ISO/IEC 27005 Gestion de riesgos de seguridad de la

Informacin
Esta norma contiene recomendaciones y directrices generales para la gestin de riesgos en
sistemas de seguridad de la Informacin. Es compatible con los conceptos generales especificados
en la norma ISO/IEC 27001 y est diseada como soporte para aplicar satisfactoriamente un SGSI
basado en un enfoque de gestin de riesgos.
la norma ISO/IEC 27005 reemplaza a la norma anterior, ISO13335-2 "Gestin de seguridad de la
informacin y la tecnologa de las comunicaciones". La norma fue publicada por primera vez en
junio de 2008, aunque hay una nueva versin mejorada en el 2011.
El riesgo se define como una amenaza que explota la vulnerabilidad de un activo pudiendo causar
daos. El riesgo IT est relacionado con el uso, propiedad, operacin, distribucin y la adopcin de
las tecnologas de la Informacin en una organizacin. Aunque no existe un mtodo concreto de
como gestionar riesgos, se recomienda usar un proceso estructurado, sistemtico y riguroso de
anlisis de riesgos para la creacin del plan de tratamiento de riesgos.
Los indicadores de riesgo muestran si la organizacin est sujeta o tiene una alta probabilidad de
ser sometida a un riesgo que excede el riesgo permitido.

Gestin de Riesgos en Tecnologas de la Informacin

Gestin del Riesgo es una actividad recurrente que se refiere al anlisis, planificacin, ejecucin,
control y seguimiento de las medidas implementadas y la poltica de seguridad impuesta.
La actualizacin de establecimiento, mantenimiento y continua mejora de un SGSI ofrecen una
clara indicacin de que una empresa est utilizando un enfoque sistemtico para la identificacin,
evaluacin y gestin de riesgos de seguridad de la informacin.

Identificacin de riegos
Un evento solo es un riesgo si existe un grado de incertidumbre asociado con el, por ejemplo:El
valor de un activo puede cambiar su valor durante la ejecucin de un proyecto, por experiencia esto
es cierto, pero cuanto puede cambiar? no lo sabemos, por lo tanto es un riesgo que debemos
evitar en un proyecto pequeo. Por lo tanto debemos estar seguros de identificar el riesgo en
realidad y no sus causas o efectos.

Si consideramos otro ejemplo, debemos instalar una determinada aplicacin de software en varias
sucursales de una empresa, pero no todas las oficinas poseen la misma capacidad de
almacenamiento o las ultimas actualizaciones de sistemas operativos
Es un riesgo la instalacin? No, es un requerimiento

Es un riesgo de que alguna sucursal termine sin usar la aplicacin? No, este es un efecto
en este proyecto, sin embargo puede ser un riesgo futuro que la sucursal no tenga la aplicacin.

Es un riesgo que la aplicacin no se pueda instalar por algn motivo? Si, es incierto, solo
lo sabremos cuando lo intentemos

Ejemplos de Riesgos en IT
Corrier aplicaciones en condiciones vulnerables

Sistemas operativos, vulnerables y sin actualizaciones

Disear aplicaciones inapropiadas, incompletas, con bugs y errores recurrentes

Tecnologas obsoletas

Mal rendimiento de la infraestructura IT

Evaluacin del riesgos

Es necesario establecer un vnculo entre los escenarios de riesgos IT y el impacto empresarial que
estos generaran, para as comprender el efecto de los eventos adversos que se pueden
desencadenar.
La evaluacin de riesgos se ejecuta en los puntos discretos de tiempo (por ejemplo una vez al ao,
en la demanda, etc) y - hasta que el rendimiento de la prxima evaluacin - proporciona una visin
temporal de los riesgos evaluados.

La evaluacin de riesgos se realiza a menudo en ms de una iteracin, la primera es una

evaluacin de alto nivel para identificar los riesgos altos, mientras que las iteraciones posteriores
detallan en el anlisis de los riesgos principales y tolerables. Varios factores ayudan a seleccionar
eventos con cierto grado de riesgo:
Probabilidad

