Valoración del riesgo H IB ID 8.4 PR O Entrada: Una lista del riesgo con valores asignados a niveles y criterios de valoración de riesgos. Incluye la elaboración y ejecución de un plan de pruebas (por ejemplo, secuencia de comandos de prueba, procedimientos de prueba, y los resultados esperados de la prueba). /OPM 1 4 0 obj Algunas veces una organización puede beneficiarse substancialmente utilizando una combinación de opciones tales como reducir la probabilidad de los riesgos, reduciendo sus consecuencias, e intercambiando o reteniendo cualquier riesgo residual. Por ejemplo, en algunos países puede ser necesaria la protección contra terremotos, pero no en otros. L O PA R C IA L - D U C C IO N TO TA El proceso de gestión del riesgo de seguridad de la información puede ser aplicado a la organización en su totalidad, a cualquier parte de la organización (por ejemplo, un departamento, una localización física, un servicio), a cualquier sistema de información, existente o planeado o a aspectos particulares de control (por ejemplo, planificación de la continuidad del negocio). Asimismo, la necesidad de contratar a las personas adecuadas para el trabajo, y encontrar a las personas adecuadas, podría llevar a la contratación antes de que la investigación de la seguridad se complete. La gestión del riesgo analiza qué puede suceder y cuáles pueden ser las consecuencias posibles, antes de decidir qué debería ser hecho y cuándo, para reducir el riesgo a un nivel aceptable. La siguiente iteración puede implicar considerar una evaluación más a fondo del riesgo potenciales altos revelados en la iteración inicial. O H IB ID A SU R Se debería identificar al propietario de cada activo, con el fin de determinar quién es el responsable y quién debe rendir cuentas sobre el mismo. La práctica normal y más segura es requerir la investigación de antecedentes previo a la contratación. Por ejemplo, algunas de estas herramientas de escaneo tasan potenciales vulnerabilidades, sin considerar el entorno y los requisitos. Evaluación del riesgo de seguridad de la información detallada PR O H E.2 E.2.1 Generalidades El proceso de evaluación del riesgo de seguridad de la información detallado involucra una profunda identificación y evaluación de los activos, la evaluación de las amenazas a los activos, y la evaluación de las vulnerabilidades. IO N TO La eficacia del tratamiento del riesgo depende de los resultados de la evaluación de riesgos. /Pages 2 0 R IB ID A Restricciones técnicas, relacionadas con la infraestructura, generalmente surgen de instalar hardware y software, y de las salas o sitios donde se alojen los procesos de: PR O H - archivos (requisitos en materia de organización, gestión de los medios, gestión de las normas de acceso, entre otros); - arquitectura general (requisitos relativos a la topología (centralizada, distribuida, cliente-servidor), arquitectura física, entre otros); - software de aplicación (en relación con las necesidades específicas de diseño de software, normas del mercado, entre otros); - paquete de software (requisitos relativos a las normas, el nivel de valoración, calidad, cumplimiento de normas, seguridad, entre otros); © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados NORMA TÉCNICA PERUANA NTP-ISO/IEC 27005 51 de 91 hardware (requisitos relativos a las normas, la calidad, el cumplimiento de las normas, entre otros); - redes de comunicación (requisitos relativos a la cobertura, normas, capacidad, fiabilidad, entre otros); y - infraestructura edificada (requisitos relativos construcción, alto voltaje, bajo voltaje, entre otros). Finalmente, las amenazas pueden ser ordenadas de acuerdo a la medida del riesgo asociada. Esto significa que incluso si tales procesos o información son comprometidos, la organización aún cumplirá la misión con éxito. EP R O D U C C IO N Una vez que el plan de tratamiento del riesgo ha sido definido, se necesita determinar los riesgos residuales. C IO N TO TA L O En general, las consecuencias adversas de los riesgos deberían ser minimizadas tanto como sea razonablemente practicable e independientemente de cualquier criterio absoluto. Ya que los controles pueden influir unos en otros, eliminar controles redundantes puede reducir el nivel de la seguridad implementada. Si estos datos no son conocidos en el momento de la prueba, puede no ser posible explotar exitosamente una vulnerabilidad en particular (por ejemplo, obtener una sesión de comandos en el sistema remoto); sin embargo, es posible hacer fallar o reiniciar un proceso o sistema de prueba. EP R O D U Guía de Implementación: SU R Hay cuatro opciones disponibles para el tratamiento de riesgo: modificación del riesgo (véase 9.2), retención del riesgo (véase 9.3), evitar el riesgo (véase 9.4) y compartir el riesgo (véase 9.5). Para evaluar la probabilidad de ocurrencia de una amenaza, el marco de tiempo en el cual el activo va a tener valor o necesidad de protección puede ser establecido. R EP R O - Equipo de procesamiento de datos (activo): Equipo de procesamiento automático de información, incluidos los elementos requeridos para la operación independiente. TO TA L O PA R C IA L - C IO N Las ventajas de la evaluación del riesgo de alto nivel son las siguientes: La incorporación de una aproximación inicial simple es probablemente como ganar la aceptación del programa de valoración. