ISO 27005

NTC – ISO 27005 ANÁLISIS Y GESTIÓN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN.

En nuestra actualidad Riesgos debe ser una parte fundamental de todas las actividades de gestión de seguridad de la información pues ellos son la principal herramienta para cubrir los requisitos de seguridad, es por ello la importancia de la norma ISO 27005, ya que esta puede ser puesta en funcionamiento en una organización de modo completo o solo una parte de ella, todo esto solo para evaluar el riesgo en cada uno de sus aspectos y de esta manera tomar decisiones pertinentes y oportunas y debe hacerse por medio de pasos: el primero es el Análisis de Riesgos el cual consta de identificación de riesgos y las fases de estimación y tiene por objeto evaluar el nivel de riesgo, el segundo es la Evaluación de Riesgos, en este paso se hace un análisis de riesgos y las fases de evaluación lo cual se utilizan para tomar decisiones y seguido tener en cuenta los objetivos de la organización riesgo, el cual consiste en el tratamiento de riesgos y las fases de aceptación del riesgo esto es para reducir, retener, evitar o transferir los riesgos. Comunicación de Riesgos donde se llega a un acuerdo sobre la forma de gestionar y mitigar los riesgos mediante el intercambio de información entre los que toman decisiones y demás interesados y por ultimo tenemos La Vigilancia del Riesgo y la Revisión: para detectar oportunidades en el ámbito de la organización de modo temprano, y así mantener una visión general y completa del riesgo al que se expone.

La ISO 27005 está diseñada para ayudar en el uso satisfactorio de seguridad de la información, las posibles amenazas o fuentes de amenaza, las potenciales vulnerabilidades y las posibles consecuencias si los riesgos se materializan.

Seguridad de la información

La información en todas sus formas, es uno de los principales motores de cualquier tipo de organización, necesarios para el normal funcionamiento de los objetivos previstos a alcanzar.

Dada esta gran importancia, las organizaciones necesitan proteger su información para garantizar que esté disponible cuando se necesite, y aunque a la perspectiva de muchos se visualice como una tarea sencilla la verdad es otra, puesto que la cantidad de información que puede manejar una organización puede ser demasiado grande, lo que dificulta el trabajo para su protección.

Se entiende por gestión de la seguridad de la información el proceso mediante el cual la organización define, alcanza y mantiene unos niveles apropiados de confiabilidad, integridad, disponibilidad, trazabilidad y autenticidad para la información que necesita manejar.

También es preciso dar a conocer los aspectos principales del proceso de gestión de la seguridad de la información mencionando los siguientes:

• Determinar los objetivos, estrategias y políticas de seguridad de la información.

• Determinar los requerimientos de seguridad de la información.

• Identificar y analizar las amenazas y las vulnerabilidades de los activos de la información.

• Identificar y analizar los riesgos de seguridad.

• Asegurar la concientización de todo el personal en materia de seguridad de la información.

• Detectar los posibles incidentes de seguridad y reaccionar ante ellos.

Aparte de los aspectos que se tienen en cuenta dentro del proceso de gestión de la seguridad de la información, es de suma importancia tener en cuenta algunos datos relevantes sobre la complejidad que puede alcanzar el proceso de gestión de la seguridad de la información en las organizaciones y tenemos:

• Incremento de los incidentes provocados por personal de la organización.

• Una cantidad significativa de pérdidas que se debe a debilidades tecnológicas, como el robo o la perdida de soportes de información o el abuso de privilegios por parte de usuarios de sistemas de información.

• Ataques con motivación cien por ciento económica.

En lo dicho anteriormente en los últimos tiempos, la disciplina de seguridad de la información ha experimentado un rápido desarrollo, impulsada por la necesidad de formalizar

...