Embed Size (px)
DESCRIPTION
Investigación ISO 27005
Citation preview
99
“ISO 27005”
“Gestión de riesgos de seguridad de la Información”
Contenido
1. INTRODUCCION..........................................................................................................................2
2. JUSTIFICACION...........................................................................................................................2
3. MARCO TEORICO........................................................................................................................3
4. ESTADO DEL ARTE......................................................................................................................3
5. OBJETIVOS..................................................................................................................................4
5.1. OBJETIVO GENERAL............................................................................................................4
5.2. OBJETIVO ESPECIFICO.........................................................................................................5
6. MATERIALES Y METODOS...........................................................................................................5
7. DESARALLO DEL PROYECTO........................................................................................................5
7.1. Gestión de Riesgos en Tecnologías de la Información........................................................5
7.2. Identificación de riegos......................................................................................................5
7.2.1. Ejemplos de Riesgos en IT...........................................................................................6
7.3. Evaluación de riesgos.........................................................................................................6
7.4. Análisis de Riesgo...............................................................................................................9
7.5. Escenarios de riesgo.........................................................................................................10
7.6. Respuesta a los Riesgos....................................................................................................10
7.7. Norma ISO 27000.............................................................................................................11
7.8. Norma ISO/IEC 27005.......................................................................................................11
8. CONCLUSIONES........................................................................................................................12
9. BIBLIOGRAFIA...........................................................................................................................12
99
“ISO 27005”
“Gestión de riesgos de seguridad de la Información”
1. INTRODUCCION
Esta norma contiene recomendaciones y directrices generales para la gestión de
riesgos en sistemas de seguridad de la Información. Es compatible con los
conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada
como soporte para aplicar satisfactoriamente un SGSI basado en un enfoque de
gestión de riesgos.
La norma ISO/IEC 27005 reemplaza a la norma anterior, ISO13335-2 "Gestión de
seguridad de la información y la tecnología de las comunicaciones". La norma fue
publicada por primera vez en junio de 2008, aunque hay una nueva versión
mejorada en el 2011.
El riesgo se define como una amenaza que explota la vulnerabilidad de un activo
pudiendo causar daños. El RIESGO IT está relacionado con el uso, propiedad,
operación, distribución y la adopción de las tecnologías de la Información en una
organización. Aunque no existe un método concreto de cómo gestionar riesgos, se
recomienda usar un proceso estructurado, sistemático y riguroso de análisis de
riesgos para la creación del plan de tratamiento de riesgos.
Los indicadores de riesgo muestran si la organización está sujeta o tiene una alta
probabilidad de ser sometida a un riesgo que excede el riesgo permitido.
2. JUSTIFICACION
Para la adecuada gestión de la seguridad de la información, es necesario
implantar un sistema que aborde esta tarea de una forma metódica, documentada
99
“ISO 27005”
“Gestión de riesgos de seguridad de la Información”
y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a
los que está sometida la información de la organización.
3. MARCO TEORICO
ISO / IEC 27005:2011 proporciona directrices para la gestión de riesgos de
seguridad de información.
Es compatible con los conceptos generales especificados en ISO / IEC 27001 y
está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la
información basada en un enfoque de gestión de riesgos.
El conocimiento de los conceptos, modelos, procesos y terminologías descritas en
ISO / IEC 27001 e ISO / IEC 27002 es importante para una comprensión completa
de la norma ISO / IEC 27005:2011.
ISO / IEC 27005:2011 es aplicable a todo tipo de organizaciones (por ejemplo,
empresas comerciales, agencias gubernamentales, organizaciones sin fines de
lucro), que tienen la intención de gestionar los riesgos que podrían comprometer la
seguridad de la información de la organización.
4. ESTADO DEL ARTE
Esta norma que es la ISO 27005 trata sobre la gestión de riesgos en seguridad de
la información, para comenzar La seguridad absoluta no existe, pero esta norma lo
que trata es de reducir los riesgos a niveles asumibles con una serie de proceso,
es una actividad continua y requiere de soporte de la organización para tener
éxito. Y lo hace proporcionando recomendaciones y lineamientos de métodos y
técnicas de evaluación de riesgos de Seguridad en la Información, en soporte del
proceso de gestión de riesgos de la norma ISO 27001.
