las vulnerabilidades pueden identificarse en las siguientes áreas:
• Organización.
• Procesos y procedimientos.
- .• Rutinas de gestión.
• Personal.
• Ambiente físico.
- • Configuración del sistema de información.
• Hardware, software a equipo de comunicaciones.
• Dependencia de partes externas.
La presencia de una vulnerabilidad no causa daño por sí mismo, ya que las necesidades son
una amenaza presente para explotarlo. Una vulnerabilidad que no tiene amenaza
correspondiente puede no requerir la implementación de un control, pero debe reconocerse y
supervisarse para cambios. Debe notarse que un control implementado incorrectamente a un
control en mal funcionamiento a un control que es usado incorrectamente, puede por sí
mismo, ser una vulnerabilidad. Un control puede ser efectivo a inefectivo dependiendo del
ambiente en el cual opera. A la inversa, una amenaza que no tiene una vulnerabilidad
- correspondiente puede no resultar en un riesgo.
- @PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.
18/74
Las vulnerabilidades pueden relacionarse a las propiedades del activo que puede usarse en
una forma, o para un propósito, aparte de aquel previsto cuando el activo fue comprado o
hecho. Las vulnerabilidades que surgen de diferentes fuentes necesitan considerarse, por
ejemplo, aquellas intrínsecos o extrínsecas al activo.
Ejemplos de vulnerabilidades y métodos para la evaluación de la vulnerabilidad pueden

encontrase en el apéndice D.
Salida: Una lista de vulnerabilidades en relación con los activos, amenazas y controles; una
lista de vulnerabilidades que no relaciona a cualquier amenaza identificada para revisión.
8.2.1.6 Identificación de consecuencias
Entrada: Una lista de activos, una lista de procesos de negocios, y una lista de amenazas y
vulnerabilidades, donde sea más apropiado, relacionada a activos y sus relevancias.
Acción: Las consecuencias que las pérdidas de confidencialidad, integridad y disponibilidad

puedan tener sobre los activos deben identificarse (véase la NMX-I-27001-NYCE, 4.2.1 d)
4)).
Guía de implementación: Una consecuencia puede ser la pérdida de efectividad, condiciones

de operación adversas, pérdida de negocios, reputación, daño, eta.
Esta actividad identifica el daño o las consecuencias a la organización que pueden ser
causadas por una pers,Rectiva de incidente. Una perspectiva de incidente es la descripción de
una amenaza que explota una cierta vulnerabilidad o conjunto de vulnerabilidades en un
incidente de la seguridad de la información (véase la NMX,-I-27002-NYCE, capítulo 13). El
impacto de las perspectivas de incidente es determinado considerando el criterio de impacto
definido durante la actividad del establecimiento del contexto. Pue e afectar uno o más
activos o parte de un activo. De este modo, los activos pueden tener asignados valores tanto
para su costo ñnahcíero como de ido a las c nsecuencias o negocios si son dañados o
comprometidos. Las consecuencias pueden ser de una naturaleza temporal o pueden ser
permanentes como en el caso de la destrucción de un activo.
NOTA: La NMX-I-27001-NYCE describe la ocurrencia de las perspectivas de incidente como "fallas de seguridad".
Las organizaciones deben identificar las consecuencias operacionales de las perspectivas de

incidente en términos de (pero no limitados a):
• Tiempo de investigación y reparación

• Pérdida de tiempo (trabajo)
• Pérdida de oportunidad
• Salud y Seguridad
• Costo financiero de las habilidades específicas para reparar el daño
• Reputación de imagen y de la buena voluntad
19/74
Detalles en la evaluación de las vulnerabilidades técnicas pueden encontrarse en B.3 del

apéndice B, Evaluación del impacto.
Salida: Una lista de perspectivas de incidente con sus consecuencias relacionadas a los
activos y procesos de negocios.
8.2.2 Estimación de riesgo
8.2.2.1 Metodologías de la estimación de riesgo
El análisis del riesgo puede asumirse en grados variables de detalle que dependen de la
importancia de lo activos, la extensión dé las vulnerabili ade"S conocidas, previo a los
incidentes que se involucran en la organización. Una metodología de la estimación puede ser
cualitativa o cuantitativa, o una combinación de estos, que depende de las circunstancias. En
la práctica, la esti ación cualitativa es a menudo usada primero para obtener una indicación
general del nivel de riesgo y revelar los riesgos mayores. Más tarde puede ser necesario
asumir análisis más e pecíficos o cuantitativos sobre los riesgos mayores debido a que es
usualmente menos omplejo y menos caro desempeñar análisis cualitativos que
cuantitativos.
La forma de los análisis debe ser consistente con el criterio riesgo

. desarrollado como parte del establecimiento del contexto ..
Detalles adicionales de las metodologías de estimación son descritos ahora:
(a) Estimación cualitativa:
La estimación cualitativa usa una escala de atributos eliminatorios para describir la magnitud
- de las consecuencias potenciales (por ejemplo, Baja, Media y Alta) y la probabilidad de que
aquellas consecuencias deban ocurrir.
facilidad de entendimiento
Una ventaja de la es imación cualitativa es su
Ror todo el ReFsonal relevant rníerítras una desventaja es la
dependencia de la elección subjetiva de la escala.
Estas escalas pueden adaptarse o ajustarse para convenir a las circunstancias y diferentes
descripciones pueden usarse para diferentes riesgos. Una estimación cualitativa puede
usarse:
• Como una actividad de proyección inicial para identificar riesgos que requieren análisis
más detallados.
• Donde este tipo de análisis es apropiado para decisiones.
• Donde los datos numéricos a recursos son inadecuados para una estimación cuantitativa
Un análisis cualitativo debe usar información y datos donde esté disponible.
(b) Estimación cuantitativa:
La estimación cuantitativa usa una escala con valores numencos (más que las escalas
descriptivas usadas en la estimación cualitativa) tanto para las consecuencias como para la
probabilidad, usando datos de una variedad de fuentes. La calidad de los análisis depende de
- ©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.
20/74
la exactitud y lo completo de los valores numéricos y la validez de los modelos usados. La

estimación cuantitativa en la mayoría de los casos usa datos incidentes históricos, que
proporcionan la ventaja de que puede estar relacionado directamente a los objetivos y
preocupaciones de la seguridad de la información de la organización. Una desventaja es la
falta de tales datos sobre los nuevos riesgos a las debilidades de la seguridad de la
información. Una desventaja del enfoque cuantitativo puede ocurrir donde los datos fácticos,
auditables no están disponibles, de este modo se crea una ilusión de valor y exactitud de la
evaluación del riesgo.
La forma en la cual las consecuencias y la probabilidad son expresadas y, las formas en las
cuales son combinadas para proporcionar un nivel de riesgo, deben variar en conformidad al
tipo del riesgo y el propósito para el cual la salida de la evaluación del riesgo está para
usarse. La incertidumbre y la variabilidad t nto de las consecuencias Goma de la probabilidad
deben considerarse en el análisis y comunicarse efectivamente.
8.2.2.2 Evaluación de las consecuencias
Entrada: Una lista de las perspectivas relevantes de incidente identificadas, que incluyen la
identificación de amenazas, vulnerabilidades, activos afectados, consecuencias para los
activos y los procesos de negocios.
Acción: El impacto de los negocios en la organización que puede resultar de los incidentes
de la seguridad de la información actual a posible debe evaluarse, tomando en cuenta las
consecuencias de un incumplimiento de la seguridad de la informaclón tal como la pérdida
de la confidencialidad, integridad a disponibilidad de los activos (se relaciona a la NMX-I-
27001-NYCE. 4.2.1 e) 1)).
Guía de implementación: Después de identificar todos los activos bajo revisión, los valores
asignados a estos activos deben tomarse en cuenta mientras se e alúan las consecuencias.
El valor del impacto de los negocios puede expresarse en forma cualitativa y cuantitativa,
pero cualquier método de asignación de valor monetario puede proporcionar generalmente
más información para la toma de decisión y, por consiguiente, facilita un proceso de toma de
decisión más eficiente.
La valoración del activo comienza con la clasificación de activos en conformidad a su

importancia, en términos de la importancia de los activos para satisfacer los objetivos de los
negocios de la organización. La valoración es entonces determinada usando dos medidas:
• El valor de reemplazo del activo: el costo de la limpieza de recuperación y el reemplazo
de la información (si es del todo posible), y
• Las consecuencias de negocios de pérdida a compromiso del activo, tales como los
negocios adversos potenciales y/o consecuencias legales a reguladores de la revelación,
modificación, no-disponibilidad y/o destrucción de la información, y otros activos de
información.
Esta valoración puede determinarse del análisis del impacto de los negocios. El valor,
determinado por la consecuencia para los negocios, es usualmente, considerablemente, más
alto que el costo de reemplazo simple, que depende de la importancia del activo para la
organización en el cumplimiento de sus objetivos de negocios.
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZAC -'IN DE NYCE, :jI.C.
21/74
La valoración del activo es un factor clave en la evaluación del impacto de una perspectiva
de incidente, debido a que el incidente puede afectar más que un activo (por ejemplo,
activos dependientes), o solamente una parte de un activo. Las amenazas y vulnerabilidades
diferentes tienen impactos diferentes sobre los activos, tales como una pérdida de la
confidencialidad, integridad o disponibilidad. La evaluación de las consecuencias es así
relacionada a la evaluación del activo basado en el análisis del impacto de los negocios.
El impacto de las consecuencias o de los negocios puede determinarse mediante el modelado

de los resultados de un evento o conjunto de eventos o mediante la extrapolación de los
estudios experimentales o datos l2asados.
- Las consecuencias pueden expresarse en términos del criterio de impacto monetario, técnico
o humano, u otro criterio relevante a la organización. En algunos casos, más de un valor
numérico es requerido para especificar las consecuencias para diferentes tiempos, lugares,
grupos o situaciones.
Las consecuencias en tiempo y finanzas deben medirse con el mismo enfoque usado para la
probabilidad y vulnerabilidad de amenaza. La consistencia tiene que mantenerse sobre el
enfoque cuantltatlvo o cualitativo.
Más inforrnaélón tanto de la valoración del activo como de la eválüaélón del impacto puede
encontrarse en el apéndice B.
Salida: Una lista de consecuencias evaluadas de una perspectiva tie incidente expresada con
respecto a los activos y al criterio de impacto.
8.2.2.3 Evaluación de una probabilidad de incidente
Entrada: Una lista de las perspectivas relevantes de incidente identificadas, que incluyen la
identificación de amenazas, aetivos afeet:ados, vulner "d des y. ca secuencias explotadas a
los activos y procesos de negocios. Además, las listas de todos los controles existentes o
planificados, su efectividad, implementación y estatus de uso.
Acción: La probabilidad de las perspectivas de incidente debe evaluarse (se relaciona a la

NMX-I-27001-NYCE, 4.2.1 e) 2».
Guía de implementación: Después de identificar las perspectivas de incidente, es necesario

evaluar la probabilidad de cada perspectiva e impacto que ocurren, usando técnicas de
estimación cualitativas o cuantitativas. Esto debe tomar en cuenta de qué tan a menudo
ocurren las amenazas y qué tan fácil pueden explotarse las vulnerabilidades, considerando:
• Experiencia y estadísticas aplicables para la probabilidad de amenaza.
• Para fuentes de amenazas deliberadas: la motivación y la capacidad, las cuales cambian

con el tiempo, y los recursos disponibles para posibles atacantes, así como la percepción
de lo atractivo y la vulnerabilidad de los activos de un posible atacante.
• Para fuentes de amenaza deliberada: factores geográficos, por ejemplo, la proximidad a

plantas químicas o petroleras, la posibilidad de condiciones de clima extremas, y los
22/74
factores que pueden influenciar errores humanos y malfuncionamiento de equipo.
• Vulnerabilidades, tanto individuales como en agrupación.
• Controles existentes y cómo reducen efectivamente las vulnerabilidades.
Por ejemplo, un sistema de información puede tener una vulnerabilidad para las amenazas
de hacerse pasar por la identidad de un usuario y hacer mal uso de los recursos. La
vulnerabilidad de hacerse pasar por la identidad de un usuario puede ser alta debido a la
carencia de autentificación del usuario. Por una parte, la probabilidad del mal uso de los
recursos puede ser baja, a pesar de la carenoia de la autentificación del usuario, debido a
que las formas de acer mal uso de los recur: os son limitadas.
Dependiendo de la necesidad de exactitud, los activos pueden agruparse, a puede

necesitarse dividir los activos dentro de sus elementos y relacionar las perspectivas a los
elementos. Por ejelíTlp'ló, a través de ubicaciones geográficas, la naturaleza de las amenazas
a los mismos tipo tie activos puede cambiar, a la efectividad de los controles existentes
puede variar.
Salida: Proba5ilidad de las perspectivas de incidente (cuantitativa a cualitativa).
8.2.2.4 Nivel de la estimación del riesgo
Entrada: Una lista de las perspectivas de incidente con sus consecuencias relacionadas a los
activos y procesos (le negocios y sus probabilidades (cuantitativas a cualitativas).
Acción: El nivel del riesgo debe estimarse .para todas las perspectivas de i eidente relevantes
(se relaciona a la NMX-I-27001-NYCE, 4.2.1 e) 4)).
Guía de implementación: La estimación del riesgo asigna valore a la probabilidad y las

consecuencias de un Fiesgo. Estes valOFes Rueden ser, euantttattvos a cualitativos. La
estimación del riesgo está basada sobre las consecuencias evaluadas y la probabilidad.
Adicionalmente, puede considerarse el beneficio del costo, las preocupaciones de los
responsables, y otras variables, como sea más conveniente para la evaluación del riesgo. El
riesgo estimado es una combinación de la probabilidad de una perspectiva de incidente y sus
consecuencias.
Ejemplos de diferentes métodos a propuestas de la estimación del riesgo de la seguridad de
la información pueden encontrarse en el apéndice E.
Salida: Una lista de riesgos con niveles de valor asignados.
8.3 Evaluación del riesgo
Entrada: Una lista de los riesgos con niveles de valor asignados y el criterio de la evaluación
del riesgo.
Acción: El nivel de riesgos debe compararse en contra del criterio de la evaluación del riesgo
y el criterio de aceptación del riesgo (se relaciona a la NMX-I-27001-NYCE, 4.2.1 e) 4)).
Guía de implementación: La naturaleza de las decisiones referentes a la evaluación del
23/74
riesgo y al criterio de la evaluación del riesgo que se usan para hacer esas decisiones pueden
haberse decidido cuando se establece el contexto. Estas decisiones y el contexto deben
reconsiderarse con más detalle en esta etapa cuando se conoce más acerca de los riesgos
particulares identificados. Para evaluar riesgos, las organizaciones deben comparar los
riesgos estimados (usando métodos a enfoques seleccionados como se discuten en el
apéndice E) con el criterio de evaluación del riesgo definido durante el establecimiento del
contexto.
,-- El criterio de evaluación del riesgo usado para hacer decisiones debe ser consistente con el
contexto de la gestión externa e interna del riesgo de la seguridad de la información definida
y tomar en cuenta los objetivos de la organizaoión y los puntos de vista del responsable, etc.
Las decisiones como se toman en la activiélad de la eva uácrón del riesgo son basadas
principalmente en I nivel del riesgo aceptable. Sin embar a las consecuencias, probabilidad
y el grado de confianza en la identificación de riesgo y el análisis deben considerarse
- también. La agrupación de los múltiples riesgos bajos a medios puede resultar en riesgos
globales mucho más altos y necesitan señalarse como corresponde.
Las consideraciones deben incluir:
• Las propjedades de la seguridad de la información: si un criterio a es relevante para la

organización (por ejemplo, pérdida de confidencialidad), ento
impacten este cri lerlo pueden ser no relevantes.
• La importancia del proceso a la actividad de los negocios soportada por un activo

particular a conjunto de activos: si el proceso es determinado para que sea de baja
importancia, los riesgos asociados con él deben darse una consideración más baja que
los riesgos que impactan más a los procesos a actividades importantes .
.La evaluación del riesgo usa el entendimiento del riesgo obtenido mediante el análisis del
riesgo para hacer decisiones acerca de las acciones futuras. Las decisiones deben incluir:
• Sí una actividad debe asumirse
• Asignar una prioridad para el tratamiento del riesgo que considera los niveles estimados
de los riesgos
- Durante la etapa de evaluación del riesgo, los requisitos contractuales, legales y reguladores
son factores que deben tomarse en cuenta adicional a los riesgos estimados.
Salida: Una lista de riesgos a los cuales se les asigna una prioridad en conformidad al
criterio de la evaluación del riesgo en relación con las perspectivas de incidente que
conducen a aquellos riesgos.
24/74
9 TRATAMIENTO DEL RIESGO PARA lA SEGURIDAD DE lA

