“ISO 27005” “Gestión de riesgos de seguridad de la Información”
Contenido 1.
INTRODUCCION............................................................................................. 2
2.
JUSTIFICACION.............................................................................................. 2
3.
MARCO TEORICO........................................................................................... 3
4.
ESTADO DEL ARTE......................................................................................... 3
5.
OBJETIVOS.................................................................................................... 4 5.1.
OBJETIVO GENERAL................................................................................ 4
5.2.
OBJETIVO ESPECIFICO............................................................................. 5
6.
MATERIALES Y METODOS.............................................................................. 5
7.
DESARALLO DEL PROYECTO..........................................................................5 7.1.
Gestión de Riesgos en Tecnologías de la Información............................5
7.2.
Identificación de riegos..........................................................................5
7.2.1.
Ejemplos de Riesgos en IT................................................................6
7.3.
Evaluación de riesgos............................................................................. 6
7.4.
Análisis de Riesgo................................................................................... 9
7.5.
Escenarios de riesgo............................................................................. 10
7.6.
Respuesta a los Riesgos.......................................................................10
7.7.
Norma ISO 27000................................................................................. 11
7.8.
Norma ISO/IEC 27005...........................................................................11
8.
CONCLUSIONES........................................................................................... 12
9.
BIBLIOGRAFIA............................................................................................. 12
9
“ISO 27005” “Gestión de riesgos de seguridad de la Información”
1. INTRODUCCION Esta norma contiene recomendaciones y directrices generales para la gestión de riesgos en sistemas de seguridad de la Información. Es compatible con los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada como soporte para aplicar satisfactoriamente un SGSI basado en un enfoque de gestión de riesgos. La norma ISO/IEC 27005 reemplaza a la norma anterior, ISO13335-2 "Gestión de seguridad de la información y la tecnología de las comunicaciones". La norma fue publicada por primera vez en junio de 2008, aunque hay una nueva versión mejorada en el 2011. El riesgo se define como una amenaza que explota la vulnerabilidad de un activo pudiendo causar daños. El RIESGO IT está relacionado con el uso, propiedad, operación, distribución y la adopción de las tecnologías de la Información en una organización. Aunque no existe un método concreto de cómo gestionar riesgos, se recomienda usar un proceso estructurado, sistemático y riguroso de análisis de riesgos para la creación del plan de tratamiento de riesgos. Los indicadores de riesgo muestran si la organización está sujeta o tiene una alta probabilidad de ser sometida a un riesgo que excede el riesgo permitido.
2. JUSTIFICACION Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.
9
“ISO 27005” “Gestión de riesgos de seguridad de la Información”
3. MARCO TEORICO ISO / IEC 27005:2011 proporciona directrices para la gestión de riesgos de seguridad de información. Es compatible con los conceptos generales especificados en ISO / IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. El conocimiento de los conceptos, modelos, procesos y terminologías descritas en ISO / IEC 27001 e ISO / IEC 27002 es importante para una comprensión completa de la norma ISO / IEC 27005:2011. ISO / IEC 27005:2011 es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro), que tienen la intención de gestionar los riesgos que podrían comprometer la seguridad de la información de la organización.
4. ESTADO DEL ARTE Esta norma que es la ISO 27005 trata sobre la gestión de riesgos en seguridad de la información, para comenzar La seguridad absoluta no existe, pero esta norma lo que trata es de reducir los riesgos a niveles asumibles con una serie de proceso, es una actividad continua y requiere de soporte de la organización para tener éxito. Y lo hace proporcionando recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información, en soporte del proceso de gestión de riesgos de la norma ISO 27001.
