ISO_27005
Páginas: 13 (3044 palabras)
Publicado: 6 de febrero de 2016
Implementación ISO/IEC 27005. Gestión de riesgos de la Seguridad la Información
ISO 27005 es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la informacióndefinidos en ISO 27001.
ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización. No recomienda una metodología concreta, dependerá de una serie de factores, como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria.
Losusuarios elijen el método que mejor se adapte para, por ejemplo, una evaluación de riesgos de alto nivel seguido de un análisis de riesgos en profundidad sobre las zonas de alto riesgo. La norma incorpora algunos elementos iterativos, por ejemplo si los resultados de la evaluación no son satisfactorios.
ISO 27005 sustituyó a la Gestión de la Información y Comunicaciones Tecnología de Seguridad, lanorma ISO / IEC TR 13335-3:1998 y la norma ISO / IEC TR 13335-4:2000. Las secciones de contenido son:
1. Prefacio.
2. Introducción.
3. Referencias normativas.
4. Términos y definiciones.
5. Estructura.
6. Fondo.
7. Descripción del proceso de ISRM.
8. Establecimiento Contexto.
9. Información sobre la evaluación de riesgos de seguridad (ISRA).
10. Tratamiento de Riesgos Seguridad de la Información.11. Admisión de Riesgos Seguridad de la información.
12. Comunicación de riesgos de seguridad de información.
13. Información de seguridad Seguimiento de Riesgos y Revisión.
14. Anexo A: Definición del alcance del proceso.
15. Anexo B: Valoración de activos y evaluación de impacto.
16. Anexo C: Ejemplos de amenazas típicas.
17. Anexo D: Las vulnerabilidades y métodos de evaluación de lavulnerabilidad.
18. Enfoques ISRA: Anexo E.
Se trata de un estándar que cuenta con una parte principal concentrada en 24 páginas, también cuenta con anexos en los que se incluye ejemplos y más información de interés para los usuarios. En estos anexos podemos encontrar tabulados amenazas, vulnerabilidades e impactos, lo que puede resultar útil para abordar los riesgos relacionados con los activos de lainformación en evaluación.
La Plataforma Tecnológica ISOTools da cumplimiento a las directrices de la gestión del riesgo de la información, siendo una herramienta de fácil uso y amigable.
Para llevar a cabo la gestión de riesgo bajo la norma ISO 27005:2008 se debe realizar los siguientes pasos:
Metodología para gestión de riesgo tecnológico
La metodología diseñada trabaja sobre procesos teniendo encuenta que esto facilita el entendimiento sobre el funcionamiento de la organización y la definición de interacciones para la identificación de activos y riesgos asociados. Además, el analizar procesos permite obtener una visión global de la organización y con ello el apoyo requerido por parte de la alta gerencia al mostrar la necesidad de proteger y gestionar procesos críticos de laorganización.
El trabajo sobre procesos no se debe entender como un trabajo aislado puesto que esta visión tiene en cuenta el factor humano que se encarga de su ejecución y desarrollo y toda la infraestructura que se requiere para su funcionamiento, lo anterior enmarcado dentro de los objetivos y estrategias organizacionales (ver Figura 1). De igual forma dentro del análisis de procesos se tienen en cuenta lasactividades críticas que sustentan estos y a su vez sustentan la cadena de valor que permite ofrecer los productos y servicios de la organización.
Esta metodología al tratar los lineamientos de la gestión de riesgos bajo el esquema presentado de organización integral, permite su inclusión en la gestión de continuidad de negocios como fase de apoyo, en lo respectivo a la identificación de...
ISO 27005 es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la informacióndefinidos en ISO 27001.
ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización. No recomienda una metodología concreta, dependerá de una serie de factores, como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria.
Losusuarios elijen el método que mejor se adapte para, por ejemplo, una evaluación de riesgos de alto nivel seguido de un análisis de riesgos en profundidad sobre las zonas de alto riesgo. La norma incorpora algunos elementos iterativos, por ejemplo si los resultados de la evaluación no son satisfactorios.
ISO 27005 sustituyó a la Gestión de la Información y Comunicaciones Tecnología de Seguridad, lanorma ISO / IEC TR 13335-3:1998 y la norma ISO / IEC TR 13335-4:2000. Las secciones de contenido son:
1. Prefacio.
2. Introducción.
3. Referencias normativas.
4. Términos y definiciones.
5. Estructura.
6. Fondo.
7. Descripción del proceso de ISRM.
8. Establecimiento Contexto.
9. Información sobre la evaluación de riesgos de seguridad (ISRA).
10. Tratamiento de Riesgos Seguridad de la Información.11. Admisión de Riesgos Seguridad de la información.
12. Comunicación de riesgos de seguridad de información.
13. Información de seguridad Seguimiento de Riesgos y Revisión.
14. Anexo A: Definición del alcance del proceso.
15. Anexo B: Valoración de activos y evaluación de impacto.
16. Anexo C: Ejemplos de amenazas típicas.
17. Anexo D: Las vulnerabilidades y métodos de evaluación de lavulnerabilidad.
18. Enfoques ISRA: Anexo E.
Se trata de un estándar que cuenta con una parte principal concentrada en 24 páginas, también cuenta con anexos en los que se incluye ejemplos y más información de interés para los usuarios. En estos anexos podemos encontrar tabulados amenazas, vulnerabilidades e impactos, lo que puede resultar útil para abordar los riesgos relacionados con los activos de lainformación en evaluación.
La Plataforma Tecnológica ISOTools da cumplimiento a las directrices de la gestión del riesgo de la información, siendo una herramienta de fácil uso y amigable.
Para llevar a cabo la gestión de riesgo bajo la norma ISO 27005:2008 se debe realizar los siguientes pasos:
Metodología para gestión de riesgo tecnológico
La metodología diseñada trabaja sobre procesos teniendo encuenta que esto facilita el entendimiento sobre el funcionamiento de la organización y la definición de interacciones para la identificación de activos y riesgos asociados. Además, el analizar procesos permite obtener una visión global de la organización y con ello el apoyo requerido por parte de la alta gerencia al mostrar la necesidad de proteger y gestionar procesos críticos de laorganización.
El trabajo sobre procesos no se debe entender como un trabajo aislado puesto que esta visión tiene en cuenta el factor humano que se encarga de su ejecución y desarrollo y toda la infraestructura que se requiere para su funcionamiento, lo anterior enmarcado dentro de los objetivos y estrategias organizacionales (ver Figura 1). De igual forma dentro del análisis de procesos se tienen en cuenta lasactividades críticas que sustentan estos y a su vez sustentan la cadena de valor que permite ofrecer los productos y servicios de la organización.
Esta metodología al tratar los lineamientos de la gestión de riesgos bajo el esquema presentado de organización integral, permite su inclusión en la gestión de continuidad de negocios como fase de apoyo, en lo respectivo a la identificación de...
Leer documento completo
Regístrate para leer el documento completo.