Norma Técnica Peruana - Indecopi EDI TI

NORMA TECNICA NTP.ISO/IEC 270052009PERUA}IA

Comisin de Normalizacin y de Fiscalizacin de Barreras Comerciales No Arancelarias - INDECOPICalle de La Prosa 138, San Borja (Lima 4l Lima, Peru

R.029-2009/INDECOPI-CNB. Publicada el 2009- I 147 Precio basado en 95 peiESTA NORMA ES RECOMENDABLE

Descriptores: EDI, tecnologa de la informacin, tcnicas de seguridad, gestin del riesgo, seguridad de la

EDI. Tecnologa de la informacin. Tcnicas de seguridad.Gestin del riesgo en seguridad de la informacin

EDI. Information technolory. Security techniques. Information security risk management

(EeV. ISOmC 27005:2008 EDI. Information technolory - Security techniques - Information security riskmanagement)

2009-09-301" Edicin

informacin

l.

)3.

4.

INDICE

INDICE

PREFACIO

ALCANCE

REFERENCIAS NORMATTVAS

rrumros Y DEFTNICIoNESESTRUCTTTRA DE ESTA NoRMA rcucePERUANA

BASES

vrsrA pnNonurcA DEL pRocEso oe cstN or,rRIESGo EN SEGURIDAD DE LA INFoRMAcTN

DETERMTNAcTN DEL coNTEXTo

EVALUACTN pel RIESGo EN SEGURIDADDE LA INFoRMAcINTRATAMIENTO DEL RIESGO EN SEGURIDADDE LA rNFoRMAcrN

ACEPTACIN nel RIESGo EN SEGURIDADDE LA rNFoRMAcrN

coMLrNICectN DEL RTESGo EN sEGURTDADDE LA rNFoRMActN

MoNrroREo y REVrsrN o,r RTESGo EN SEGURIDADDE LA rNFoRMAclN

ANTECEDENTES

pagrna

I

I

2

J

55.

6.

7.

8.

9.

10.

11.

t2.

It2

l7

32

39

40

42

ANEXOS

ANEXO AANEXO BANEXO CANEXO DANEXO EANEXO F

475673768292

PREFACIO

A. RESEA HISTRICA

4..l La presente Norma Tcnica Peruana ha sido elaborada por el ComitTcnico de Normalizacin de Codificacin e intercambio electrnico de datos, medianteel Sistema I o de Adopcin, durante el mes de agosto de 2009, utilizando comoantecedente a la norma ISO/IEC 27005:2008 lnformation technology

- Security

echniques -

lnformation security risk management.

4.2 El Comit Tcnico de Normaluaciln de Codificacin e intercambioelectrnico de datos present a la Comisin de Normalizacin y de Fiscalizacin deBarreras Comerciales No Arancelarias {NB-, con fecha 2009-05-25, elpNTp-ISO/IEC27005:2009, para su revisin y aprobacin, siendo sometido a la etapa de DiscusinPblica el 2009-08-28. No habindose presentado observaciones fue ocializado comoNorma Tcnica Peruana NTP-Iso/IEc 2700522009 EDI. Tecnologa de Iainformacin. Tecnicas de seguridad. Gesn del riesgo en seguridad de lainformacin, lo Edicin, el 07 de noviembre de 2009.

4.3 Esta Norma Tcnica Peruana es una adopcin de la nonnaISO/IEC 27005:2008. La presente Norma Tcnica Peruana presenta cambios editorialesreferidos principalmente a terminologa empleada propia del idioma espaol y ha sidoestructurada de acuerdo a las Guas Peruanas GP 001 :1995 y Gp 002:1995.

B. INSTITUCIONES QIIE PARTICIPARON EN LA ELABORACINDE LA NORMA TCMCA PERUAI\IA

Secretara GSI PERUPresidente Roberto puySecretaria Marv Wons

ENTIDAD REPRESENTAIYTE

DISTRIBUIDORA MAYORISTA SYMBOL S.A. Adela BarcenasWalter Equizabel

DROKASA PERU S.A.

E. WONG S.A.

FOLIUM S.A.C.

IBC SOLUTIONS PERU S.A.C.

ITS CONSULTANTS S.A.C.

OFICINA DE NORMALIZACION PREVISIONAL

PONT. UNTV. CATOLICA DEL PERU

PRESIDENCIA DEL CONSEJODE MINISTROS

PROCTER & GAMBLE DEL PERU S.A.

SUPERINTENDENCTA DE ADMINISTRACIONTRIBUTARIA _ SUNAT

TECNOLOGA FLEXOGRAFICA S.A.

TCI S.A.

UNILEVER ANDINA PERU S.A.

GSI PERU

Juan Aquije

Marcela AparicioRolando Bartra

Roberto Huby

Oscar VelsquezDaniella Orellana

Ricardo Dioses

Roberto Puy

Viltor KhlebnikovWilly Carera

Max LzaroCesar Vlchez

Javier Kameya

Daniel LlanosFlor Febres

Luis Chvez Saavedra

Renzo Alqntara

Rolando RivadeneiraLuis Villena

Tatiana Pea

--oooOooo---

lv

NoRMA rcNrcaPERUANA

NTP.ISO/IEC 27005lde95

EDI. Tecnologa de la informacin. Tcnicas de seguridad.Gestin del riesgo en segr:ridad de la informacin

ALCAIICE

Esta Norma Tcnica Peruana establece lineamientos para la gestin del riesgo en seguridadde la informacin.