INFORMACIÓN
9.1 Descripción general del tratamiento del riesgo
Entrada: Una lista de riesgos a los cuales se les asigna una prioridad en conformidad al
criterio de evaluación del riesgo en relación con las perspectivas de incidente que conduzcan
a esos riesgos.
Acción: Los controles para reducir retener, evitar, o transferir los riesgos deben seleccionarse
y un plan de tratamiento de riesgo definido.
Guía de implementación: Hay cuatro opciones disponibles para el tratamiento del riesgo: la
reducción del riesgo (véase 9.2), retención del riesgo (véase 9.3), evasión del riesgo (véase
9.4) y transferencia del riesgo (véase 9.5).
NOTA: La NMX-I-27001-NYCE, 4.2.1 f) 2) usa el término "aceptar el riesgo" en lugar tie "retener el riesgo".
La figura 2 ilustra la actividad del tratamiento del riesgo dentro del proceso de gestión del
riesgo de la seguridad de la información como se presenta en la figura 1.
Las opciones del tratamiento del riesgo deben seleccionarse basada en el resultado de la
evaluación del riesgo, los costos esperados para implementar estas opciones y los beneficios
esperados de estas opciones.
Cuando las reducciones grandes en los riesgos pueden obtenerse con un gasto bajo
relativamente, tales opciones deben implementarse. Las opciones adicionales para mejoras
pueden ser necesidades no-económicas y legales para ejercitarse sí son justificables.
En general, las consecuencias adversas· de los riesgos debem hacerse desde lo

razonablemente factible y sin tener en cuenta cualquier: criterio absoluto. Los gerentes deben
considerar excepcionales pero severos los riesgos. En tales casos, los controles que no son
justificables sobre terrenos estrictamente económicos pueden necesitar implementarse (por
ejemplo, los controles de continuidad de los negocios considerados para cubrir los riesgos
específicos altos).
Las cuatro opciones para el tratamiento del riesgo no son mutuamente exclusivas. Algunas
veces la organización puede beneficiar substancialmente, mediante una combinación de
opciones, tales como la reducción de la probabilidad de los riesgos, la reducción de sus
consecuencias, y la transferencia o retención de algunos riesgos residuales.
- NMX-I-27005-NYCE-2011
25/74
Punto 1 de la decisión del riesgo
Tratamiento del riesgo
OPCIONES DE TRA.TAMIENTO DEL RIESGO
REDUCCIÓN RETENCIÓN EVASIÓN

DEL RIESGO DEL RIESGO DEL RIESGO DEL RIESGO
Punto 2 de la decisión del riesgo
FIGURA 2.- La actividad del tratamiento del riesgo
Algunos tratamientos de riesgos pueden efectivamente dirigir más de un riesgo (por

ejemplo, la capacitación y la conciencia de la seguridad de la información). Un plan de
tratamiento del riesgo debe definirse el cual claramente identifica el orden de prioridad en el
cual los tratamientos del riesgo individual deben implementarse y sus plazos. Las prioridades
pueden establecerse usando varias técnicas, que incluyen la clasificación del riesgo y el
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEX_ '''NA POR CU"'r-QUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
26/74
análisis costo-beneficio. Es responsabilidad del gerente de la organización decidir el balance

entre los costos de los controles de implementación y la asignación del presupuesto.
La identificación de los controles existentes puede determinar que controles existentes

exceden las necesidades actuales, en términos de las comparaciones de costos, que incluyen
el mantenimiento. Si se considera remover los controles redundantes a innecesarios
(especialmente si los controles tienen costos altos de mantenimiento), la seguridad de la
información y los factores de costos deben tomarse en cuenta. Dado que los controles
pueden influenciar el uno al otro, los controles redun antes que se remueven pueden reducir
la seguridad global en el lugar. Además, puede ser. más barato dejar los controles
redundantes a innecesarios en lugar de remover os.
Las opciones de tratamiento del riesgo deben considerarse tomando en cuenta:
• Cómo es perci ido el riesgo por las partes afectadas.
• Las formas más apropiadas para comunicar a esas partes.
El establecimiento del contexto (véase 7.2 - Criterio de evaluación del riesgo) proporciona la
información obre los requisitos legales y reguladores con los cuales la organización necesita
cumplir. El riesgo para las organizaciones es el fracaso para cumplir y las opciones del
tratamiento que limitan esta posibilidad deben implementarse. Todas las restricciones -
organizativas, técnicas, estructurales, etc. - que son identificadas durante la actividad del
establecimiento del contexto deben tomarse en cuenta durante el tratamiento del riesgo.
Una vez que el Ian de tratamiento del riesgo ha sido definido, los riesgos residuales
necesitan deterrniáarse. Esto involucra una actualización a re-iteración de la evaluación del
riesgo, tomando en cuenta los efectos esperados del tratarniento del riesgo propuesto. El
riesgo residual no debe cumplir aún con el criterio de aceptación del riesgo de la
organización, una iteración adicional del tratamiento del riesgo puede necesitarse antes de
proceder a la acepta€ión del r:iesgo. Más infosrnaeién Ruede eneontrarse en la NMX-I-27002-
NYCE, inciso 0.3.
Salida: El plan de tratamiento del riesgo y los riesgos residuales sujetos a la decisión de
aceptación de los gerentes de la organización.
9.2 Reducción del riesgo
Acción: El nivel del riesgo debe reducirse a través de la selección de controles, de modo que
el riesgo residual pueda re-evaluarse para ser aceptable.
Guía de imRlementación: Los controles apropiados y justificados deben seleccionarse para

cumplir con los requisitos identificados por la evaluación del riesgo y el tratamiento del
riesgo. Esta selección debe tomar en cuenta el criterio de aceptación del riesgo así como de
los requisitos legales, reguladores y contractuales. Esta selección debe tomar en cuenta
también el costo y el plazo para la implementación de controles; aspectos técnicos,
ambientales y culturales. Es a menudo posible bajar el costo total de propiedad de un
sistema con los controles apropiados de la seguridad de la información.
En general, los controles pueden proporcionar uno a más de los siguientes tipos de
protección: corrección, eliminación, prevención, minimización del impacto, disuasión,
- 27/74
detección, recuperacion, supervrsron y conciencia. Durante la selección del control es

importante ponderar el costo de adquisición, implementación, administración, operación,
supervisión, y mantenimiento de los controles en contra del valor de los activos que son
protegidos. Además, la recuperación de la inversión, en términos de la reducción del riesgo y
,... potencial para explotar nuevas oportunidades de negocios proporcionadas por ciertos
controles, deben considerarse. Adicionalmente, la consideración debe darse a habilidades
especiales que pueden ser necesarias para definir e implementar nuevos controles o
modificar los existentes.
La NMX-I-27002-NYCE proporciona información detallada sobre los controles.
Hay algunas restricciones que pueaen afectar la selección e controles. Las restricciones
técnicos tales como los requisitos de desem eño¡ la habilidad de gestionarse (requisitos de
soporte operacionales) y los asuntos de compatibilidad pueden difiaultar el uso de ciertos
controles o pueden inducir al error humano o anular el control, dando un sentido de
seguridad falso o aún al incremento del riesgo más allá de no tener el control (por ejemplo,
que se requiera contraseñas complejas sin la capacitación apropiada, Que lleva a los usuarios
a anotar las contraseñas). Además, puede ser el caso de que un C0 trol pueda afectar el
desempeño. Los gerentes deben intentar identificar una solución que satisfaga los requisitos
de desempeño mientras se garantiza lo sufi iente la seguridad de la información. El
resultado de este paso es una lista de controles posibles, con su costo; beneficio, y prioridad
de implementación.
Varias restricciones deben tomarse en cuenta cuando se seleccionan los controles y durante
la implementación. Tí icamente, los siguientes se consideran:
,....
• Restricciones de tiempo.
• Restricciones financieras.
• Restricciones téenle s
• Restricciones operacionales.
• Restricciones culturales.
• Restricciones éticas.
• Restricciones ambientales.
• Restricciones legales.
,...
• Facilidad de uso.
• Restricciones personales.
• Restricciones para integrar controles nuevos y existentes.

Más información sobre las restricciones para la reducción del riesgo puede encontrarse en el
apéndice F.
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.
28/74
9.3 Retención del riesgo
Acción: La decisión sobre retener el riesgo sin acción adicional debe tomarse dependiendo de
la evaluación del riesgo.
NOTA: La NMX-¡-27001-NYCE 4.2.1 f) 2) "la aceptación, intencionalmente y objetivamente, de los riesgos

proporciona satisfacer claramente las políticas de la organización y el criterio para aceptar riesgos"
describe la misma actividad.
Guía de implementación: Si el nivel del riesgo cumple con el criterio de aceptación del
riesgo, no hay necesidad de implementar controles adicionales y el riesgo puede retenerse.
9.4 Evasión del riesgo
Acción: La actividad a condición que da surgimiento al riesgo particular debe evadirse.
Guía de implementación: Cuando los riesgos identificados son conside ados demasiado altos,
a los costos de implementación de otras opciones del tratamiento (lei riesgo exceden los
beneficios, una decisión puede hacerse para evitar el riesgo completamente, mediante el
retiro de una actividad planeada a existente a conjunto de actividatles, a cambiando las
condiciones bajo las cuales la actividad es operada. Por ejemplo, parr los riesgos causados
por natura eza puede] alternativo, ser más efectivo en costos mover físicamente las
instalaciones del procesamiento de la información a un lugar donde el iesgo no existe a está
bajo control.
9.S Transferencia del riesgo
Acción: El riesgo debe transferirse a otra parte que pueda gestionar más efectivamente el
riesgo particular dependiendo de la evaluación del riesgo.
Guía de implementación: La transferencia del riesgo involucra una decisión para compartir
ciertos riesgos con las partes externas. La ransferencla dél riesgo puede crear nuevos
riesgos a modificar los existentes. Por lo tanto, el tratamiento adicional del riesgo puede ser
necesario.
La transferencia puede hacerse mediante un seguro que soporte las consecuencias, a

mediante la sub-contratación de un socio cuyo rol supervise al sistema de información y
tome acciones inmediatas para parar y atacar antes de que exista un nivel de daño definido.
Debe notarse que puede ser posible transferir la responsabilidad para gestionar el riesgo
pero es normalmente posible transferir la responsabilidad de un impacto. Los consumidores
deben atribuir usualmente un impacto adverso como la falla de la organización.
29/74
10 ACEPTACIÓN DEL RIESGO DE lA SEGURIDAD DE lA

INFORMACIÓN
Entrada: El plan de tratamiento del riesgo y la evaluación del riesgo residual sujeto a la
decisión de aceptación de los gerentes de la organización.
Acción: La decisión para aceptar los riesgos y responsabilidades para la decisión deben
hacerse y registrarse formalmente (esto se relaciona a la NMX-I-27001-NYCE, 4.2.1 h)).
Guía de implementación: Los planes del tratamiento del riesgo deben describir como los
riesgos evaluados son tratados para €um¡;¡lir con el criterio de acegtación del riesgo (véase
7.2, Criterio de aceptación del riesgo). Es importante para los gerentes responsables revisar
y aprobar los planes propuestos de tratamiento del riesgo y ríesqos residuales resultantes, y
registrar algunas condiciones asociadas con tal aprobación.
El criterio de aceptación del riesgo puede ser más complejo que solo determinar sí, a no, un
riesgo residual cae por arriba a por debajo de un umbral sencillo.
En algunos casos el nivel del riesgo residual puede no cumplir con e criterio de aceptación
del riesgo debido a que el criterio que se aplica no toma en cuenta las circunstancias
prevalecient~. Por ejemplo, puede argumentarse que es necesan o aceptar los riesgos
debido a que los beneficios que acompañan a los riesgos son muy atractivos, a debido a que
el costo de la re ucción del riesgo es demasiado alto. Tales cincunsta cias que indican el
criterio de aceptación del riesgo son inadecuadas y deben revisarse, si es posible. Sin
embargo, no siempre es posible revisar el criterio de aceptación del riesgo en una forma
oportuna. En tales circunstancias, los gerentes de decisión pueden tener que aceptar los
riesgos que no cumplan con el criterio de aceptación normal. Si esto es necesario, el
tomador de decisión debe comentar explícitamente sobre los riesgos e incluir una
justificación para la decisión de invalidar el criterio normal de aceptaci9n del riesgo.
Salida: Una lista de riesgos aceptaaos con justificación par-a aqtlellos que no cumplen con el
criterio normal de aceptación del riesgo de la organización.
11 COMUNICACIÓN DEL RIESGO DE lA SEGURIDAD DE lA