9
“ISO 27005” “Gestión de riesgos de seguridad de la Información”
Las personas que han llegado a escuchar de la norma ISO alguna vez, y normalmente lo han relacionados con la palabra “calidad”. La gestión de la calidad es un conjunto de acciones, planificadas y sistemáticas, necesarias para dar la confianza adecuada de que un producto o servicio va a satisfacer los requisitos de calidad. En base a la aprobación, por un organismo reconocido, de ese conjunto de acciones y otras reglas y directrices de uso común y repetido, se crean las normas de calidad. La principal organización internacional emisora de normas de calidad es ISO (Organización Internacional de Estándares) y la más escuchada es la 9001, pero ya habiendo relacionado todo esto, nace la necesidad de desarrollar un sistema para la protección de la información, una materia prima muy importante en todas las empresas, por eso se desarrollo la ISO 27005. Todo esto apunta a la calidad en el manejo de la información, más específicamente a la seguridad de la información. Son un conjunto de mejores prácticas recomendadas para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI). Dentro de la serie ISO 27000, la norma ISO 27005 que es la única norma certificable, y define los requerimientos para establecer, implementar y documentar una gestión efectiva de la seguridad de la información. La norma ISO 27005 proporciona directrices para la gestión de riesgos de seguridad de la información.
5. OBJETIVOS. 5.1. OBJETIVO GENERAL Describir la importación de la norma 27005 en la Gestión de riesgos de seguridad de la Información.
9
“ISO 27005” “Gestión de riesgos de seguridad de la Información”
5.2. OBJETIVO ESPECIFICO Especificar la norma ISO 27005.
6. MATERIALES Y METODOS. Microsoft Word. Internet. Microsoft PowerPoint.
7. DESARALLO DEL PROYECTO 7.1. Gestión de Riesgos en Tecnologías de la Información Gestión del Riesgo es una actividad recurrente que se refiere al análisis, planificación, ejecución, control y seguimiento de las medidas implementadas y la política de seguridad impuesta. La actualización de establecimiento, mantenimiento y continua mejora de un SGSI ofrecen una clara indicación de que una empresa está utilizando un enfoque sistemático para la identificación, evaluación y gestión de riesgos de seguridad de la información.
7.2. Identificación de riegos Un evento solo es un riesgo si existe un grado de incertidumbre asociado con él, por ejemplo: El valor de un activo puede cambiar su valor durante la ejecución de un proyecto, por experiencia esto es cierto, pero ¿cuánto puede cambiar? no lo
9
“ISO 27005” “Gestión de riesgos de seguridad de la Información” sabemos, por lo tanto es un riesgo que debemos evitar en un proyecto pequeño. Por lo tanto debemos estar seguros de identificar el riesgo en realidad y no sus causas o efectos. Si consideramos otro ejemplo, debemos instalar una determinada aplicación de software en varias sucursales de una empresa, pero no todas las oficinas poseen la misma capacidad de almacenamiento o las últimas actualizaciones de sistemas operativos.
¿Es un riesgo la instalación? No, es un requerimiento.
¿Es un riesgo de que alguna sucursal termine sin usar la aplicación? No, este es un efecto en este proyecto, sin embargo puede ser un riesgo futuro que la sucursal no tenga la aplicación.
¿Es un riesgo que la aplicación no se pueda instalar por algún motivo? Si, es incierto, solo lo sabremos cuando lo intentemos.
7.2.1.Ejemplos de Riesgos en IT
Correr aplicaciones en condiciones vulnerables.
Sistemas operativos, vulnerables y sin actualizaciones.
Diseñar aplicaciones inapropiadas, incompletas, con bugs y errores recurrentes.
Tecnologías obsoletas.
Mal rendimiento de la infraestructura IT.
