Académique Documents
Professionnel Documents
Culture Documents
Informacin
Esta norma contiene recomendaciones y directrices generales para la gestin de riesgos en
sistemas de seguridad de la Informacin. Es compatible con los conceptos generales especificados
en la norma ISO/IEC 27001 y est diseada como soporte para aplicar satisfactoriamente un SGSI
basado en un enfoque de gestin de riesgos.
la norma ISO/IEC 27005 reemplaza a la norma anterior, ISO13335-2 "Gestin de seguridad de la
informacin y la tecnologa de las comunicaciones". La norma fue publicada por primera vez en
junio de 2008, aunque hay una nueva versin mejorada en el 2011.
El riesgo se define como una amenaza que explota la vulnerabilidad de un activo pudiendo causar
daos. El riesgo IT est relacionado con el uso, propiedad, operacin, distribucin y la adopcin de
las tecnologas de la Informacin en una organizacin. Aunque no existe un mtodo concreto de
como gestionar riesgos, se recomienda usar un proceso estructurado, sistemtico y riguroso de
anlisis de riesgos para la creacin del plan de tratamiento de riesgos.
Los indicadores de riesgo muestran si la organizacin est sujeta o tiene una alta probabilidad de
ser sometida a un riesgo que excede el riesgo permitido.
Identificacin de riegos
Un evento solo es un riesgo si existe un grado de incertidumbre asociado con el, por ejemplo:El
valor de un activo puede cambiar su valor durante la ejecucin de un proyecto, por experiencia esto
es cierto, pero cuanto puede cambiar? no lo sabemos, por lo tanto es un riesgo que debemos
evitar en un proyecto pequeo. Por lo tanto debemos estar seguros de identificar el riesgo en
realidad y no sus causas o efectos.
Si consideramos otro ejemplo, debemos instalar una determinada aplicacin de software en varias
sucursales de una empresa, pero no todas las oficinas poseen la misma capacidad de
almacenamiento o las ultimas actualizaciones de sistemas operativos
Es un riesgo la instalacin? No, es un requerimiento
Es un riesgo de que alguna sucursal termine sin usar la aplicacin? No, este es un efecto
en este proyecto, sin embargo puede ser un riesgo futuro que la sucursal no tenga la aplicacin.
Es un riesgo que la aplicacin no se pueda instalar por algn motivo? Si, es incierto, solo
lo sabremos cuando lo intentemos
Ejemplos de Riesgos en IT
Corrier aplicaciones en condiciones vulnerables
Tecnologas obsoletas
Consecuencias
Ocurrencia
Urgencia
Maleabilidad
Dependencia
Proximidad
Adicionalmente la evaluacin de riesgos requiere los siguientes puntos:
1.
Un estudio de vulnerabilidades, amenazas, probabilidad, prdidas o impacto, y la supuesta
eficiencia de las medidas de seguridad. Los directivos de la organizacin utilizan los resultados de
la evaluacin del riesgo para desarrollar los requisitos de seguridad y sus especificaciones.
2.
El proceso de evaluacin de amenazas y vulnerabilidades, conocidas y postuladas para
estimar el efecto producido en caso de prdidas y establecer el grado de aceptacin y aplicabilidad
en la operaciones del negocio.
3.
Identificacin de los activos y facilidades que pueden ser afectados por amenazas y
vulnerabilidades.
4.
Anlisis de los activos del sistema y las vulnerabilidades para establecer un estimado de
prdida esperada en caso de que ocurran ciertos eventos y la probabilidades estimadas de la
ocurrencia de estos. El propsito de una evaluacin del riesgo es determinar si las contramedidas
son adecuadas para reducir la probabilidad de la prdida o el impacto de la prdida a un nivel
aceptable.
5.
Una herramienta de gestin que proporcione un enfoque sistemtico que determine el valor
relativo de:
La evaluacin de vulnerabilidades
La aceptacin de riesgos
Anlisis de Riesgo
Este es el paso principal en el marco de la norma ISO/IEC 27005. La mayor parte de las
actividades primarias se prev que el primer proceso de evaluacin de riesgos. Este paso implica
la adquisicin de toda la informacin pertinente sobre la organizacin y la determinacin de los
criterios bsicos, finalidad, alcance, lmites y organizacin de las actividades de gestin de riesgos.
El objetivo es por lo general el cumplimiento de los requisitos legales y proporcionar la prueba de la
debida diligencia el apoyo de un SGSI que puede ser certificado. El alcance puede ser un plan de
notificacin de incidentes, un plan de continuidad del negocio.
Los criterios incluyen la evaluacin del riesgo, aceptacin de riesgos y criterios de evaluacin de
impacto. Estos estn condicionados por:
requisitos legales y reglamentarios
Escenarios de riesgo
Escenarios de riesgo es el corazn del proceso de evaluacin de riesgos. Los escenarios pueden
derivarse de dos maneras diferentes y complementarias:
Enfoque de arriba hacia abajo de los objetivos generales de la empresa a los escenarios
de riesgo ms probable es que puede tener un impacto.
Enfoque de abajo hacia arriba, donde se aplica una lista de escenarios de riesgo
genricos a la situacin
Cada uno de los escenarios de riesgo se analiza para determinar la frecuencia y el impacto, sobre
la base de los factores de riesgo.
El propsito de definir una respuesta al riesgo es llevar el riesgo en nivel que se pueda tolerar. es
decir, el riesgo residual debe ser dentro de los lmites de tolerancia al riesgo. El riesgo puede ser
manejado de acuerdo cuatro estrategia principales (o una combinacin de ellos):
Evitar el riesgo aislando las actividades que dan lugar al riesgo
Mitigar el riesgo adoptando medidas que detectan y reducen el impacto del riesgo
Transferir riesgos a otras reas menos susceptibles o a otras entidades con mas
experiencia (outsourcing)