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. Es miembro de la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), en representación del país. Tecnologa de la informacin, Subcomit SC 27, Tcnicas de seguridad en O H IB ID Se debería tomar en cuenta varias restricciones cuando se seleccionen controles y durante su implementación. La norma ISO 27005 contiene diferentes recomendaciones y directrices generales para la gestión de riesgo en Sistemas de Gestión de Seguridad de la Información. se debería que el costo de cambiar los controles existentes a los controles planificados incluya elementos a ser agregados a los costos globales de tratamiento de riesgos. IO N TO Se debería recolectar información sobre la organización para determinar el entorno en el que opera y su importancia para el proceso de gestión del riesgo de seguridad de la información. © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados NORMA TÉCNICA PERUANA NTP-ISO/IEC 27005 81 de 91 El paso detallado generalmente requiere tiempo considerable, esfuerzo y experiencia, y puede entonces ser lo más adecuado para los sistemas de información en alto riesgo. Welcome to leave a message below.Thanks. PA R Acción: Se deberían identificar las amenazas y sus fuentes. Se obtiene mediante la creación de barreras físicas en torno a las infraestructuras de procesamiento de la información de la organización. Puede utilizarse el análisis cualitativo: como una actividad de selección inicial para identificar los riesgos que requieren análisis más detallado; cuando este tipo de análisis es apropiado para las decisiones; y cuando los datos numéricos o los recursos son inadecuados para un análisis cualitativo. Se hace hincapié en que este enfoque tiene en cuenta las consecuencias que son necesarias considerar en la evaluación de riesgos. PRLOGO ISO (la Organizacin Internacional para la Normalizacin) e WebDownload Free PDF "Uso de la norma ISO ... "Uso de la norma ISO/IEC 27004 para Auditoría Informática" REPOSITORIO INSTITUTO SUPERIOR TECNOLOGICO … /BM/Normal WebLa nueva norma internacional ISO / IEC 27001 - seguridad de la información, ayudará a las organizaciones de todo tipo para mejorar la gestión de sus riesgos de seguridad de la … La evaluación de riesgos se realiza a menudo en más de una interación, la primera es una evaluación de alto nivel para identificar los riesgos altos, mientras que las interacciones posteriores detallan el análisis de los riesgos principales y tolerables. En suma, mientras se identifican los controles existentes se debería hacer un chequeo para asegurar que los controles están trabajando correctamente –una referencia a los informes de auditoría del SGSI ya existentes debería limitar el tiempo invertido en esta tarea–. La revisión de riesgos bajos y aceptados debería considerar cada riesgo en forma separada y también como un todo, a fin de evaluar su impacto potencial acumulado. Web• ISO 27005: Publicada el 4 de Junio de 2008. Relación con otras … © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados NORMA TÉCNICA PERUANA 8.2.2 NTP-ISO/IEC 27005 18 de 91 Identificación de activos C IA L Entrada: Alcance y límites de la evaluación del riesgo a ser realizada, lista de componentes con sus propietarios, ubicación, función, entre otros. TO TA L O PA Consecuencias pueden ser evaluadas de varias formas, incluyendo uso cuantitativo, por ejemplo, monetario, y medidas cualitativas (las cuales pueden basarse en el uso de adjetivos como moderado y severo), o una combinación de ambos. Incluso si un proceso puede dividirse en sub-procesos, el proceso no es necesariamente influenciado por todos los sub-procesos de otro proceso. >> © All Rights Reserved All ISO publications and materials are protected by copyright and are subject to the user’s acceptance of ISO’s conditions of copyright. SU R Salida: Plan de tratamiento del riesgo y riesgos residuales sujetos a la decisión de aceptación por la alta dirección de la organización. PR Todas las actividades de la gestión del riesgo de seguridad de la información son presentadas en el capítulo 6 y posteriormente descritas en los siguientes capítulos: - establecimiento del contexto en el capítulo 7 ; - evaluación (assessment) del riesgo en el capítulo 8 ; - tratamiento del riesgo en el capítulo 9 ; © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados NORMA TÉCNICA PERUANA NTP-ISO/IEC 27005 3 de 91 aceptación del riesgo en el capítulo 10 ; - comunicación del riesgo en el capítulo 11 ; y - seguimiento (monitoring) y revisión del riesgo en el capítulo 12 . Posibles criterios utilizados para determinar el valor del activo incluyen su costo original, su costo de sustitución o de re-creación o su valor puede ser abstracto, por ejemplo, el valor de la reputación de una organización. Esto podría significar que algunos de los criterios antes mencionados no son aplicables, y que tal vez otros tendrían que ser añadidos a la lista. WebNORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27005 INTRODUCCIÓN Esta norma proporciona directrices para la gestión del riesgo en la seguridad de la información en … IO N Ejemplos: General Packet Radio Service C (GPRS), adaptador Ethernet. You can download ISO/IEC 27005:2018 for free on www.freestandardsdownload.com. © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados NORMA TÉCNICA PERUANA NTP-ISO/IEC 27005 62 de 91 PA R C IA L Otra base para la evaluación de los activos es el gasto debido a la pérdida de confidencialidad, integridad y disponibilidad como consecuencia de un incidente. Including encryption. << Web0.5.3 ISO/IEC 27002, Código de prácticas para la gestión de seguridad de información xiii . 