INFORMACIÓN
Entrada: Toda la información del riesgo obtenida de las actividades de la gestión del riesgo
(véase figura 1).
Acción: Información acerca del riesgo debe intercambiarse y/o compartirse entre el tomador
de decisión y otros responsables.
Guía de implementación: El riesgo de comunicación es una actividad para alcanzar un

acuerdo sobre cómo gestionar los riesgos mediante el intercambio y/o compartimiento de la
información acerca del riesgo entre los tomadores de decisión y otros responsables. La
información incluye, pero no está limitada a la existencia, naturaleza, probabilidad,
severidad, tratamiento, y aceptabilidad de riesgos.
La comunicación efectiva entre los responsables es importante dado que esta puede tener un
30/74
impacto significativo sobre las decisiones que deben hacerse. La comunicación debe asegurar
que aquellos responsables de implementar la gestión del riesgo, y aquellos con un
entendimiento del interés creado entiendan la base sobre la cual las decisiones son hechas y
por qué las acciones particulares son requeridas. La comunicación es bi-direccional.
Las percepciones del riesgo pueden variar debido a las variaciones en las suposiciones,
conceptos y las necesidades, temas y asuntos de los responsables como se relacionan al
riesgo o los temas bajo discusión. Los responsables posiblemente están para hacer los juicios
sobre la aceptabilidad del riesgo basado en us percepciones del riesgo. Esto es
especialmente importante para asegurar que las percepciones de los responsables del riesgo,
así como sus perce~ciones de los beneficios, pueden identificarse y documentarse y las
razones subyacentes se entiendan y señalen claramente.
La comunicación del riesgo debe llevarse a cabo para lograr lo siguiente:
• Proporcionar seguridad del resultado de la gestión del riesgo de la organización.
• Recopilar información del riesgo.
• Compartir los resultados de la evaluación del riesgo y presentar el plan del tratamiento
del riesgo.
• Evitar o re ucir tanto la ocurrencia como la consecuencia d los incumplimientos de la

seguridad de la información debido a la falta del entendlrnlento mutuo entre los
tomadores de deeisiones y los responsables.
• Soportar la toma de decisión.
• Obtener nuevo reconocimiento de la seguridad de la información.
• Coordinar con otra red eiE las consecuencias de

cualquier incidente.
• Dar a los tomadores de decisión y responsables un sentido de responsabilidad acerca de

los riesgos.
• Mejorar la conciencia.
Una organización debe desarrollar los planes de la cornunlcación del riesgo para las
operaciones normales así como para las situaciones de emergencia. Por lo tanto, la actividad
de la comunicación del riesgo debe desarrollarse continuamente.
La coordinación entre los tomadores de decisión mayores y los responsables puede

alcanzarse mediante la formación de un comité donde el debate acerca de los riesgos, sus
asignaciones de prioridad y tratamientos apropiados, y la aceptación puedan tomar lugar.
Es importante cooperar con las relaciones públicas apropiadas o unidad de comunicaciones

dentro de la organización para coordinar todas las tareas relacionadas a la comunicación del
riesgo. Esto es crucial en el evento de las acciones de comunicación de crisis, por ejemplo,
en respuesta a incidentes particulares.
31/74
Salida: Entendimiento continuo del proceso de gestión del riesgo de la seguridad de la

información de la organización y de los resultados.
12 SUPERVISIÓN Y REVISIÓN DEL RIESGO DE lA SEGURIDAD

DE lA INFORMACIÓN
12.1 Supervisión y revisión de los factores del riesgo
riesgo
Acción: Los riesgos y sus factores (es decir, el valor de los activosr impactos, amenazas,
probabilidad de ocurrencia) deben supervisarse y revisarse para identificar cualquier cambio
en el contexto de la organización en cualquier etapa temprana.
Guía de implementación: Los riesgos no son estáticos. Las amenazas, vulnerabilidades,

probabilidad de consecuencias, pueden cambiar abruptamente sin in icación alguna. Por lo
tanto, la supervisión constante es necesaria para detectar estos cambios. Esto puede
soportarse por los servicios externos que proporcionan inforrnadlón con respecto a nuevas
amenazas o vulnerabilidades.
Las organizaciones deben asegurar que lo siguiente sea supervisado continuamente:
• Nuevos activos que han sido incluidos en el alcance de la gestión del riesgo.
• Modificación necesaria de valores del activo, por ejemplo, debido a los requisitos de los
,..... negocios cambiado.
• Nuevas amenaza que pueClen estar ctivas

organización y que no han sido evaluadas.
• La posibilidad de que vulnerabilidades nuevas o incrementadas puedan permitir a las

amenazas explotar estas vulnerabilidades nuevas o cambiadas.
,....
• Vulnerabilidades identificadas para determinar aquellas que se vuelven expuestas a
amenazas nuevas o re-emergentes.
• Impacto incrementado o consecuencias de amenazas, vulnerabilidades y riesgos

evaluados en agrupación que resultan en un nivel de riesgo inaceptable.
• Incidentes de la seguridad de la información.
Nuevas amenazas, vulnerabilidades o cambios en la probabilidad o consecuencias pueden

incrementar los riesgos previamente evaluados como bajos. La revisión de los riesgos bajos
y aceptados debe considerar cada riesgo por separado, y tales riesgos como un conjunto
también, para evaluar su impacto potencial acumulado. Si los riesgos no caen dentro de la
categoría del riesgo bajo o aceptable, deben tratarse usando una o más de las opciones
@PROHIBIDA LA COPIA, REPROc 'CCIÓN PARCl.~l O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.
32/74
consideradas en el capítulo 9.
Los factores que afectan la probabilidad y las consecuencias de las amenazas que ocurren
pueden cambiar, al igual que los factores que afectan lo apropiado a el costo de las varias
opciones de tratamiento. Los cambios mayores que afectan a la organización deben ser
razón para una revisión más específica. Por lo tanto, las actividades de supervisión del riesgo
deben ser repetidas regularmente y las opciones seleccionadas para el tratamiento del riesgo
deben ser revisadas periódicamente.
El resultado de las actividades de supervisión del riesgo puede ser una entrada a otras
actividades de revisión del riesgo. La or anización debe revisar todos los riesgos
regularmente, y cuando camoios mayores ocurran (en conformidad a la NMX-I-27001-NYCE,
4.2.3).
Salida: Alineación continua de la gestión de los riesgos con los objetivos de negocios de la
organización, y com el criterio de aceptación del riesgo.
12.2 Supervisión, revisión y mejora de la gestión del riesgo
Entrada: Toda la información del riesgo obtenida de las actividades de la gestión del riesgo
(véase figura 1).
Acción: El proceso de gestión del riesgo de la seguridad de la información debe ser

continuamente supervisado, revisado y mejorado como sea necesario y apropiado.
Guía de implementación: La supervisión y revisión en curso sam necesarias para asegurar

que el contexto, el esultado de la evaluaci.ón del riesgo y el tratamiento del riesgo, así como
los planes de gestión, permanezcan relevantes y apropiados a las circunstancias.
La organización debe asegurarse de que el proceso de gestión del riesgo de la segurídad de

la información y las activldades relacionadas permanezean apropiadas en las circunstancias
presentes y son seguidas. Algunas mejoras acordadas para el proceso a las acciones
necesarias para mejorar la conformidad con el proceso deben notificarse a los gerentes
apropiados para tener seguridad de que ningún riesgo a elemento de riesgo sea pasado por
alto a subestimado y que las acciones necesarias sean tomadas y las decisiones sean hechas
para proporcionar un entendimiento del riesgo realista y habilidad para responder.
Adicionalmente, la organización debe verificar regularmente que el criterio usado para medir
el riesgo y sus elementos son aún válidos y consistentes con los objetivos, estrategias y
políticas de los negocios, y que los cambios al contexto de los negocios son tomados en
consideración adecuadamente durante el proceso de gestión del riesgo de la seguridad de la
información. Esta actividad de supervisión y revisión debe señalar (pero no limitarse a):
• Contexto legal y ambiental.
• Contexto de competencia.
• Enfoque de la evaluación del riesgo.
• Valor y categorías del activo.
©PROHIBIDA LA COPIA, REPF. I)UCCIÓN PAR.>CIALO TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
33/74
• Criterio de impacto.
• Criterio de evaluación del riesgo.
• Criterio de aceptación del riesgo.
• Costo total de propiedad.
• Recursos necesarios.
La organización debe asegurar gue la evaluación del riesgo y. los recursos del tratamiento del
riesgo estén continuamente disponibles para revisar el riesgo, dirigir amenazas o
vulnerabilidades nuevas o cambiadas, y aconsejar a una gestión como corresponde.
La supervisión de la gestión del riesgo puede resultar en la modificación o agregado del

enfoque, metodología o herramientas usadas que dependen de:
• Cambios identificados.
• Iteración de la evaluación del riesgo.
• Objetivo del proceso de gestión del riesgo de la seguridad de la información (por

ejemplo, continuidad de los negocios, resistencia a incidentes, conformidad)
• Objeto del proceso de gestión del riesgo de la seguridad de la información (por ejemplo,
organización, unidad de negocios, proceso de información, su implementación técnica,
aplicación, conexión a Internet)
Salida: Relevancia continua del proceso de gestión del riesgo de la seguridad de la

infomiación a los objetivos de negocios o actualización del proceso de la organización.
13 BIBLIOGRAFÍA
ISO/lEC 27005: 2008 Information technology - Security techniques - Information

security risk management.
14 CONCORDANCIA CON NORMAS INTERNACIONALES
- Esta Norma
"Information
Mexicana es idéntica (lOT) a la Norma Internacional
technology - Security techniques - Information security
ISO/lEC 27005: 2008
risk management".
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE I_ ·<:E, S.C.
34/74
APÉNDICE A
(Informativo)
DEFINIENDO El ALCANCE Y líMITES DEL PROCESO DE GESTIÓN DEL RIESGO DE lA

SEGURIDAD DE lA INFORMACIÓN
A.l Estudio de la organización
Evaluar a la organización. El estudio de la organización llama a los elementos característicos

que definen la identidad de una organización. Esto concierne al propósito, negocios,
misiones, valores estrategias de esta o!?'anización. Esto debe identificarse junto con los
elementos que contribuyen a su desarrollo (por. ejemplo, subcontrataCión).
La dificultad de esta actividad yace en entender exactamente cómo la organización es

estructurada. Identificar su estructura real proporciona un entenl::limiento del rol y la
importancia de cada división en alcanzar los objetivos de la organización.
Por ejemplo, el hecho de que el gerente de la seguridad de la infórrnaclón reporte a los

gerentes superiores más que a los gerentes TI puede indicar la partie] ación de los gerentes
superiores en la seguridad de la información.
El propósito principal de la organización. El propósito principal de u a organización puede

definirse como la razón del por qué existe (su campo de actividad su segmento de mercado,
etc.).
Sus negocios. Los negocios de la orqanización, definidos mediante las técnicas y el saber
cómo de sus ernp eados, le permiten lograr sus misiones. Es específico al campo de la
organización de una actividad y a menudo define SI) cultura.
Su misión. La organización logra so propósito mediante la consecución de su rnrsron. Para

identificar sus misiones, los servicios proporcionados y/o productos fabricados deben
identificarse con relación a los usuarios finales.
Sus valores. Los valores son principios mayores a un código bien definido de conducta
aplicado al ejercicio de un negocio. Esto puede concernir al personal, relaciones con agentes
externos (consumidores, etc.), la calidad de los productos provistos a servicios
proporcionados.
Tomar el ejemplo de una organización cuyo propósito es el servicio público, cuyo negocio es
transportar y cuyas misiones incluyen la transportación de niños a, y de, la escuela. Sus
valores pueden ser la puntualidad del servicio y la seguridad durante el transporte.
Estructura de la organización. Hay diferentes tipos de estructura:
• Estructura divisional: cada división es colocada bajo la autoridad de un gerente de

división responsable para las decisiones estratégicas, administrativas y operacionales
que conciernen su unidad.
NMX-I-27005-NYCE-2011
35/74
• Estructura funcional: la autoridad funcional es ejercitada sobre los

procedimientos, la naturaleza del trabajo y algunas veces sobre las decisiones a la
planificación (por ejemplo, producción, TI, recursos humanos, mercadotecnia, etc.).
Comentarios:
• Una división dentro de una organización con estructura divisional puede

organizarse como una estructura funcional y viceversa.
• Una organización puede decirse que tiene una estructura matriz si tiene
elementos de ambos tipos de estructura.
• En cualquier estructura organizativa los siguientes niveles pueden distinguirse:
• El nivel de toma de decisión (definición de las orientaciones estratégicas);
• El nivel de liderazgo (coordinación y gestión);
• El nivel operacional (producción y actividades de soporte).
Organigrama: La estructura de la organización es representada ese¡ emáticamente en un

organigrama. Esta representación debe destacar las líneas de reporte y delegación de
autoridad, pero debe incluir otras relaciones también, las cuales, aún si no están basadas
sobre cualquier autoridad formal, son no obstante líneas del flujo éle información.
La estrategia de la organización. Esto requiere una expresión formal de los principios de guía
de la organización. La estrategia de la organización determina la dirección y el desarrollo
necesario para beneficiarse de los asuntos en juego y de los cambios mayores está
-. planeando.
A.2 Lista de las restricciones gue afeetan a la organizaeión
Todas las restricciones que afectan a la organización y determinan su orientación de la

seguridad de la información deben tomarse en cuenta. Sus fuentes pueden estar dentro de la
organización en cuyo caso tiene algunos controles sobre ellos a ajenos a la organización y
por lo tanto, generalmente, no negociables. Las restricciones de recurso (presupuesto,
personal) y restricciones de emergencia están entre las más importantes.
La organización establece sus objetivos (que conciernen a sus negocios, comportamiento,

etc.) que le asigna a cierta vía, posiblemente sobre un periodo largo. Define qué quiere
volverse y los medios que necesita para implementarse. En especificar esta vía, la
organización toma en cuenta los desarrollos en técnicas y el saber cómo, los deseos
expresados de los usuarios, consumidores, etc. Este objetivo puede expresarse en la forma
de operar a las estrategias de desarrollo con el objetivo, por ejemplo, de cortar los costos de
operación, mejorar la calidad del servicio, etc.
Estas estrategias probablemente incluyen la información y el sistema de información (51), el

cual ayuda en su aplicación. Consecuentemente, las características que conciernen la
identidad, misión y estrategias de la organización son elementos fundamentales en el
análisis del problema dado que el incumplimiento de un aspecto de la seguridad de la
36/74
información puede resultar en reconsiderar estos objetivos estratégicos, Además, es esencial

que las propuestas para los requisitos de seguridad de la información permanezcan
consistentes con las reglas, usos y medios vigentes en la organización.
La lista de restricciones se incluyen pero no está limitado a:
Restricciones de una naturaleza política
Estos pueden concernir a las administraciones de gobierno, instituciones públicas o más

generalmente cualquier organización que tiene que aplicar las decisiones de gobierno. Son
usualmente decisiones que conciernen a la orientación estratégica u operacional hechas
mediante una división de gobierno u organis o de toma de decisión y deben aplicarse.
Por ejemplo, la informatización de facturas o documentos administrativos introduce los

problemas de seguridad de la información.
Restricciones de una naturaleza estratégica
Las restricciones pueden surgir de cambios planificados o posibles a las estructuras u

orientación de la organización. son expresados en los planes estratéqicos u operacionales de
la organiza lón.
Por ejemplo, la cooperación internacional en la distribución de información sensible puede

exigir acuerdos que conciernen al intercambio seguro.
La estructura de la organización y/o propósito pueden introdudlr restricciones específicas

tales como la distribución de sitios sobre todo el territorio nacional o al exterior.
Ejemplos incluyen servicies postales, embajadas, bancos, subsidiarias de un grupo industrial

grande, etc.
Restricciones que surgen del clima económico y político
Una operación de la organización puede cambiar profundamente mediante eventos

específicos tales como huelgas o crisis nacionales e internacionales.
Por ejemplo, algunos servicios deben ser capaces de continuar aún durante una crisis seria.
Restricciones estructurales
La naturaleza de una estructura de la organización (divisional, funcional u otro) puede llevar

a una política específica de la seguridad de la información y a la organización de la seguridad
adaptada a la estructura.
Por ejemplo, una estructura internacional debe ser capaz de reconciliar los requisitos de
seguridad específicos a cada país.
Restricciones funcionales
37/74
Las restricciones funcionales surgen directamente de las misiones generales u específicas de

