APLICACIÓN NORMA ISO-27005
JONATHAN ALEXANDER SANDOVAL ORTEGA
CODIGO: 1150125
CONSTANTINO CELIS PEÑARANDA CODIGO: 1150307
UNIVERSIDAD FRANCISCO DE PAULA SANTANDER
INGENIERIA DE SISTEMAS
SAN JOSE DE CUCUTA
II SEMESTRE 2013
1
APLICACIÓN NORMA ISO-27005 PROCESO GESTION FINANCIERA
JONATHAN ALEXANDER SANDOVAL ORTEGA
CODIGO: 1150125
CONSTANTINOCELIS PEÑARANDA CODIGO: 1150307
PROFESOR:
JEAN POLO CEQUEDA OLAGO
ASIGNATURA:
SEGURIDAD INFORMATICA
UNIVERSIDAD FRANCISCO DE PAULA SANTANDER
INGENIERIA DE SISTEMAS
SAN JOSE DE CUCUTA
II SEMESTRE 2013
2
INTRODUCCIÓN
ISO 27005: Publicada el 4 de Junio de 2008. Establece las directrices para
la gestión del riesgo en la seguridad de la información. Apoya los conceptosgenerales especificados en la norma ISO/IEC 27001 y está diseñada para
ayudar a la aplicación satisfactoria de la seguridad de la información basada
en un enfoque de gestión de riesgos. El conocimiento de los conceptos,
modelos, procesos y términos descritos en la norma ISO/IEC 27001 e
ISO/IEC 27002 es importante para un completo entendimiento de la norma
ISO/IEC 27005:2008, que es aplicable atodo tipo de organizaciones (por
ejemplo, empresas comerciales, agencias gubernamentales, organizaciones
sin fines de lucro) que tienen la intención de gestionar los riesgos que
puedan comprometer la organización de la seguridad de la información. Su
publicación revisa y retira las normas ISO/IEC TR 13335-3:1998 y ISO/IEC
TR 13335-4:2000.
La gestión del riesgo en la seguridad de lainformación debe ser un proceso
continuo. Tal proceso debería establecer el contexto, evaluar los riesgos,
tratar los riesgos utilizando un plan de tratamiento para implementar las
recomendaciones y decisiones. La gestión del riesgo analiza lo que puede
suceder y cuáles pueden ser las posibles consecuencias, antes de decidir lo
que se debería hacer y cuando hacerlo, con el fin de reducir el riesgohasta
un nivel aceptable.
La gestión del riesgo en la seguridad de la información debería contribuir a:
-
la identificación de los riesgos;
La evaluación de los riesgos en términos de sus consecuencias para
el negocio y la probabilidad de su ocurrencia;
La comunicación y entendimiento de la probabilidad y las
consecuencias de estos riesgos ;
El establecimiento del orden de prioridad parael tratamiento de los
riesgos;
La priorización de las acciones para reducir la ocurrencia de los
riesgos;
La participación de los interesados cuando se toman las decisiones
sobre gestión del riesgo y mantenerlos informados sobre el estado de
la gestión del riesgo;
3
-
La eficacia del monitoreo del tratamiento del riesgo;
El monitoreo y revisión con regularidad del riesgo y losprocesos de
gestión de riesgos Definición de riesgos
Riesgo se puede definir como aquella eventualidad que imposibilita el
cumplimiento de un objetivo. De manera cuantitativa el riesgo es una medida de
las posibilidades de incumplimiento o exceso el objetivo planteado. Así definido,
un riesgo conlleva dos tipos de consecuencias: ganancias o pérdidas.
En lo relacionado con tecnología,generalmente el riesgo se plantea
solamente como amenaza, determinando el grado de exposición a la
ocurrencia de una pérdida (por ejemplo el riesgo de perder datos debido a
rotura de disco, virus informáticos, etc.).
La Organización Internacional por la Normalización (ISO) define riesgo
tecnológico (Guías para la gestión de la seguridad de TI /TEC TR 13335-1, 1996)
como: “La probabilidad de que unaamenaza se materialice, utilizando
vulnerabilidad existentes de un activo o un grupo de activos, generándole perdidas
o daños”.
En la definición anterior se pueden identificar varios elementos que se
deben comprender adecuadamente para, por ende, comprender
integralmente el concepto de riesgo manejado. Estos elementos son:
probabilidad, amenazas, vulnerabilidades, activos e impactos.
En...
Regístrate para leer el documento completo.