0.5.5 ISO/IEC 21827, Ingeniería de Seguridad de Sistemas – Modelo de Madurez de Capacidad® Si no es justificado o no es suficiente, se debería corroborar el control para determinar si debería ser eliminado, remplazado por otro control más adecuado, o si debería permanecer en su sitio (stay in place), por ejemplo, por razones de costo. Si el riesgo residual aún no satisface el criterio de aceptación de la organización, puede ser necesaria otra iteración de tratamiento del riesgo antes de proceder a la aceptación de riesgos. directrices de ISO/IEC. La aplicación de un proceso de gestión del riesgo de seguridad de la información puede satisfacer este requisito. Ambos tipos de valoración podrían utilizarse para el mismo activo. SU R Guía de Implementación: EP R O Acción: La decisión de retener el riesgo sin ninguna acción adicional debería ser tomada dependiendo de la valoración de los riesgos. En el primer punto de decisión (véase Figura 2), varios factores asisten en determinar si la evaluación de alto nivel es adecuada para el tratamiento de los riesgos; estos factores podrían incluir lo siguiente: © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados NORMA TÉCNICA PERUANA NTP-ISO/IEC 27005 80 de 91 los objetivos de negocio a ser alcanzados utilizando varios activos de información; - el grado en que los negocios de la organización dependen de cada activo de información, es decir si las funciones que la organización considera críticas para su supervivencia o la conducción efectiva del negocio son dependientes de cada activo, o de la confidencialidad, integridad, disponibilidad, no repudio, responsabilidad, autenticidad, y confiabilidad de la información almacenada y procesada por ese activo; - el nivel de inversión en cada activo de información, en términos de desarrollo, mantenimiento, reemplazo del activo; y - el activo de información, para los cuales la organización directamente asigna un valor. A menos que se especifique lo contrario, ninguna parte de esta publicación podrá ser reproducida o utilizada por cualquier medio, electrónico o mecánico, incluyendo fotocopia o publicándolo en el internet o intranet, sin permiso por escrito del INACAL. Un control puede ser efectivo o inefectivo dependiendo del entorno en que opera. Si esto proporciona la información suficiente para determinar con eficacia las acciones requeridas para modificar los riesgos a un nivel aceptable, entonces la tarea estará completa y se continúa con el tratamiento de riesgos. campos de inters mutuo. R C IA L Información adicional sobre los tipos de amenazas puede encontrase en el Anexo C . La actualización del establecimiento, mantenimiento y mejora continua de un SGSI ofrecen una clara indicación de que una organización está utilizando un enfoque sistemático para la identificación, evaluación y gestión de riesgos de seguridad de la información. Puedes conocer más sobre la norma ISO 27005 en el siguiente post ISO/IEC 27005. WebTecnología de la información. This document provides guidelines for information security risk management. WebISO/IEC 27005. No hay reglas con respecto al número de niveles más adecuado. /Subtype/XML la tecnologa de la informacin. La identificación y evaluación de activos y las valoraciones de impacto se discuten en el Anexo B. El Anexo C proporciona ejemplos de amenazas típicas y el Anexo D discute las vulnerabilidades y los métodos de evaluación de vulnerabilidades. >> commercial enterprises, government agencies, non-profit organizations) which intend to manage risks that can compromise the organization's information security. © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados NORMA TÉCNICA PERUANA NTP-ISO/IEC 27005 13 de 91 La organización debería definir sus propias escalas para los niveles de aceptación del riesgo. Estas estrategias probablemente incluyen la información y el sistema de información (IS, por su sigla en inglés), que ayuda a su aplicación. This standard is shared by an Chinese netizen for free. The standard for IS governance just updated. - Retransmisión (relay) pasiva o activa: Este sub-tipo incluye todos los dispositivos que no son terminaciones lógicas de las comunicaciones (visión de Seguridad de la Información), pero son dispositivos intermedios o de © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados NORMA TÉCNICA PERUANA NTP-ISO/IEC 27005 58 de 91 C IA L retransmisión (relay). EP R O D U C El conocimiento de los conceptos, modelos, procesos y terminología descritos en ISO/IEC 27001 e ISO/IEC 27002 es importante para un entendimiento completo de este documento. La presente Norma Técnica Peruana presenta cambios editoriales referidos principalmente a terminología empleada propia del idioma español y ha sido estructurada de acuerdo a las Guías Peruanas GP 001:2016 y GP 002:2016. © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados NORMA TÉCNICA PERUANA NTP-ISO/IEC 27005 78 de 91 ANEXO E (INFORMATIVO) PA R C IA L Enfoques a la evaluación del riesgo de seguridad de la información Evaluación del riesgo de seguridad de la información de alto nivel TA L O E.1 EP R O D U C C IO N TO La evaluación de alto nivel permite la definición de prioridades y cronología en las acciones. Monday to Friday - 09:00-12:00, 14:00-17:00 (UTC+1). SU - Equipo transportable: Equipo de cómputo portátil. © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados NORMA TÉCNICA PERUANA NTP-ISO/IEC 27005 50 de 91 Lista de restricciones que afectan el alcance PA R A.3 C IA L Por ejemplo, en el sector privado y algunos organismos