Documentos de Académico
Documentos de Profesional
Documentos de Cultura
T Espe 049202 D
T Espe 049202 D
13/07/2015
TABLA DE CONTENIDOS
1. TEMA
2. OBJETIVOS
3. PLANTEAMIENTO DEL PROBLEMA
4. JUSTIFICACIÓN
5. ALCANCE
6. MARCO TEORICO
7. RIESGOS EN LA SEGURIDAD DE LA INFORMACION
8. NORMA ISO/IEC 31000
9. NORMA ISO/IEC 27005
9. ESTUDIO ANALITICO ENTRE LAS NORMAS
10. RESULTADOS DEL ESTUDIO ANALITICO
11. CONCLUSIONES Y RECOMENDACIONES
ESTUDIO ANALITICO DE LA
COMPATIBILIDAD E
INTEGRACION DE LAS
NORMAS ISO/IEC 31000 E
ISO/IEC 27005 REFERENTE A
RIESGOS EN LA SEGURIDAD
DE LA INFORMACION
Describir
Describir la
la situación
situación actual
actual de
de la
la gestión
gestión de
de riesgos
riesgos
en la Seguridad de la Información
en la Seguridad de la Información
Describir
Describir el
el estándar
estándar ISO/IEC
ISO/IEC 31000
31000 (ISO,
(ISO, 2009)
2009)
Describir
Describir el
el estándar
estándar ISO/IEC
ISO/IEC 27005
27005 (ISO,2008)
(ISO,2008)
Realizar
Realizar el
el análisis
análisis de
de compatibilidad
compatibilidad entre
entre las
las
normas
normas ISO/IEC
ISO/IEC 31000
31000 (ISO,2009)
(ISO,2009) ee ISO/IEC
ISO/IEC
27005
27005 (ISO,
(ISO, 2008)
2008)
Definir
Definir el
el esquema
esquema de
de integración
integración entre
entre las
las normas
normas
ISO/IEC
ISO/IEC 31000 (ISO, 2009) e ISO/IEC 27005
31000 (ISO, 2009) e ISO/IEC 27005
(ISO,
(ISO, 2008)
2008)
1. Objeto
2. Términos y definiciones
3. Principios
4. Marco de Referencia
1. Generalidades
2. Dirección y Compromiso
3. Diseño del Marco de Referencia
4. Implementar la Gestión del Riesgo
5. Monitorear y revisar el marco de referencia
6. Mejora continua del marco de referencia
5. Proceso de Gestión del Riesgo
7. Comunicación y Consulta
8. Establecimiento del Contexto
9. Valoración del riesgo
10. Tratamiento del riesgo
11. Monitoreo y revisión
12. Registro del proceso para la gestión del riesgo
PRINCIPIOS
Resulta do de la
Va loración del Riesgo
Resultado de la
Valora ción
Satisfa ctoria
Reducción del riesgo Retención del riesgo Evita r el riesgo Tra nsferencia del riesgo
Riesgos
Residua les
Trata miento
Satisfa ctorio
ISO 27005 ISO 27005 ISO 27005 ISO 27005 ISO 27005 Monitoreo
Establecimiento Valoración Tratamiento Comunicación y Revisión
ISO 31000 Procesos y Dominios del Contexto del Riesgo del Riesgo del Riesgo del Riego
Resultados:
Mapeo
Mapeo de
de Mapeo
Conceptos/ Mapeo de
de
Conceptos/ Anexos
Anexos
Términos
Términos
Mapeo
Mapeo de
de
Procesos
Procesos
INTEGRACION
INTEGRACION
ISO/IEC
ISO/IEC 27005
27005 E
E
ISO/IEC
ISO/IEC 31000
31000
Comunicación y Establecimiento
Consulta (+) del
del Contexto
Contexto (+)
(+)
ISO 31000 e ISO
ISO 31000
31000 ee
ISO
ISO 27005
27005 ISO 27005
ISO 27005
Valoración/
Tratamiento
Tratamiento
Evaluación
Evaluación del
del Riesgo
Riesgo
INTEGRACION DE del
del Riesgo
Riesgo (+)
(+)
PROCESOS (+)
(+) ISO
ISO ISO
