ISO 27005

GESTION DE RIESGOS EN SEGURIDAD DE LA

INFORMACION

Aguilar Flores Casilda

Azua Tejerina Gloria Karina
Caba Aldana Cinthia
Fajardo Sullca Ivn
Llanos Martnez Mnica
Ontiveros Subelza Carlos Ariel
Tomas Nicaso Jess
Vzquez Carlos Neiber
Introduccin

La Norma 27005 contiene recomendaciones y directrices

generales para la gestin de riesgos en sistemas de seguridad
de la Informacin; esta basada en la ISO/IEC 27005
Est diseada como soporte para aplicar satisfactoriamente un
SGSI basado en un enfoque de gestin de riesgos.
Los riesgos hoy en da se encuentran inmensos en todas las
actividades de la organizacin. Es as que encontramos
producto de eventos externos (legales, polticos fallas en los
servicios pblicos, etc.), riesgos operativos (ocasionado por las
personas), riesgos en procesos, riesgos de tecnologa. Estos
mismos riesgos son la principal herramienta para cubrir los
requisitos de seguridad.
Estructura ISO 27005
1.1 A continuacin se menciona brevemente los
principales aspectos que menciona la norma 27005.
Gestin del Riesgos en Seguridad de la Informacin

ESTABLECIMIENTO DEL CONTEXTO:

El punto inicial es establecer el contexto sobre el cual se va llevar a
cabo la gestin del riesgo de la seguridad de la informacin; para lo
cual se deber de agenciarse de toda la documentacin necesaria
de la organizacin esta documentacin puede incluir registros
vitales (procedimientos, polticas, reglamentos, etc.).
2 EVALUACION DEL RIESGO EN SEGURIDAD DE LA
INFORMACION
Consta de un Anlisis de Riesgos y Evaluacin del Riesgo.
1. El Anlisis del Riesgo
Es un proceso que consiste en:
Identificar los Riesgos
Consta de la identificacin de los activos a proteger dentro del contexto, la
asignacin del propietario del activo, Identificacin de las amenazas,
identificacin de los controles existentes, identificacin de las vulnerabilidades
y la identificacin de las consecuencias.
Estimacin del Riesgo
En base a metodologas, las cuales pueden ser cualitativa o cuantitativa, o
una combinacin de ellas, dependiendo de las circunstancias.
La estimacin se basa en evaluacin de las consecuencias, probabilidad de
incidentes, nivel de estimacin del riesgo.
2. La Evaluacin del Riesgo
Consiste en comparar los niveles de riesgo frente a los criterios para la
evaluacin del riesgo y sus criterios de aceptacin.
2.1 TRATAMIENTO DEL RIESGO
La organizacin adopta en base a la evaluacin realizada del riesgo
el tratamiento aplicado al activo de informacin, este puede
clasificar como una de las siguientes opciones:
Reducir el riesgo: Aplicar controles para disminuir la probabilidad
de ocurrencia o el impacto sobre el activo
Aceptar el riesgo: En el caso de que el control sea ms costoso
que el activo a proteger.
Evitar el riesgo: Cuando se decide cancelar procesos o
actividades que generan un riesgo alto.
Transferir el riesgo: Cuando se administra a travs de terceros.
3. TRMINOS Y DEFINICIONES:
a) Impacto: Cambio adverso en el nivel de los objetivos del negocio logrados.
b) Riesgo en la seguridad de la informacin: Potencial de que una amenaza
determinada explote las vulnerabilidades de los activos o grupos de activos
causando as dao a la organizacin.
c) NOTA: Se mide en trminos de una combinacin de la probabilidad de que
suceda un evento y sus consecuencias.
d) Evitacin del riesgo: Decisin de no involucrarse en una situacin de riesgo o
tomar accin para retirarse de dicha situacin
e) Comunicacin del riesgo: Intercambiar o compartir la informacin acerca del
riesgo entre la persona que toma la decisin y otras partes interesadas.