públicos, el costo total de controles de seguridad no debe superar el costo de las posibles consecuencias de los riesgos. Otras organizaciones internacionales, públicas y privadas, en coordinación con ISO e IEC, también participan en el trabajo. La probabilidad de ocurrencia de una amenaza específica está afectada por lo siguiente: lo atractivo del activo, o posible impacto aplicable cuando una amenaza humana deliberada está siendo considerada; - lo fácil que la explotación de una vulnerabilidad de un activo se convierta en una ganancia, aplicable si una amenaza humana deliberado está siendo considerada; - las capacidades técnicas del agente de la amenaza, aplicable a amenazas humanas deliberadas; y - lo susceptible de la vulnerabilidad a ser explotada, aplicable a ambas, técnicas y no técnicas vulnerabilidades. [email protected] Se debería tomar en cuenta cuan a menudo ocurre la amenaza y cuan fácilmente las vulnerabilidades pueden ser explotadas, considerando: experiencia y estadísticas aplicables para probabilidad de amenazas; - para fuentes deliberadas de amenaza: la motivación y capacidades, que cambian con el tiempo, y los recursos disponibles a posibles atacantes, así como la percepción del atractivo y la vulnerabilidad de los activos para un posible atacante; - para fuentes accidentales de amenazas: factores geográficos, por ejemplo, proximidad de plantas químicas o petroleras, la posibilidad de condiciones extremas del clima, y factores que podrían influir en errores humanos y mal funcionamiento de equipamiento; - las vulnerabilidades, tanto individualmente como sumadas; y - controles existentes vulnerabilidades. Blog especializado en Seguridad de la Información y Ciberseguridad. WebISO 27000 – Descargar PDF Gratis. A SU R Salida: Una lista de las consecuencias evaluadas en un escenario de incidente expresadas con respecto a los activos y criterios de impacto. Acción: Se debería evitar la actividad o condición que hace posible a un riesgo en particular. Restricciones relacionadas con los métodos Se debería utilizar métodos adecuados al conocimiento (know-how) de la organización para la planificación de proyectos, especificaciones, desarrollo y demás. Los clientes suelen atribuir un impacto adverso como si fuera una falla de la organización. - La evaluación del riesgo de alto nivel podrá tratar un número limitado de amenazas, y vulnerabilidades agrupadas en distintos dominios o, para agilizar el proceso, puede focalizar en escenarios del riesgo o ataques en lugar de en sus elementos. se debería considerar también, no repudio, rendiciones de cuenta, autenticidad y fiabilidad, según corresponda. TA L O PA R La estrategia de la organización: Esto requiere una expresión formal de los principios rectores de la organización. R C IA - L Se debería considerar opciones en el tratamiento del riesgo tomando en cuenta: TO TA L O PA El riesgo para la organización es la falta de cumplimiento por lo que se debería implementar opciones de tratamiento para limitar esta posibilidad. D U C C Notar que el tratamiento del riesgo involucra un proceso cíclico de: evaluar un tratamiento del riesgo; - decidir si los niveles de riesgo residual son aceptables; - generar un nuevo tratamiento del riesgo si los niveles de riesgo no son aceptables; y - evaluar la eficacia del tratamiento. EP R O D U La organización debería establecer, implementar y mantener un procedimiento para identificar los requisitos aplicables a: la selección de criterios para la evaluación del riesgo (7.2.2), el impacto del riesgo (7.2.3) y la aceptación del riesgo (7.2.4); - la definición del alcance y los límites de la gestión del riesgo de seguridad de la información (7.3 y A.2); IB ID A SU R - H - tratamiento del riesgo de (9.1) y la implementación de planes de reducción del riesgo (9.2 y Anexo F); - el seguimiento, la revisión y la mejora de la gestión del riesgo (12.2); - identificación de activos (B.1.3) y valoración de activos (B.2.3); y - estimación del riesgo (véase ejemplos en E.2.1). Guía de implementación: La naturaleza de las decisiones relativas a la valoración del riesgo y a los criterios de valoración de riesgos, que van a ser utilizados para tomar estas decisiones, se deberían de © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados NORMA TÉCNICA PERUANA NTP-ISO/IEC 27005 30 de 91 R C IA L haber definido al establecer el contexto. a) Restructured into the high level structure used for all management system standards (from Annex SL of the Consolidated ISO Supplement to the ISO/IEC Directives Part 1). Admisión de Riesgos Seguridad de la información. Acción: La información acerca de los riesgos debería ser intercambiada y/o compartida entre los tomadores de decisiones y otros interesados. © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados NORMA TÉCNICA PERUANA NTP-ISO/IEC 27005 31 de 91 9.1 Descripción general del tratamiento del riesgo C IA Tratamiento del riesgo de seguridad de la información O PA R 9 L Salida: Una lista de riesgos priorizados de acuerdo a los criterios de valoración del riesgo en relación a los escenarios de incidentes que conducen a estos riesgos. La evaluación del riesgo cuantifica o describe cualitativamente el riesgo y permite a los directores priorizar el riesgo de acuerdo con su percepción de la gravedad u otros criterios establecidos. WebNorma ISO 31000 versión 2009: Gestión de Riesgos – Principios y Guías Traducción libre NO OFICIAL – NO Comercial, Solo con fines informativos Hoja No 3 La gestión de la seguridad