9
“ISO 27005” “Gestión de riesgos de seguridad de la Información”
7.3. Evaluación de riesgos Es necesario establecer un vínculo entre los escenarios de riesgos IT y el impacto empresarial que estos generarían, para así comprender el efecto de los eventos adversos que se pueden desencadenar. La evaluación de riesgos se ejecuta en los puntos discretos de tiempo (por ejemplo una vez al año, en la demanda, etc.) y - hasta que el rendimiento de la próxima evaluación - proporciona una visión temporal de los riesgos evaluados. La evaluación de riesgos se realiza a menudo en más de una iteración, la primera es una evaluación de alto nivel para identificar los riesgos altos, mientras que las iteraciones posteriores detallan en el análisis de los riesgos principales y tolerables. Varios factores ayudan a seleccionar eventos con cierto grado de riesgo:
Probabilidad.
Consecuencias.
Ocurrencia.
Urgencia.
Maleabilidad.
Dependencia.
Proximidad.
Adicionalmente la evaluación de riesgos requiere los siguientes puntos:
9
“ISO 27005” “Gestión de riesgos de seguridad de la Información” 1. Un estudio de vulnerabilidades, amenazas, probabilidad, pérdidas o impacto, y la supuesta eficiencia de las medidas de seguridad. Los directivos de la organización utilizan los resultados de la evaluación del riesgo para desarrollar los requisitos de seguridad y sus especificaciones. 2. El proceso de evaluación de amenazas y vulnerabilidades, conocidas y postuladas para estimar el efecto producido en caso de pérdidas y establecer el grado de aceptación y aplicabilidad en las operaciones del negocio. 3. Identificación de los activos y facilidades que pueden ser afectados por amenazas y vulnerabilidades. 4. Análisis de los activos del sistema y las vulnerabilidades para establecer un estimado de pérdida esperada en caso de que ocurran ciertos eventos y las probabilidades estimadas de la ocurrencia de estos. El propósito de una evaluación del riesgo es determinar si las contramedidas son adecuadas para reducir la probabilidad de la pérdida o el impacto de la pérdida a un nivel aceptable. 5. Una herramienta de gestión que proporcione un enfoque sistemático que determine el valor relativo de:
La sensibilidad al instalar activos informáticos
La evaluación de vulnerabilidades
La evaluación de la expectativa de pérdidas
La percepción de los niveles de exposición al riesgo
La evaluación de las características de protección existentes
9
“ISO 27005” “Gestión de riesgos de seguridad de la Información”
Las alternativas adicionales de protección
La aceptación de riesgos
La documentación de las decisiones de gestión.
Decisiones para la implementación de las funciones de protección adicionales se basan normalmente en la
existencia
de
una relación
razonable entre
costo/beneficio de las salvaguardia y la sensibilidad / valor de los bienes que deben protegerse.
Las evaluaciones de riesgos pueden variar de una revisión informal de una instalación a escala microprocesador pequeño para un análisis más formal y plenamente documentado (por ejemplo, análisis de riesgo) de una instalación a escala de ordenadores. Metodologías de evaluación de riesgos pueden variar desde los enfoques cualitativos o cuantitativos a cualquier combinación de estos dos enfoques.
7.4. Análisis de Riesgo Este es el paso principal en el marco de la norma ISO/IEC 27005. La mayor parte de las actividades primarias se prevé que el primer proceso de evaluación de riesgos. Este paso implica la adquisición de toda la información pertinente sobre la organización y la determinación de los criterios básicos, finalidad, alcance, límites y organización de las actividades de gestión de riesgos. El objetivo es por lo general el cumplimiento de los requisitos legales y proporcionar la prueba de la debida diligencia el apoyo de un SGSI que puede ser certificado. El alcance puede
9
“ISO 27005” “Gestión de riesgos de seguridad de la Información” ser un plan de notificación de incidentes, un plan de continuidad del negocio. Los criterios incluyen la evaluación del riesgo, aceptación de riesgos y criterios de evaluación de impacto. Estos están condicionados por:
Requisitos legales y reglamentarios.
El valor estratégico para el negocio de los procesos de información.
Expectativas de los interesados.
Consecuencias negativas para la reputación de la organización.
