Norma NTC-ISO 27005
INTRODUCCIÓN
Esta norma proporciona directrices para la gestión del riesgo en la seguridad de la información en una organización, dando soporte particular a los requisitos de un sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma ISO/IEC 27001. Sin embargo, esta norma no brinda ninguna metodología específica para la gestión del riesgo en la seguridad de la información. Corresponde a la organización definir su enfoque para la gestión del riesgo, dependiendo por ejemplo del alcance de su SGSI, del contexto de la gestión del riesgo o del sector industrial. Se puede utilizar una variedad de metodologías existentes bajo la estructura descrita en esta norma para implementar los requisitos de un sistema de gestión de seguridad de la información. Esta norma es pertinente para los directores y el personal involucrado en la gestión del riesgo en la seguridad de la información dentro de una organización y, cuando corresponda, para las partes externas que dan soporte a dichas actividades.
1. OBJETO Y CAMPO DE APLICACIÓN Esta norma suministra directrices para la gestión del riesgo en la seguridad de la información. Esta norma brinda soporte a los conceptos generales que se especifican en la norma ISO/IEC 27001 y está diseñada para facilitar la implementación satisfactoria de la seguridad de la información con base en el enfoque de gestión del riesgo. El conocimiento de los conceptos, modelos, procesos y terminologías que se describen en la norma ISO/IEC 27001 y en ISO/IEC 27002 es importante para la total comprensión de esta norma. Esta norma se aplica a todos los tipos de organizaciones (por ejemplo empresas comerciales, agencias del gobierno, organizaciones sin ánimo de lucro) que pretenden gestionar los riesgos que podrían comprometer la seguridad de la información de la organización.
2. REFERENCIAS NORMATIVAS Los siguientes documentos de referencia son indispensables para la aplicación de esta norma. Para referencias con fecha, únicamente se aplica la edición citada. Para referencias sin fecha, se aplica en la edición más reciente del documento mencionado (incluyendo todas las enmiendas). ISO/IEC 27001:2005, Information Technology. Security Techniques. Information Security Management Systems. Requirements. ISO/IEC 27002:2005, Information Technology. Security Techniques. Code of Practice for Information Security Management.
3. TÉRMINOS Y DEFINICIONES Para los propósitos de este documento, se aplican los términos y definiciones de las normas ISO/IEC 27001 e ISO/IEC 27002 y las siguientes:
3.1 Impacto. Cambio adverso en el nivel de los objetivos del negocio logrados.
3.2 Riesgo en la seguridad de la información. Potencial de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando así daño a la organización. NOTA Se mide en términos de una combinación de la probabilidad de que suceda un evento y sus consecuencias.
3.3 Evitación del riesgo. Decisión de no involucrarse en una situación de riesgo o tomar acción para retirarse de dicha situación. [ISO/IEC Guía 73:2002]
3.4 Comunicación del riesgo. Intercambiar o compartir la información acerca del riesgo entre la persona que toma la decisión y otras partes interesadas. [ISO/IEC Guía 73:2002]
3.5 Estimación del riesgo. Proceso para asignar valores a la probabilidad y las consecuencias de un riesgo. [ISO/IEC Guía 73:2002] NOTA 1 En el contexto de esta norma, el término "actividad" se utiliza en lugar del término "proceso" para la estimación del riesgo. NOTA 2 En el contexto de esta norma, el término "posibilidad" se utiliza en lugar del término "probabilidad" para la estimación del riesgo.
3.6 Identificación del riesgo. Proceso para encontrar, enumerar y caracterizar los elementos de riesgo. [ISO/IEC Guía 73:2002] NOTA En el contexto de esta norma, el término "actividad" se utiliza en lugar del término "proceso" para la identificación del riesgo.
3.7 Reducción del riesgo. Acciones que se toman para disminuir la probabilidad las consecuencias negativas, o ambas, asociadas con un riesgo. [ISO/IEC Guía 73:2002] NOTA En el contexto de esta norma, el término "posibilidad" se utiliza en lugar del término "probabilidad" para la reducción del riesgo.
3.8 Retención del riesgo. Aceptación de la pérdida o ganancia proveniente de un riesgo particular.
3.9 Transferencia del riesgo. Compartir con otra de las partes la pérdida o la ganancia de un riesgo. [ISO/IEC Guía 73:2002] NOTA En el contexto de los riesgos en la seguridad de la información, únicamente se consideran las consecuencias negativas (pérdidas) para la transferencia del riesgo.