Esta Norma Tcnica Peruana apoya los conceptos generales especificados en la normaISO/IEC 27001 y estii diseado para asistir a la implementacin satisfactoria de laseguridad de la informacin en base a un enfoque de gestin del riesgo.

Es importante conocer los conceptos, modelos, procesos y tecnologas descritos en lasnonnas ISO/IEC 27001e ISO/IEC 27002 para entender cabalmene esta NTp.

Esta Norma Tcnica Peruana es aplicable a todo tipo de organizaciones (por ejemplo:emPresas comerciales, dependencias gubernamentales, organizaciones sin fines de lucro)que tratan de administrar los riesgos que podran comprometer la seguridad de lainformacin de la organizacin.

2. REFERENCIAS NOR]\,IATryAS

Las siguientes normas contienen disposiciones que al ser citadas en este texto, constituyenrequisitos de esta Norma Tcnica Peruana. Las ediciones indicadas estaban en vigencia enel momento de esta publicacin. Como toda Norma esti sujeta a revisin, se recomienda aaquellos que realicen acuerdos con base en ellas, que analicen la conveniencia de usar lasediciones recientes de las nonnas citadas seguidamente. El Organismo peruano deNormalizacin posee la informacin de las Normas Tcnicas Peruanas en vigencia en todomomento.

t.

NORMA TECNICAPERUANA

NTP-ISOIIEC270052 de95

2.1

2.T.1

Normas Tcnicas Internacionales

ISO/IEC 27001:2005

ISO/IEC 27002:2005

Information technology -

Security techniques -

lnformation security management systems -Requirements.

Information technology -

Security techniques -

Code of practice for information securitymanagement.

2.t.2

3.1

3.2

3. TRMTNOS Y DEFINICIOI\IES

Para los fines de esta NTP, se aplican los trminos y definiciones que aparecen en lasnormas ISO/IEC 2700l,ISOiIEC 27002 y los siguientes:

impacto: Cambio adverso en el nivel de objetivos empresariales logrados.

riesgo en la seguridad de la informacin: El potencial de que unaarnen zadada explote las vulnerabilidades de un activo o grupo de activos y cause as daoala organizacin.

NOTA: Se mide en trminos de una combinacin de la probabilidad de un evento y su consecuencia.

J.J evitamiento del riesgo: Decisin de no involucrarse en una accin pararetirarse de una situacin de riesgo.

3.4 comunicacin del riesgo: lntercambio o compartir informacin sobre elriesgo entre quien toma las decisiones y otros interesados.

3.5 estimacin del riesgo: Proceso para asignar valores a la probabilidad yconsecuencias de un riesgo.

NoRMA rcrrncePERUANA

NTP.ISO/IEC27OO53de95

NOTA l: En el contexto de esta NTP, el trmino "actividad" se utiliza en vez del trmino ..proceso,,para la estimacin del riesgo.

NOTA 2: En el contexto de esta NTP, el termino "posibilidad" se utiliza en vez del trmino"probabilidad" para la estimacin del riesgo.

3.6 identificacin del riesgo: Proceso para encontrar, listar y caracterizarelementos de riesgo.

3.7 reduccin del riesgo: Acciones que se toman para reducir la probabilidad,consecuencias negativas o ambas asociadas con un riesgo.

3.8 retencin del riesgo: Aceptacin de la carga de la prdida o el beneficio dela ganancia a partir de un riesgo en particular

NOTA: En el contexto de los riesgos para la seguridad de la informacin, slo se consideranconsecuencias negativas (prdidas) para la rctencin del riesgo.

3.9 transferencia del riesgo: Compartir con otra parte la carga de Ia prdida oel beneficio de la ganancia respecto de un riesgo.

NOTA: En el contexto de los riesgos prira la seguridad de la informacin, slo se consideranconsecuencias negativas (prdidas) para la transferencia del riesgo.

4. ESTRUCTURA DE ESTA NORMA TCNICA PERUA{A

Est NTP contiene la descripcin del proceso de gestin del riesgo en seguridad de lainfbrnacin ) sus actiridades.

El captulo 5 proporciona informacin sobre los antecedentes.

El captulo 6 proporciona una vista panor:mica del proceso de gestin del riesgo enseguridad de la informacin.

NoRMA rcucnPERUANA

NTP.ISO/IEC27OO54 de95

Todas las actividades de gestin del riesgo en seguridad de la informacin que se presentanen el captulo 6 se describen posteriormente en los captulos siguientes:

Establecimiento del contexto en el captulo 7,

Evaluacin del riesgo en el captulo 8,

Tratamiento del riesgo en el captulo 9,

Aceptacin del riesgo en el captulo 10,

Comunicacin del riesgo en el captulo I l,

Monitoreo y revisin del riesgo en el captulo 12.

