Iso 27005
Páginas: 6 (1396 palabras)
Publicado: 18 de febrero de 2012
ISO 27005: Estándar para la gestión de riesgos de seguridad
David Nicolás Martínez
Facultad de Ingeniería Electrónica y Telecomunicaciones, Universidad del Cauca
dmartinez@unicauca.edu.co
Abstract— Organizations of all types have to do with the threats that could compromise the security of information. Managing this aspect is often a primary concern for information technology (IT).Palabras clave— Riesgos, Seguridad, Identificación, Información, Evaluación.
Introducción
Riesgos debe ser una parte integral de todas las actividades de gestión de seguridad de la información pues en ellos son lo la principal herramienta para cubrir los requisitos de seguridad es por ello la importancia de la norma ISO 27005, donde esta norma puede ser implementada en una organización completa comosi fuera un todo o también a solo una parte de ella, todo esto solo para evaluar el riego de cada aspecto y de esta manera tomar decisiones adecuada, lo cual se hace por medio de pasos primero esta el Análisis de Riesgos el cual consta de identificación de riesgos y las fases de estimación los cuales tiene por objeto evaluar el nivel de riesgo, luego esta Evaluación de Riesgos para esto se hace unanálisis de riesgos y las fases de evaluación lo cual se utilizan para tomar decisiones y tener en cuenta los objetivos de la organización Riesgo el cual consiste en el tratamiento de riesgos y las fases de aceptación del riesgo esto es para reducir, retener, evitar o transferir los riesgos. Comunicación de Riesgos donde se logra llegar a un acuerdo sobre la forma de gestionar los riesgosmediante el intercambio y/o compartir información acerca de los riesgos entre los tomadores de decisiones y otras partes interesadas y por ultimo tenemos La Vigilancia del Riesgo y la Revisión: para detectar oportunidades en el contexto de la organización en una etapa temprana, y para mantener una visión general de la instantánea completa del riesgo.
Diseñada para ayudar a la aplicación satisfactoria deseguridad de la información, la necesidad de identificar la información activos en riesgo , las posibles amenazas o fuentes de amenaza , las potenciales vulnerabilidades y las posibles consecuencias (impactos) si los riesgos se materializan[1].
1. Seguridad de la información
La información en todas sus formas (automatizada o no, formalizada o no, pública o reservada), es uno de losprincipales artefactos de cualquier tipo de organización, necesarios para el normal funcionamiento de los objetivo previstos a alcanzar [2].
Debido a esa importancia, las organizaciones necesitan proteger su información para garantizar que esté disponible cuando se necesite, este tema aparentemente puede ser una tarea fácil de llevar pero la realidad es otra, pues la cantidad de información quepuede manejar una organización puede crecer de manera exponencial, lo que dificulta el trabajo para su protección. [3]
Se entiende por Gestión por gestión de la seguridad de la información el proceso por el cual la organización define, alcanza y mantiene unos niveles apropiados de confiabilidad, integridad, disponibilidad, trazabilidad y autenticidad para la información que necesita operar.[4]2. ASPECTOS PRINCIPALES DEL PROCESO DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION
El proceso de Gestión de la seguridad de la información incluye los siguientes aspectos principales:
* Determinar los objetivos, estrategias y políticas de seguridad de la información.
* Determinar los requerimientos de seguridad de la información.
* Identificar y analizar las amenazas y lasvulnerabilidades de los activos de la información.
* Identificar y analizar los riesgos de seguridad.
* Asegurar la concienciación de todo el personal en materia de seguridad de la información.
* Detectar los posibles incidentes de seguridad y reaccionar ante ellos.
Además de los aspectos que se tienen en cuenta dentro del proceso de gestión de la seguridad de la información, es...
David Nicolás Martínez
Facultad de Ingeniería Electrónica y Telecomunicaciones, Universidad del Cauca
dmartinez@unicauca.edu.co
Abstract— Organizations of all types have to do with the threats that could compromise the security of information. Managing this aspect is often a primary concern for information technology (IT).Palabras clave— Riesgos, Seguridad, Identificación, Información, Evaluación.
Introducción
Riesgos debe ser una parte integral de todas las actividades de gestión de seguridad de la información pues en ellos son lo la principal herramienta para cubrir los requisitos de seguridad es por ello la importancia de la norma ISO 27005, donde esta norma puede ser implementada en una organización completa comosi fuera un todo o también a solo una parte de ella, todo esto solo para evaluar el riego de cada aspecto y de esta manera tomar decisiones adecuada, lo cual se hace por medio de pasos primero esta el Análisis de Riesgos el cual consta de identificación de riesgos y las fases de estimación los cuales tiene por objeto evaluar el nivel de riesgo, luego esta Evaluación de Riesgos para esto se hace unanálisis de riesgos y las fases de evaluación lo cual se utilizan para tomar decisiones y tener en cuenta los objetivos de la organización Riesgo el cual consiste en el tratamiento de riesgos y las fases de aceptación del riesgo esto es para reducir, retener, evitar o transferir los riesgos. Comunicación de Riesgos donde se logra llegar a un acuerdo sobre la forma de gestionar los riesgosmediante el intercambio y/o compartir información acerca de los riesgos entre los tomadores de decisiones y otras partes interesadas y por ultimo tenemos La Vigilancia del Riesgo y la Revisión: para detectar oportunidades en el contexto de la organización en una etapa temprana, y para mantener una visión general de la instantánea completa del riesgo.
Diseñada para ayudar a la aplicación satisfactoria deseguridad de la información, la necesidad de identificar la información activos en riesgo , las posibles amenazas o fuentes de amenaza , las potenciales vulnerabilidades y las posibles consecuencias (impactos) si los riesgos se materializan[1].
1. Seguridad de la información
La información en todas sus formas (automatizada o no, formalizada o no, pública o reservada), es uno de losprincipales artefactos de cualquier tipo de organización, necesarios para el normal funcionamiento de los objetivo previstos a alcanzar [2].
Debido a esa importancia, las organizaciones necesitan proteger su información para garantizar que esté disponible cuando se necesite, este tema aparentemente puede ser una tarea fácil de llevar pero la realidad es otra, pues la cantidad de información quepuede manejar una organización puede crecer de manera exponencial, lo que dificulta el trabajo para su protección. [3]
Se entiende por Gestión por gestión de la seguridad de la información el proceso por el cual la organización define, alcanza y mantiene unos niveles apropiados de confiabilidad, integridad, disponibilidad, trazabilidad y autenticidad para la información que necesita operar.[4]2. ASPECTOS PRINCIPALES DEL PROCESO DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION
El proceso de Gestión de la seguridad de la información incluye los siguientes aspectos principales:
* Determinar los objetivos, estrategias y políticas de seguridad de la información.
* Determinar los requerimientos de seguridad de la información.
* Identificar y analizar las amenazas y lasvulnerabilidades de los activos de la información.
* Identificar y analizar los riesgos de seguridad.
* Asegurar la concienciación de todo el personal en materia de seguridad de la información.
* Detectar los posibles incidentes de seguridad y reaccionar ante ellos.
Además de los aspectos que se tienen en cuenta dentro del proceso de gestión de la seguridad de la información, es...
Leer documento completo
Regístrate para leer el documento completo.