Azua Tejerina Gloria Karina Caba Aldana Cinthia Fajardo Sullca Ivn Llanos Martnez Mnica Ontiveros Subelza Carlos Ariel Tomas Nicaso Jess Vzquez Carlos Neiber Introduccin
La Norma 27005 contiene recomendaciones y directrices
generales para la gestin de riesgos en sistemas de seguridad de la Informacin; esta basada en la ISO/IEC 27005 Est diseada como soporte para aplicar satisfactoriamente un SGSI basado en un enfoque de gestin de riesgos. Los riesgos hoy en da se encuentran inmensos en todas las actividades de la organizacin. Es as que encontramos producto de eventos externos (legales, polticos fallas en los servicios pblicos, etc.), riesgos operativos (ocasionado por las personas), riesgos en procesos, riesgos de tecnologa. Estos mismos riesgos son la principal herramienta para cubrir los requisitos de seguridad. Estructura ISO 27005 1.1 A continuacin se menciona brevemente los principales aspectos que menciona la norma 27005. Gestin del Riesgos en Seguridad de la Informacin
ESTABLECIMIENTO DEL CONTEXTO:
El punto inicial es establecer el contexto sobre el cual se va llevar a cabo la gestin del riesgo de la seguridad de la informacin; para lo cual se deber de agenciarse de toda la documentacin necesaria de la organizacin esta documentacin puede incluir registros vitales (procedimientos, polticas, reglamentos, etc.). 2 EVALUACION DEL RIESGO EN SEGURIDAD DE LA INFORMACION Consta de un Anlisis de Riesgos y Evaluacin del Riesgo. 1. El Anlisis del Riesgo Es un proceso que consiste en: Identificar los Riesgos Consta de la identificacin de los activos a proteger dentro del contexto, la asignacin del propietario del activo, Identificacin de las amenazas, identificacin de los controles existentes, identificacin de las vulnerabilidades y la identificacin de las consecuencias. Estimacin del Riesgo En base a metodologas, las cuales pueden ser cualitativa o cuantitativa, o una combinacin de ellas, dependiendo de las circunstancias. La estimacin se basa en evaluacin de las consecuencias, probabilidad de incidentes, nivel de estimacin del riesgo. 2. La Evaluacin del Riesgo Consiste en comparar los niveles de riesgo frente a los criterios para la evaluacin del riesgo y sus criterios de aceptacin. 2.1 TRATAMIENTO DEL RIESGO La organizacin adopta en base a la evaluacin realizada del riesgo el tratamiento aplicado al activo de informacin, este puede clasificar como una de las siguientes opciones: Reducir el riesgo: Aplicar controles para disminuir la probabilidad de ocurrencia o el impacto sobre el activo Aceptar el riesgo: En el caso de que el control sea ms costoso que el activo a proteger. Evitar el riesgo: Cuando se decide cancelar procesos o actividades que generan un riesgo alto. Transferir el riesgo: Cuando se administra a travs de terceros. 3. TRMINOS Y DEFINICIONES: a) Impacto: Cambio adverso en el nivel de los objetivos del negocio logrados. b) Riesgo en la seguridad de la informacin: Potencial de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando as dao a la organizacin. c) NOTA: Se mide en trminos de una combinacin de la probabilidad de que suceda un evento y sus consecuencias. d) Evitacin del riesgo: Decisin de no involucrarse en una situacin de riesgo o tomar accin para retirarse de dicha situacin e) Comunicacin del riesgo: Intercambiar o compartir la informacin acerca del riesgo entre la persona que toma la decisin y otras partes interesadas.