En los anexos se presenta informacin adicional para las actividades de gestin del riesgoen seguridad de la informacin. El Anexo A @efinicin del alcance y lrirites del procesode gestin del riesgo en seguridad de la informacin) establece el contexto. El Anexo B serefiere a la identificacin y valoizacin de los activos y evaluacin de impacto (ejemplospara activos), el Anexo C se refiere a ejemplos de amenazas tpicas y el Anexo D aejemplos de vulnerabilidades tpicas.

En el Anexo E se presentan ejemplos sobre enfoques de evaluacin del riesgo en seguridadde la informacin.

El Anexo F presenta restricciones para la reduccin del riesgo.

Todas las aptividades de gestin del riesgo tal como se presentan de el captulo 7 alcaptulo 12 se estructuran del modo siguiente:

Iry,: Identifica cualquier informacin requerida pararealizar la actividad.

Agg!@: Describe la actividad.

NoRMA rcNlcePERUANA

NTP.ISOITEC 270055de95

5.

Gu? de imolementacin: Provee gua sobre el desempeo de la accin. Parte de esta guapuede no ser conveniente en todos los casos y en consecuencia otras maneras de realizar laaccin pueden ser ms apropiadas.

Producto: Identifica toda informacin derivada luego de realizar la actividad.

BASES

Es necesario tener un enfoque sistemtico sobre la gestin del riesgo en seguridad de lainformacin para identificar las necesidades de la organizacin respecto de los requisitosde seguridad de la informacin y para crear un sistema eficaz de gestin de seguridad de lainformacin (ISMS, por sus siglas en ingls). Este enfoque debera s"r.onu.niente para elentomo de la organizacin y en particular debera estar alineado con la gestin general delriesgo de la empresa. Los esfuerzos de seguridad deben enfrentar los riesgos d" "n"*eficaz y oportuna cuando y donde sea necesario. La gestin del riesgo en siguridad de lainformacin debera ser parte integral de todas las actividades de gestin de segrrridad de lainformacin y debera aplicarse tanto a la implementacin

"omo a la operacin en curso de

un ISMS.

La gestin del riesgo en seguridad de la informacin debe ser un proceso continuo. Elproceso debe establecer el contexto, evaluar los riesgos y tratarlos utilizando un plan detrtamiento de riesgos para implementar las recomendaciones y decisiones. La gestin delriesgo analiza lo que puede ocurrir y cules seran las consecuencias posibles, antes dedecidir qu debe hacerse y cundo para reducir el riesgo a un nivel aceptable.

La gestin del riesgo en seguridad de la informacin debe contribuir a lo siguiente:

Identificar los riesgos.

Evaluar los riesgos en trminos de sus consecuencias para la empresa y laposibilidad de su ocurrencia.

La comunicacin y comprensin de la posibilidad y consecuencias de estosriesgos.

El establecimiento de un orden de prioridades para el tratamiento del riesgo.


NTP.ISO/IEC27OO56de95

Priorizacin de acciones para reducir la ocurencia de riesgo.

Participacin de los interesados cuando se toman las decisiones de gestin delriesgo e informacin sobre la situacin de la gestin del riesgo.

Eficacia del monitoreo del tratamiento del riesgo.

Monitoreo y revisin regulares de los riesgos y del proceso de gestin delriesgo.

Captacin de informacin para mejorar el enfoque de gestin del riesgo.

Educacin a gerentes y personal respecto a los riesgos y acciones que se tomanpara mitigarlos.

El proceso de gestin del riesgo en seguridad de la informacin puede aplicarse a laorganizacin en su conjunto, a cualquier parte especfica de la organizacin (por ejemplo:un departamento, una ubicacin fisica, un servicio), a cualquier sistema de informacin,existente o planeado, o a aspectos particulares del control (por ejemplo: planeamiento de lacontinuidad del negocio).

6. VISTA PAIORMICA DEL PROCESO DE GESTIN DELRIESGO EN SEGURIDAD DE LA INFORMACIN

El proceso de gestin del riesgo en seguridad de la informacin consiste en establecer elcontexto (Captulo 7), evaluar el riesgo (Captulo 8), tratar el riesgo (Captulo 9), aceptar elriesgo (Captulo l0), comunicar el riesgo (Captulo ll) y monitorear y revisar el riesgo(Captulo l2).

NoRMA rcNrcePERUANA

NTP.ISO/IEC 270057 de95

FIN DE LA PRIMERA O SUBSIGUTENTES ITERACIONES

rrGuRA I -

Proceso de gesn del riesgo de seguridad de la informacin


NTP-ISO/IEC27OO58de95

Tal como lo ilustra la Figura l, el proceso de gestin de seguridad de la informacin puedeser iterativo para la evaluacin del riesgo ylo para las actividades de tratamiento del riesgo.Un enfoque iterativo para la conduccin de la evaluacin del riesgo puede incrementar laprofundidad y detalle de la evaluacin en cada iteracin. El enfoque iterativo provee unbuen balance entre minimizar el tiempo y el esfuerzo que se emplea en identificar loscontroles y alavez risegurar que se evale apropiadamente los altos riesgos.