99
“ISO 27005”
“Gestión de riesgos de seguridad de la Información”
Las personas que han llegado a escuchar de la norma ISO alguna vez, y
normalmente lo han relacionados con la palabra “calidad”. La gestión de la calidad
es un conjunto de acciones, planificadas y sistemáticas, necesarias para dar la
confianza adecuada de que un producto o servicio va a satisfacer los requisitos de
calidad. En base a la aprobación, por un organismo reconocido, de ese conjunto
de acciones y otras reglas y directrices de uso común y repetido, se crean las
normas de calidad. La principal organización internacional emisora de normas de
calidad es ISO (Organización Internacional de Estándares) y la más escuchada es
la 9001, pero ya habiendo relacionado todo esto, nace la necesidad de desarrollar
un sistema para la protección de la información, una materia prima muy importante
en todas las empresas, por eso se desarrollo la ISO 27005. Todo esto apunta a la
calidad en el manejo de la información, más específicamente a la seguridad de la
información. Son un conjunto de mejores prácticas recomendadas para
desarrollar, implementar y mantener especificaciones para los Sistemas de
Gestión de la Seguridad de la Información (SGSI). Dentro de la serie ISO 27000,
la norma ISO 27005 que es la única norma certificable, y define los requerimientos
para establecer, implementar y documentar una gestión efectiva de la seguridad
de la información.
La norma ISO 27005 proporciona directrices para la gestión de riesgos de
seguridad de la información.
5. OBJETIVOS.
5.1. OBJETIVO GENERALDescribir la importación de la norma 27005 en la Gestión de riesgos de
seguridad de la Información.
99
“ISO 27005”
“Gestión de riesgos de seguridad de la Información”
5.2. OBJETIVO ESPECIFICO
Especificar la norma ISO 27005.
6. MATERIALES Y METODOS.
Microsoft Word.
Internet.
Microsoft PowerPoint.
7. DESARALLO DEL PROYECTO
7.1. Gestión de Riesgos en Tecnologías de la Información
Gestión del Riesgo es una actividad recurrente que se refiere al análisis,
planificación, ejecución, control y seguimiento de las medidas implementadas y la
política de seguridad impuesta.
La actualización de establecimiento, mantenimiento y continua mejora de un SGSI
ofrecen una clara indicación de que una empresa está utilizando un enfoque
sistemático para la identificación, evaluación y gestión de riesgos de seguridad de
la información.
7.2. Identificación de riegos
Un evento solo es un riesgo si existe un grado de incertidumbre asociado con él,
por ejemplo: El valor de un activo puede cambiar su valor durante la ejecución de
un proyecto, por experiencia esto es cierto, pero ¿cuánto puede cambiar? no lo
99
“ISO 27005”
“Gestión de riesgos de seguridad de la Información”
sabemos, por lo tanto es un riesgo que debemos evitar en un proyecto pequeño.
Por lo tanto debemos estar seguros de identificar el riesgo en realidad y no sus
causas o efectos.
Si consideramos otro ejemplo, debemos instalar una determinada aplicación de
software en varias sucursales de una empresa, pero no todas las oficinas poseen
la misma capacidad de almacenamiento o las últimas actualizaciones de sistemas
operativos.
¿Es un riesgo la instalación? No, es un requerimiento.
¿Es un riesgo de que alguna sucursal termine sin usar la aplicación? No,
este es un efecto en este proyecto, sin embargo puede ser un riesgo futuro
que la sucursal no tenga la aplicación.
¿Es un riesgo que la aplicación no se pueda instalar por algún motivo? Si,
es incierto, solo lo sabremos cuando lo intentemos.
7.2.1. Ejemplos de Riesgos en IT
Correr aplicaciones en condiciones vulnerables.
Sistemas operativos, vulnerables y sin actualizaciones.
Diseñar aplicaciones inapropiadas, incompletas, con bugs y errores
recurrentes.
Tecnologías obsoletas.
Mal rendimiento de la infraestructura IT.