la organización.
Por ejemplo, una organización que opera diario debe asegurar que sus recursos estén
..... disponibles continuamente .
Restricciones que conciernen al personal
La naturaleza de estas restricciones varia considerablemente. Son enlazados al: nivel de

responsabilidad, reclutamiento, capacidad, capacitación, conciencia de seguridad,
motivación, disponibilidad, etc.
Por ejemplo, el personal entero de una organización de defensa debe tener autorización para
manejar información altamente confidencial.
Restricciones que surgen del calendario de la organización
Estas restricciones pueden resultar de la reestructuración a esta ecimiento de nuevas

políticas nacionales a internacionales que imponen ciertos plazos.
Por ejemplo, la creación de una división de seguridad.
Restricciones relacionados a los métodos
Los métodos apropiados al saber cómo de la organización necesitan imponerse para aspectos
tales como planificación, especificaciones, desarrollo de un proyecto, etc.
Por ejemplo, una restricción típica de este tipo es la necesidad para incorporar las
obligaciones legales de la organización dentro de la política de seguridad ..
Restricciones de una naturaleza €ultural
Algunos hábitos de trabajo en las organizaciones a los negocios principales han llevado a
una "cultura" específica dentro de la organización, uno de los cuales pueden ser
incompatibles con los controles de la seguridad. Esta cultura es el marco de trabajo de
referencia general del personal y puede determinarse mediante algunos aspectos, que
incluyen educación, instrucción, experiencia profesional, experiencia ajena al trabajo,
opiniones, filosofía, creencias, estatus social, etc.
.....
Restricciones presupuestarias
Los controles de seguridad recomendados pueden tener, algunas veces, un costo muy alto.
..... Mientras no es siempre apropiado a las inversiones de seguridad base sobre la rentabilidad,
la justificación económica es requerida generalmente por el departamento financiero de la
orga nización.
Por ejemplo, en el sector privado y algunas organizaciones públicas, el costo total de los
controles de la seguridad no debe exceder el costo de las consecuencias potenciales de los
riesgos. La gestión superior debe, por lo tanto, evaluar y tomar los riesgos calculados si
quieren evitar los costos de seguridad excesivos.
- ©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
38/74
A.3 Lista de las referencias legislativas y reguladoras aplicables a la organización
Los requisitos reguladores aplicables a la organización deben identificarse. Estos pueden ser
leyes, decretos, regulaciones específicas en el campo de la organización a las regulaciones
internas/externas. Esto puede concernir a contratos y acuerdos y generalmente más algunas
obligaciones de una naturaleza legal a reguladora.
AA Lista de las restricciones que afectan el alcance
Mediante la identificación de las restricciones es posible enlistar aquellas que tienen un

impacto sobre el alcance y determina cuales son susceptibles sin embargo a la acción. Son
agregados a, y pueden enmendar posiblemente, las restricciones de la organización
determinadas arriba. Los siguientes párrafos presentan una lista a exhaustiva de tipos
posibles de restricciones.
Restricciones que surgen de procesos preexistentes
Los proyectos de aplicación no son necesariamente desarrollados simultáneamente. Algunos

dependen de los procesos preexistentes. Aunque un proceso pueda desglosarse en
subprocesos, el proceso no es influenciado necesariamente por todos los subprocesos de otro
proceso.
Restricciones técnicas
Las restricciones técnicas, que se relacionan a la infraestructura, generalm nte surgen del
hardware y software instalado, y los cuartos a .sitlos que alojan los procesos:
• Archivos (requisitos que conciernen a la organización, gest'ón de medios, gestión de

reglas de acceso, etc.).
• Arquitectura general (requisitos que conciernen a la topología (centralizada, distribuida,

cliente-servidor), arquitectura física, etc.).
• Software de aplicación (requisitos que conciernen al diseño de software específico,

normas de mercado, etc.).
• Software de paquete (requisitos que conciernen a normas, nivel de evaluación, calidad,

conformidad con normas, seguridad, etc.).
• Hardware (requisitos que conciernen a normas, calidad, conformidad con normas, etc.).
• Redes de comunicación (requisitos que conciernen a la cobertura, normas, capacidad,

fiabilidad, etc.).
• Infraestructura de la construcción (requisitos que conciernen a la ingeniería civil,

construcción, tensiones eléctricas altas, tensiones eléctricas bajas, etc.).
.... 39/74
Restricciones financieras
La implementación de los controles de seguridad es a menudo restringida mediante el

presupuesto que la organización puede asignar. Sin embargo, la restricción financiera debe
ser aún la última a considerarse como la asignación de presupuesto para la seguridad puede
negociarse sobre la base del estudio de la seguridad.
Restricciones ambientales
Las restricciones ambientales surgen del ambiente geográfico u económico en las cuales los
procesos son implementados: ¡::>aísJclima, riesgos naturales, situación geográfica, clima
económico, etc.
Restricciones de tiempo
El tiempo requerié:lo para implementar los controles de seguridad debe considerarse en

relación con la habilidad para mejorar el sistema de información: si el tiempo de
implementación es muy largo, los riesgos para los cuales el control fue diseñado pueden
haber cambiado. El tiempo es un factor determinante para seleccionar soluciones y
prioridades.
Los métodos apropiados para el saber cómo de la organización deben usarse para la
planificación, especificaciones, desarrollo del proyecto; y etc.
Restricciones organizativas
Varias restricciones pueden seguir de los requisitos organizativos:
• Operación (FeEluisitas Que eoneiernen a las tiemlªas tie entrega, suministro de

servicios, vigilancia, supervisión, planes de emergencia, operación degradada, etc.).
• Mantenimiento (requisitos para la localización y resolución de problemas

incidentes, acciones preventivas, corrección rápida, etc.).
• Gestión de recursos humanos (requisitos que conciernen al operador y

capacitación del usuario, capacidad para destinar tal como un gerente de sistema o un
gerente de datos, etc.).
• Gestión administrativa (requisitos que conciernen a responsabilidades, etc.).
• Gestión de desarrollo (requisitos que conciernen a herramientas de desarrollo,

ingeniería de software asistida por computadora, planes de aceptación, organización a
establecerse, etc.).
40/74
• Gestión de relaciones externas (requisitos que conciernen a la organización de la

relaciones de tercera parte, contratos, etc.).
41/74
APÉNDICE B
,..... (Informativo)
IDENTIFICACIÓN Y VALORACIÓN DE ACTIVOS Y EVALUACIÓN DE IMPACTO
B.l Ejemplos de identificación del activo
Para desempeñar una valoración de activo, una organización necesita primero identificar sus
activos (en un nivel apropiado de detalle). Dos tipos de activos pueden distinguirse:
• Los activos primarios:
• Los activos de soporte (sobre los cuales los elementos primarios del alcance dependen)
de todos los tipos:
• Hardware.
• Red.
• Sitio.
• Estructura de la orqamzactórr- ~========~

B.1.1 la identificación de los activos primarios
Para describir el alcance más precisamente, esta actividad consiste en identificar los activos
primarios (procesos y actividades de negocios, información). Esta identificación es llevada a
cabo mediante un grupo de trabajo mezclado representativo del proceso (gerentes,
especialistas y usuarios de los sistemas de información).
Los activos primarios son usualmente los procesos e información esenciales de la actividad
en el alcance. Otros activos primarios tales como los procesos de la organización pueden
considerarse también, los cuales son más apropiados para preparar una política de la
seguridad de la información o un plan de continuidad de negocios. Dependiendo del
propósito, algunos estudios no requieren un análisis exhaustivo de todos los elementos que
completan el alcance. En tales casos, los límites de estudio pueden limitarse a los elementos
clave del alcance.
Los activos primarios son de dos tipos:
42/74
1.- Procesos (o subprocesos) y actividades de negocios, por ejemplo:
• Procesos cuya pérdida o degradación hacen imposible llevar a cabo la misión de la

organización.
• Procesos que contienen procesos secretos o procesos que involucran tecnología

propietaria.
• Procesos que, si son modificados, pueden afectar enormemente el logro de la misión de

la organización.
• Procesos que son necesarios para que la organización cumpla con los requisitos
contractuales, legales o reguladores.
2.- Información:
Más en general, la información primaria comprende principalmente:
• Información vital para el ejercicio de la misión o negocios de la organización.
• Información personal, así puede definirse específicamente e(l el sentido de las leyes
nacionales con respecto a la privacidad.
• Información estratégica requerida para alcanzar objetivos determinados por las

orientaciones estratég icas.
• Información de alto costo cuya concurrencia, almacenaje, procesamiento y transmisión

requiere un tiempo largo y/o involucra un costo de adquisición alto.
Los procesos e información que no son identificados como sensibles después de esta
actividad tienen una clasiflcaeión no definida en el resto del estudio. Esto significa que aún si
tales procesos o información son comprometidos, la organización aún logra la misión
exitosamente.
Sin embargo, a menudo heredan los controles implementados para proteger los procesos e
información identificados como sensibles.
B.1.2 Lista y descripción de activos de soporte
El alcance consiste de activos que deben identificarse y describirse. Estos activos tienen
vulnerabilidades que son explotables mediante amenazas que apuntan a afectar los activos
primarios del alcance (procesos e información). Son de varios tipos:
Hardware
El tipo de hardware consiste de todos los elementos físicos que soportan los procesos.
Equipo de procesamiento de datos (activo)
Equipo de procesamiento de la información automática que incluye los elementos
©PROHIBIDA LA COPIA, REPRODUCCIÓN PA -IAL O TOTAL I:lE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
43/74
requeridos para operar independientemente.
Equipo transportable
- Equipo de cómputo
Ejemplos: computadora
portátil.
portátil, Asistente Digital Personal (PDA, por sus siglas en

inglés).
Equipo fijo
Ejemplos: servidor, microcomputadora usada como una estación de trabajo.
Equipo conectado a una computadora vía un puerto de comunicación (serial, enlace

paralelo, etc.) para entrar, transportar a transmitir datos.
Eje plos: impresora, unidad de disco removible.
Estos son nnediCDspara almacenar datos a funciones.
Medio electrónico
Un medio de información que puede conectarse a u a computadora a red de

computadora para almacenaje de datos. A pesar de . tamaño compacto, estos
medios pueden contener. una eantiead §lFande de €lates. ueden usarse con equipo
de cómputo normalizado.
Ejemplos: disco flexible, CD-ROM, cartucho de respaldo, disco duro removible, llave
de memoria, cinta.
Otros medios
Estáticos, medios no electrónicos que contienen datos.
Ejemplos: papel, diapositiva, transparencia, documentación, fax.
Software
El software consiste de todos los programas que contribuyen a la operación de un

conjunto de procesamiento de datos.
Sistema operativo
Esto incluye todos los programas de una computadora que prepara la base operacional de la
cual los demás programas (servicios a aplicaciones) se ejecutan. Incluye un kernel y
44/74
funciones o servicios básicos. Dependiendo de la arquitectura, un sistema operativo puede

ser monolítico o compuesto de un micro-kernel y un conjunto de servicios de sistema. Los
elementos principales del sistema operativo son todos los servicios de gestión del equipo
(Unidad de Procesamiento Central (CPU, por sus siglas en inglés), memoria, disco, e
interfases de red), servicios de gestión de tarea o proceso y servicios de gestión de derechos
de usuario.
Software de servicio, mantenimiento o gestión
Software caracterizado por el hecho de que complementa los servicios del sistema operativo
y no está directamente en el servicio de los usuarios o aplicaciones (aún cuando es
usualmente esenéial o aún intlispensable para la operación global del sistema de
información).
Software de paquete o software normalizado
El software de paquete o software normalizado son productos comercializados como tales

(más que desarrollos fuera de la serie o específicos) con medio, liberación y mantenimiento.
Proporcionan servicios para los usuarios y aplicaciones, pero no están personalizados o
específicos en la forma que las aplicaciones de negocios son.'
Ejemplos: software de gestión de base de datos, software de mensajería electrónica, para

trabajo en grupo, software directorio, software servidor web, etc.
Aplicación de negocios
Aplicación normalizada de negocios
Esto es un software comercial diseñado para dar a los usuarios acceso directo a los
servicios '{¡ funciones que requieren de su sistema de información en su contexto -
profesional. Hay un rango d campos l1l_uyexte so, teérícárnente sin límites.
Ejemplos: software de contabilidad, software de control de máquina-herramienta

para trabajar metal, software de cuidado al consumidor, software de gestión de
competencia personal, software administrativo, etc.
Aplicación específica de negocios
Esto es software en el cual varios aspectos (fundamentalmente de soporte,

mantenimiento, actualización, etc.) han sido desarrollados específicamente para dar
a los usuarios acceso directo a los servicios y funciones que requieren de su sistema
de información. Hay un rango de campos muy extenso, teóricamente sin límites.
Ejemplos: gestión de factura de los consumidores de las operadoras de

telecomunicaciones, aplicación de la supervisión en tiempo real para lanzamiento de
cohetes.
El tipo de red consiste de todos los dispositivos de telecomunicaciones usados para
©PROHIBIDA LA COPIA, REPRODUCCiÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-27005-NYCE-2011
45/74
interconectar varias computadoras remotas físicamente o elementos de un sistema de

información.
Medio y soportes
Los medios o equipos de comunicaciones y telecomunicaciones son caracterizados

principalmente por las características físicas y técnicas del equipo (punto a punto,
emisión) y mediante los protocolos de comunicación (enlace o red - niveles 2 y 3 del
,.....
modelo de 7 capas OSI).
Ejemplos: Red Telefónica de Conmutaeión Pública <PSTN, j20r sus siglas en inglés),
Ethernet, GigabitEthernet, Línea de Suscriptor Digital Asimétrica (LSDA),
especificaoiones de protocolo inalámbrico (Ror ejemJ)lo, WiFi 802.11), Bluetooth,
FireWire.
Retransmisión activa o pasiva
Este subtipo incluye todos los servrcros que no son ternninaciones lógicas de
comunicaciones (visión IS) pero son dispositivos intermedios o de retransmisión. Las
retransmisiones son caracterizadas por los protocolos soportados de comunicación de
red. Adicional a la retransmisión básica, a menudo incluyen funciones y servicios de
enrutamiento y/o filtraje, que emplean conmutadores y erirutadores de comunicación
con filtros. Pueden a menudo ser gestionados remotamente y son usualmente
capaces de enerar logaritmos.
Ejemplos: puente, enrutador, hub, switch, intercambio automático.
Interfase de comunicación
Las interfases de comunicación de las unidades de procesamiento son conectadas a

las unidades de pro€esamiento pero son oaracterlzadas mediante los medios y
protocolos soportados, mediante cualquier filtrado, logaritmo o funciones de
.... generación de advertencia instalados y sus capacidades y mediante la posibilidad y
el requisito de administración remota.
Ejemplos: Servicio de Radio Paquete General (GPRS, por sus siglas en inglés),
adaptador Ethernet.
.... Personal
El tipo de personal consiste de todos los grupos de personas involucrados en el sistema de

información.
Tomador de decisión
Los tomadores de decisión son los propietarios de los activos primarios (información
y funciones) y los gerentes de la organización o un proyecto específico.
Ejemplos. Gestión superior, líder de proyecto.
46/74
Usuarios
Los usuarios son el personal quienes manejan los elementos sensibles en el contexto
de sus actividades y quienes tienen una responsabilidad al respecto. Pueden tener
derechos especiales de acceso al sistema de información para llevar a cabo sus
tareas diarias.
Ejemplos: gestión de recursos humanos, gestión financiera, gerente del riesgo.
Personal de operación/mantenimiento
Estos son el personal a cargo de la operación y el mantenimiento del sistema de