f) Estimacin del riesgo: Proceso para asignar valores a la probabilidad y las

consecuencias de un riesgo.
NOTA 1: En el contexto de esta norma, el trmino "actividad" se utiliza en lugar
del trmino "proceso" para la estimacin del riesgo.
NOTA 2: En el contexto de esta norma, el trmino "posibilidad" se utiliza en lugar
del trmino "probabilidad" para la estimacin del riesgo.
4. ESTRUCTURA DE ESTA NORMA
Informacin sobre los antecedentes
Vista panormica del proceso de gestin del riesgo en Seguridad
de Informacin
Evaluacin del riesgo
Tratamiento del riesgo
Aceptacin del riesgo
Comunicacin del riesgo
Monitoreo y revisin del riesgo
5. BASES
Es necesario un enfoque sistemtico para la gestin del riesgo en la
seguridad de la informacin para identificar las necesidades de la
organizacin con respecto a los requisitos de seguridad de la
informacin y para crear un sistema de gestin de la seguridad de
la informacin (SGSI) eficaz. Este enfoque debera ser adecuado
para el entorno de la organizacin y, en particular, debera cumplir
los lineamientos de toda la gestin del riesgo en la empresa. Los
esfuerzos de seguridad deberan abordar los riesgos de una manera
eficaz y oportuna donde y cuando sean necesarios. La gestin del
riesgo en la seguridad de la informacin debera ser una parte
integral de todas las actividades de gestin de seguridad de la
informacin y se deberan aplicar tanto a la implementacin como
al funcionamiento continuo de un SGSI.
6. VISIN GENERAL DEL PROCESO DE GESTIN
DEL RIESGO EN LASEGURIDAD DE LA
INFORMACIN
El proceso de gestin del riesgo en la seguridad de la informacin consta:
El establecimiento del contexto.
Evaluacin del riesgo.
Tratamiento del riesgo
Aceptacin del riesgo
Comunicacin del riesgo
Monitoreo y revisin del riesgo
Figura 1. Proceso de gestin del riesgo en la seguridad de la
informacin
Tabla 1. Alineamiento del SGSI y el proceso de Gestin del Riesgo
en la Seguridad de la Informacin

Proceso del SGSI Proceso de gestin del riesgo en la seguridad de la

informacin
7. Establecimiento del Contexto
7.1 Consideraciones Generales
Entrada: Toda la informacin acerca de la organizacin que es
pertinente para establecer el contexto de la gestin del riesgo en la
seguridad de la informacin.
Accin: Se debera establecer el contexto para la gestin del riesgo
en la seguridad de la informacin, lo cual implica establecer los
criterios bsicos que son necesarios para la gestin del riesgo de la
seguridad de la informacin definir el alcance y los lmites y
establecer una organizacin adecuada que opere la gestin del
riesgo la seguridad de la informacin
Salida: Especificacin de los criterios bsicos, alcance y lmites, y
organizacin del proceso de gestin del riesgo en la seguridad de la
informacin.
 7.2 Criterios Bsicos
Dependiendo del alcance y los objetivos de la gestin del riesgo, se pueden aplicar
diferentes enfoques. El enfoque tambin podra ser diferente para cada iteracin.
Es aconsejable seleccionar o desarrollar un enfoque adecuado para la gestin del riesgo
que aborde los criterios bsicos tales como: criterios de evaluacin del riesgo, criterios de
impacto, criterios de aceptacin del riesgo.
Adems, la organizacin debera evaluar si los recursos necesarios estn o no disponibles
para:
Realizar una evaluacin del riesgo y establecer un plan de tratamiento para el riesgo;
Definir e implementar las polticas y los procedimientos, que incluyan la implementacin
de los controles seleccionados;
Monitorear los controles ;
Monitorear los procesos de gestin del riesgo en la seguridad de la informacin.
7.3 El Alcance y los Lmites
La organizacin debera definir el alcance y los lmites de la gestin
del riesgo de la seguridad de la informacin.
Es necesario definir el alcance del proceso de gestin del riesgo en
la seguridad de la informacin, con el fin de garantizar que todos
los activos relevantes se toman en consideracin en la valoracin
del riesgo. Adems, es necesario identificar los lmites para abordar
aquellos riesgos que se pueden presentar al establecer estos
lmites. Establecer el alcance y los lmites, la organizacin debera
ser estudiado: su misin, sus valores, su estructura y su estrategia,
sus lugares y el medio ambiente cultural. Las limitaciones
(presupuestarias, culturales, polticos, tcnicos) de la organizacin
deben ser recogidos y documentados como gua para los pasos a
seguir.
7.4 Organizacin para la gestin del riesgo en la
Seguridad de la Informacin

Se recomienda establecer y mantener la organizacin y las

responsabilidades en el proceso de gestin del riesgo y la seguridad
de la informacin. Esta organizacin para la gestin del riesgo,
debera ser aprobada por los directores correspondientes de la
entidad.
8. Evaluacin del Riesgo en Seguridad de la
Informacin.