f) Estimacin del riesgo: Proceso para asignar valores a la probabilidad y las
consecuencias de un riesgo. NOTA 1: En el contexto de esta norma, el trmino "actividad" se utiliza en lugar del trmino "proceso" para la estimacin del riesgo. NOTA 2: En el contexto de esta norma, el trmino "posibilidad" se utiliza en lugar del trmino "probabilidad" para la estimacin del riesgo. 4. ESTRUCTURA DE ESTA NORMA Informacin sobre los antecedentes Vista panormica del proceso de gestin del riesgo en Seguridad de Informacin Evaluacin del riesgo Tratamiento del riesgo Aceptacin del riesgo Comunicacin del riesgo Monitoreo y revisin del riesgo 5. BASES Es necesario un enfoque sistemtico para la gestin del riesgo en la seguridad de la informacin para identificar las necesidades de la organizacin con respecto a los requisitos de seguridad de la informacin y para crear un sistema de gestin de la seguridad de la informacin (SGSI) eficaz. Este enfoque debera ser adecuado para el entorno de la organizacin y, en particular, debera cumplir los lineamientos de toda la gestin del riesgo en la empresa. Los esfuerzos de seguridad deberan abordar los riesgos de una manera eficaz y oportuna donde y cuando sean necesarios. La gestin del riesgo en la seguridad de la informacin debera ser una parte integral de todas las actividades de gestin de seguridad de la informacin y se deberan aplicar tanto a la implementacin como al funcionamiento continuo de un SGSI. 6. VISIN GENERAL DEL PROCESO DE GESTIN DEL RIESGO EN LASEGURIDAD DE LA INFORMACIN El proceso de gestin del riesgo en la seguridad de la informacin consta: El establecimiento del contexto. Evaluacin del riesgo. Tratamiento del riesgo Aceptacin del riesgo Comunicacin del riesgo Monitoreo y revisin del riesgo Figura 1. Proceso de gestin del riesgo en la seguridad de la informacin Tabla 1. Alineamiento del SGSI y el proceso de Gestin del Riesgo en la Seguridad de la Informacin
Proceso del SGSI Proceso de gestin del riesgo en la seguridad de la
informacin 7. Establecimiento del Contexto 7.1 Consideraciones Generales Entrada: Toda la informacin acerca de la organizacin que es pertinente para establecer el contexto de la gestin del riesgo en la seguridad de la informacin. Accin: Se debera establecer el contexto para la gestin del riesgo en la seguridad de la informacin, lo cual implica establecer los criterios bsicos que son necesarios para la gestin del riesgo de la seguridad de la informacin definir el alcance y los lmites y establecer una organizacin adecuada que opere la gestin del riesgo la seguridad de la informacin Salida: Especificacin de los criterios bsicos, alcance y lmites, y organizacin del proceso de gestin del riesgo en la seguridad de la informacin. 7.2 Criterios Bsicos Dependiendo del alcance y los objetivos de la gestin del riesgo, se pueden aplicar diferentes enfoques. El enfoque tambin podra ser diferente para cada iteracin. Es aconsejable seleccionar o desarrollar un enfoque adecuado para la gestin del riesgo que aborde los criterios bsicos tales como: criterios de evaluacin del riesgo, criterios de impacto, criterios de aceptacin del riesgo. Adems, la organizacin debera evaluar si los recursos necesarios estn o no disponibles para: Realizar una evaluacin del riesgo y establecer un plan de tratamiento para el riesgo; Definir e implementar las polticas y los procedimientos, que incluyan la implementacin de los controles seleccionados; Monitorear los controles ; Monitorear los procesos de gestin del riesgo en la seguridad de la informacin. 7.3 El Alcance y los Lmites La organizacin debera definir el alcance y los lmites de la gestin del riesgo de la seguridad de la informacin. Es necesario definir el alcance del proceso de gestin del riesgo en la seguridad de la informacin, con el fin de garantizar que todos los activos relevantes se toman en consideracin en la valoracin del riesgo. Adems, es necesario identificar los lmites para abordar aquellos riesgos que se pueden presentar al establecer estos lmites. Establecer el alcance y los lmites, la organizacin debera ser estudiado: su misin, sus valores, su estructura y su estrategia, sus lugares y el medio ambiente cultural. Las limitaciones (presupuestarias, culturales, polticos, tcnicos) de la organizacin deben ser recogidos y documentados como gua para los pasos a seguir. 7.4 Organizacin para la gestin del riesgo en la Seguridad de la Informacin
Se recomienda establecer y mantener la organizacin y las
responsabilidades en el proceso de gestin del riesgo y la seguridad de la informacin. Esta organizacin para la gestin del riesgo, debera ser aprobada por los directores correspondientes de la entidad. 8. Evaluacin del Riesgo en Seguridad de la Informacin.
