ISO/IEC 27005

ISO/IEC 27005

ISO / IEC 27005 (Gestión de Riesgos de Seguridad de la Información) fue publicada el 4 de Junio de 2008. Establece las directrices para la gestión del riesgo en la seguridad de la información; reemplaza a la norma anterior, ISO 13335-2 "Gestión de seguridad de la información y la tecnología de las comunicaciones". La ISO/IEC 27005 apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos.

El conocimiento de los conceptos, modelos, procesos y términos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo entendimiento de la norma ISO/IEC 27005 de 2008, que es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que tienen la intención de gestionar los riesgos que puedan comprometer la organización de la seguridad de la información.

En la ISO/IEC 27005 de 2011 el asesoramiento y la orientación proporcionada en la Norma ISO/IEC 27005 es aplicable a todas las organizaciones, independientemente de su tamaño o tipo. Ya sea que su organización está en la privada, sin fines de lucro, de carácter público o, es una pequeña, mediana o gran empresa, el asesoramiento y orientación sobre la gestión de riesgos en ISO2 7005 es aplicable.

A. ¿Qué hay de nuevo en ISO 27005?

La nueva norma ISO/IEC 27005 2011 es un estándar mucho mejor de lo que era la versión 2008.

• Primero, es un estándar mejor escrito, más coherente.

• Segundo, está alineado con la norma ISO 31000 de gestión de riesgos, lo que hace que sea más fácil integrar la gestión de riesgos de la empresa acerca de la gestión de riesgos de seguridad de la información.

• Tercero, proporciona una buena orientación, práctica en la ejecución de la evaluación prevista en el ISO 27001, junto con una guía clara sobre escalas de riesgo.

• Cuarto, tiene buena orientación sobre amenazas, vulnerabilidades, probabilidades e impactos.

B. Contenido y beneficios de la ISO27005

• ISO / IEC 27005 proporciona directrices para la gestión de riesgos de seguridad de información que permitan una gestión eficaz de los riesgos de seguridad de la información dentro de su organización.

• La norma está totalmente alineada con la norma internacional para la gestión de riesgos, ISO 31000.

• El uso de los dos juntos se puede mejorar la forma en riesgos dentro de su organización se gestionan con eficacia.

• la ISO 27005 utiliza los conceptos comunes en ISO 27001 y ISO 27002.

• El uso de este estándar con los otros miembros de la familia 27000 ISO/IEC proporcionará un marco eficaz para la gestión de seguridad de la información.

C. El riesgo.

Se define como una amenaza que explota la vulnerabilidad de un activo pudiendo causar daños. El riesgo IT está relacionado con el uso, propiedad, operación, distribución y la adopción de las tecnologías de la Información en una organización. Aunque no existe un método concreto de cómo gestionar riesgos, se recomienda usar un proceso estructurado, sistemático y riguroso de análisis de riesgos para la creación del plan de tratamiento de riesgos.

Los indicadores de riesgo muestran si la organización está sujeta o tiene una alta probabilidad de ser sometida a un riesgo que excede el riesgo permitido.

a. Gestión de Riesgos en Tecnologías de la Información

Gestión del Riesgo es una actividad recurrente que se refiere al análisis, planificación, ejecución, control y seguimiento de las medidas implementadas y la política de seguridad impuesta.

La actualización de establecimiento, mantenimiento y continua mejora de un SGSI (sistema de gestión de la seguridad de la información) ofrecen una clara indicación de que una empresa está utilizando un enfoque sistemático para la identificación, evaluación y gestión de riesgos de seguridad de la información.

b. Identificación de riegos

Un evento solo es un riesgo si existe un grado de incertidumbre asociado con él, por ejemplo: El valor de un activo puede cambiar su valor durante la ejecución de un proyecto, por experiencia esto es cierto, pero ¿cuanto puede cambiar? no lo sabemos, por lo tanto es un riesgo que debemos evitar en un proyecto pequeño. Por lo tanto debemos estar seguros de identificar el riesgo en realidad y no sus causas o efectos.

Si consideramos otro ejemplo, debemos instalar una determinada aplicación de software en varias sucursales de una empresa, pero no todas las oficinas poseen la misma capacidad de almacenamiento o las ultimas actualizaciones de sistemas operativos.

o ¿Es un riesgo la instalación? No, es un requerimiento

o ¿Es un riesgo de que alguna sucursal termine sin usar la aplicación? No, este es un efecto en este proyecto, sin embargo puede ser un riesgo futuro que la sucursal no tenga la aplicación.

o ¿Es un riesgo que la aplicación no se pueda instalar por algún motivo? Si, es incierto, solo lo sabremos cuando lo intentemos

c. Ejemplos de Riesgos en IT

o Correr aplicaciones en condiciones vulnerables

o Sistemas operativos, vulnerables y sin actualizaciones

o Diseñar aplicaciones inapropiadas, incompletas, con bugs y errores recurrentes

o Tecnologías obsoletas

o Mal rendimiento de la infraestructura IT

d. Evaluación del riesgos

Es necesario establecer un vínculo entre los escenarios de riesgos IT y el impacto empresarial que estos generarían, para así comprender el efecto de los eventos adversos que se pueden desencadenar.

La evaluación de riesgos se ejecuta en los puntos discretos de tiempo (por ejemplo una vez al año,

...