iso 27005
Páginas: 24 (5808 palabras)
Publicado: 6 de junio de 2014
ISO/IEC 27005 Gestion de riesgos de seguridad de la Información
Esta norma contiene recomendaciones y directrices generales para la gestión de riesgos en sistemas de seguridad de la Información. Es compatible con los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada como soporte para aplicar satisfactoriamente un SGSI basado en un enfoque de gestión de riesgos.
lanorma ISO/IEC 27005 reemplaza a la norma anterior, ISO13335-2 "Gestión de seguridad de la información y la tecnología de las comunicaciones". La norma fue publicada por primera vez en junio de 2008, aunque hay una nueva versión mejorada en el 2011.
El riesgo se define como una amenaza que explota la vulnerabilidad de un activo pudiendo causar daños. El riesgo IT está relacionado con el uso,propiedad, operación, distribución y la adopción de las tecnologías de la Información en una organización. Aunque no existe un método concreto de como gestionar riesgos, se recomienda usar un proceso estructurado, sistemático y riguroso de análisis de riesgos para la creación del plan de tratamiento de riesgos.
Los indicadores de riesgo muestran si la organización está sujeta o tiene una altaprobabilidad de ser sometida a un riesgo que excede el riesgo permitido.
Gestión de Riesgos en Tecnologías de la Información
Gestión del Riesgo es una actividad recurrente que se refiere al análisis, planificación, ejecución, control y seguimiento de las medidas implementadas y la política de seguridad impuesta.
La actualización de establecimiento, mantenimiento y continua mejora de un SGSIofrecen una clara indicación de que una empresa está utilizando un enfoque sistemático para la identificación, evaluación y gestión de riesgos de seguridad de la información.
Identificación de riegos
Un evento solo es un riesgo si existe un grado de incertidumbre asociado con el, por ejemplo:El valor de un activo puede cambiar su valor durante la ejecución de un proyecto, por experiencia estoes cierto, pero ¿cuanto puede cambiar? no lo sabemos, por lo tanto es un riesgo que debemos evitar en un proyecto pequeño. Por lo tanto debemos estar seguros de identificar el riesgo en realidad y no sus causas o efectos.
Si consideramos otro ejemplo, debemos instalar una determinada aplicación de software en varias sucursales de una empresa, pero no todas las oficinas poseen la mismacapacidad de almacenamiento o las ultimas actualizaciones de sistemas operativos
• ¿Es un riesgo la instalación? No, es un requerimiento
• ¿Es un riesgo de que alguna sucursal termine sin usar la aplicación? No, este es un efecto en este proyecto, sin embargo puede ser un riesgo futuro que la sucursal no tenga la aplicación.
• ¿Es un riesgo que la aplicación no se pueda instalar por algún motivo? Si,es incierto, solo lo sabremos cuando lo intentemos
Ejemplos de Riesgos en IT
• Corrier aplicaciones en condiciones vulnerables
• Sistemas operativos, vulnerables y sin actualizaciones
• Diseñar aplicaciones inapropiadas, incompletas, con bugs y errores recurrentes
• Tecnologías obsoletas
• Mal rendimiento de la infraestructura IT
Evaluación del riesgos
Es necesario establecer unvínculo entre los escenarios de riesgos IT y el impacto empresarial que estos generarían, para así comprender el efecto de los eventos adversos que se pueden desencadenar.
La evaluación de riesgos se ejecuta en los puntos discretos de tiempo (por ejemplo una vez al año, en la demanda, etc) y - hasta que el rendimiento de la próxima evaluación - proporciona una visión temporal de los riesgos evaluados.La evaluación de riesgos se realiza a menudo en más de una iteración, la primera es una evaluación de alto nivel para identificar los riesgos altos, mientras que las iteraciones posteriores detallan en el análisis de los riesgos principales y tolerables. Varios factores ayudan a seleccionar eventos con cierto grado de riesgo:
• Probabilidad
• Consecuencias
• Ocurrencia
• Urgencia
•...