información. Tienen derechos especiales de acceso al sistema de información para
llevar a cabo sus tareas diarias.
Ejemplos: administrador del sistema, administrador de datos, respaldo, Help Desk,

operador de despliegue de la aplicación, oficiales de seguridad.
Los desarrolladores están a cargo del desarrollo de las aplicaciones de la

organización. Tienen acceso a la parte del sistema de infor ación con derechos de
alto nivel ero no toman cualquier acción sobre los datos ctle producción.
Ejemplos: desarrolladores de aplicación de negocios.
El tipo de sitio ca prende todos los lugares que contienen el alcance a parte del alcance y
los medios físicos requeridos para que opere.
Ubicación
Ambiente externo
Esto concierne a todas las ubicaciones en las cuales los medios de la organización de
la seguridad no pueden aplicarse.
Ejemplos: residencia del personal, establecimientos de otra organización, ambiente

externo al sitio (área urbana, área de peligro).
Establecimientos
Este lugar es limitado por el perímetro de la organización directamente en contacto

con el exterior. Esto puede ser un límite de protección físico obtenido mediante la
creación de barreras físicas a medios de vigilancia alrededor de los edificios.
Ejemplos: establecimiento, edificios.
47/74
Una zona está formada por un límite de protección físico que forma particiones
dentro de los establecimientos de la organización. Se obtiene mediante la creación
de barreras físicas alrededor de las infraestructuras de procesamiento de la
información de la organización.
Ejemplos: oficinas, zona de acceso reservado, zona segura.
Servicios esenciales
Comunicación
Los servicios y. equipo de telecomunicaciones proporcionados por un operador.
Ejemplos: línea telefónica, PABX, redes telefónicas internas.
Servicios y medios (fuentes y alambrado) requeridos para proporcionar energía al

equipo y perlférícos de tecnología de la información.
Ejemplos: fuente de alimentación de baja tensión eléctrica, inversor, punto final de

un circuito eléctrico.
Servicios y medios (equipo, control) para enfriar y purificar el aire.
Ejemplos: tuberías de agua fría, aires acondicionados.
Orga n ización
El tipo de organización describe el marco de trabajo organizativo, que consiste de todas las
estructuras de personal asignadas a una tarea y los procedimientos que controlan estas
estructu ras.
Autoridades
Estas son organizaciones de las cuales la organización estudiada deriva su autoridad.

Esta puede ser afiliada legalmente o externa. Esta impone restricciones sobre la
organización estudiada en términos de regulaciones, decisiones y acciones.
Ejemplos: organismo de administración, oficina central de una organización.
@PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ES 'NORMA MEJtF.CANA POR CUALQUIER MEDIO, SIN lA AUTORIZACIÓN DE NYCE, S.C.
48/74
Estructura de la organización
Esto consiste de varias ramas de la organización, que incluye sus actividades multi-
funcionales, bajo el control de su gestión.
Ejemplos: gestión de recursos humanos, gestión TI, gestión de compras, gestión de

la unidad de negocios, servicio de seguridad del edificio, servicio contra incendios,
gestión de auditoría.
Organización del proyecto a sistema
Esto concierne a la organización establecida para un proyecto a servicio específico.
Ejemplos: proyecto de desarrollo de nueva aplicación, proyecto de migración del

sistema de información.
Subcontratistas/Proveedores/Fabricantes
Estas son organizaciones que proporcionan a la organización con un servicio a

recursos y lo limitan mediante contrato.
Ejemplos: compañía de gestión de instalaciones, de subcontratación,

compañías consultoras.
B.2 Valoración del activo
El siguiente paso después de la identificación del activo es acordar la escala a usarse y el

criterio para asignar una ubicación particular sobre esa escala a cada activo, basado en la
evaluación. Debido a la d.iversidad de activos encontrados dentro de la mayoría de las
organizaciones es posible que algunos activos que tienen un valor monetario conocido se
valúen en la unidad local de divisas mientras otros los cuales tienen un valor más cualitativo
pueden asignarse a una gama de valores, por ejemplo, de "muy bajo" a "muy alto". La
decisión para usar una escala cuantitativa contra una escala cualitativa es realmente una
materia de la preferencia organizativa, pero debe ser relevante a los activos que son
valuados. Ambos tipos de valoración pueden usarse para el mismo activo.
Los términos típicos usados para la valoración cualitativa de activos incluyen palabras tales
como: insignificante, muy bajo, bajo, medio, alto, muy alto, y crítico. La elección y rango de
términos convenientes a una organización es fuertemente dependiente de las necesidades de
una organización para la seguridad, tamaño organizativo, y otros factores específicos de la
organización.
Criterio
El criterio usado como la base para asignar un valor a cada activo debe escribirse en
términos inequívocos. Esto es a menudo uno de los aspectos más difíciles de la valoración
del activo dado que los valores de algunos activos pueden determinarse subjetivamente
dado que algunos individuos diferentes son probables para hacer la determinación. El criterio
posible usado para determinar un valor de un activo incluye su costo original, su costo de
reemplazo a re-creación a su valor puede ser abstracto, por ejemplo, el valor de la
49/74
reputación de una organización.
Otra base para la valoración de activos son los costos incurridos debido a la pérdida de
confidencialidad, integridad y disponibilidad como el resultado de un incidente. Ningún
repudio, contabilidad, autenticidad y fiabilidad deben considerarse también, como sea
apropiado. Tal valoración puede proporcionar las dimensiones de los elementos importantes
al valor de activo, adicional al costo de reemplazo, basado en aproximados de las
consecuencias de negocios adversas que pueden resultar de incidentes de seguridad con un
conjunto asumido de circunstancias. Se enfatiza que este enfoque da cuentas para las
consecuencias que son necesarias al factor dentro (le la evaluación del riesgo.
Algunos activos durante el curso efe la valoración pueden tener varios valores asignados. Por
ejemplo: un plan de negocios puede ser un valor basado en el trabajo empleado para
desarrollar el plan, que podría ser valioso en el trabajo para introducir. los datos, y podría ser
valorado en función de su valor a un competidor Cada uno de los valores asignados difiere
considerablemente. El alar asignado puede ser el máximo de todos los valores posibles a
puede ser la suma de algunos a todos los valores posibles. En el análisis final, qué valor a
valores son asignados un activo deben ser cuidadosamente determinados dado que el valor
final asignado entra dentro de la determinación de los recursos a gas arse para la protección
del activo.
En última instanci ,todas las valoraciones del activo necesitan reducirse a una base común.
Esto puede hacerse con la ayuda del criterio tal como aquellos que le siguen. El criterio que
puede usarse para evaluar las consecuencias posibles que resultan de na pérdida de
confidencialidad, integridad, disponibilidad, no-repudio, contabilidad, autenticidad, a
fiabilidad de los activos son:
• Violación de la legislación y/o regulación.
• Impedimento del desempeño de los negocios.
• Pérdida de buena voluntad/efecto negativo sobre la reputación.
• Incumplimiento asociado con la información personal.
• Nivel de riesgo dela seguridad personal.
• Efectos adversos sobre la aplicación de la ley.
• Incumplimiento de confidencialidad.
• Incumplimiento del orden público.

• Pérdida financiera.
• Trastorno a las actividades de negocios.
• Nivel de riesgo de la seguridad ambiental.
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C •
..-
NMX-I-27005-NYCE-2011
50/74
Otro enfoque para evaluar las consecuencias puede ser:
• Interrupción de servicio.
• Incapacidad para proporcionar el servicio.
• Pérdida de la confianza del consumidor.
• Pérdida de credibilidad en el sistema de información interna.
• Daño a la reputación.
• Trastorno de operación interna.
• Trastorno en la organización por sí misma.
• Costo interno adicional.
• Trastorno de una operación de tercera parte.
• Trastorno en terceras partes que hacen negocios con la organización.
• Varios tipos de lesión.
• Infracción de leyes/regulaciones.
• Incapacidad para cumplir con obligaciones legales.
• Incumplimiento de contrato.
• Incapacidad para cumplir obligaciones contractuales.
• Peligro para la seguridad del personal/usuario.
• Peligro para el personal y/o usuarios de la organización.
• Ataque a la vida privada de los usuarios.
• Pérdidas financieras.
• Costos financieros para emergencia o reparación.
• En términos de personal.
NMX-I-27005-NYCE-2011
51/74
• En términos de equipo.
• En términos de estudios, reportes de expertos.
• Pérdida de bienes/fondos/activos.
• Pérdida de consumidores, pérdida de proveedores.
r • Procedimientos y penas judiciales.
• Pérdida de una ventaja comj2etitiva.

r:
• Perdida de una pista tecnológica/técnica.
• Pérdida de efectividad/confianza.
• Pérdida de reputación técnica.
• Debilitación de la capacidad de negociación.
• Crisis i dustriales (huelgas).
• Crisis gubernamentales.
• Despido.
• Daño material.
del activo. Para
Escala
Después de establecer el criterio a considerarse, la organización debe acordar sobre una

escala a usarse a lo largo y ancho de una organización. El primer paso es decidir sobre el
número de niveles a usarse. No hay reglas con consideración al número de niveles que son
más apropiados. Más niveles proporcionan un nivel más grande de granulación pero algunas
veces una diferenciación demasiada fina hace asignaciones consistentes desde el principio
hasta el fin de la dificultad de la organización. Normalmente, cualquier número de niveles
entre 3 (por ejemplo, bajo, medio, y alto) y 10 pueden usarse tanto tiempo como sea
consistente con el enfoque que la organización está usando para todo el proceso de
evaluación del riesgo.
Una organización puede definir sus propios límites para los valores del activo, como "bajo",
"medio", o "alto". Estos límites deben evaluarse en conformidad al criterio seleccionado (por
ejemplo, para pérdida financiera posible, deben darse en valores monetarios, pero para
consideraciones tales como el nivel de riesgo de la seguridad del personal, la valoración
monetaria puede ser compleja y puede no ser apropiada para todas las organizaciones).
NMX-I-27005-NYCE-2011
52/74
Finalmente, es de plena competencia de la organización decidir qué se considera como

consecuencia "baja" o "alta". Una consecuencia que puede ser desastrosa para una
organización pequeña puede ser baja o aún insignificante para una organización muy
grande.
Dependencias
Los procesos de negocios más relevantes y numerosos soportados por un activo, el valor
más grande de este activo. Las dependencias de los activos sobre los procesos de negocios u
otros activos deben identificarse también dado que esto puede influenciar los valores de los
activos. Por ejemplo, la confidencialidad de los datos debe guardarse desde el principio hasta
el final de su ciclo de vida, en todas las etapas, que incluye el almacenaje y procesamiento,
es decir, las necesidades de seguridad del almacenaje de datos y los programas de
procesamiento deben relacionarse directamente al valor que representa la confidencialidad
de los datos almacenados y procesados. También, si un proceso de negocios está
dependiendo de la integridad de ciertos datos que son producidos por un programa, los
datos de entrada de este programa deben ser de una responsabilidad apropiada. Además, la
integridad de la información es dependiente del hardware y software usado para su
almacenaje y procesamiento. También, el hardware es dependiente de la fuente de
alimentación y posiblemente del aire acondicionado. Así, la información acerca de las
dependencias ayuda en la identificación de amenazas y particulanmente de vulnerabilidades.
Adicionalmente, ayuda a asegurar que el valor de los activos (a través de las relaciones de
dependencia) es dado a los activos, de ese modo indicando el nivel apropiado de protección.
Los valores de los activos sobre los cuales otros activos son dependientes pueden
modificarse en la siguiente forma:
• Si los valores de los activos dependientes (por ejemplo, datos) son más bajos o iguales
al valor del activo considerado (por ejemplo, software), SUJ valor continúa siendo el
mismo.
• Si los valores del activo dependiente (por ejemplo, datos) son más grandes, entonces el
valor del activo considerado (por ejemplo, software) debe incrementarse en conformidad
a:
El grado de dependencia.
Los valores de los otros activos.
Una organización puede tener algunos activos que están disponibles más de una vez, como
copias de programas de software o el mismo tipo de computadora usada en la mayoría de
las oficinas. Es importante considerar este hecho cuando se hace la valoración del activo. Por
un lado, estos activos son pasados por alto fácilmente, por consiguiente el cuidado debe
tomarse para identificarlos a todos ellos; por otro lado, pueden usarse para reducirse los
problemas de disponibilidad.
Salida
La salida final de este paso es una lista de activos y sus valores relativos a la revelación
(preservación de confidencialidad), modificación (preservación de integridad, autenticidad,
NMX-I-27005-NYCE-2011
53/74
no-repudia y contabilidad), no-disponibilidad y destrucción (preservación de disponibilidad y

responsabilidad), y costo de reemplazo.
B.3 Evaluación del impacto
Un incidente de la seguridad de la información puede impactar a más de un activo a

solamente una parte de un activo. El impacto es relacionado con el grado de éxito del
incidente. Como una consecuencia, hay una diferencia importante entre el valor del activo y
el impacto que resulta del incidente. El impacto es considerado como que tiene a un efecto
inmediato (operacional) a un efecto futuro (nego ios) que incluye consecuencias financieras
y de mercado.
Impacto inmediato (operacional) es directo a indirecto __

