ISO 27005
Cárdenas Frank & diego Román. Enero 2017. Universidad Politécnica Salesiana. Departamento de ingenierías. Electiva 2 (seguridad informática)
Abst ract This standard provides guidelines for risk management in information security in an organization, giving particular support to the requirements of an information security management system (SGSI) in accordance with ISO / IEC27001. However, this standard does not provide any specific methodology for risk management in information security. It is the responsibility of the organization to define its approach to risk management, depending, for example, on the scope of its SGSI , the context of risk management or the industrial sector. A variety of existing methodologies can be used under the structure described in this standard to implement the requirements of an information security management system.
Capítulo 1 Generalidades Es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001 el cual ha sido creado para facilitar la implementación satisfactoria en base a un enfoque gestión de riesgo. 1.1 ESTRUCTURA Este estándar básicamente consta de 12 numerales los cuales describen adecuadamente como esta se encuentra constituida y las medidas que se toma para poder cumplir la norma. Entre sus numerales más importantes tenemos
establecimiento del contexto- numeral 7 evaluación del riesgo-numeral 8 tratamiento del riesgo- numeral 9 aceptación del riesgo- numeral 10 comunicación del riesgo- numeral 11 monitoreo y revisión del riesgo- numeral 12
practicante los 6 primeros numerales solamente nos brindan un panorama previo de lo que describe la norma los numerales 7 al 12 nos dan la información y las practicas alas que hay que recurrir para implementar dicho estándar. A continuación, se describe brevemente cada una de las actividades para la gestión de riesgo. Capítulo 2 Descri pción de la norma 1.1.1 Estableci miento del cont exto Para poder establecer e contexto tenemos que tener ciertos criterios en cuenta como lo son la evaluación del riesgo, impacto y las limitaciones es decir la aceptación del riesgo. la evaluación del riesgo tiene el fin de determinar el riesgo en la seguridad de la información de la organización, teniendo en cuenta los siguientes aspectos:
el valor estratégico del proceso de información del negocio la criticidad de los activos de información involucrados
los requisitos legales y reglamentarios, así como las obligaciones contractuales la importancia de la disponibilidad, confidencialidad e integridad para las operaciones y el negocio Las expectativas y percepciones de las partes interesadas y las consecuenciasnegativas para el buen nombre y la reputación.
Sn términos del grado de daño o de los costos para la organización, causados por un evento de seguridad de la información, considerando los siguientes aspectos
nivel de clasificación de los activos de información impactados brechas en la seguridad de la información (por ejemplo, pérdida deconfidencialidad, integridad y disponibilidad); operaciones deterioradas (partes internas o terceras partes) pérdida del negocio y del valor financiero alteración de planes y fechas límites daños para la reputación Incumplimiento de los requisitos legales, reglamentarios o contractuales.
-
Hay que decir que una limitación es grande cuando el riesgo supera el estándar de seguridad, pero el impacto económico para prevenir dicha amenaza es mayor que el daño causado por esta, entonces decimos que aceptamos el riesgo ya que la entidad responsable se ve severamente afectada económicamente. 1.1.2
Valoración del Riesgo
La valoración del riesgo determina el valor de los activos de información, identifica las amenazas y vulnerabilidades aplicables que existen (o que podrían existir), identifica los controles existentes y sus efectos en el riesgo identificado, determina las consecuencias potenciales y, finalmente, prioriza los riesgos derivados y los clasifica frente a los criterios de evaluación del riesgo determinados en el contexto establecido. Para poder realizar un análisis rápido para poder implementar hay que seguir los pasos enumerados a continuación los cuales básicamente consisten en la identificación evaluación y estimación.
Identificación de riesgos Identificación de activos Identificación de amenazas Identificación de controles existentes Identificación de las vulnerabilidades Identificación e las consecuencias Estimación del riesgo Evaluación de las consecuencias Evaluación de la probabilidad de incidentes
Evaluación de riesgo
Una lista de los riesgos con prioridad de acuerdo con los criterios de evaluación del riesgo, con relación a los escenarios de incidente que llevan a tales riesgos como resultado todas las pautas para poder hacer el tratamiento de riesgos. 1.1.3 Tratamiento del riesgo en la seguridad de la información Existen 4 opciones disponibles parra le tratamiento del riesgo; evitación del riesgo, reducción del riesgo, retención del riesgo y transferencia del riesgo. Para poder tener una mejor perspectiva del tratamiento de riesgos podemos observar la figura 1
Fig. 1 Actividad para el tratamiento de riesgo
1. Reducción del riesgo: El nivel del riesgo se debería reducir mediante la selección de controles, de manera tal que el riesgo residual se pueda revaluar como aceptable. En general, los controles pueden brindar uno o más de los siguientes tipos de protección: corrección, eliminación, prevención, minimización del impacto, disuasión, detección, recuperación, monitoreo y concienciación. 2. Retención del riesgo: Esta sección se debe de tomar dependiendo de la evaluación del riesgo es decir si satisface los criterios para su aceptación.