8.1 Descripcin General
La valoracin del riesgo consta de las siguientes actividades: Anlisis del riesgo Identificacin del riesgo Estimacin del riesgo Evaluacin del riesgo 8.2 Anlisis del Riesgo Este es el paso principal en el marco de la norma ISO/IEC 27005. La mayor parte de las actividades primarias se prev que el primer proceso de evaluacin de riesgos. Este paso implica la adquisicin de toda la informacin pertinente sobre la organizacin y la determinacin de los criterios bsicos, finalidad, alcance, lmites y organizacin de las actividades de gestin de riesgos. El objetivo es por lo general el cumplimiento de los requisitos legales y proporcionar la prueba de la debida diligencia el apoyo de un SGSI que puede ser certificado. El alcance puede ser un plan de notificacin de incidentes, un plan de continuidad del negocio. 8.2.1 Identificacin del Riesgo El propsito de la identificacin del riesgo es determinar qu podra suceder que cause una prdida potencial, y llegar a comprender el cmo, dnde y por qu podra ocurrir esta prdida. Los pasos que se describen en los siguientes numerales de la seccin 8.2.1 deberan recolectar datos de entrada para la actividad de estimacin del riesgo. 8.2.1.2 Identificacin de los activos Entrada: Alcance y lmites para la valoracin del riesgo que se va a realizar, lista de los componentes con sus propietarios, ubicacin, funciones, etc. Accin: Se deberan identificar los activos dentro del alcance establecido. Salida: una lista de los activos que van a estar sometidos a gestin del riesgo, y una lista de los procesos del negocio relacionados con los activos y su importancia. 8.2.2 Estimacin del riesgo 8.2.2.1 Metodologas para la estimacin del riesgo El anlisis del riesgo se puede realizar con diferentes grados de detalle dependiendo de la criticidad de los activos, la amplitud de las vulnerabilidades conocidas y los incidentes anteriores que implicaron a la organizacin. Una metodologa de estimacin puede ser cualitativa o cuantitativa, o una combinacin de ellas, dependiendo de las circunstancias. En la prctica, con frecuencia se utiliza la estimacin cualitativa en primer lugar para obtener una indicacin general del nivel del riesgo y revelar los riesgos ms importantes. Posteriormente puede ser necesario realizar un anlisis ms especfico o cuantitativo de los riesgos importantes dado que es, por lo general, menos complejo y menos costoso realizar un anlisis cualitativo que uno cuantitativo. 8.3 EVALUACIN DEL RIESGO Entrada: Una lista de los riesgos con niveles de valor asignado y criterios para la evaluacin del riesgo. Accin: se deberan comparar los niveles de riesgo frente a los criterios para la evaluacin del riesgo y sus criterios de aceptacin (se relaciona con ISO/IEC 27001, numeral 4.2.1 e) 4). Salida: una lista de los riesgos con prioridad de acuerdo con los criterios de evaluacin del riesgo, con relacin a los escenarios de incidente que llevan a tales riesgos. 9. TRATAMIENTO DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN 9.1 DESCRIPCIN GENERAL DEL TRATAMIENTO DEL RIESGO Entrada: una lista de los riesgos con prioridad de acuerdo con los criterios de evaluacin del riesgo, con relacin a los escenarios de incidente que llevan a tales riesgos. Accin: se deberan seleccionar controles para reducir, retener, evitar o transferir los riesgos y se debera definir un plan para tratamiento del riesgo. Salida: plan para el tratamiento del riesgo y riesgos residuales sujetos a la decisin de aceptacin de los directores de la organizacin. Existen cuatro opciones disponibles para el tratamiento del riesgo: Reduccin del riesgo - Retencin del riesgo Evitacin del riesgo Transferencia del riesgo Figura 2. Actividad para el tratamiento del riesgo 9.2 REDUCCIN DEL RIESGO Accin: el nivel del riesgo se debera reducir mediante la seleccin de controles, de manera tal que el riesgo residual se pueda revaluar como aceptable. Se recomienda seleccionar controles adecuados y justificados que satisfagan los requisitos identificados en la evaluacin y el tratamiento del riesgo, teniendo en cuenta los criterios de aceptacin, requisitos legales, reglamentarios y contractuales; as mismo considerar los costos de implementacin y los aspectos tcnicos, ambientales y culturales. En general, los controles pueden brindar uno o ms de los siguientes tipos de proteccin: correccin, eliminacin, prevencin, minimizacin del impacto, disuasin, deteccin, recuperacin, monitoreo y concienciacin. 