. --"
Directo:
a) El valor de reemplazo financiero de la pérdida del ~o parte del) ac iva.
b) El costo de aaquisición, configuración e instalación del nuevo activo a respaldo.
c) El costo de las operaciones suspendidas debido servicio
- d)
proporcionado por el activo(s)
Resultados de i
es restablecido.
pacto en un incumplimiento de la seguridad me la información.
Indirecto:
a) Costos de oportunidad (recursos financieros necesarios para reemplazar a reparar un

activo pueden haberse usado en otro lugar).
b) El costo de las oReracienes inteFl'Ump-:!_l:id;¡_¡a~s?:!.:=~=====::::::::==:::::l
c) El mal uso potencial de la información obtenida a través de un incumplimiento de

seguridad.
d) Violación de obligaciones estatutarias a reguladoras.
e) Violación de códigos éticos de conducta.
Como tal, la primera evaluación (sin controles de ningún tipo) estima un impacto como muy
cercano al (combinación del) valor(es) del activo afectado. Para cualquier iteración siguiente
para este (estos) activo(s), el impacto debe ser diferente (normalmente mucho más bajo)
debido a la presencia y la efectividad de los controles implementados .
..-
NMX-I-27005-NYCE-2011
54/74
APÉNDICE C
(Informativo)
EJEMPLOS DE AMENAZAS TÍPICAS
La siguiente tabla da ejemplos de amenazas típicas. La lista puede usarse durante el proceso
de evaluación de la amenaza. Las amenazas pueden ser deliberadas, accidentales o
ambientales (natural) y puede resultar, por ejemplo, en el daño o pérdida de servicios
esenciales. La siguiente lista indica cada tipo de amenaza donde D (deliberada), A
(accidental), E (ambiental) es relevante. D es usada para todas las acciones deliberadas
apuntadas en los activos de información, A es usado para todas las acciones humanas que
pueden accidentalmente dañar los activos de información, y E es usada para todos los
incidentes que no están basadas en acciones humanas. Los grupos de amenazas no están en
orden prioritario.
A I II
Tipo Amenazas Origen
Incendio I H A D E
Daño por aqua 1 1 1 I II A D E
Contaminación I
I I I I LI A D E
Daño físico
'",~,
Accidente mayor I I I I II A D E
Destrucción de equipo a medio I I i A D E
...
" Polvo,! corrosión congelamiento
Fenómeno climático
Fenómeno sísmico
I i I - I I
I -,
A D E
E
E
Eventos naturales Fenómeno volcánico
Fenómeno meteorológico
I
' I
I
" .......
-,
E
E
Inundación / E
-Falla del aire acondicionado a del sistema de suministro del agua / A D
Pérdida de servicios
esenciales
Pérdida de fuente de alimentación " A D E
Falla de equipo de telecomunicaciones ;/ I A D
Radiación electromagnética I /" A D E
Disturbio debido a la
radiación
Radiación térmica 1/ __.II A D E
Pulsos electromagnétieos A D E
Interceptación de señales de interferencia comprometedoras D
Espionaje remoto D
ES_Qionajeelectrónico i -- - \ -, -_.
.~ D
Robo de medios o documentos ! 1 _I I I D
Compromiso de
información
Robo de equipo
Recuperación de medios reciclados o desechados
I
I-~~ ,
~ -- --I
D
D
Revelación I A D
Datos de fuentes no fidediqnas
_- ~ I
A D
Alteración con hardware D
Alteración con software A D
Detección de posición D
Falla de equipo A
Mal funcionamiento del equipo A
Fallas técnicas Saturación del sistema de la información A D
Malfuncionamiento del software A
Incumplimiento de la mantenibilidad del sistema de la información A D
Uso no autorizado del equipo D
Copia fraudulenta de software D
Acciones no
Uso de software falsificado o copiado A D
autorizadas
Corrupción de datos D
Procesamiento ilegal de datos D
NMX-I-27005-NYCE-2011
55/74
Error en el uso A
Abuso de derechos A D
Compromiso de Falsificación de derechos D
funciones Negación de acciones D
Incumplimiento de disponibilidad del personal A D E
Atención particular debe prestarse a las fuentes de amenaza humanas. Estas son detalladas
específicamente en la siguiente tabla:
Ori en de amenaza Consecuencias osi bies

Reto Piratería informática
Estatus
Dinero
Destrucción de información
Revelación de información ilegal

• (por ejemplo,
Ganancia monetaria re¡;¡etición, suplantación,
intercepción)
Delincuencia infermática Alteración no autorizada de datos
Soborno de la información
Suplantación
Chantaje
Explotación Ataque de sistema (por

ejemplo, negación distribuida de
Terrorista Venganza servicio)
Ganancia política Penetración del sistema
Cobertura de medios Alteración del sistema
NMX-I-27005-NYCE-2011
56/74
Ventaja competitiva • Ventaja de defensa
Espionaje económico • Ventaja política
• Explotación económica
Robo de información
Espionaje industrial (inteligencia, • Intrusión sobre privacidad

personal
compañías, gobiernos extranjeros,
otros intereses de gobierno)
Ingeniería social
Penetración del sistema
Acceso no autorizado al sistema

(acceso a la información
clasificada, propietaria, y/o
relacionada a la tecnología)
Curiosidad Ataque sobre un empleado
Ego Chantaje
Inteligencia Echar un vistazo a información

propietaria
Ganancia monetaria
• Abuso informático
Venganza
• Fraude y robo
Errores no intencionales y omisiones
(por ejemplo, error en los datos de • Soborno de información
entrada, error de programación)
Personas con acceso a información
privilegiada • Entrada de datos falsificados,
corruptos
(pobremente capacitada,
Interceptación
descontenta, maliciosa, negligente,
deshonesta, o empleados
Código malicioso (por ejemplo,
despedidos)
virus, bomba lógica, caballo de
Troya)
Venta de información personal
Bugs del sistema
Intrusión del sistema
Sabotaje del sistema
• Acceso del sistema no

autorizado
NMX-I-27005-NYCE-2011
57/74
APÉNDICE D
(Informativo)
VULNERABILIDADES Y MÉTODOS PARA lA EVALUACIÓN DE lA VULNERABILIDAD
D.l Ejemplos de vulnerabilidades
La siguiente tabla da ejemplos para vulnerabilidades en varias áreas de seguridad, que

incluyen ejemplos de amenazas que pueden explotar estas vulnerabilidades. Las listas
pueden proporcionar ayuda durante la evaluación de las amenazas y las vulnerabilidades,
para determinar perspectivas de incidente relevantes. Se enfatiza que en algunos casos
o tras amenazas pi eden explotar estas vul erabilidades también.
I~
Tipos II Ejemplos de vulnerabilidades Ejemplos de amenazas
Hardware Mantenimiento insuficiente/defectuoso de medios Incumplimiento~l de mantenibilidad del
de a,acenamiento sistema de información
Jrencia df esquemas de reemplazo periódicos Destrucción del IfqUiPO a medias
< susceptibilidad a la humedad, polvo, suciedad Polvo, corrosiól!

~ Ii
congelamiento
."
Sensibilidad a la radiación electromagnética Radiación.rrectromagnética
-... .. "" .
Carencia de control de cambio de configuración Error en uro
eficiehte..,
Susceptibilidad a las variaciones de tensión Pérdida dlla fuente de alimentación

elécTca
. /
SUScrPtibilidad a las variaciones de temperatura Fenómeno~met;owló9iCO
I! .
Alma11enajesin protección Robo de ~ioilo documentos
Carencia de~cuidado~en~la~eliminación Robo'de'rnédtos'o documentos
Copiado no controlado Robo de medios a documentos
Software Ninguna a prueba insuficiente de software I Abuso de derechos
Defectos bien conocidos en el software Abuso de derechos
Ningún "Fin de sesión" cuando se deja la estación Abuso de derechos
- de trabajo
Eliminación a re-uso de medios de almacenaje sin Abuso de derechos

borrado apropiado
Carencia del rastro de auditoría Abuso de derechos
Asignación errónea de derechos de acceso Abuso de derechos
Software distribuido generalmente Corrupción de datos
Aplicando programas de aplicación a los datos Corrupción de datos

erróneos en términos del tiempo
NMX-I-27005-NYCE-2011
58/74
Interfaz del usuario complicada Error en uso
Carencia de documentación Error en uso
Configuración de parámetro incorrecta Error en uso
Fechas incorrectas Error en uso
Carencia de mecanismos de identificación y Falsificación de derechos

autentificación como la autentificación del usuario
Tablas de contraseñas sin proteger Falsificación de derechos

/
Gestión pobre de contraseña / Falsificación de,derechos
servicios no necesarios habilitados Procesamiento Ilegal de datos

I'
Software inmaduro o nuevo I I Mal funcionamiento de software
Especificaciones confusas o incompletas para Mal funcionamiento de software

desarrolladores
I
Carencia del control de cambio efectivo Mal funcionamiento de software
I I
Descarga y uso de software confuso AlteraCiÓn{On software
I I
I
Carencia de copias de respaldo I Alteración ¡con softwa re
Carencia de protección física del edificio, puertas y Robo de medios o documentos

ventanas
_ .. -
Falla para producir reportes de gestión Uso no autorizado de equipo
Red Carencia de prueba de envío o recepción de un Negativa de acciones

mensaje
Líne¡S de comunicación sin proteger Espionaje electróníco

- -
Tráfico sensible sin proteger Espionaje electrónico
Empalme de cableado pobre l Falla del equipo de telecomunicaciones

!
Punto simple de falla Falla del equipo de telecomunicaciones
Carencia de identificación y autentificación de Abuso de derechos

remitente y destinatario
Arquitectura de red insegura Espionaje remoto
Transferencia de contraseñas sin obstáculos Espionaje remoto
Gestión de red inadecuada Saturación del sistema de información

(resistencia de enrutamiento)
Conexiones de red pública sin proteger Uso no autorizado del equipo
Personal Ausencia de personal Incumplimiento de disponibilidad de

personal
Procedimientos de reclutamiento inadecuados Destrucción de equipo o medios
NMX-I-27005-NYCE-2011
59/74
Capacitación de seguridad insuficiente Error en uso
Uso incorrecto de software y hardware Error en uso
Ausencia de conciencia de seguridad Error en uso
Ausencia de mecanismos de supervisión Procesamiento ilegal de datos
Trabajo no supervisado por personal externo a de Robo de medios a documentos
- limpieza
Ausencia de políticas para el uso correcto" de los l~sO no autorizado de equipo

medios de telecomunicaciones y mensaj_¡ría I "-
,- --=. - -'
Sitio Uso inadecuado a negligente del control de acceso Destruc,.ciónde lequiPo a medios
fíSiCjt edificios y cuartos -----.' I
Ubic¡Ción en una área susceptible a inundación Inundación I'
Red de suministro de alimentación inestable Pérdida de la f,ente de alimentación
Ausencia de protección física del edificio, puertas y Robo de equiPo.1

ventanas
Organización¿I Ausencia de procedimiento formal para el registro y
/ desmatriculación
Ausencia me, proceso formal' para la revisión del Abuso de rerecHos"

derecho di acceso (supervisión)
Ausencia de provisiones insuficientes (que Abuso de derechos

con~f~rne a la seguridad) en contratos con
COnS(jidOreS y/o terceras partes
Ausencia de procedimiento de supervisión de las Abuso de rerechos

facilidades de procesamiento de la información
Ausencia de auditorías regulares (supervisión) Abuso de tl~hOS
Ausencia de procedimientos de la identificación y Abuso de derechos

evaluación del riesgo
Ausencia de reportes de avería registrados en las Abuso de derechos

bitácoras del administrador y el operador
Respuesta inadecuada de mantenimiento de Incumplimiento de la mantenibilidad del
servicio sistema de información
Ausencia a Acuerdo del Nivel de Servicio Incumplimiento de la mantenibilidad del

insuficiente sistema de información
Ausencia del procedimiento del control de cambio Incumplimiento de la mantenibilidad del
sistema de información
Ausencia del procedimiento formal para el control Corrupción de datos
de documentación SGSI
r Ausencia de procedimiento formal para la Corrupción de datos
supervisión del reqistro SGSI
Ausencia de proceso formal para la autorización de Datos de fuentes no fidedignas
información disponible pública
Ausencia de asignación apropiada de Negación de acciones

responsabilidades de la seguridad de la información
60/74
Ausencia de planes de continuidad Falla del equipo
Ausencia de política de uso de correo electrónico Error en uso
Ausencia de procedimientos para introducir Error en uso

software dentro de los sistemas operativos
Ausencia de registros en las bitácoras del Error en uso

administrador y usuario
Jii ~
Ausencia de procedimientos para el manejo de la Error en uso
información clasificada
Ausencia de las responsabilidades de la seguridad Error en uso

de la información en las descripciones del trabajo
Ausencia de provisiones insuficientes (que Procesamiento ilegal de datos

conciernen a la seguridad de la información) en
contrato~con empleados
Ausencía del proceso disciplinario definido en caso Robo de equiPo

de incidente de la seguridad de la información
Ausencia de una política formal en el uso de Robo de equipo

l
computadoras móviles
Ausencia de control de los activos en las sucursales

I
Robode eruiPd~
Ausencia o política insuficiente de "escritorio y Robo de ledios o documentos

pantalla limpios"
Ausencia de autorización de facilidades de Robo de medios o documentos

procesamiento de la información
Ausencia de mecanismos de supervisión Robo de medios o documentos

establecidos para los incumplimientos de seguridad
Ausencia de revisiones de gestión regulares - use sin autorización del equipo
Ausencia de procedimientos para reportar Uso sin autorización del equipo

debilidades en la seguridad
..
Ausencia de procedimientos de provisrones en Uso de software falsificado o copiado
conformidad con los derechos intelectuales
I
0.2 Métodos para la evaluación de las vulnerabilidades técnicas
Los métodos proactivos tales como la prueba del sistema de información pueden usarse para
identificar vulnerabilidades que dependan de la habilidad de ser criticado del sistema de la
Tecnología de la Información y Comunicaciones (TIC) y recursos disponibles (por ejemplo,
fondos asignados, tecnología disponible, personas con la pericia para conducir la prueba).
Los métodos de prueba incluyen:
• Herramienta de exploración de vulnerabilidad automatizada.
• Prueba y evaluación de la seguridad.
61/74
• Prueba de penetración.
• Revisión de código.
La herramienta de exploración automatizada de vulnerabilidad es usada para explorar un

grupo de "anfitriones" (o hosts) a una red para servicios vulnerables conocidos (por ejemplo,
el sistema permite Protocolo de Transferencia de Archivos (FTP, por sus siglas en inglés)
anónimo, retransmisión para enviar correo electrónico). Debe notarse, sin embargo, que
algunas de las vulnerabilidades potenciales identificadas por la herramienta de exploración
automatizada no pueden representar vulnerabilidades reales en el contexto del ambiente del
sistema. Por ejemplo, algunas de estas lierramientas de exploración estiman las
vulnerabilidades potenciales sin considerar el ambiente y los requlsitos del sitio. Algunas de
las vulnerabilidades disminuidas por el software de eXQloraciOn automatizada pueden en
realidad no ser vulnerables para un sitio particular pero puede configurarse de aquella forma
debido a que su ambiente lo requiere. Así, este método de prueba puede producir positivos
falsos.
La prueba y evaluación de seguridad (PES) es otra técnica que puede usarse en la

identificación de las vulnerabilidades del sistema TIC durante el proceso de evaluación del
riesgo. Incluye el desarrollo y la ejecución de un plan de prueba (por ejemplo, prueba de
escritura, procedimientos de prueba, y resultados de prueba esperades). El propósito de la
prueba de la seguridad del sistema es probar la efectividad de lo controles de seguridad de
un sistema TIC así como que hayan sido aplicados en un ambieúte operacional. El objetivo
es asegurar que los controles aplicados cumplan la especificación de seguridad aprobada
para el software y el hardware e implementa la política de seguridad de la organización a
cumpla con las normas industriales.
La prueba de penetración puede usarse para complementar la revisión de los controles de

r- . seguridad y asegurar que las diferentes facetas del sistema TIC sean aseguradas. La prueba
de penetración, cuando es usada en el proceso de evaluación de riésgo, puede usarse para
evaluar una habilidad de un sistema TIC para sepertar os intentos i tencionales para sortear
la seguridad del sistema. Su objetivo es probar el sistema TIC desde el punto de vista de
una fuente de amenaza e identifica fallas potenciales en los esquemas de protección del
sistema TIC.
La revisión del código es la más rigurosa (pero también la más cara) forma de evaluación de
la vulnerabilidad.
Los resultados de estos tipos de prueba de seguridad ayudan a identificar las