4. ESTRUCTURA DE ESTA NORMA
Esta norma contiene la descripción de los procesos para la gestión del riesgo en la seguridad de la información y sus actividades La información general se proporciona en el numeral 5. En el numeral 6 se suministra una visión general de los procesos de gestión del riesgo en la seguridad de la información. Todas las actividades para la gestión del riesgo en la seguridad en la información se presentan en el numeral 6 y se describen posteriormente en los siguientes numerales:
- establecimiento del contexto, en el numeral 7;
- evaluación del riesgo, en el numeral 8;
- tratamiento del riesgo, en el numeral 9;
- aceptación del riesgo, en el numeral 10;
- comunicación del riesgo, en el numeral 11;
- monitoreo y revisión del riesgo, en el numeral 12.
En los anexos se presenta la información adicional para las actividades de la gestión del riesgo en la seguridad de la información. El establecimiento del contexto está sustentado por el Anexo A (que define el alcance y los límites del proceso de gestión del riesgo en la seguridad de la información). La identificación y evaluación de los activos y las evaluaciones del impacto se discuten en el Anexo B (ejemplos para activos), Anexo C (ejemplos de amenazas comunes) y Anexo D (ejemplos de vulnerabilidades comunes). Los ejemplos de los enfoques para la evaluación del riesgo en la seguridad de la información se presentan en el Anexo E.
En el Anexo F se presentan las restricciones para la reducción del riesgo.
Todas las actividades para la gestión del riesgo que se presentan en los numerales 7 al 12 están estructuradas de la siguiente manera: Entrada: identifica toda la información que se requiere para realizar la actividad.
Acciones: describe la actividad.
Guía de implementación: proporciona guías para llevar a cabo la acción. Algunas de ellas pueden no ser adecuadas en todos los casos y por ende otras formas de ejecutar la acción pueden ser más adecuadas.
Salida: identifica toda la información derivada después de realizar la actividad.
5. INFORMACIÓN GENERAL
Es necesario un enfoque sistemático para la gestión del riesgo en la seguridad de la información para identificar las necesidades de la organización con respecto a los requisitos de seguridad de la información y para crear un sistema de gestión de la seguridad de la información (SGSI) eficaz. Este enfoque debería ser adecuado para el entorno de la organización y, en particular, debería cumplir los lineamientos de toda la gestión del riesgo en la empresa. Los esfuerzos de seguridad deberían abordar los riesgos de una manera eficaz y oportuna donde y cuando sean necesarios. La gestión del riesgo en la seguridad de la información debería ser una parte integral de todas las actividades de gestión de seguridad de la información y se deberían aplicar tanto a la implementación como al funcionamiento continuo de un SGSI. La gestión del riesgo en la seguridad de la información debería ser un proceso continuo. Tal proceso debería establecer el contexto, evaluar los riesgos, tratar los riesgos utilizando un plan de tratamiento para implementar las recomendaciones y decisiones. La gestión del riesgo analiza lo que puede suceder y cuáles pueden ser las posibles consecuencias, antes de decidir lo que se debería hacer y cuando hacerlo, con el fin de reducir el riesgo hasta un nivel aceptable. La gestión del riesgo en la seguridad de la información debería contribuir a:
- la identificación de los riesgos;
- La evaluación de los riesgos en términos de sus consecuencias para el negocio y la probabilidad de su ocurrencia;
- La comunicación y entendimiento de la probabilidad y las consecuencias de estos riesgos ;
- El establecimiento del orden de prioridad para el tratamiento de los riesgos;
- La priorización de las acciones para reducir la ocurrencia de los riesgos;
- La participación de los interesados cuando se toman las decisiones sobre gestión del riesgo y mantenerlos informados sobre el estado de la gestión del riesgo;
- La eficacia del monitoreo del tratamiento del riesgo;
- El monitoreo y revisión con regularidad del riesgo y los procesos de gestión de riesgos;
- La captura de información para mejorar el enfoque de la gestión de riesgos;
- La educación de los directores y del personal acerca de los riesgos y las acciones que se toman para mitigarlos.
El proceso de gestión del riesgo en la seguridad de la información se puede aplicar a la organización en su totalidad, a una parte separada de la organización (por ejemplo, un departamento, una ubicación física, un servicio), a cualquier sistema de información, existente o planificado, o a aspectos particulares del control (por ejemplo, la planificación de la continuidad del negocio).
6. VISIÓN GENERAL DEL PROCESO DE GESTIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN
El proceso de gestión del riesgo en la seguridad de la información consta del establecimiento del contexto , evaluación del riesgo , tratamiento del riesgo, aceptación del riesgo, comunicación del riesgo y monitoreo y revisión del riesgo
Comentarios
Publicar un comentario