de la información. WebEspañol. Una consecuencia que podría ser desastrosa para una organización pequeña puede ser baja o incluso insignificante para una gran organización. Criterios O H B.2.2 PR Los criterios utilizados como base para asignar un valor a cada activo deberían ser escritos en términos inequívocos. - Por ejemplo, algunos servicios deberían ser capaces de continuar, incluso durante una grave crisis. La experiencia podría no estar disponible inmediatamente para implementar los controles planificados o la experiencia podría ser excesivamente costosa para la organización. Las nuevas amenazas, vulnerabilidades o cambios en la probabilidad o las consecuencias pueden aumentar los riesgos evaluados previamente como del nivel más bajo. PR O H IB ID A SU R - Esta valoración se puede determinar a partir de un análisis de impacto en el negocio. WebEsta tercera edición de ISO/IEC 27005 no presenta cambios radicales o muy detallados, centrándose principalmente en eliminar las referencias que ya no son de utilidad y las … Gestión de riesgo de la seguridad de la información PA R Alcance TA L O Esta Norma Técnica Peruana proporciona directrices para la gestión del riesgo de seguridad de la información. Otro tipo de restricción de tiempo es si un control puede ser implementado dentro del tiempo de vida de la información o del sistema. /OP true Se debería fijar los criterios de aceptación del riesgo considerando lo siguiente: H - - tecnología; - finanzas; y - factores sociales y humanitarios. Sistemas de Gestión de la Seguridad de la Información. Estas imponen limitaciones en la organización estudiada en términos de reglamentos, decisiones y acciones. D U C C IO N - Aplicaciones de negocio específicas: Este es software en el cual varios aspectos (principalmente soporte, mantenimiento, actualización, entre otros) han sido desarrollados específicamente para dar a los usuarios acceso directo a los servicios y funciones que requieren de su sistema de información. No, es un requisito. 0.5.4 ISO/IEC 27005, Gestión de riesgo de seguridad de información ..... xiii . © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados NORMA TÉCNICA PERUANA NTP-ISO/IEC 27005 77 de 91 PA R C IA L La prueba de penetración puede utilizarse para complementar la revisión de los controles de seguridad y garantizar que las diferentes facetas del sistema de las TIC son seguras. Define lo que quiere llegar a ser y los medios que necesitarán implementarse. R - D U C Por ejemplo, la cooperación internacional al compartir información sensible puede requerir acuerdos sobre intercambio seguro. Es importante que la organización use un método con el cual se sienta confortable, en el cual la organización confíe, y que produzca resultados repetibles. Las amenazas pueden ser de origen natural o humano, y pueden ser accidentales o deliberadas. The previous ISO 27005:2018 uses general wording to accept risks. Ahora la fila apropiada en la matriz es identificada por el valor del activo, y la columna apropiada es identificada por la probabilidad de ocurrencia de la amenaza y la facilidad de explotación. © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados NORMA TÉCNICA PERUANA NTP-ISO/IEC 27005 20 de 91 Cuando utilizamos catálogos de amenazas, o los resultados de las primera evaluación de amenazas, se debería ser consciente del cambio continuo de las amenazas relevantes, especialmente si el entorno del negocio o los sistemas de información cambian. También, puede ser prematuro comenzar un análisis del riesgo detallado si la implementación se avizora después de uno o dos años. Definiciones básicas de seguridad, como el … D U C C Salida: Una lista de los riesgos evaluados, priorizados de acuerdo al criterio de valoración de riesgos. /AIS false Los controles que son difíciles de utilizar impactarán en su efectividad, ya que los usuarios intentarán evadirlos o ignorarlos lo máximo posible. This white paper outlines the key cyber threats and vulnerabilities to address when working from home. Estas se expresan en la estrategia de la organización o en planes operativos. Cada uno de los valores asignados probablemente difiera considerablemente. Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. La primera edicin de la norma Suscríbase ahora a nuestra newsletter y manténgase al día de las noticias. Además, se debería que, si un proceso de negocio depende de la integridad de ciertos datos que se producen por un programa, los datos de entrada de este programa tengan la adecuada confiabilidad. El primer paso es decidir el © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados NORMA TÉCNICA PERUANA NTP-ISO/IEC 27005 65 de 91 R C IA L número de niveles que deben utilizarse. Están disponibles catálogos y estadísticas de amenazas de grupos de la industria, gobiernos nacionales, grupos legales, compañías de seguro, entre otros. O H IB ID A A continuación, un puntaje de activo / amenaza se asigna al encontrar la intersección del valor del activo con el valor de la probabilidad en la Tabla E.5. This document is applicable to all types of organizations (e.g. D U C C IO La coordinación entre los principales tomadores de decisiones y los interesados pueden lograrse mediante la formación de un comité donde puede tener lugar el debate acerca de los riesgos, sus prioridades, tratamiento apropiado, y su aceptación. IB ID A SU R EP R O D U C - PR O H Como el análisis inicial es de alto nivel, y potencialmente menos exacto, la única posible desventaja es que algunos procesos de negocio