vulnerabilidades de un sistema.
Es importante notar que las herramientas y técnicas de penetración pueden dar resultados
falsos a menos que la vulnerabilidad sea exitosamente explotada. Para explotar
vulnerabilidades particulares, uno necesita conocer la configuración exacta del
sistema/aplicación/parches en el sistema probado. Si esos datos no son conocidos en el
tiempo de la prueba, no puede ser posible, exitosamente, explotar la vulnerabilidad
particular (por ejemplo, que adquiere la concha reversa remota); sin embargo, es aún
posible caer a restablecer un proceso a sistema probado. En tal caso, el objeto probado debe
- considerarse vulnerable también.
62/74
Los métodos pueden incluir las siguientes actividades:
• Entrevistar a personas y usuarios.
• Cuestionarios
• Inspección física.
• Análisis de documentos.
63/74
APÉNDICE E
(Informativo)
ENFOQUES DE EVALUACIÓN DEL RIESGO DE lA SEGURIDAD DE lA INFORMACIÓN
E.1 Evaluación de alto nivel del riesgo de la seguridad de la información
La evaluación de alto nivel permite la definición de las prioridades y la cronología en las

acciones. Por varias razones, tales como el preso puesto, no puede ser posible implementar
todos los controles simultáneamente solamente los riesgos más críticos pueden dirigirse a
través del proceso de tratamiento del riesgo. También, puede ser prematuro comenzar con la
gestión detallada del riesgo si la implementación es solamente pre ista después de uno o
dos años. Para alcanzar este objetivo, la evaluación de alto nivel puede comenzar con una
evaluación de alto nivel de las consecuencias en lugar de comenzar con un análisis
sistemático de amenazas, vulnerabilidades, activos y consecuencias.
Otra razón para comenzar con una evaluación de alto nivel es sincronizar con otros planes
relacionados para cambiar la gestión (o la continuidad de los negocios). Por ejemplo, no
suena completamente seguro un sistema o aplicación si se planea subcontratarlo en un
futuro cercano, aunque puede aún ser de valor hacer la evaluacíén del riesgo para definir el
contrato del subcontratado.
Las características de la iteración de la evaluación de alto nivel el riesgo pueden incluir lo

siguiente:
• La evaluación de alto nivel del riesgo puede señalar un panorama más global de la
organización y sus sistemas de información, que considera los aspectos tecnológicos
- como independientes
se concentra
de los asuntos de negocios. Haciendo esto, el análisis del contexto
más en los negocios y el ambiente operacional que los elementos
tecnológicos.
• La evaluación de alto nivel del riesgo puede señalar una lista más limitada de amenazas,
y vulnerabilidades agrupadas en dominios definidos o, al acelerar el proceso, puede
enfocarse sobre el riesgo o atacar las perspectivas en lugar de sus elementos.
• Los riesgos presentados en una evaluación de alto nivel del riesgo son frecuentemente
dominios de riesgo más generales que los riesgos identificados específicos. Como las
perspectivas o las amenazas son agrupadas en dominios, el tratamiento del riesgo
propone listas de controles en este dominio. Las actividades del tratamiento del riesgo
intentan entonces primero proponer y seleccionar controles comunes que son válidos a
través del sistema entero.
• Sin embargo, la evaluación de alto nivel del riesgo, debido a que pocas veces dirige los
detalles tecnológicos, es más apropiada para proporcionar controles organizativos y no-
técnicos y aspectos de gestión de controles técnicos, o salvaguardas técnicas claves o
comunes tales como respaldos y antivirus.
@PROHIBIDA LA COPIA, REPRODUCCiÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACiÓN DE NYCE, S.C.
64/74
Las ventajas de la evaluación de alto nivel del riesgo son las siguientes:
• La incorporación de un enfoque simple inicial es probable que obtenga aceptación del

programa de la evaluación del riesgo.
• Debe ser posible construir una imagen estratégica de un programa organizativo de la

seguridad de la información, es decir, debe actuar como una buena ayuda de planeación.
• Los recursos y el dinero pueden aplicarse donde sean más benéficos; y a los sistemas
probables que tengan una necesidad más grande de protección deben dirigirse primero.
Como los análisis iniciales del riesgo están en un alto nivel y potencialmente son menos
exactos, solamente la desventaja potencial es que algunos procesos de negocios o sistemas
no puedan identificarse por lo que se requiere una segunda evaluación del riesgo detallada.
Esto puede evitarse si hay información adecuada sobre todos los aspectos de la organización
y su información y sistemas, que incluyen la información adquirida de la evaluación de los
incidentes de la seguridad de la información.
La evaluación de alto nivel del riesgo considera los valores de los negocios de los activos de
información, y a los riesgos desde el punto de vista de los negocios de la organización. En el
primer punto de decisión (véase figura 1), varios factores ayudan para determinar si la
evaluación de alto nivel es adecuada para tratar riesgos; estos factores pueden incluir lo
siguiente:
• Los objetivos de los negocios se logran mediante el uso de varios activos de la

información;
• El grado al cual los negocios de la organización dependen de cada activo de la

información, es decir, si las funciones que la organización considera críticas para su
supervivencia o la conducta efectiva de los negocios son dependientes de cada activo, o
de la confidencialidad, integridad, disponibilidad, no-repudio, <zontabilidad, autenticidad,
y responsabilidad de la información almacenada y procesada sobre este activo;
• El nivel de inversión en cada activo de información, en términos del desarrollo,

mantenimiento, o reemplazo del activo, y
• Los activos de información, para los cuales la organización directamente asigna un valor.
Cuando estos factores son evaluados, la decisión se vuelve más fácil. Si los objetivos de un
activo son extremadamente importantes para una conducta de los negocios de la
organización, o si los activos están en riesgo alto, entonces una segunda iteración, la
evaluación detallada del riesgo, debe conducirse para el activo de información particular (o
parte del mismo).
Una regla general para aplicar es: si la carencia de la seguridad de la información puede
resultar en consecuencias significativas adversas, en un nivel más detallado, es necesario
identificar riesgos potenciales.
©PROHIBIDA LA COPIA, REPRODUCCIO PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
NMX-I-27005-NYCE-2011
65/74
E.2 Evaluación detallada del riesgo de la seguridad de la información
El proceso detallado de la evaluación del riesgo de la seguridad de la información involucra

una identificación y valoración profunda de los activos, la evaluación de las amenazas a
..... aquellos aspectos, y evaluaciones de vulnerabilidades. Los resultados de esas actividades
son entonces usadas para evaluar los riesgos y después identificar el tratamiento del riesgo.
El paso detallado usualmente requiere tiempo, esfuerzo y pericia considerable, y por lo tanto
puede ser más conveniente para los sistemas de la información en alto riesgo.
la información es
r
Las consecuencias pueden ser evaluadas de varias formas, que incluyen el uso de medidas
cuantitativas, por ejemplo, monetario, y cualitativas (las cuales pueden estar basadas en el
uso de adjetivos tales como moderado a severo), a una combinación die ambas. Para evaluar
la probabilidad de ocurrencia de amenaza, el plazo sobre el cual el activo tiene valor a
necesita protege se debe establecerse. La probabilidad de una a enaza específica que
ocurre, es afectada por lo siguiente:
• El atra ti va del activo, a impacto posible aplicable cuando una amenaza humana
deliberada está siendo considerada.
• La facilidad e conversión que explota una vulnerabilidad del activo dentro de una
compensación, a llcable si una amenaza humana deliberada está considerándose
• Las capacidades técnicas del agente de amenaza, aplicables a las amenazas humanas
deliberadas, y
- • La. susceptibilidad
vulnerabilidades
de la vulnerabilidad a la explotación,
técnicas como no téGnil:;as;~.=-==._--==--
a licable tanto a las
Algunos métodos hacen uso de tablas, y combinan medidas subjetivas y empíricas. Es

importante que la organización use un método con el cual la organización esté cómoda, en el
cual la organización tiene confianza, y que debe producir resultados repetibles. Unos pocos
ejemplos de técnicas basadas en tabla son dados más adelante.
E.2.1 Ejemplo 1 Matriz con valores predefinidos
En los métodos de evaluación del riesgo de este tipo, los activos físicos actuales a
propuestos son valuados en términos de costos de reemplazo a reconstrucción (es decir,
mediciones cuantitativas). Estos costos son entonces convertidos en la misma escala
cualitativa como aquellos usados para la información (véase más adelante). Los activos de
software actuales a propuestos son valuados en la misma forma como los activos físicos, con
costos de compra a de reconstrucción identificados y después convertidos a la misma escala
..... cualitativa como aquella usada para información. Adicionalmente, si cualquier software de
aplicación se encuentra que tiene sus propios requisitos intrínsecos para confidencialidad a
integridad (por ejemplo, si el código fuente es por sí mismo comercialmente sensible), es
valuado en la misma forma como para información.
Los valores para la información son obtenidos mediante entrevista a la gestión de los
,.- ©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
66/74
negocios seleccionados (los "propietarios de los datos") quien puede hablar con autoridad
acerca de los datos, para determinar el valor y la sensibilidad de los datos actualmente en
uso, a ser almacenados, procesados a accedidos. Las entrevistas facilitan la evaluación del
valor y la sensibilidad de la información en términos de los peores casos de perspectivas que
pueden, razonablemente, esperarse que sucedan de las consecuencias de los negocios
debido a la revelación no autorizada, modificación no autorizada, no-disponibilidad para
variar periodos de tiempo, y destrucción.
La valoración es lograda usando directrices de valoración de la información, la cual cubre

asuntos tales como:
•
• Información personal.
• Obligaciones legales y reguladoras.
• Aplicación de la ley.
• Intereses comerciales y económicos.
• Pérdida/trastorno de actividades financieras.
• Orden público.
• Política y operaciones de negocios.
• Pérdida de la buena voluntad.
• Contrato a acuerdo con un cliente.
Las directrices facilitan la identificación de los valores sobre una escala numérica, tal como la
escala 0-4 mostrada en la matriz de ejemplo, señalada más adelante; de este modo, permite
el reconocimiento de los valores cuantitativos donde son posibles y lógicos, y los valores
cualitativos donde valores cuantitativos no son posibles, por ejemplo, para el nivel de riesgo
de la vida humana.
La siguiente actividad mayor es la finalización de pares de cuestionarios para cada tipo de

amenaza, para cada agrupamiento de activos que un tipo de amenaza se relaciona a, para
permitir la evaluación de los niveles de amenazas (probabilidad de ocurrencia) y niveles de
vulnerabilidades (facilidad de explotación mediante las amenazas para causar consecuencias
adversas). Cada respuesta de cada pregunta atrae una puntuación. Estas puntuaciones son
acumuladas a través de una base de reconocimiento y comparadas con rangos. Esto
identifica los niveles de amenaza sobre una escala alta a baja y los niveles de vulnerabilidad
similarmente, como se muestra en la matriz de ejemplo abajo, que diferencia entre los tipos
de consecuencias como relevantes. La información para completar los cuestionarios debe
reunirse de las entrevistas a la gente técnica, de personal y de plaza apropiada, y las
inspecciones físicas de ubicación, y las revisiones de documentación.
Los valores de los activos, y los niveles de amenaza y vulnerabilidad, relevantes a cada tipo
de consecuencia, son empatados en una matriz tal como la que muestra abajo, para
@PROHIBIDA lA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, 5.\
- NMX-I-2700S-NYCE-2011
67/74
identificar cada combinación de la medida relevante del riesgo sobre una escala de O a 8.
Los valores son colocados en la matriz en una forma estructurada. Un ejemplo está dado
abajo:
Tabla E.l a)
Probabilidad
de
Baja r- Media Alta ,
ocurrencia -
Amenaza
Facilidad de
I-B M A B _A I'M B- M A
r explotación
I O 1"'0 ~ 2~ J_ ,~2~ _3 2 3 4
1 1 2 3 2 3 4 3 4 5
Valor del
2 2 3 4 3 4 5 4 5 6
activo
3 3 4 5 4 5 6 5 I 6 7
,/ I 4 4 5 6 5 6 7 6 7 1
8
Para cada activo, las vulnerabilidades

..
relevantes y sus amenazas correspondientes son J
consideradas. Si hay una vulnerabilidad sin una amenaza correspondiente, a una amenaza
sin vulnerabilidad correspondiente, en ese momento no hay riesgo (pero el cuidado debe
tomarse en caso dé que esta situación cambie). Ahora la fila apropiada en la matriz es
identificada por el valor del activo, y la columna apropiada es identificada mediante la
probabilidad de la amenaza que ocurre y la facilidad de explotación. Por ejemplo, si el activo
tiene el valor 3, la amenaza es "alta" y la vulnerabilidad "baja", la medida del riesgo es 5.
Asumir que un activo tiene un valor de 2, por ejemplo, para la modificación, el nivel de
amenaza es "baja" y la facilidad de explotación es "alta", entonces la medida del riesgo es 4.
El tamaño de la matriz, en términos del número de las categorías de probabilidad de
amenaza, las categorías de facilidad de explotación y el número de categorías de valuación
del activo, pueden ajustarse a las necesidades de la organización. Las columnas y filas
adicionales necesitan medidas ae riesgo aaicionales. El va or de este enfoque está en la
clasificación de los riesgos a dirigirse.
Una matriz similar como la que se muestra en la tabla E.l b), resulta de la consideración de
la probabilidad de una perspectiva de incidente, trazado en contra del impacto de negocios
estimado. La probabilidad de una perspectiva de incidente es dada por una amenaza que
explota una vulnerabilidad con una cierta probabilidad. La Tabla traza esta probabilidad en
contra del impacto de negocios relacionado con la perspectiva de incidente. El riesgo
resultante es medido sobre una escala de O a 8 que puede evaluarse en contra del criterio de
aceptación del riesgo. Esta escala de riesgo puede trazarse también a una clasificación
simple del riesgo global, por ejemplo como:
Riesgo bajo: 0-2
Riesgo medio: 3-5
Riesgo alto: 6-8
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACiÓN DE NYCE, S.C.
68/74
Tabla E.l b)
Probabilida
d de Muy bajo Bajo Medio Alto Muy alto
(Muy
perspectiva improbable) (Improbable) (Posible) (Probable) (Frecuente)
de incidente
Muy bajo O 1 2 3 4
1 2 ~ 3
2 3 '110.. 4
3 4 5
r-tuv atto
~
4
- 5 6 'I 7
E.2.2 Ejemplo 2 Clasificación de Amenazas mediante Medidls de Riesgo
Una matriz a tabla como la mostrada en la Tabla E.2 puede usarse para relacionar los
factores de consecuencias (valor del activo) y probabilidad de la ocurrencia de amenaza
(tomando en cuenta los aspectos de vulnerabilidad). El primer paso es evaluar las
consecuencias (valor del activo) sobre una escala predefinida, por ejemplo, de 1 hasta 5, de
cada activo amenazado (columna "b" en la tabla). El segundo paso es evaluar la probabilidad
de ocurrencia de amenaza sobre una escala predefinida, por ejern lo de 1 hasta 5, de cada
amenaza (columna "c" en la tabla). El tercer paso es calcular la medida del riesgomedianté
multiplicación (b x e). Finalmente, las amenazas pueden clasificarse para su medida
asociada de riesgo. Nótese que en este ejemplo, 1 se toma como la consecuencia más baja y
la probabilidad más baja de ocurrencia.
Tabla E.2
I ,
Descripción de la Valor de la Probabilidad de Medida de riesgo Clasificación de
amenaza consecuencia ocurrencia de (él) amenaza
(a) (activo)
- amenaza
=- (e)
(b) (c)
Amenaza A 5 j 2 10 2
Amenaza B ", 2 4 I 8 3
Amenaza C 3 5 ! 15 1
Amenaza D 1 3 I 3 5
,
Amenaza E 4 1 4 4
Amenaza F 2 4 8 3
Como se muestra arriba, esto es un procedimiento el cual permite diferentes amenazas con
consecuencias que difieren y probabilidad de ocurrencia para compararse y clasificado en
orden prioritario, como se muestra aquí. En algunos ejemplos debe ser necesario asociar
valores monetarios con escalas empíricas usadas aquí.
@PROHIBIDA LA COPIA, REPRODUCCiÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACiÓN DE NYCE, S.C.
69/74
E.2.3 Ejemplo 3 Evaluando un valor para la probabilidad y las consecuencias

r posibles de riesgos
En este ejemplo, el énfasis es colocado en las consecuencias de los incidentes de la

seguridad de la información (es decir, perspectivas de incidente) y en determinar cuales
sistemas deben ser dados prioridad. Esto es hecho mediante la evaluación de dos valores
para cada activo y riesgo, la cual en combinación debe determinar el resultado final para
cada activo. Cuando todos los resultados finales de los activos para el sistema son sumados,
una medida de riesgo a aquel sistema es determinado.
Primero, un valor es asignado a cada activo. ste valor se relaciona a las consecuencias
adversas potenciales que pueden surgir si e activo es amenazado. Para cada amenaza al
activo aplicable, este valor de activo es as'gnado al activo:.;..
__
Siguiente al valor de probabilidad es evaluado. Esto es evaluado de una combinación de la

probabilidad de la amenaza que ocurre y la facilidad de explotación de la vulnerabilidad,
véase la Tabla E.3 que expresa la probabilidad de una perspectiva de incidente.
Tabla E.3
< Probabilidad de Amenaza