Primero se determina el contexto. Luego se realiza una evaluacin del riesgo. Si estoprovee suficiente informacin para determinar efectivamente las acciones requeridas paramodificar los riesgos a un nivel aceptable, entonces la tarea esti completa y sigue eltratamiento del riesgo. Si la informacin es suficiente, se conducir otra iteracin de laevaluacin del riesgo con el contexto revisado (por ejemplo criterios de evaluacin delriesgo, criterios de aceptacin del riesgo o criterios de impacto) posiblemente en parteslimitadas del alcance total (vase la Figura l, Decisin sobre el Riesgo Captulo l).

La eficacia en el tratamiento del riesgo depende de los resultados de la evaluacin delriesgo. Es posible que el tratamiento del riesgo no conduzca inmediatamente a un nivelaceptable de riesgo residual. En esta situacin, podra requerirse otra iteracin de laevaluacin del riesgo con panmetros de contexto cambiados (por ejemplo evaluacin delriesgo, aceptacin del riesgo o criterios de impacto), si fuera necesario, seguido de otrotratamiento del riesgo (vase la Figura l, Decisin sobre el Riesgo Captulo 2).

La actividad de aceptacin del riesgo tiene que rsegurar que los gerentes de la organizacinacepten explcitamente los riesgos residuales. Esto es especialmente importante en unasituacin donde la implementacin de controles se omite o pospone, por ejemplo debido alcosto.

Durante todo el proceso de gestin del riesgo en seguridad de la informacin es importanteque los riesgos y su tratamiento se comuniquen a los gerentes apropiados y al personaloperativo. Incluso antes del tratamiento de los riesgos puede ser muy valioso contar coninformacin sobre los riesgos identificados para administrar los incidentes y puede ayudara reducir el dao potencial. La conciencia de los gerentes y el personal respecto de losriesgos, la naturaleza de los controles empleados para mitigar los riesgos y las reas depreocupacin para la organizacin ayudan a tratar los incidentes y los eventos inesperadosde la manera ms eficaz. Deben documentrse los resultados detallados de toda actividaddel proceso de gestin del riesgo en seguridad de la informacin y de los dos puntos dedecisin sobre el riesgo.

NORMA TCNICAPERUANA

NTP.ISO/IEC 270059de95

La norma ISOIIEC 27001especifica que los controles implementados dentro del alcance,lmites y contexto del ISMS deben basarse en el riesgo. La aplicacin de un proceso degestin del riesgo en seguridad de la informacin puede satisfacer este requisiio. Existenmuchos enfoques por medio de los cuales se puede implementar exitosaminte el procesoen una organizacin. La organizacin debe utilizar el enfoque que mejor se acomode a suscircunstancias para cada aplicacin especfica del proceso.

En un ISMS, determinar el contexto, evaluar el riesgo, desarrollar un plan de tratamientodel riesgo y aceptar el riesgo son parte de la fase del "plan". En la fase de ..hacer,, delISMS, se implementan las acciones y controles requeridos para reducir el riesgo a un nivelaceptable de acuerdo con el plan de tratamiento del riesgo. En la fase de "verificar" delISMS, los gerentes determinann la necesidad de revisiones de la evaluacin del riesgo y eltratamiento del riesgo a la luz de los incidentes y cambios en las circunstancias. En la fasede "actuar", se realizan todas las acciones requeridas, incluyendo la aplicacin adicionaldel proceso de gestin del riesgo en seguridad de la informacin

La tabla siguiente resume las actividades de gestin del riesgo en seguridad de lainformacin relevantes a las cuato fases del proceso del ISMS:

TABLA 1-Alineamiento del ISMS y del Proceso de Gestin del Riesgo en Seguridadde la Informacin

ProcesoISMS

Plan

Hacer

Revisar

Hacer

Proceso de Gestin del Riesgo en Seguridad de IaInformacin

Determinar el contexto

Evaluar el riesgo

Desarrollar el plan de tratamiento del riesgo

Aceptar el riesgo

Implementar el plan de tratamiento del riesgoMonitoreo y revisin continuos de los riesgos

Mantener y mejorar el Proceso de Gestin del Riesgo enSeguridad de la Informacin

NORMA TECMCAPERUANA

NTP.ISO/IEC 2700510 de 95

7.1

DETERMINACIN DEL CONTEXTO

Consideraciones generales

Insumo: Toda la informacin sobre la organizacin que sea relevante para determinar elcontexto de la gestin del riesgo en seguridad de la informacin.

Accin: Se debera establecer el contexto para la gestin del riesgo en seguridad de lainformacin, lo cual implica establecer los criterios bisicos necesarios para la gestin delriesgo en seguridad de la informacin (7.2), definir el alcance y los lmites (7.3) yestablecer una organizacin apropiada que opere la gestin del riesgo en seguridad de lainformacin (7.4).

Gua de implementacin

Es esencial determinar el propsito de la gestin del riesgo en seguridad de la informacin,ya que esto afecta el proceso general y la determinacin del contexto en particular. Estepropsito puede:

Apoyar un ISMS.

Aplicar la ley y evidenciar diligencia debida.