8.1 Descripcin General

La valoracin del riesgo consta de las siguientes actividades:
Anlisis del riesgo
Identificacin del riesgo
Estimacin del riesgo
Evaluacin del riesgo
8.2 Anlisis del Riesgo
Este es el paso principal en el marco de la norma ISO/IEC 27005. La
mayor parte de las actividades primarias se prev que el primer
proceso de evaluacin de riesgos. Este paso implica la adquisicin
de toda la informacin pertinente sobre la organizacin y la
determinacin de los criterios bsicos, finalidad, alcance, lmites y
organizacin de las actividades de gestin de riesgos. El objetivo es
por lo general el cumplimiento de los requisitos legales y
proporcionar la prueba de la debida diligencia el apoyo de un SGSI
que puede ser certificado. El alcance puede ser un plan de
notificacin de incidentes, un plan de continuidad del negocio.
8.2.1 Identificacin del Riesgo
El propsito de la identificacin del riesgo es determinar qu podra
suceder que cause una prdida potencial, y llegar a comprender el
cmo, dnde y por qu podra ocurrir esta prdida. Los pasos que
se describen en los siguientes numerales de la seccin 8.2.1
deberan recolectar datos de entrada para la actividad de
estimacin del riesgo.
8.2.1.2 Identificacin de los activos
Entrada: Alcance y lmites para la valoracin del riesgo que se va a
realizar, lista de los componentes con sus propietarios, ubicacin,
funciones, etc.
Accin: Se deberan identificar los activos dentro del alcance
establecido.
Salida: una lista de los activos que van a estar sometidos a
gestin del riesgo, y una lista de los procesos del negocio
relacionados con los activos y su importancia.
8.2.2 Estimacin del riesgo
8.2.2.1 Metodologas para la estimacin del riesgo
El anlisis del riesgo se puede realizar con diferentes grados de detalle
dependiendo de la criticidad de los activos, la amplitud de las
vulnerabilidades conocidas y los incidentes anteriores que implicaron a
la organizacin. Una metodologa de estimacin puede ser cualitativa o
cuantitativa, o una combinacin de ellas, dependiendo de las
circunstancias.
En la prctica, con frecuencia se utiliza la estimacin cualitativa en
primer lugar para obtener una indicacin general del nivel del riesgo y
revelar los riesgos ms importantes.
Posteriormente puede ser necesario realizar un anlisis ms especfico
o cuantitativo de los riesgos importantes dado que es, por lo general,
menos complejo y menos costoso realizar un anlisis cualitativo que
uno cuantitativo.
8.3 EVALUACIN DEL RIESGO
Entrada: Una lista de los riesgos con niveles de valor asignado y
criterios para la evaluacin del riesgo.
Accin: se deberan comparar los niveles de riesgo frente a los
criterios para la evaluacin del riesgo y sus criterios de aceptacin
(se relaciona con ISO/IEC 27001, numeral 4.2.1 e) 4).
Salida: una lista de los riesgos con prioridad de acuerdo con los
criterios de evaluacin del riesgo, con relacin a los escenarios de
incidente que llevan a tales riesgos.
 9. TRATAMIENTO DEL RIESGO EN LA SEGURIDAD
DE LA INFORMACIN
9.1 DESCRIPCIN GENERAL DEL TRATAMIENTO DEL RIESGO
Entrada: una lista de los riesgos con prioridad de acuerdo con los criterios de evaluacin
del riesgo, con relacin a los escenarios de incidente que llevan a tales riesgos.
Accin: se deberan seleccionar controles para reducir, retener, evitar o transferir los
riesgos y se debera definir un plan para tratamiento del riesgo.
Salida: plan para el tratamiento del riesgo y riesgos residuales sujetos a la decisin de
aceptacin de los directores de la organizacin.
Existen cuatro opciones disponibles para el tratamiento del riesgo:
Reduccin del riesgo
- Retencin del riesgo
Evitacin del riesgo
Transferencia del riesgo
Figura 2. Actividad para el tratamiento del riesgo
9.2 REDUCCIN DEL RIESGO
Accin: el nivel del riesgo se debera reducir mediante la seleccin
de controles, de manera tal que el riesgo residual se pueda revaluar
como aceptable.
Se recomienda seleccionar controles adecuados y justificados que
satisfagan los requisitos identificados en la evaluacin y el
tratamiento del riesgo, teniendo en cuenta los criterios de
aceptacin, requisitos legales, reglamentarios y contractuales; as
mismo considerar los costos de implementacin y los aspectos
tcnicos, ambientales y culturales.
En general, los controles pueden brindar uno o ms de los
siguientes tipos de proteccin: correccin, eliminacin, prevencin,
minimizacin del impacto, disuasin, deteccin, recuperacin,