o sistemas podrían no ser identificados los cuales requerirían una segunda y detallada evaluación de riesgo. El tiempo es un factor determinante para la selección de prioridades y soluciones. Las normas internacionales se redactan de Pueden considerarse también otros activos primarios tales como los procesos de la organización, lo cual será más apropiado para elaborar una política de seguridad de la información o un plan de continuidad del negocio. Reducción a una base común SU R B.2.3 PR O H IB ID A En última instancia, todas las valoraciones de activos deben reducirse a una base común. PR O H IB ID Las vulnerabilidades pueden estar relacionadas a propiedades de los activos que pueden ser utilizadas en un sentido, o para un propósito, distinto a la intención con la cual el activo fue comprado o hecho. Address: Copyright © 2023 VSIP.INFO. : +51 1 640-8820 [email protected] www.inacal.gob.pe i © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados ÍNDICE página ii PRÓLOGO iv PRÓLOGO (ISO) vi C IA L ÍNDICE viii Alcance 2 Referencias normativas 3 Términos y definiciones 4 Estructura de este documento 5 Antecedentes (Background) 6 Descripción del proceso de gestión de riesgos de seguridad de la información 5 7 7.1 7.2 7.2.1 7.2.2 7.2.3 7.2.4 7.3 7.4 Establecimiento el contexto Consideraciones generales Criterios básicos Enfoque de la gestión de riesgo Criterio de valoración del riesgo Criterios de impacto Criterios de aceptación del riesgo El alcance y los límites Organización para la gestión de riesgos de seguridad de la información 10 10 11 11 11 12 12 14 15 Evaluación de riesgos de seguridad de la información Descripción general de la evaluación de riesgos de seguridad de la información Análisis de riesgos Introducción a la identificación de riesgos Identificación de activos Identificación de las amenazas Identificación de controles existentes 16 16 1 1 2 2 4 PR O H IB ID A SU R EP R O D U C IO N TO TA L O 1 C PA R INTRODUCCIÓN 8 8.1 8.2 8.2.1 8.2.2 8.2.3 8.2.4 17 17 18 19 20 ii © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados Identificación de vulnerabilidades Identificación de consecuencias Análisis de riesgos Metodologías de análisis de riesgos Evaluación de consecuencias Evaluación de probabilidad de incidentes Determinación del nivel de riesgos Valoración de riesgos 21 23 24 24 25 27 29 29 9 9.1 9.2 9.3 9.4 9.5 Tratamiento del riesgo de seguridad de la información Descripción general del tratamiento de riesgos Modificación de riesgos Retención de riesgos Evitar el riesgo Compartir el riesgo 30 30 34 36 36 37 10 Aceptación del Riesgo de seguridad de la información 11 Comunicación y consulta del riesgo de seguridad de la información 12 12.1 12.2 Seguimiento y revisión del riesgo de seguridad de la información Seguimiento y revisión de los factores de riesgos Seguimiento, revisión y mejora de la gestión de riesgos EP R O ANEXOS 40 40 42 45 53 ANEXO C (INFORMATIVO) Ejemplos de amenazas típicas 68 ANEXO D (INFORMATIVO) Vulnerabilidades y métodos para evaluación de vulnerabilidades 71 ANEXO E (INFORMATIVO) Enfoques a la evaluación de riesgos de seguridad de la información 78 ANEXO F (INFORMATIVO) Restricciones para la modificación del riesgo 88 BIBLIOGRAFÍA 91 SU ANEXO B (INFORMATIVO) Identificación y evaluación de activos y evaluación de impacto IB ID H O 38 A R ANEXO A (INFORMATIVO) Definición del alcance y límites del proceso de gestión de riesgos de seguridad de la información PR 37 D U C C IO N TO TA L O PA R C IA L 8.2.5 8.2.6 8.3 8.3.1 8.3.2 8.3.3 8.3.4 8.4 iii © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados PRÓLOGO A. RESEÑA HISTÓRICA R C IA L A.1 El Instituto Nacional de Calidad - INACAL, a través de la Dirección de Normalización es la autoridad competente que aprueba las Normas Técnicas Peruanas a nivel nacional. Esta tercera edición cancela y reemplaza la segunda edición (ISO/IEC 27005:2011) que ha sido revisada técnicamente. La norma suministra las directrices para la gestión … Any use, including reproduction requires our written permission. Las amenazas, vulnerabilidades, probabilidades o consecuencias pueden cambiar bruscamente sin ningún tipo de indicación. /OPM 1 >> La suma de múltiples riesgos bajos o medios puede resultar en riesgos totales mucho más altos, y necesitan ser manejados de manera acorde. ISO/IEC 27005:2018 Withdrawn Add to Watchlist Information technology — Security techniques — Information security risk management Available format (s): Hardcopy, PDF 1 User, PDF 3 Users, PDF 5 Users, PDF 9 Users Withdrawn date: 25-10-2022 Language (s): English, French Published date: 09-07-2018 PROYECTO DE NORMA TCNICA COLOMBIANA NTC-ISO 27005 DE 174/08 Anexo A: Definición del alcance del proceso. vi © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados Cualquier comentario o pregunta sobre este documento debe dirigirse al organismo nacional de estándares del usuario. Referencias normativas PR O H 2 Los siguientes documentos, se referencian en el texto de tal manera que algunos o todos sus contenidos constituyen requisitos de este documento. En fecha 10 de julio del 2018, se encuentra publicada la nueva versión de ISO/IEC 27005 Information technology -- Security techniques -- Information security risk management , en lo qeu ahora es su tercera edición. La identificación de los controles existentes puede determinar que los mismos exceden las necesidades actuales, en términos de comparación de costos, incluyendo mantenimiento. /AIS false TA L O PA R Es necesario definir el alcance