99
“ISO 27005”
“Gestión de riesgos de seguridad de la Información”
7.3. Evaluación de riesgos
Es necesario establecer un vínculo entre los escenarios de riesgos IT y el impacto
empresarial que estos generarían, para así comprender el efecto de los eventos
adversos que se pueden desencadenar.
La evaluación de riesgos se ejecuta en los puntos discretos de tiempo (por
ejemplo una vez al año, en la demanda, etc.) y - hasta que el rendimiento de la
próxima evaluación - proporciona una visión temporal de los riesgos evaluados.
La evaluación de riesgos se realiza a menudo en más de una iteración, la primera
es una evaluación de alto nivel para identificar los riesgos altos, mientras que las
iteraciones posteriores detallan en el análisis de los riesgos principales y
tolerables. Varios factores ayudan a seleccionar eventos con cierto grado de
riesgo:
Probabilidad.
Consecuencias.
Ocurrencia.
Urgencia.
Maleabilidad.
Dependencia.
Proximidad.
Adicionalmente la evaluación de riesgos requiere los siguientes puntos:
1. Un estudio de vulnerabilidades, amenazas, probabilidad, pérdidas o
impacto, y la supuesta eficiencia de las medidas de seguridad. Los
99
“ISO 27005”
“Gestión de riesgos de seguridad de la Información”
directivos de la organización utilizan los resultados de la evaluación del
riesgo para desarrollar los requisitos de seguridad y sus especificaciones.
2. El proceso de evaluación de amenazas y vulnerabilidades, conocidas y
postuladas para estimar el efecto producido en caso de pérdidas y
establecer el grado de aceptación y aplicabilidad en las operaciones del
negocio.
3. Identificación de los activos y facilidades que pueden ser afectados por
amenazas y vulnerabilidades.
4. Análisis de los activos del sistema y las vulnerabilidades para establecer un
estimado de pérdida esperada en caso de que ocurran ciertos eventos y las
probabilidades estimadas de la ocurrencia de estos. El propósito de una
evaluación del riesgo es determinar si las contramedidas son adecuadas
para reducir la probabilidad de la pérdida o el impacto de la pérdida a un
nivel aceptable.
5. Una herramienta de gestión que proporcione un enfoque sistemático que
determine el valor relativo de:
La sensibilidad al instalar activos informáticos
La evaluación de vulnerabilidades
La evaluación de la expectativa de pérdidas
La percepción de los niveles de exposición al riesgo
La evaluación de las características de protección existentes
Las alternativas adicionales de protección
La aceptación de riesgos
99
“ISO 27005”
“Gestión de riesgos de seguridad de la Información”
La documentación de las decisiones de gestión.
Decisiones para la implementación de las funciones de protección adicionales se
basan normalmente en la existencia de una relación razonable entre
costo/beneficio de las salvaguardia y la sensibilidad / valor de los bienes que
deben protegerse.
Las evaluaciones de riesgos pueden variar de una revisión informal de una
instalación a escala microprocesador pequeño para un análisis más formal y
plenamente documentado (por ejemplo, análisis de riesgo) de una instalación a
escala de ordenadores. Metodologías de evaluación de riesgos pueden variar
desde los enfoques cualitativos o cuantitativos a cualquier combinación de estos
dos enfoques.
7.4. Análisis de Riesgo
Este es el paso principal en el marco de la norma ISO/IEC 27005. La mayor parte
de las actividades primarias se prevé que el primer proceso de evaluación de
riesgos. Este paso implica la adquisición de toda la información pertinente sobre la
organización y la determinación de los criterios básicos, finalidad, alcance, límites
y organización de las actividades de gestión de riesgos. El objetivo es por lo
general el cumplimiento de los requisitos legales y proporcionar la prueba de la
debida diligencia el apoyo de un SGSI que puede ser certificado. El alcance puede
ser un plan de notificación de incidentes, un plan de continuidad del negocio.
99
“ISO 27005”
“Gestión de riesgos de seguridad de la Información”
Los criterios incluyen la evaluación del riesgo, aceptación de riesgos y criterios de
evaluación de impacto. Estos están condicionados por:
Requisitos legales y reglamentarios.
El valor estratégico para el negocio de los procesos de información.
Expectativas de los interesados.