monitoreo y concienciacin.
9.3 RETENCIN DEL RIESGO
Accin: la decisin sobre la retencin o aceptacin del riesgo sin accin
posterior se debera tomar dependiendo de la evaluacin del riesgo.
9.4 EVITACIN DEL RIESGO
Accin: se debera evitar la actividad o la accin que da origen al
riesgo particular.
Cuando los riesgos identificados se consideran muy altos, o si los
costos para implementar otras opciones de tratamiento del riesgo
exceden los beneficios, se puede tomar una decisin para evitar
por completo el riesgo, mediante el retiro de una actividad o un
conjunto de actividades planificadas o existentes, o mediante el
cambio en las condiciones bajo las cuales se efecta tal actividad.
Por ejemplo, para los riesgos causados por la naturaleza, puede ser
una alternativa ms eficaz en trminos de costo, transferir
fsicamente las instalaciones de procesamiento de la informacin a
un lugar donde no exista el riesgo o est bajo control.
9.5 TRANSFERENCIA DEL RIESGO
Accin: el riesgo se debera transferir a otra de las partes que
pueda manejar de manera ms eficaz el riesgo particular
dependiendo de la evaluacin del riesgo.
La transferencia del riesgo involucra una decisin para compartir
algunos riesgos con las partes externas. La transferencia del riesgo
puede crear riesgos nuevos o modificar los riesgos identificados
existentes. Por lo tanto, puede ser necesario el tratamiento
adicional para el riesgo.
La transferencia se puede hacer mediante un seguro que dar
soporte a las consecuencias o mediante subcontratacin de un
asociado cuya funcin ser monitorear el sistema de informacin y
tomar acciones inmediatas para detener un ataque antes de que
ste produzca un nivel definido de dao.
10. ACEPTACIN DEL RIESGO EN LA SEGURIDAD
DE LA INFORMACIN
Entrada: plan para el tratamiento del riesgo y evaluacin del
riesgo residual, sujetos a la decisin de aceptacin de los directores
de la organizacin.
Accin: se debera tomar la decisin de aceptar los riesgos y las
responsabilidades de la decisin, y registrarla de manera formal
(esto se relacionan con ISO/IEC 27001, prrafo 4.2.1 h)).
Salida: una lista de los riesgos aceptados con la justificacin para
aquellos que no satisfacen los criterios normales de aceptacin de
riesgos de la organizacin.
Es importante que los directores responsables revisen y aprueben
los planes propuestos para el tratamiento del riesgo y los riesgos
residuales resultantes, y que registren todas las condiciones
asociadas a tal aprobacin.
11. COMUNICACIN DE LOS RIESGOS PARA LA
SEGURIDAD DE LA INFORMACIN
Entrada: toda la informacin sobre el riesgo obtenida a partir de
las actividades de gestin del riesgo (vase la Figura 1).
Accin: la informacin acerca del riesgo se debera intercambiar
y/o compartir entre la persona que toma la decisin y las otras
partes involucradas.
Salida: comprensin continua del proceso y los resultados de la
gestin del riesgo en la seguridad de la informacin de la
organizacin.
12. MONITOREO Y REVISIN DEL RIESGO EN LA
SEGURIDAD DE LA INFORMACIN
12.1 MONITOREO Y REVISIN DE LOS FACTORES DE RIESGO
Entrada: toda la informacin sobre el riesgo obtenida en las actividades de
gestin del riesgo (vase la Figura 1).
Accin: los riesgos y sus factores (es decir, el valor de los activos, los
impactos, las amenazas, las vulnerabilidades, la probabilidad de ocurrencia) se
deberan monitorear y revisar con el fin de identificar todo cambio en el
contexto de la organizacin en una etapa temprana, y para mantener una
visin general de la perspectiva completa del riesgo.
Salida: alineacin continua de la gestin de los riesgos con los objetivos del
negocio de la organizacin y con los criterios de aceptacin del riesgo.
12.2 MONITOREO, REVISIN Y MEJORA DE LA
GESTIN DEL RIESGO
Entrada: toda la informacin sobre el riesgo obtenida en las actividades de gestin
del riesgo (vase Figura 1).
Accin: el proceso de gestin del riesgo en la seguridad de la informacin se debera
monitorear, revisar y mejorar continuamente, segn sea necesario y adecuado.
Salida: relevancia continua del proceso de gestin del riesgo en la seguridad de la
informacin para los objetivos del negocio de la organizacin o la actualizacin del
proceso.
La organizacin debera garantizar que el proceso de gestin del riesgo en la
seguridad de la informacin y las actividades relacionadas an son adecuadas en las
circunstancias actuales y se cumplen. Todas las mejoras