ISO 31000
31000 e
e
31000
31000 e e ISO
ISO ISO 27005
ISO 27005
27005
27005
Aceptación
Aceptación del
del
Monitoreo
Monitoreo yy Riesgo
Riesgo en la
en la
Revisión
Revisión (+)
(+) Seguridad
Seguridad de
de la
la
ISO
ISO 31000 e ISO
31000 e ISO información (-)
información (-)
27005
27005 ISO
ISO 27005
27005
13/07/2015
Myrian Alexandra Medina Tapia
Resultados del Estudio Analítico
ISO/IEC
ISO/IEC 31000
31000
(+) ISO
ISO 27005
27005 (-)
(-)
(+) Gestión del
Atributos
Atributos Riesgo en la
Gestión
Gestión Seguridad
Seguridad de
de la
la
Mejorada
Mejorada del
del Información
Información
Riesgo
Riesgo
ISO
ISO 27005
27005 (-)
(-)
INTEGRACION DE Identificación
Identificación ISO
ISO 27005
27005 (-)
(-)
ANEXOS y
y Valoración
Valoración Amenazas
Amenazas
de
de activos
activos e
e Comunes
Comunes
Impactos
Impactos
ISO
ISO 27005
27005 (-)
(-)
ISO
ISO 27005
27005 (-)
(-)
Vulnerabilidades
Valoración
Valoración de
de
Vulnerabilidades riesgos en la
y
y Métodos
Métodos dede riesgos en la
Valoración
Valoración Seguridad
Seguridad de
de
Vulnerabilidades
Vulnerabilidades la
la
Información
Información
ANEXOS ISO
31000 e ISO
27005
PRINCIPIOS
INTEGRACIO PROCESOS
Y MARCO
N ISO 31000 e ISO 31000 e
DE TRABAJO ISO 27005 ISO 27005
ISO 31000
CONCEPTOS
ISO 31000 E
ISO 27005
Este estudio se enfocó en el análisis de las similitudes y diferencias de las normas ISO/IEC
31000 e ISO/IEC 27005 con la finalidad de determinar la factibilidad de su integración y
complementariedad. Lo cual se confirmó a través de mapeos de alto nivel y mapeos
detallados de secciones específicas, que incluyeron sus estructuras, procesos, conceptos y
anexos.
La diferencia básica encontrada entre ambas normas, es que la ISO/IEC 31000 se enfoca en
la Gestión de riesgos de manera integral y genérica, mientras que la ISO/IEC 27005 lo hace
de forma específica en la Gestión de Riesgos en la Seguridad de la Información
Al examinar las normas ISO/IEC 31000 e ISO/IEC 27005 se detecta que sus fundamentos
organizacionales y la forma de planificar y ejecutar los proyectos y procesos son similares.
Mientras que la ISO/IEC 31000 detalla a nivel de anexos los atributos que debe tener la
gestión del riesgo, a manera informativa la ISO/IEC 27005 se enfoca en identificar los
activos e impactos, las amenazas a las que están expuestos, el análisis de las
vulnerabilidades, y el análisis de riesgos de forma específica.
La consistencia de análisis realizado se prueba con el desarrollo del modelo integrado sobre
la base de las normas ISO/IEC 31000 e ISO/IEC 27005.
Utilizar marcos de trabajo y metodologías de análisis y gestión del riesgo que apoyen
la integración de las normas ISO/IEC 31000 e ISO/IEC 27005 orientadas a la Gestión
del Riesgo con otras consideraciones como por ejemplo COBIT como marco de
referencia para el Gobierno de TI, ITIL para gestión de servicios de TI