Consecuencias negativas para la reputación de la organización.
Establecer el alcance y los límites, la organización debería ser estudiado: su
misión, sus valores, su estructura y su estrategia, sus lugares y el medio ambiente
cultural. Las limitaciones (presupuestarias, culturales, políticos, técnicos) de la
organización deben ser recogidas y documentados como guía para los pasos a
seguir.
7.5. Escenarios de riesgo
Escenarios de riesgo es el corazón del proceso de evaluación de riesgos. Los
escenarios pueden derivarse de dos maneras diferentes y complementarias:
Enfoque de arriba hacia abajo de los objetivos generales de la empresa
a los escenarios de riesgo más probable es que puede tener un
impacto.
Enfoque de abajo hacia arriba, donde se aplica una lista de escenarios
de riesgo genéricos a la situación
99
“ISO 27005”
“Gestión de riesgos de seguridad de la Información”
Cada uno de los escenarios de riesgo se analiza para determinar la frecuencia y el
impacto, sobre la base de los factores de riesgo.
7.6. Respuesta a los Riesgos
El propósito de definir una respuesta al riesgo es llevar el riesgo en nivel que se
pueda tolerar. es decir, el riesgo residual debe ser dentro de los límites de
tolerancia al riesgo. El riesgo puede ser manejado de acuerdo cuatro estrategia
principales (o una combinación de ellos):
Evitar el riesgo aislando las actividades que dan lugar al riesgo.
Mitigar el riesgo adoptando medidas que detectan y reducen el impacto del
riesgo.
Transferir riesgos a otras áreas menos susceptibles o a otras entidades con
más experiencia (outsourcing).
Aceptar riesgos que se corren deliberadamente y que no se pueden evitar,
sin embargo es necesario identificarlos, documentarlos y medirlos.
7.7. Norma ISO 27000.
Es una familia de Estándares Internacionales para Sistemas de Gestión de la
seguridad de la Información SGSI que proporcionan un marco de gestión de la
seguridad de la información.
Se describen a continuación brevemente el alcance de cada uno:
ISO 27000 = Fundamentos.
99
“ISO 27005”
“Gestión de riesgos de seguridad de la Información”
ISO 27001 = Especificaciones de un SGSI (Certificable).
ISO 27002 = Código de buenas prácticas.
ISO 27003 = Guía de implantación.
ISO 27004 = Métricas e Indicadores.
ISO 27005 = Guía para el Análisis y Gestión del Riesgo.
ISO 27006 = Especificaciones para organismos certificadores.
ISO 27007 = Guía de requisitos para entidades auditoría y certificación
7.8. Norma ISO/IEC 27005
Trata la gestión de riesgos en seguridad de la información. Es la que proporciona
recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos
de Seguridad en la Información, en soporte del proceso de gestión de riesgos.
8. CONCLUSIONES
Llegamos a la conclusión de que la norma ISO / IEC 27005 proporciona directrices
para la gestión de riesgos de seguridad de información y está diseñada para
ayudar a la aplicación satisfactoria de la seguridad de la información basada en un
enfoque de gestión de riesgos.
9. BIBLIOGRAFIA
Paginas de Consulta:
1. ISO/IEC 27005 Gestión de riesgos de seguridad de la información
http://segweb.blogspot.com/2012/04/27005.html
99
“ISO 27005”
“Gestión de riesgos de seguridad de la Información”
2. ISO/IEC 27005:2011 Tecnología de la información - Técnicas de seguridad - Información de gestión de riesgos de seguridad
http://translate.googleusercontent.com/translate_c?depth=1&hl=es&prev=/search%3Fq%3Diso%2B27005%26biw%3D1366%26bih%3D638&rurl=translate.google.com&sl=en&u=http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm%3Fcsnumber%3D56742&usg=ALkJrhi2Ltcl8OASxy7qloU0PBJVX6V2gA
3. Club de Ensayos
http://clubensayos.com/Tecnolog%C3%ADa/%C2%BFPor-Qu%C3%A9-Est%C3%A1n-Importante-La/1034886.html
4. Buenas tareas
http://www.buenastareas.com/ensayos/Serie-Iso-Iec-27000/38972290.html