3. Evitación del riesgo: Se debe evitar la acción que da origen particularmente al riesgo, sin embargo, hay riesgos que se consideran muy altos para lo cual se retira actividades o un conjunto de actividades planificadas o existentes. 4. Transferencia del riesgo: El riesgo se debería transferir a otra de las partes que pueda manejar de manera más eficiente. 1.1.4
Aceptación del riesgo en la seguridad de la información
Se debería tomar la decisión de aceptar los riesgos y las responsabilidades de la decisión, y registrarla de manera formal. Uno de los planes a tomar debería describir la forma en que los riesgos evaluados se deben tratar con fines de satisfacer los riesgos a tratar (criterio de aceptación). Resulta muy difícil determinar si un riesgo residual esta encima o debajo del umbral de aceptación por eso se debe hacer un estudio exhaustivo de dicha causa; en algunos casos puede que no satisfaga el riesgo residual por lo que no tiene acción alguna en las causas prevalentes. Una lista de los riesgos aceptados con la justificación para aquellos que no satisfacen los riesgos de organización es lo que se debe esperar en este punto lo cual dará paso al 11 enunciado. 1.1.5
Comunicación de los riesgos para la seguridad de la información
La información acerca del riesgo se debería intercambiar y/o compartir entre la persona que toma la decisión y las otras partes involucradas siendo así la comunicación del riesgo una actividad. Por tanto, se dice que la comunicación eficaz ente las partes involucradas es importante dado el impacto significativo que puede tomar. La comunicación de riesgo debería contemplar los siguientes puntos.
brindar seguridad del resultado de la gestión del riesgo de la organización recolectar información sobre el riesgo compartir los resultados de la evaluación del riesgo y presentar el plan para el tratamiento del riesgo evitar o reducir tanto la ocurrencia como la consecuencia de las brechas en laseguridad de la información debidas a la falta de comprensión mutua entre quienes toman las decisiones y las partes involucradas brindar soporte para la toma de decisiones obtener conocimientos nuevos sobre la seguridad de la información
el alcance final en este punto de la norma será la compunción continua del proceso y los resultados de la gestión del riesgo en la seguridad de la información
1.1.6
Monitoreo y revisión del riesgo en la seguridad de la información
Podemos clasifícala en 3 incisos importantes para toda la información obtenida sobre el riesgo obtenida en las actividades de gestión de riesgo. 1. Monitoreo de revisión de los factores de riesgo: Esta actividad puede estar soportada por servicios externos que brinden información con respecto a nuevas amenazas o vulnerabilidades. Las organizaciones deberían garantizar el monitoreo continuo de los siguientes aspectos:
activos nuevos que se han incluido en el alcance de la gestión del riesgo, modificaciones necesarias de los valores de los activos, debido, por ejemplo, acambios en los requisitos de negocios; amenazas nuevas que podrían estar activas tanto fuera como dentro de laorganización y que no se han evaluado; probabilidad de que las vulnerabilidades nuevas o aumentadas puedan permitirque las amenazas exploten tales vulnerabilidades nuevas o con cambios; vulnerabilidades identificadas para determinar aquellas que se exponen aamenazas nuevas o que vuelven a emerger el impacto aumentado o las consecuencias de las amenazas evaluadas, lasvulnerabilidad es y los riesgos en conjunto que dan como resultado un nivel inaceptable de riesgo; incidentes de la seguridad de la información.
2. Monitoreo, revisión y mejora de la gestión del riesgo: El proceso de gestión de riesgo en la seguridad de la información se debería monitorear, revisar y mejorara continuamente. Por tanto, se dice que la organización debería garantizar que le proceso de gestión de riesgo aún son adecuadas y se cumplen. Se obtiene como resultado relevancia continua del proceso de gestión del riesgo en la seguridad de la información para los objetos del negocio de la organización o la actualización del proceso.
Conclusiones y Discusión. Dada la cantidad de aspectos y normativas que presenta esta norma la vuelve en una norma difícil de alcanzar por las empresas, pero como resultado se obtendrá un SGSI muy robusto y muy poco vulnerable a potenciales ataque. Un análisis de gestión de riesgos tiene que ser un proceso metódico y muy detallado por lo que para implementar una norma de este tipo requiere un estudio a un largo plazo de tiempo para poder contemplar todos los aspectos ya sea tanto amenazas, riesgos y vulnerabilidades en todo nuestro sistema y dar un resultado en donde podamos ver que tan eficiente es implementar o no un SGSI contemplando todos los aspectos posibles (económico, datos, cuentas). Referencias
[1]ISO-27005,scrib, online, disponible en :https://es.scribd.com/doc/124454177/ISO27005-espanol [2] análisis de riesgos, global suite, online, disponible en: https://www.google.com.ec/aclk?sa=l&ai=DChcSEwi_wPz1_q3RAhUPJYEKHR7oDGk YABAA&sig=AOD64_0P9uK7R4bu20O0sespEdKrBsmOA&q=&ved=0ahUKEwiTsej1_q3RAhVFSyYKHfutCY8Q0QwIF g&adurl=