Proceso de Gestin de Riesgo

Proceso de Gestin de RiesgoISO/IEC 27005ISO/IEC 27005Aunque no existe un mtodo concreto de cmo gestionar riesgos, se recomienda usar un proceso estructurado, sistemtico y riguroso de anlisis de riesgos para la creacin del plan de tratamiento de riesgos.

Los indicadores muestran si la organizacin est sujeta o tiene una alta probabilidad de ser sometida a un riesgo que excede el riesgo permitido.ISO/IEC 27005Esta norma proporciona directrices para la Gestin del riesgo de Seguridad de la Informacin en una organizacin.

Sin embargo esta norma no proporciona ninguna metodologa especfica para el anlisis y la gestin del riesgo de la seguridad de la informacin.

Es aplicable a todo tipo de Organizacin: Empresas comercialesOrganismos GubernamentalesOrganismos sin fines de lucro Entidades FinancierasCompone 12 ClusulasObjeto y campo de aplicacin Referencias NormativasTrminos y definiciones Estructura Informacin GeneralVisin GeneralEstablecimiento del contextoValoracin del RiesgoTratamiento del Riesgo Aceptacin del RiesgoComunicacon de los Riesgos de SIMonitoreo y Revisin ObjetoEsta norma suministra directrices para la gestin del riesgo en la seguridad de la informacin. Esta norma brinda soporte a los conceptos generales que se especifican en la norma ISO/IEC 27001 y est diseada para facilitar la implementacin satisfactoria de la seguridad de la informacin con base en el enfoque de gestin del riesgo.Referencia Los siguientes documentos de referencia son indispensables para la aplicacin de esta norma. Para referencias con fecha, nicamente se aplica la edicin citada. Para referencias sin fecha, se aplica en la edicin ms reciente del documento mencionado(incluyendo todas las enmiendas).Trminos TRMINOS Y DEFINICIONES Para los propsitos de este documento, se aplican los trminos y definiciones de las normas ISO/IEC 27001 e ISO/IEC 27002 y las siguientes:

Impacto.Cambio adverso en el nivel de los objetivos del negocio logrados.

Riesgo en la seguridad de la informacin.Potencial de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando as dao a la organizacin.

TrminosEvitacin del riesgo.Decisin de no involucrarse en una situacin de riesgo o tomar accin para retirarse de dicha situacin.Comunicacin del riesgo.Intercambiar o compartir la informacin acerca del riesgo entre la persona que toma la decisin y otras partes interesadas.

Estimacin del riesgo.Proceso para asignar valores a la probabilidad y lasconsecuencias de un riesgo.Identificacin del riesgo.Proceso para encontrar, enumerar y caracterizar loselementos de riesgo.

TrminosReduccin del riesgo.Acciones que se toman para disminuir la probabilidad las consecuencias negativas, o ambas, asociadas con un riesgo.Retencin del riesgo.Aceptacindelaprdida oganancia provenientedeunriesgop articular.

Estructura de esta normaEsta norma contiene la descripcin de los procesos para la gestin del riesgo en la seguridad de la informacin y sus actividades.

Informacin GeneralEs necesario un enfoque sistemtico para la gestin del riesgo en la seguridad de la informacin para identificar las necesidades de la organizacin con respecto a los requisitos de seguridad de la informacin y para crear un sistema de gestin de la seguridad de la informacin (SGSI) eficaz.ProcesoEl proceso de gestin del riesgo en la seguridad de la informacin puede ser iterativo para las actividades de valoracin del riesgo y/o de tratamiento del riesgo.. Proceso de RSI

El contexto se establece primero. Luego se realiza una valoracin del riesgo. Si sta suministra informacin suficiente para determinar de manera eficaz las acciones que se necesitan para modificar los riesgos hasta un nivel aceptable, entonces la labor est terminada y sigue el tratamiento del riesgo.ProcesoActividades SGSI

ContextoDeterminar el propsito de la gestin del riesgo en la seguridad de la informacin ya que esto afecta al proceso total y, en particular, al establecimiento del contexto.

Este propsito puede ser:

darsoporteaunSGSIconformidadlegalyevidenciasdeladebidadiligenciapreparacindeunplanparalacontinuidaddelnegociopreparacindeunplanderespuestaaincidentes;

Tratamiento de RiesgosLas opciones para el tratamiento del riesgo se deberan seleccionar con base en el resultado de la evaluacin del riesgo, el costo esperado para implementar estas opciones y los beneficios esperados como resultado de tales opciones.Reduccin de riesgosAccin: El nivel del riesgo se debera reducir mediante la seleccin de controles, de manera tal que el riesgo residual se pueda revaluar como aceptable.

En general, los controles pueden brindar uno o ms de los siguientes tipos de proteccin:

Correccin, eliminacin, prevencin, minimizacin del impacto, disuasin, deteccin, recuperacin, monitoreo y concienciacin.Evitacin del riesgoCuando los riesgos identificados se consideran muy altos, o si los costos para implementar otras opciones de tratamiento del riesgo exceden los beneficios, se puede tomar una decisin para evitar por completo el riesgoPor ejemplo, para los riesgos causados por la naturalezaTransferencia del riesgoLa transferencia del riesgo involucra una decisin para compartir algunos riesgos con las partes externas.

La transferencia del riesgo puede crear riesgos nuevos o modificar los riesgos identificados existentes.AnexosAlcance y LimitacionesIdentificacin, evaluacin de activos y valorizacin de impactos Ejemplos de amenazas crticasVulnerabilidades y mtodos para valorizarlasAproximaciones a valorizacin RSIObligaciones para reduccin de riesgos