Iso 27005

ISO 27005
ISO 27005
Es el estándar internacional que Es compatible con los conceptos
se ocupa de la gestión de riesgos generales especificados en la
de seguridad de información. La norma ISO 27001 y se encuentra
norma suministra las directrices diseñada como soporte para
para la gestión de riesgos de aplicar de forma satisfactoria un
seguridad de la información en SGSI basado en el enfoque de
una empresa, apoyando gestión de riesgo.
particularmente los requisitos del
sistema de gestión de seguridad
de la información definidos en
ISO 27001..
2 2
La norma ISO 27005 reemplaza a la norma
ISO 13335-2 “Gestión de Seguridad de la
Información y la tecnología de las
comunicaciones”.
3
El riesgo se define como una amenaza que explota la vulnerabilidad de
un activo pudiendo causar daños. El riesgo se encuentra relacionado
con el uso, propiedad, operación, distribución y la adopción de las
tecnologías de la información de la empresa. Aunque no existe un
método concreto de cómo gestionar riesgos, se recomienda utilizar un
proceso estructurado, sistemático y riguroso de análisis de riesgos para
la creación del plan de tratamiento de riesgos.
4 4
Gestión de Riesgos en
Tecnologías de la
Información con ISO
27005
La gestión del riesgo es una actividad recurrente que se

refiere al análisis, a la planificación, la ejecución, el control y el
seguimiento de todas las medidas implantadas y la política de
seguridad que ha sido impuesta.
La actualización del establecimiento, mantenimiento y mejora
continua de un SGSI ofrecen una clara indicación de que una
organización está utilizando un enfoque sistemático para la
identificación, evaluación y gestión de riesgos de seguridad de
la información.
5
6
◎ Evaluación de los riesgos
“
◎ Es necesario establecer un vínculo entre los escenarios de riesgos IT y el impacto empresarial
que estos generarían, para así comprender el efecto de los eventos adversos que se pueden
desencadenar.
◎ La evaluación de riesgos se ejecuta en los puntos discretos de tiempo y hasta que el
rendimiento de la próxima evaluación proporciona una visión temporal de los riesgos
evaluados.
◎ La evaluación de riesgos se realiza a menudo en más de una interacción, la primera es una
evaluación de alto nivel para identificar los riesgos altos, mientras que las interacciones
posteriores detallan el análisis de los riesgos principales y tolerables. Varios factores ayudan a
seleccionar eventos con cierto grado de riesgo:
.
7
◎ Probabilidad
◎ Consecuencias
◎ Ocurrencia
◎ Urgencia
◎ Maleabilidad
◎ Dependencia
◎ Proximidad
8
La evaluación de riesgos requiere de los siguientes puntos:
◎ Un estudio de la vulnerabilidad, amenazas, probabilidad, pérdidas y la eficacia de las medidas de

seguridad. Los directivos de la empresa utilizan los resultados de la evaluación del riesgo para
desarrollar los requisitos de seguridad y sus especificaciones.
◎ El proceso de evaluación de amenazas y vulnerabilidades, para estimar el efecto producido en
caso de pérdidas y establecer el grado de aceptación y aplicabilidad de las operaciones del
negocio.
◎ Identificar los activos y las facilidades que pueden ser afectadas por las amenazas y
vulnerabilidades.
◎ Análisis de los activos del sistema y las vulnerabilidades para establecer un estimado de pérdida
esperada en caso de que ocurra ciertos eventos y la probabilidad estimada cuando ocurra. El
propósito de una evaluación del riesgo es determinar si las contramedidas son adecuadas para
reducir la probabilidad de la pérdida o impacto de la pérdida dentro del nivel aceptable.
◎ Es una herramienta de gestión que proporciona un enfoque sistemático que determine el valor
relativo a: la sensibilidad al instalar activos informáticos, la evaluación de vulnerabilidades, la
evaluación de la expectativa de pérdidas, la percepción de los niveles de exposición al riesgo, la
evaluación de las características de protección existentes, las alternativas adicionales de
protección, la aceptación de riesgos y la documentación de las decisiones de gestión.
9
Estructura Norma ISO/IEC 27005
Las secciones de contenido son:
◎ Prefacio.
◎ Introducción.
◎ Referencias normativas.
◎ Términos y definiciones.
◎ Estructura.
◎ Fondo.
◎ Descripción del proceso de ISRM.
◎ Establecimiento Contexto.
◎ Información sobre la evaluación de riesgos de seguridad (ISRA).
◎ Tratamiento de Riesgos Seguridad de la Información.
◎ Admisión de Riesgos Seguridad de la información.
◎ Comunicación de riesgos de seguridad de información.
◎ Información de seguridad Seguimiento de Riesgos y Revisión.
◎ Anexo A: Definición del alcance del proceso.
◎ Anexo B: Valoración de activos y evaluación de impacto.
◎ Anexo C: Ejemplos de amenazas típicas.
◎ Anexo D: Las vulnerabilidades y métodos de evaluación de la vulnerabilidad.
◎ Enfoques ISRA: Anexo E.
10
¡¡GRACIAS!!

Iso 27005

Cargado por

Copyright:

Formatos disponibles

Iso 27005

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Iso 27005

Cargado por

Copyright:

Formatos disponibles

ISO 27005

La gestión del riesgo es una actividad recurrente que se

◎ Un estudio de la vulnerabilidad, amenazas, probabilidad, pérdidas y la eficacia de las medidas de

También podría gustarte

Pfad - The Proxy pFad of © 2024 Garber Painting. All rights reserved.