I' Niveles de Vulnerabilidad B
Bajo
M A B
Media I
M A
,I Alto
B-1 M A
Valor de Probabilidad de
una perspectiva de
incidente
O 1 2 1 2 J 2 3 4
Siguiente, un resultado final del activo/amenaza es asignado mediante el hallazgo de la

intersección del valor del activo y el valor de la probabilidad en liB Tabla EA. Los resultados
,..... finales activo/amenaza son pérdida total para producir un resu tado final del activo. Esta
figura puede usarse para diferenciar entre los activos que forman parte de un sistema.
Tabla E.4
Valor del activo O 1 2 3 4

Valor de la probabilidad
O O 1 2 3 4
1 1 2 3 4 5
I 2 2 3 4 5 6
3 3 4 5 6 7
4 4 5 6 7 8
El paso final es totalizar todos los resultados finales del activo para los activos del sistema,
que produce un resultado final del sistema. Esto puede usarse para diferenciar entre los
sistemas y determinar cual protección del sistema debe darse prioridad.
En los siguientes ejemplos todos los valores son escogidos al azar.
Suponga que el Sistema S tiene tres activos Al, A2 Y A3. También suponga que hay dos
amenazas Tl y T2 aplicables al Sistema S. Permita que el valor de Al sea 3, similarmente
©PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL ( . ESTA NORMA .MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE NYCE, S.C.
70/74
permita que el valor de activo de A2 sea 2 y el valor del activo de A3 sea 4.
Si para Al y T! La probabilidad de amenaza es baja y la facilidad de explotación de la

vulnerabilidad es media, entonces el valor de probabilidad es 1 (véase Tabla E.3).
El resultado final activo/amenaza A2/T1 puede derivarse de la tabla EA como la intersección

del valor de activo 3 y el valor de probabilidad 1, es decir, 4. Similarmente, para A1/T2
permita que la probabilidad de amenaza sea media y la facilidad de explotación de la
vulnerabilidad es alta, que da un resultado final de A1/T2 de 6.
Ahora el resultado final del activo total A1T puede calcularse, es decir, 10. El resultado final
del activo total es calculado para cada activo y amenaza aplicables. El resultado final total
del sistema es calculado mediante la suma A1T + A2T + A3T para dar ST.
Ahora diferentes sistemas pueden compararse para establecer prioridades y activos

diferentes dentro de un sistema también.
Arriba, los ejemplos muestran en términos de los sistemas de información, sin embargo el
enfoque similar puede aplicarse a los procesos de negocios.
71/74
APÉNDICE F
(Informativo)
RESTRICCIONES PARA LA REDUCCIÓN DEL RIESGO
Mientras se consideran las restricciones para la reducción del riesgo, las siguientes
restricciones deben tomarse en cuenta:
Restricciones de tiempo:
Algunos tipos de restricciones de tiempo p eden existir. Por ejemplo, los controles deben
implementarse dentro de un periodo de tiempo aceptable para los gerentes de la
organización. Otro tipo de restricción de tiempo es sí un control puede implementarse dentro
de la vida de la información a sistema. Un tercer tipo de restricción tie tiempo puede ser el
periodo de vida de los gerentes de la organización que decide que es un periodo para
exponerse a un riesgo particular.
Restricciones financieras:
Los controles no deben ser más caros para implementar a mantener que el valor de los
riesgos que so . diseñados para proteger, excepto donde la conférfhtdad en obligatoria (por
ejemplo, con legislación). Cada esfuerzo debe hacer que no exceda los presupuestos
asignados y lograr ventaja financiera a través del uso de controles. Sin embargo, en algunos
casos no puede ser posible lograr la seguridad deseada y el nivel de la aceptación del riesgo
debido a las restricciones de presupuesto. Seto por lo tanto se vuelve una decisión de los
gerentes de la organización para la resolución de esta situación.
Gran cuidado debe tomarse si el presupuesto reduce el número a la calidad de los controles
a irilplementarsedado que esto puede llevar a la retención implíci a de riesgo más grande
que el planeado. 61 presupuesto establecido para los controles drebe solamente usarse como
un factor restrictivo con cuidado considerable.
Restricciones técnicas
Los problemas técnicos, como la compatibilidad de programas a hardware, pueden

fácilmente evitarse si son tomados en cuenta durante la selección de controles. Además, la
implementación retrospectiva de controles a un proceso a sistema existente es a menudo
dificultado por restricciones técnicas. Estas dificultades pueden mover el balance de los
controles hacia los aspectos de procedimiento y físicos de seguridad. Puede ser necesario
revisar el programa de seguridad de la información para lograr los objetivos de seguridad.
Esto puede ocurrir cuando los controles no cumplan los resultados esperados en la reducción
de riesgos sin la reducción de la productividad.
Restricciones operacionales
- Las restricciones operacionales tales como la necesidad para operar 24 x 7 aún para
desarrollar respaldos puede resultar en implementación compleja y costosa de controles a
menos que sean construidos en el diseño desde el principio.
72/74
Restricciones culturales
Las restricciones culturales a la selección de los controles pueden ser específicas a un país,
un sector, una organización a aún a un departamento dentro de una organización. No todos
los controles pueden aplicarse en todos los países. Por ejemplo, puede ser posible para
implementar búsquedas de bolso en partes de Europa pero no en partes en Medio Oriente.
Los aspectos culturales no pueden ignorarse debido a algunos controles dependen del
soporte activo del personal. Si el personal no entiende la necesidad para el control a no lo
encuentran culturalmente aceptable, el control debe volverse inefectivo tiempo extra.
Restricciones éticas:
Las restricciones éticas pueden tener implicaciones mayores sobre los controles como cambio
ético basado en normas sociales. Esto puede prevenir los controles de implementación tales
como la exploración de correo electrónico en algunos países. la privacidad de la información
puede también cambiar dependiente de las éticas de la región a gobierno. Estos pueden ser
de más incumbencia en algunos sectores industriales que otros, por ejemplo, gobierno y
asistencia sanitaria.
Restricciones ambientales:
Los factores ambientales pueden influenciar la selección de controles, tales como

disponibilidad de espacio, condiciones extremas de clima, geografía natural y urbana
circundante. Por ejemplo, a prueba de terremotos puede requerirse en algunos países pero
es innecesario en otros.
Restricciones legales:
Los factores legales tales como la protección de datos personales a provisiones de código
criminal para el procesamiento de información puede afectar la selección de controles. La
conformidad legislativa y reguladora puede mandar ciertos tipos de control que incluye
protección de datos y auditoría financiera; pueden también prevenir el uso de algunos
controles, por ejemplo, codificación. Otras leyes y regulaciones tales como la legislación de
las relaciones laborales, departamento de incendios, salud y seguridad, y regulaciones del
sector económico, etc., pueden afectar la selección de control también.
Facilidad de uso:
Una pobre interfaz humana-tecnológica debe resultar en error humano y puede volver el
control inútil. Los controles deben seleccionar para proporcionar la facilidad óptima de uso
mientras se logra un nivel aceptable de riesgo residual a los negocios. Los controles que son
difíciles de usar deben impactar su efectividad, como usuarios pueden intentar sortear a
ignorarlos tanto como sea posible. Los controles de acceso complejos dentro de una
organización pueden alentar a los usuarios, que encuentren métodos de acceso alternos, sin
autorización.
Restricciones personales:
La disponibilidad y el costo de sueldo de habilidad especializada establece para implementar

controles, y la habilidad para mover el personal entre las ubicaciones en condiciones de
73/74
operacion adversas, deben considerarse. La pericia puede no estar disponible fácilmente

.... para implementar los controles planificados a la pericia puede ser demasiado costosa para la
organización. Otros aspectos tales como la tendencia de algunos personal para discriminar
otros miembros del personal quienes no están protegidos de seguridad puede tener mayores
implicaciones para las políticas y prácticas de seguridad. También, la necesidad para
arrendar la gente correcta para el trabajo y hallar la gente correcta, puede resultar en
arrendamiento antes de que la protección de seguridad esté completa. El requisito para la
protección de seguridad a ser completada antes del arrendamiento es la práctica, y más
seguro, normal.
Restricciones de integrar controles nuevos y existentes:
La integración de nuevos controles en la Infraestructura existente Yi las interdependencias

entre los controles son a menudo pasadas por alto. Los nuevos controles pueden no ser
fácilmente implementados si hay incongruencia a incompatibilidad con los controles
existentes. Por ejemplo, un plan para usar señales biométricas para el control de acceso
físico puede causar conflicto con un sistema existente basado en PIN-pad para el control de
acceso. El costo de los controles de cambio de los controles existentes a los controles
planificados debe incluir elementos a agregarse a los costos globales del tratamiento del
riesgo. Puede no ser posible implementar un control seleccionado debido a la interferencia
con controles actuales.
@PROHIBIDA lA COPIA, REPRODUCCiÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN lA AUTORIZACiÓN DE NYCE, S.C.
74/74
APÉNDICE G
(Informativo)
ESTÁNDAR INTERNACIONAL QUE SE MENCIONA EN ESTA NORMA MEXICANA CON

CARÁCTER INFORMATIVO
ISO Guide 73: 2009 Risk management - Vocabulary.

NMX I 27005 Nyce 2011

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

NMX I 27005 Nyce 2011

Cargado por

Copyright:

Formatos disponibles

NYCE

TECNOLOGÍA DE lA INFORMACIÓN - TÉCNICAS DE SEGURIDAD -

INFORMATION TECHNOLOGY - SECURITY TECHNIQUES - INFORMATION SECURITY RISK

- 1. La presente Norma Mexicana fue elaborada por el Subcomité TINF 2: Software

SECRETARÍA DE EDUCACIÓN PÚBLICA - INSTITUTO POLITÉCNICO NACIONAL

NYCE/GEREN I.AI DIVISIÓN DE SOFrWARE DE NYCE

MICROSOFr MÉXICO, S. DE R.L. DE C.V.

UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO.

CÁMARA NI1CIONAL DE LA INDUSTRIA ELECTRÓNICA, DE ifELECOMUNICACIONES Y

INDUSTRIAS RADSON, S.A. DE C.V.

ALCATEL-LUCEN::r:, S.A. DE c.'s;J';:::. ==========

HERMES MUSIC, S.A. DE C.V.

LATTICE TELECOMUNICACIONES PERSONALES, S.A. DE C.V.

SOLUCIONES INTEGRALES PARA OFICINA, S.A. DE C.V.

AUDIOMEX, S.A. DE C.V.

2. En la presente Norma Mexicana el texto que se encuentre sombreado, hace

3. Esta Norma Mexicana cancela a la NMX-I-041/0S-NYCE-2009.

4. La Declaratoria de vigencia de esta Norma Mexicana se publicó en el Diario

ÍNDICE DEL CONTENIDO

1 OBJETIVO Y CAMPO DE APLICACIÓN 1

4 ESTRUCTURA DE ESTA NORMA MEXICANA 3

6 PANORAMA DEL PROCESO DE GESTIÓN DEL RIESGO DE LA 6

7 ESTABLECIMIENTO DEL CONTEXTO 8

8 EVALUACIÓN RIESGO DE LA SEGURIDAD DE 13

9 TRATAMIENTO DEL RIESGO PARA LA SEGURIDAD DE LA 24

11 COMUNICACIÓN DEL RIESGO DE LA SEGURIDAD DE LA 29

12 SUPERVISIÓN Y REVISIÓN DEL RIESGO DE LA SEGURIDAD DE 31

14 CONCORDANCIA CON NORMAS INTERNACIONALES 33

ÍNDICE DEL CONTENIDO

TECNOLOGÍA DE lA INFORMACIÓN - TÉCNICAS DE SEGURIDAD -

INFORMATION TECHNOLOGY - SECURITY TECHNIQUES - INFORMATION SECURITY RISK

1 OBJETIVO Y CAMPO DE APLICACIÓN

Esta Norma Mexicana apoya los conceptos generales especificados en la NMX-I-27001-NYCE

El conocimiento de los conceptos, modelos, procesos y terminologías descritas en las NMX-I-

Esta Norma se complementa con las siguientes Normas Mexicanas vigentes

NMX-I-27001-NYCE Tecnología de la Información - Técnicas de seguridad -

NMX-I-27002-NYCE Tecnologías de la información Seguridad de la

Cambio adver a al nivel de los objetivos de negocios logrados.

El potencial de que una amenaza dada, aproveche vulnerabilidades de un activo a grupo de

NOTA: Es medido en términos de una combinación de la probabilidad de un eve to y su consecuencia.

3.3 Evasión del riesgo

La decisión de no involucrarse en, a retirarse de, una situación de riesgo.

[Guía ISO/lEC 73]

3.4 Comunicación del riesgo

Intercambio a compartición de la información acerca del riesgo entre la toma de decisiones y

[Guía ISO/lEC 73]

3.S Estimación del riesgo

Proceso para asignar valores a la probabilidad y consecuencias de un riesgo.

[Guía ISO/lEC 73]

- 2 En el contexto de esta Norma Mexicana, el término

3.6 Identificación del riesgo

Proceso para encontrar, listar y caracterizar los elementos del riesgo.

[Guía ¡SOLlEC 73]

3.7 Reduccióndel riesgo

Acciones tomadas para reducir la probabilidad, consecuencias negativas, a ambas, asociadas

- NOTA: En el contexto de esta Norma Mexicana, el término

3.8 Retención (lei riesgo

Aceptación del impacto, en pérdidas a ganancias relacionado con un riesgo particular.

3.9 Transferencia del riesgo

[Guía ISOllEC 73]

- 4 ESTRUCTURA DE ESTA NORMA MEXICANA

La información de fondo se proporciona en el capítulo 5.

Un panorama general del proceso de gestión del riesgo de la seguridad de la información es