Preparar un plan de continuidad del negocio.

Preparar un plan de respuesta al incidente.

Describir los requisitos de seguridad de la informacin para un producto,servicio o mecanismo.

En los captulos 7.2, 7.3 y 7.4 se trata en ms detalle la gua de implementacin paraestablecer los elementos del contexto que se requieren para apoyar un ISMS.

NoRMA rcmcePERUANA

NTP.ISO/IEC27OO5ll de95

NOTA: La norma ISO/IEC 27001 no utiliza el termino "contexto". Sin embargo, todo el captulo 7 serefiere a los requisitos de "definir el alcance y lmites del ISMS" [4.2.1 a)), Id"fini, una poltica delISMS' [4.2.1 b)] y "definir el enfoque de la evaluacin del rilsgo" i.z.t c1, especificados enISO/IEC 27001.

Producto: La especificacin de los criterios bsicos, el alcance y los lmites y laorganizacin para el proceso de gestin del riesgo en seguridad de la informacin.

7.2 Criterios bsicos

Dependiendo del alcance y objetivo de la gestin del riesgo se puede aplicar distintosenfoques. El enfoque tambin puede ser diferente para cada itlracin.

Se debe seleccionar o desarrollar un enfoque de gestin del riesgo apropiado que resuelvacriterios bsicos como: criterios de evaluacin del riesgo, criteris di impacto, criterios deaceptacin del riesgo.

Adems, la organizacin debe evaluar si se dispone de los recursos necesarios para:

Una evaluacin del riesgo y establecer un plan de tratamiento del riesgo.

Definir e implementar polticas y procedimientos, incluyendo laimplementacin de controles seleccionados.

Monitorear controles.

Monitorear el proceso de gestin del riesgo en seguridad de la informacin.

NOTA: vase tambin la norma Iso/IEC 27001 lCaptulo 5.2.1) concerniente al suministro derecursos para la operacin de implementacin de un ISMS.


NTP.ISO/IEC27OO512 de 95

Criterios de evaluacin del riesgo

Los criterios de evaluacin del riesgo deben desarrollarse para evaluar el riesgo deseguridad para la informacin de la organizacin considerando lo siguiente:

El valor estratgico del proceso de informacin empresarial.

El carcter crucial de los activos de informacin involucrados.

Requisitos legales y regulatorios y obligaciones contractuales.

Importancia operativa y empresarial de la disponibilidad, confidencialidad eintegridad.

Las expectativas y percepciones de los interesados as como las consecuenciasnegativas para el buen nombre y la reputacin.

Adicionalmente, se puede utilizar los criterios de evaluacin del riesgo para especificarprioridades para el tratamiento del riesgo.

Criterios de impacto

Se debe desarrollar y especificar criterios de impacto en trminos del grado de dao encostos para la organizacin causados por un evento contra la seguridad de la informacinconsiderando lo siguiente:

Nivel de clasificacin del activo de informacin impactado.

Infracciones a la seguridad de la informacin (por ejemplo prdida deconfi dencial idad, integridad y disponib ilidad)

Operaciones impedidas (intemas o de terceros)

Lucro cesante y valor financiero.

Perturbacin de los planes y plazos.

NoRMA rcNtcaPERUANA


Dao a la reputacin.

ffracc iones de estipulaciones le gales, regulatorias o contractuales.

NOTA: Vase tambin la norma ISO/IEC 27001 [Captulo 4.2.1d) 4] concerniente a la identificacinde criterios de impacto para prdidas de confidencialidad, integridad y disponibilidad.

Criterios de aceptacin del riesgo

Se debe desarrollar y especificar criterios de aceptacin del riesgo. Los criterios deaceptacin del riesgo a menudo dependen de los intereses, polticas,

-itar, objetivos de losinteresados en la organizacin.

Una organizacin debe definir sus propias escalas para los niveles de aceptacin del riesgo.Durante el desarrollo se deben considerar los siguientes factores:

Los criterios de aceptacin del riesgo pueden incluir umbrales mltiples con unnivel objetivo deseado del riesgo, pero con advertencias para los altos gerentesreferentes a aceptar riesgos por encima de este nivel en determinadascircunstancias.

Se puede expresar los criterios de aceptacin del riesgo como la tasa de utilidadestimada (u otro beneficio empresarial) respecto del riesgo estimado.

Se puede aplicar distintos criterios de aceptacin del riesgo a distintas clases deriesgo, por ejemplo, no se puede aceptar riesgos que podran resultar en elincumplimiento de regulaciones o leyes, mientras quese puede permitir laaceptacin de riesgos altos si esto se especifica como un requisito contractual.

Los criterios de aceptacin del riesgo pueden inciuir requisitos para untraiamiento a

t'*>



Los criterios de aceptacin del riesgo pueden diferir de acuerdo a por cunto tiempo seespera que el riesgo exista; por ejemplo, el riesgo se puede asociar con una actividadtemporal o de corto plazo. Se debe establecer los criterios de aceptacin del riesgoconsiderando lo siguiente:

Criterios empresarialesAspectos legales y regulatoriosOperacionesTecnologaFinanzasFactores sociales y humanitarios

7.3

NOTA: Los criterios de aceptacin del riesgo coresponden a "criterios para aceptar riesgos eidentificar el nivel aceptable del riesgo", segn se especifica en la norma ISO/IEC 2700 I Cpitulo4.2.r c) 2).