9.3 RETENCIN DEL RIESGO Accin: la decisin sobre la retencin o aceptacin del riesgo sin accin posterior se debera tomar dependiendo de la evaluacin del riesgo. 9.4 EVITACIN DEL RIESGO Accin: se debera evitar la actividad o la accin que da origen al riesgo particular. Cuando los riesgos identificados se consideran muy altos, o si los costos para implementar otras opciones de tratamiento del riesgo exceden los beneficios, se puede tomar una decisin para evitar por completo el riesgo, mediante el retiro de una actividad o un conjunto de actividades planificadas o existentes, o mediante el cambio en las condiciones bajo las cuales se efecta tal actividad. Por ejemplo, para los riesgos causados por la naturaleza, puede ser una alternativa ms eficaz en trminos de costo, transferir fsicamente las instalaciones de procesamiento de la informacin a un lugar donde no exista el riesgo o est bajo control. 9.5 TRANSFERENCIA DEL RIESGO Accin: el riesgo se debera transferir a otra de las partes que pueda manejar de manera ms eficaz el riesgo particular dependiendo de la evaluacin del riesgo. La transferencia del riesgo involucra una decisin para compartir algunos riesgos con las partes externas. La transferencia del riesgo puede crear riesgos nuevos o modificar los riesgos identificados existentes. Por lo tanto, puede ser necesario el tratamiento adicional para el riesgo. La transferencia se puede hacer mediante un seguro que dar soporte a las consecuencias o mediante subcontratacin de un asociado cuya funcin ser monitorear el sistema de informacin y tomar acciones inmediatas para detener un ataque antes de que ste produzca un nivel definido de dao. 10. ACEPTACIN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN Entrada: plan para el tratamiento del riesgo y evaluacin del riesgo residual, sujetos a la decisin de aceptacin de los directores de la organizacin. Accin: se debera tomar la decisin de aceptar los riesgos y las responsabilidades de la decisin, y registrarla de manera formal (esto se relacionan con ISO/IEC 27001, prrafo 4.2.1 h)). Salida: una lista de los riesgos aceptados con la justificacin para aquellos que no satisfacen los criterios normales de aceptacin de riesgos de la organizacin. Es importante que los directores responsables revisen y aprueben los planes propuestos para el tratamiento del riesgo y los riesgos residuales resultantes, y que registren todas las condiciones asociadas a tal aprobacin. 11. COMUNICACIN DE LOS RIESGOS PARA LA SEGURIDAD DE LA INFORMACIN Entrada: toda la informacin sobre el riesgo obtenida a partir de las actividades de gestin del riesgo (vase la Figura 1). Accin: la informacin acerca del riesgo se debera intercambiar y/o compartir entre la persona que toma la decisin y las otras partes involucradas. Salida: comprensin continua del proceso y los resultados de la gestin del riesgo en la seguridad de la informacin de la organizacin. 12. MONITOREO Y REVISIN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN 12.1 MONITOREO Y REVISIN DE LOS FACTORES DE RIESGO Entrada: toda la informacin sobre el riesgo obtenida en las actividades de gestin del riesgo (vase la Figura 1). Accin: los riesgos y sus factores (es decir, el valor de los activos, los impactos, las amenazas, las vulnerabilidades, la probabilidad de ocurrencia) se deberan monitorear y revisar con el fin de identificar todo cambio en el contexto de la organizacin en una etapa temprana, y para mantener una visin general de la perspectiva completa del riesgo. Salida: alineacin continua de la gestin de los riesgos con los objetivos del negocio de la organizacin y con los criterios de aceptacin del riesgo. 12.2 MONITOREO, REVISIN Y MEJORA DE LA GESTIN DEL RIESGO Entrada: toda la informacin sobre el riesgo obtenida en las actividades de gestin del riesgo (vase Figura 1). Accin: el proceso de gestin del riesgo en la seguridad de la informacin se debera monitorear, revisar y mejorar continuamente, segn sea necesario y adecuado. Salida: relevancia continua del proceso de gestin del riesgo en la seguridad de la informacin para los objetivos del negocio de la organizacin o la actualizacin del proceso. La organizacin debera garantizar que el proceso de gestin del riesgo en la seguridad de la informacin y las actividades relacionadas an son adecuadas en las circunstancias actuales y se cumplen. Todas las mejoras