del proceso de gestión del riesgo de seguridad de la información, para asegurar que todos los activos relevantes son tomados en cuenta en la evaluación de riesgos. /Metadata 6 0 R © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados NORMA TÉCNICA PERUANA 8.2.6 NTP-ISO/IEC 27005 23 de 91 Identificación de consecuencias C IA L Entrada: Una lista de activos, una lista de procesos de negocios, y una lista de amenazas y vulnerabilidades, cuando sea apropiado, relacionada a los activos y su relevancia. (ISO/IEC 17025:2017) Exigences générales … All rights reserved. Gestión de riesgo de la seguridad de la información, 2ª Edición, el 16 de enero de 2019. La alta dirección debería considerar riesgos raros pero severos. © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados NORMA TÉCNICA PERUANA NTP-ISO/IEC 27005 57 de 91 Ejemplos: software de gestión de base de datos, software de mensajería electrónica, colaboración, software de directorio, software de servidor web, entre otros. A continuación le ofrecemos el enlace hacia la descarga gratuita para el siguiente documento Información ISO 27000 … O PR evaluación del riesgo (8.4); © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados NORMA TÉCNICA PERUANA NTP-ISO/IEC 27005 10 de 91 Establecimiento del contexto 7.1 Consideraciones generales C IA L 7 PA R Entrada: Toda la información sobre la organización relevante al establecimiento del contexto para la gestión del riesgo de seguridad de la información. - Servicios esenciales: Todos los servicios requeridos para que el equipamiento de la organización opere. IB ID A SU R EP R O D U C C IO a) PR O H Como tal, la primera valoración (sin controles de ningún tipo) estimará un impacto muy cerca al valor (o combinación de los valores) del activo(s) involucrado(s). EP R O D U C C La identificación de activos se debería realizar con un nivel adecuado de detalle tal que provea información suficiente para la evaluación del riesgo. A Restricciones de la integración de controles nuevos y ya existentes: PR O H IB ID - SU R EP R O D U C C IO N TO La disponibilidad y el costo salarial de un conjunto de habilidades especializadas para implementar los controles, y la habilidad para mover el personal entre ubicaciones en condiciones operativas adversas, deberían ser considerados. L O Ejemplos: disquete, CD ROM, cartucho de respaldo, disco duro extraíble, memoria flash, cinta. Identificados en el capítulo 6; SU R EP R O D U C C IO N - Información. EP R O D U C C IO N - SU R Comentarios: - IB ID A Una división dentro de una organización con estructura divisional puede organizarse como una estructura funcional y viceversa PR O H - - Puede decirse que una organización tiene estructura matricial si tiene elementos de ambos tipos de estructura En cualquier estructura organizativa se pueden distinguir los siguientes niveles: - nivel de toma de decisiones (definición de orientaciones estratégicas); - nivel de liderazgo (coordinación y gestión); y - nivel operativo (producción y actividades de apoyo). However, this document does not provide … La identificación del riesgo debería incluir riesgos ya sea que su fuente se encuentre o no bajo control de la organización, aunque su fuente o causa no sea evidente. El tamaño de la matriz, en términos del número de categorías de probabilidad de amenaza, categorías de facilidad de explotación y número de categorías de evaluación de un activo, puede ser ajustado a las necesidades de la organización. PR O H Las organizaciones deberían identificar las consecuencias operacionales de escenarios de incidentes en términos de (pero no limitados a): - tiempo de investigación y de reparación; - (trabajo) tiempo perdido; - perdida de oportunidad; - salud y seguridad; - costos financieros de habilidades específicas para reparar los daños; y © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados NORMA TÉCNICA PERUANA - NTP-ISO/IEC 27005 24 de 91 imagen, reputación y credibilidad. ICS: 35.030 - IT Security. Durante la selección del control, es importante balancear el costo de adquisición, implementación, administración, operación, seguimiento (monitoring), y mantenimiento de los controles contra el valor de los activos que están siendo protegidos. PA R C IA L Las consecuencias o impactos en el negocio pueden ser determinadas por los resultados de modelos de un evento o conjunto de eventos, o por la extrapolación de estudios experimentales o datos del pasado. XX. Para la identificación de los activos se debería tener en cuenta que un sistema de información es más que hardware y software. English Deutsch Français Español Português Italiano Român … Gestión de riesgos de la Seguridad la Información. La información incluye, pero no se limita a la existencia, la naturaleza, la forma, la probabilidad, la gravedad, el tratamiento y la capacidad de aceptación de los riesgos. Introducción. TO TA - otros medios: Estáticos, medios no electrónicos conteniendo datos. PR Los límites de la revisión son el perímetro de los activos de la organización definidos para ser gestionados por el proceso de gestión del riesgo de seguridad de la información. - Restricciones presupuestarias: Los controles de seguridad recomendados pueden tener a veces un costo muy alto. Haciendo esto, el contexto de análisis se concentra más en los ambientes de negocio y operativo que en los elementos tecnológicos. C IO N Ejemplos: los hogares del personal, los locales de otra organización, el entorno fuera de la ubicación (área urbana, área de peligro). /Metadata 77 0 R Esto debería ser identificado junto con los elementos que contribuyan a su desarrollo (ejemplo subcontratación). B.2.4 Escala Después de establecer los criterios a ser considerados, la organización debería lleguar a un acuerdo sobre la escala que utilizará en toda la organización. El impacto inmediato (operacional) es tanto directo como indirecto. L O - Ubicación: TO TA - Entorno externo: Esto afecta a todas las ubicaciones en las cuales los medios de seguridad de la organización no se pueden aplicar. © ISO/IEC 2018 - © INACAL 2018 - Todos los derechos son reservados NORMA TÉCNICA PERUANA NTP-ISO/IEC 27005 55 de 91 C IA L Los procesos y la información que no están identificados como sensibles después de esta actividad no tendrán ninguna clasificación definida en el resto del estudio. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1. Se llama la atencin sobre la posibilidad de que algunos de 27005 fue elaborada por el Comit Tcnico Conjunto ISO/ IEC JTC 1, Technologies de l'information — Techniques de sécurité — Gestion des risques liés à la sécurité de … << La estrategia de la organización determina la dirección y el desarrollo necesarios a fin de beneficiarse de los elementos en juego y de los cambios más importantes que estén planificados. Acción: Se debería identificar las vulnerabilidades que pueden ser explotadas por amenazas para causar daños a los activos o a la organización. PR O H IB ID A SU R Se debería realizar una identificación de los controles existentes a fin de evitar trabajo o costos innecesarios, por ejemplo, en la duplicación de controles. PR O H Objetivo principal de la organización: El objetivo principal de una organización puede ser definido como la razón por la que existe (su ramo de actividad, su segmento de mercado, entre otros). No habiéndose recibido observaciones, fue oficializada como Norma Técnica Peruana NTP-ISO/IEC 27005:2018 Tecnología de la información. El impacto se relaciona con el grado de éxito del incidente. También suponga que hay dos amenazas T1 y T2 aplicables al sistema S. Sea el valor de A1 es 3, de modo similar el valor del activo A2 es 2 y el valor del activo A3 es 4. Los indicadores de riesgo muestran si la empresa se encuentra sujeta o tiene alta probabilidad de ser sometida a un riesgo que excede el riesgo permitido. A newly revised standard …, Information security, cybersecurity and privacy protection, Reducing the risks of information security breaches with ISO/IEC 27005, All ISO publications and materials are protected by copyright and are subject to the user’s acceptance of ISO’s conditions of copyright. Esto puede llevarse a cabo con la ayuda de criterios tales como los que siguen. /FontDescriptor 9 0 R Criterios de aceptación del riesgo Se debería desarrollar y especificar criterios de aceptación del riesgo. La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001. Los elementos principales del sistema operativo son todos los servicios de gestión del equipo (CPU, memoria, disco e interfaces de red), las tareas o servicios de gestión de procesos y los servicios de gestión de derechos de usuario. En consecuencia, las características concernientes a la identidad, misión y estrategias de la organización son elementos fundamentales en el análisis del problema dado que la violación de un aspecto de seguridad de la información, podría dar lugar a repensar estos objetivos estratégicos. Técnicas de seguridad. A number of existing methodologies can be used under the framework described in this document to implement the requirements of an ISMS. The … En particular, deben tenerse en cuenta los diferentes criterios de aprobación necesarios para los diferentes tipos de documentos. Los usuarios elijen el método que mejor se adapte para, por ejemplo, una evaluación de riesgos de alto nivel seguido de un análisis de riesgos en profundidad sobre las zonas de alto riesgo. Esto involucra una actualización o re-iteración de la evaluación de riesgos, tomando en cuenta los efectos esperados del tratamiento del riesgo propuesto. La Plataforma Tecnológica ISOTools da cumplimiento a las directrices de la gestión del riesgo de la información, siendo una herramienta de fácil uso y amigable. Además, listas de todos los controles existentes y planificados, su efectividad, y estado de implementación y uso. El valor del impacto en el negocio puede ser expresado en forma cualitativa y cuantitativa, pero cualquier método de asignación de valores monetarios generalmente puede proporcionar más información para la toma de decisiones y por lo tanto facilitar un proceso de toma de decisiones más eficiente. Información de seguridad Seguimiento de Riesgos y Revisión. ISO e IEC no asumen responsabilidad por la identificacin Ellos son de varios tipos: - D U C Hardware. Los principales cambios que afectan a la organización deberían ser motivo para una revisión más específica. Para referencias no fechadas se aplica la edición más reciente del documento referenciado (incluida cualquier enmienda). Asimismo, si para A1/T2 la probabilidad de amenaza es media y la facilidad de explotación de vulnerabilidad es alta, el puntaje de A1/T2 es 6.
Trabajo En Villa El Salvador Sin Experiencia, Santa Martha Del Sur Telefono, Como Citar Un Código Civil En Apa, Cuando Llega La Reina Del Flow 3, Estudio Hidrológico En Obras, Partes De Un Proyecto Productivo Pdf, Hidrólisis De Sales Ejercicios Resueltos , Pdf, Tipos De Contratos Sujetos A Modalidad, Carga General Fraccionada, Características De La Concesión Minera,