Esta norma contiene recomendaciones y directrices generales para la gestión de riesgos en sistemas de seguridad de la Información. Es compatible con los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada como soporte para aplicar satisfactoriamente un SGSI basado en un enfoque de gestión de riesgos.
lanorma ISO/IEC 27005 reemplaza a la norma anterior, ISO13335-2 "Gestión de seguridad de la información y la tecnología de las comunicaciones". La norma fue publicada por primera vez en junio de 2008, aunque hay una nueva versión mejorada en el 2011.
El riesgo se define como una amenaza que explota la vulnerabilidad de un activo pudiendo causar daños. El riesgo IT está relacionado con el uso,propiedad, operación, distribución y la adopción de las tecnologías de la Información en una organización. Aunque no existe un método concreto de como gestionar riesgos, se recomienda usar un proceso estructurado, sistemático y riguroso de análisis de riesgos para la creación del plan de tratamiento de riesgos.
Los indicadores de riesgo muestran si la organización está sujeta o tiene una altaprobabilidad de ser sometida a un riesgo que excede el riesgo permitido.
Gestión de Riesgos en Tecnologías de la Información
Gestión del Riesgo es una actividad recurrente que se refiere al análisis, planificación, ejecución, control y seguimiento de las medidas implementadas y la política de seguridad impuesta.
La actualización de establecimiento, mantenimiento y continua mejora de un SGSIofrecen una clara indicación de que una empresa está utilizando un enfoque sistemático para la identificación, evaluación y gestión de riesgos de seguridad de la información.
Identificación de riegos
Un evento solo es un riesgo si existe un grado de incertidumbre asociado con el, por ejemplo:El valor de un activo puede cambiar su valor durante la ejecución de un proyecto, por experiencia estoes cierto, pero ¿cuanto puede cambiar? no lo sabemos, por lo tanto es un riesgo que debemos evitar en un proyecto pequeño. Por lo tanto debemos estar seguros de identificar el riesgo en realidad y no sus causas o efectos.
Si consideramos otro ejemplo, debemos instalar una determinada aplicación de software en varias sucursales de una empresa, pero no todas las oficinas poseen la mismacapacidad de almacenamiento o las ultimas actualizaciones de sistemas operativos
• ¿Es un riesgo la instalación? No, es un requerimiento
• ¿Es un riesgo de que alguna sucursal termine sin usar la aplicación? No, este es un efecto en este proyecto, sin embargo puede ser un riesgo futuro que la sucursal no tenga la aplicación.
• ¿Es un riesgo que la aplicación no se pueda instalar por algún motivo? Si,es incierto, solo lo sabremos cuando lo intentemos
Ejemplos de Riesgos en IT
• Corrier aplicaciones en condiciones vulnerables
• Sistemas operativos, vulnerables y sin actualizaciones
• Diseñar aplicaciones inapropiadas, incompletas, con bugs y errores recurrentes
• Tecnologías obsoletas
• Mal rendimiento de la infraestructura IT
Evaluación del riesgos
Es necesario establecer unvínculo entre los escenarios de riesgos IT y el impacto empresarial que estos generarían, para así comprender el efecto de los eventos adversos que se pueden desencadenar.
La evaluación de riesgos se ejecuta en los puntos discretos de tiempo (por ejemplo una vez al año, en la demanda, etc) y - hasta que el rendimiento de la próxima evaluación - proporciona una visión temporal de los riesgos evaluados.La evaluación de riesgos se realiza a menudo en más de una iteración, la primera es una evaluación de alto nivel para identificar los riesgos altos, mientras que las iteraciones posteriores detallan en el análisis de los riesgos principales y tolerables. Varios factores ayudan a seleccionar eventos con cierto grado de riesgo:
• Probabilidad
• Consecuencias
• Ocurrencia
• Urgencia
•...
Leer documento completo
Regístrate para leer el documento completo.