Se puede encontrar ms informacin en el Anexo A.

El alcance y los lmites

Ila. organizacin debe definir el alcance y los lmites de la gestin del riesgo en seguridadde la informacin.

El alcance del proceso de gestin del riesgo en seguridad de la informacin debe definirsepara asegurar que se tomen en cuenta todos los activos relevantes en la evaluacin delriesgo. Adems se tiene que identificar los lmites [vase tambin la norma ISO/IEC 27001Captulo 4.2.1 a)l para enfrentar los riesgos que puedan surgir dentro de esos lmites.

Se debe recolectar informacin sobre la organizacin para determinar el entomo en el queopera y su rele.,,ancia para e! prcceso de gestin del riesgc en seguridad de !a informacin.

Cuando se definen el alcance y los lmites, la organizacin debe considerar la informacinsiguiente:

Los objetivos, estrategias y polticas empresariales estratgicas de laorganizacin.

NoRMA rcmcePERUANA

NTP.ISO/TEC27OO515 de 95

Procesos de negocios.

Las funciones y estructura de la organizacin.

Los requisitos legales regulatorios y contractuales aplicables a la organizacin.

La poltica de seguridad de informacin de la organizacin.

El enfoque general de la organizacin respecto de la gestin del riesgo.

Activos de informacin.

ubicaciones de la organizacin y sus caractersticas geogrficas.

Restricciones que afecten a la organizacin.

Expectativa de los interesados.

Entorno soc io-cultural.

lnterfases (es decir, intercambio de informacin con el entorno).

Adicionalmente, la organizacin debe proporcionar justificacin para cualquier exclusindel alcance.

Algunos ejemplos del alcance de laTecnologa de Informacin - TI, unaparte definida de una organizacin.

gestin del riesgo pueden ser una aplicacin deinfraestructura de TI, un proceso de negocio o una

NOTA: El alcance y lmites de la gestin del riesgo en seguridad de la informacin se relaciona alalcance y rmites del ISMS que se requiere en la no.-" Isocz70or 4.2.ra).

Se puede encontrar ms informacin en el Anexo A.


NTP-ISO/IEC27OO516 de 95

7.4 Organizacin para la gestin del riesgo de seguridad en la informacin

Se debe establecer y mantener la organizacin y responsabilidades para el proceso degestin del riesgo en seguridad de la informacin. Los siguientes son los roles yresponsabilidades principales de esta organizacin:

Desarrollo del proceso de gestin del riesgo en seguridad de la informacinconveniente para la organizacin.

Identificacin y anlisis de los interesados.

Definicin de roles y responsabilidades de todas las partes tanto internas comoexternas a la organizacin.

Establecimiento de las relaciones requeridas entre la organizacin y losinteresados, as como las interfases con las funciones de gestin del riesgo enlas altas esferas de la organizacin (por ejemplo gestin del riesgo operativo),as como las interfaces con otros proyectos o actividades relevantes-

Definicin de los caminos para el escalamiento de las decisiones.

Especificacin de los registros que deben mantenerse.

Los gerentes apropiados de la organizacin deben aprobar esta estructura.

NOTA: ISOAEC 27001 requiere determinar y proveer los recursos necesarios para establecer,implementar, operar, monitorear, revisar, mantener y mejorar un ISMS [5.2.1 a)]. Se puede considerarla organizacin para las operaciones de gestin del riesgo como uno de los recursos requeridos por lanorma ISOAEC 27001.

NoRMA rcucePERUANA

NTP.ISO/IEC27OO5l7 de95

8. EVALUACIN DEL RIESGO EN SEGURIDAI)INT'ORMACIN DE LA

8-1 Descripcin general de la evaluacin del riesgo en seguridad de Iainformacin

NOTA: La actividad de evaluacin del riesgo se conoce como el proceso en la norma ISO/IEC 27001.

Insumo: Determinacin de criterios bsicos, el alcance y los lmites, y la organizacin parael proceso de gestin del riesgo en seguridad de la informacin.

Accin: Se debe identificar, cuantificar o describir cualitativamente, as como priorizar losriesgos contra los criterios y objetivos de evaluacin del riesgo relevanies para laorganizacin.

Gua de implementcin:

Un riesgo es una combinacin de las consecuencias que se seguira de la ocurrencia de unevento no deseado y de la posibilidad de la ocurrencia del evento. La evaluacin del riesgocuantifica o describe cualitativamente el riesgo y permite a los gerentes priorizar los riesgsde acuerdo con la gravedad que perciben u otros criterios establecidos.