Establecer el alcance y los límites, la organización debería ser estudiado: su misión, sus valores, su estructura y su estrategia, sus lugares y el medio ambiente cultural. Las limitaciones (presupuestarias, culturales, políticos, técnicos) de la organización deben ser recogidas y documentados como guía para los pasos a seguir.
7.5. Escenarios de riesgo
Escenarios de riesgo es el corazón del proceso de evaluación de riesgos. Los escenarios pueden derivarse de dos maneras diferentes y complementarias:
9
“ISO 27005” “Gestión de riesgos de seguridad de la Información”
Enfoque de arriba hacia abajo de los objetivos generales de la empresa a los escenarios de riesgo más probable es que puede tener un impacto.
Enfoque de abajo hacia arriba, donde se aplica una lista de escenarios de riesgo genéricos a la situación
Cada uno de los escenarios de riesgo se analiza para determinar la frecuencia y el impacto, sobre la base de los factores de riesgo.
7.6. Respuesta a los Riesgos
El propósito de definir una respuesta al riesgo es llevar el riesgo en nivel que se pueda tolerar. es decir, el riesgo residual debe ser dentro de los límites de tolerancia al riesgo. El riesgo puede ser manejado de acuerdo cuatro estrategia principales (o una combinación de ellos):
Evitar el riesgo aislando las actividades que dan lugar al riesgo.
Mitigar el riesgo adoptando medidas que detectan y reducen el impacto del riesgo.
Transferir riesgos a otras áreas menos susceptibles o a otras entidades con más experiencia (outsourcing).
Aceptar riesgos que se corren deliberadamente y que no se pueden evitar, sin embargo es necesario identificarlos, documentarlos y medirlos.
7.7. Norma ISO 27000.
9
“ISO 27005” “Gestión de riesgos de seguridad de la Información” Es una familia de Estándares Internacionales para Sistemas de Gestión de la seguridad de la Información SGSI que proporcionan un marco de gestión de la seguridad de la información. Se describen a continuación brevemente el alcance de cada uno: ISO 27000 = Fundamentos. ISO 27001 = Especificaciones de un SGSI (Certificable). ISO 27002 = Código de buenas prácticas. ISO 27003 = Guía de implantación. ISO 27004 = Métricas e Indicadores. ISO 27005 = Guía para el Análisis y Gestión del Riesgo. ISO 27006 = Especificaciones para organismos certificadores. ISO 27007 = Guía de requisitos para entidades auditoría y certificación
7.8. Norma ISO/IEC 27005 Trata la gestión de riesgos en seguridad de la información. Es la que proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información, en soporte del proceso de gestión de riesgos.
8. CONCLUSIONES Llegamos a la conclusión de que la norma ISO / IEC 27005 proporciona directrices para la gestión de riesgos de seguridad de información y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos.
9
“ISO 27005” “Gestión de riesgos de seguridad de la Información”
9. BIBLIOGRAFIA Paginas de Consulta: 1. ISO/IEC 27005 Gestión de riesgos de seguridad de la información http://segweb.blogspot.com/2012/04/27005.html 2. ISO/IEC 27005:2011 Tecnología de la información - Técnicas de seguridad - Información de gestión de riesgos de seguridad http://translate.googleusercontent.com/translate_c? depth=1&hl=es&prev=/search%3Fq%3Diso%2B27005%26biw %3D1366%26bih %3D638&rurl=translate.google.com&sl=en&u=http://www.iso.org/iso/ho me/store/catalogue_ics/catalogue_detail_ics.htm%3Fcsnumber %3D56742&usg=ALkJrhi2Ltcl8OASxy7qloU0PBJVX6V2gA 3. Club de Ensayos http://clubensayos.com/Tecnolog%C3%ADa/%C2%BFPor-Qu%C3%A9-Est %C3%A1n-Importante-La/1034886.html 4. Buenas tareas http://www.buenastareas.com/ensayos/Serie-Iso-Iec27000/38972290.html
9