Consecuencias

Ocurrencia

Urgencia

Maleabilidad

Dependencia

Proximidad
Adicionalmente la evaluacin de riesgos requiere los siguientes puntos:
1.
Un estudio de vulnerabilidades, amenazas, probabilidad, prdidas o impacto, y la supuesta
eficiencia de las medidas de seguridad. Los directivos de la organizacin utilizan los resultados de
la evaluacin del riesgo para desarrollar los requisitos de seguridad y sus especificaciones.
2.
El proceso de evaluacin de amenazas y vulnerabilidades, conocidas y postuladas para
estimar el efecto producido en caso de prdidas y establecer el grado de aceptacin y aplicabilidad
en la operaciones del negocio.
3.
Identificacin de los activos y facilidades que pueden ser afectados por amenazas y
vulnerabilidades.
4.
Anlisis de los activos del sistema y las vulnerabilidades para establecer un estimado de
prdida esperada en caso de que ocurran ciertos eventos y la probabilidades estimadas de la
ocurrencia de estos. El propsito de una evaluacin del riesgo es determinar si las contramedidas
son adecuadas para reducir la probabilidad de la prdida o el impacto de la prdida a un nivel
aceptable.
5.
Una herramienta de gestin que proporcione un enfoque sistemtico que determine el valor
relativo de:

La sensibilidad al instalar activos informticos

La evaluacin de vulnerabilidades

La evaluacin de la expectativa de prdidas

La percepcin de los niveles de exposicin al riesgo

La evaluacin de las caractersticas de proteccin existentes

Las alternativas adicionales de proteccin

La aceptacin de riesgos

La documentacin de las decisiones de gestin.

Decisiones para la implementacin de las funciones de proteccin adicionales se basan

normalmente en la existencia de una relacin razonable entre costo/beneficio de las salvaguardia
y la sensibilidad / valor de los bienes que deben protegerse. Las evaluaciones de riesgos pueden
variar de una revisin informal de una instalacin a escala microprocesador pequeo para un
anlisis ms formal y plenamente documentado (por ejemplo, anlisis de riesgo) de una instalacin
a escala de ordenadores. Metodologas de evaluacin de riesgos pueden variar desde los
enfoques cualitativos o cuantitativos a cualquier combinacin de estos dos enfoques.

Anlisis de Riesgo
Este es el paso principal en el marco de la norma ISO/IEC 27005. La mayor parte de las
actividades primarias se prev que el primer proceso de evaluacin de riesgos. Este paso implica
la adquisicin de toda la informacin pertinente sobre la organizacin y la determinacin de los
criterios bsicos, finalidad, alcance, lmites y organizacin de las actividades de gestin de riesgos.
El objetivo es por lo general el cumplimiento de los requisitos legales y proporcionar la prueba de la
debida diligencia el apoyo de un SGSI que puede ser certificado. El alcance puede ser un plan de
notificacin de incidentes, un plan de continuidad del negocio.

Los criterios incluyen la evaluacin del riesgo, aceptacin de riesgos y criterios de evaluacin de
impacto. Estos estn condicionados por:
requisitos legales y reglamentarios

el valor estratgico para el negocio de los procesos de informacin

expectativas de los interesados

consecuencias negativas para la reputacin de la organizacin

Establecer el alcance y los lmites, la organizacin debera ser estudiado: su misin, sus valores,
su estructura y su estrategia, sus lugares y el medio ambiente cultural. Las limitaciones
(presupuestarias, culturales, polticos, tcnicos) de la organizacin deben ser recogidos y
documentados como gua para los pasos a seguir.

Escenarios de riesgo

Escenarios de riesgo es el corazn del proceso de evaluacin de riesgos. Los escenarios pueden
derivarse de dos maneras diferentes y complementarias:
Enfoque de arriba hacia abajo de los objetivos generales de la empresa a los escenarios
de riesgo ms probable es que puede tener un impacto.
Enfoque de abajo hacia arriba, donde se aplica una lista de escenarios de riesgo
genricos a la situacin

Cada uno de los escenarios de riesgo se analiza para determinar la frecuencia y el impacto, sobre
la base de los factores de riesgo.

Respuesta a los Riesgos

El propsito de definir una respuesta al riesgo es llevar el riesgo en nivel que se pueda tolerar. es
decir, el riesgo residual debe ser dentro de los lmites de tolerancia al riesgo. El riesgo puede ser
manejado de acuerdo cuatro estrategia principales (o una combinacin de ellos):
Evitar el riesgo aislando las actividades que dan lugar al riesgo
Mitigar el riesgo adoptando medidas que detectan y reducen el impacto del riesgo

Transferir riesgos a otras reas menos susceptibles o a otras entidades con mas
experiencia (outsourcing)

Aceptar riesgos que se corren deliberadamente y que no se pueden evitar, sin

embargo es necesario identificarlos, documentarlos y medirlos