La evaluacin de riesgo consiste de las siguientes actividades:

Anlisis del riesgo (vase el apartado 8.2) que comprende:

Identificacin del riesgo (vase el apartado S.2.1)Estimacin del riesgo (vase el apartado 5.2.2)

Evaluacin del riesgo (vase el apartado g.3)


NTP.ISO/IEC27OO5l8 de 95

La evaluacin del riesgo determina el valor de los activos de la informacin, identifica lasamenlzar y vulnerabilidades aplicables que existen (o podran existir), identifica loscontroles existentes y su efecto en el riesgo identificado, determina las consecuenciaspotenciales y finalmente prioriza los riesgos derivados y los ordena respecto del conjuntode criterios de evaluacin del riesgo establecidos en la determinacin del contexto.

La evaluacin del riesgo se conduce a menudo en dos (o ms) iteraciones. Primero serealiza una evaluacin de alto nivel para identificar riesgos potencialmente altos queimplican una mayor evaluacin. La siguiente iteracin puede incluir otra consideracinprofunda de riesgos potencialmente altos revelados en la iteracin inicial. All donde estoprovea informacin insuficiente para evaluar el riesgo, se conducen ms anlisis detalladosprobablemente en partes del alcance total y posiblemente utilizando un mtodo diferente.

La organizacin debe decidir la seleccin de su propio enfoque para la evaluacin delriesgo en base a los objetivos y la meta de evaluacin del riesgo.

El Anexo E presenta enfoques sobre evaluacin del riesgo en seguridad de la informacin.Producto: Una lista de riesgos evaluados priorizados de acuerdo con criterios de evaluacindel riesgo.

8.2

8.2.1

8.2.1.1

Anlisis del riesgo

Identificacin del riesgo

Introduccin a la identificacin del riesgo

El propsito de la identificacin del riesgo es determinar qu podra suceder que cause unaprdida potencial y entender cmo, dnde y por qu podra ocurrir la prdida. Los pasosessriius En ios apariacios ruc siguen ai apartado 8.2.i cieben recoiectar ciatos cie insumospara la actividad de estimacin del riesgo.

NOTA: Las actividades descritas en los captulos siguientes deben describirse en el siguiente ordendependiendo de la metodologa aplicada.

NoRMA rcNrcePERUANA


8.2.1.2 Identificacin de acvos

Insumo: Alcance y lmites para Ia evaluacin del riesgo a conducirse, lista de interesadoscon propietarios, ubicacin, funcin, etc.

Accin: Se debe identificar los activos dentro del alcance establecido (se relaciona con lanorrna ISOIEC 27001, aparrado 4.2.1 d) l)).

Gua de implementacin:

Un activo es cualquier cosa que tenga valor para la organizacin y que por lo tntorequiera proteccin. Para la identificacin de activos debe record".r.- qui un sistema deinformacin es ms que hardware y software.

La identificacin de activos debe realizarse a un nivel adecuado de detalle que proporcionesuficiente informacin para la evaluacin del riesgo. El nivel de detalle utiiizado en laidentificacin de activos influenciar la cantidad general de informacin recolectadadurante la evaluacin del riesgo. El nivel puede refinarse en iteraciones posteriores de laevaluacin del riesgo.

Se debe identificar al propietario de un activo para cada activo, para determinar lasdisposiciones sobre responsabilidad y rendicin de iuentas por el activo. El propietario delactivo puede no tener derechos de propiedad sobre el actvo, pero tiene responsabilidadsobre su produccin, desarrollo, mantenimiento, uso y seguridad, segn corresponda. Elpropietario del activo a menudo es la persona ms apropiada para detrminar el valor queel activo tiene para la organizacin (vase la valorizaciOn de u"tiuo, en el aparta do g.2.2).

El lmite de revisin es el permetro de activos de la organ izatcin que el proceso degestin del riesgo en seguridad de la informacin debe admiiistrar segn definiciOn.

El Anexo B contiene ms informacin sobre la identificacin y valorizacin de activosrelacionados con la seguridad de la informacin.


NTP-ISOiIEC27OO520 de95

Producto: Una lista de activos a administrarse respecto de zu riesgo y una lista de procesosde negocio relativos a activos y su relevancia.

8.2.1.3 Identilicacin de amenaias

lnsumo: lnformacin sobre amenazas obtenida a partir de la revisin de incidentes,propietarios de activos, usuarios y otras fuentes, incluyendo catlogos externos deamenazas.

Accin: Se debe identificar las amenazas y sus fuentes (relativas a la norma ISO/IEC27 00 1, apartado 4.2.1 d) 2)).


Una amenaza tiene el potencial de daar activos como la informacin, los procesos y lossistemas Y, por tanto, las organizaciones. Las amenazas pueden ser de o.ig"n natural ohumano y pueden ser accidentales o deliberadas. Deben identificarse tanto las fuentes deamenvrs accidentales como las deliberadas. Una arnenaza puede surgir desde adentro odesde afuera de la organizacin. Se debe identificar las amenazas de manera genrica y portipo (por ejemplo acciones no autorizadas, dao fsico, fallas tcnicas) y entonces cuandosea apropiado, las amenazas individuales dentro de la clase genrica identificada. Estosignifica que no se desatiende ninguna anrenaza, incluyendo las inesperadas, pero que elvolumen de trabajo requerido es limitado.

Algunas amenazas pueden afectar a ms de un activo. En dichos casos, pueden causardistintos impactos dependiendo de qu activos sean afectados.

Se puede obtener insumos respecto de la identificacin de la amena zay de la estimacin dela posibilidad de ocunencia (vase el apartado 5.2.2.3) que hacen los propietarios ousuarios de activos, del personal de recursos humanos, de la gerencia de planta y de losespecialistas en seguridad de la informacin, expertos de seguridad fisica, departamentolegal y otras organizaciones, incluyendo organismos legales, autoridades meteorolgicas,compaas de seguros y autoridades del gobierno nacional. Se debe considerar aspectos demedioambiente y cultura cuando se enfrentan amenazas.

NoRMA rcmcePERUANA

NTP.ISO/IEC27OO52L de 95

Se debe considerar la experiencia interna de incidentes y las evaluaciones de amenazaspasadas en la evaluacin actual. Puede valer la pena consultar otros ca&ilogos de amenazas(quizs especficos a una organizacin o empresa) para completar la lista de amenazasgenricas, cuando sea relevante. Se dispone de catlogos y estadsticas de amenazas engremios industriales, gobiemos nacionales, organismos legales, compaas de seguros, etc.

Cuando se usa catlogos de amenzas o evaluaciones de los resultados de amenazaspasadas, debemos ser conscientes de que hay un cambio continuo en las amenazasrelevantes, especialmente si el entomo empresarial o los sistemas de informacin cambian.

El Anexo C presenta ms informacin sobre tipos de amenazas.

Producto: Una lista de amenazas con la identificacin del tipo y fuente de la amenaza.

8.2.1.4 Identificacin de controles existentes

Insumo: Documentacin de controles, planes de implementacin de tratamiento de riesgos.

Accin: Se debe identificar los controles existentes y planificados.

Gua de imolementacin:

Se debe identificar los controles existentes para evitar trabajo o costo innecesarios, porejemplo en la duplicacin de controles. Adems, a la vez que se identifican los controlesexistentes, se debe hacer una verificacin para asegurar que los controles estnfuncionando correctamente

-una referencia a los informes de auditora ya existentes sobreel ISMS limita el tiempo que se emplea en esta tarea. Si un control no funciona como seesperaba, esto puede causar vulnerabilidades. Se debe considerar la situacin en la que uncontrol (o estrategia) seleccionado falle y, por lo tanto se requieran controlescomplementarios para tratar de manera eftcaz el riesgo identificado. En un ISMS, deacuerdo con ISO/IEC 27001, esto se logra gracias a la medicin de la eficacia de loscontroles. Una manera de estimar el efecto del control es ver cmo reduce la posibilidad deamenaza y la facilidad de explotacin de la vulnerabilidad o impacto del incidente. Lasrevisiones de la gerencia y los informes de auditora tmbin proporcionan informacinsobre la eficacia de los controles existentes.


NTP.ISO/IEC 2700522 de95

Se debe considerar los controles que se ha planificado implementar de acuerdo con losplanes de implementacin de tratamiento de riesgo de la misma manera que aquellos queya se implementaron.

Un control existente y planificado puede identificarse como ineficaz, o no suficiente, o nojustificado. Si no es justificado ni suficiente, se debe verificar el control para determinar sise le debe eliminar, si se le debe reemplazx por otro control ms adecuado o si deberacontinuarse con el mismo, por ejemplo, por razones de costos.

Las siguientes actividades pueden ser tiles paru la identificacin de controles existentes oplaneados:

Revisin de documentos que tienen informacin sobre los controles (porejemplo, planes de implementacin de tratamiento del riesgo). Si los procesosde gestin de seguridad de la informacin estn bien documentados, se debedisponer de todos los controles existentes o planeados y de su situacin deimplementacin;

Verificacin de la seguridad de la informacin con las personas responsables(por ejemplo el funcionario encargado de la seguridad de la informacin y elfuncionario encargado de la seguridad del sistema de informacin, el gerente deconstruccin o el gerente de operaciones) y los usuarios respecto de qucontroles se implementan realmente para el proceso de informacin o elsistema de informacin que se est considerando;

Conduccin de una revisin in-situ de los controles fsicos, comparando losimplementados con la lista de qu controles debera tenerse y verificando losimplementados respecto de si esln funcionando de manera correcta y eficaz, o

Revisin de resultados de auditoras internas.

Producto: Una lista de todos los controles existentes y planeados, su implementacin y sucondicin de uso.

8.2.1.5 Identificacin de vu lnerab ilidades

Insumo: Una lista de amenazas conocidas, listas de activos y controles existentes.

NORMA TCNICAPERUANA


Accin: Se debe identificar las vulnerabilidades que las amenazas pueden explotar paracausar dao a los activos o a la organizacin (se relaciona con la norma ISO/fuC 27,apartado 4.2.1 d) 3)).


Se puede identificar vulnerabilidades en las reas siguientes:

OrganizacinProcesos y procedimientosRutinas administrativasPersonalEntorno fisicoConfiguracin del sistema de informacinHardware, software o equipo de comunicacionesDependencia de partes externas

La presencia de una vulnerabilidad no causa dao en s misma, ya que se requiere unaamenaza para explotarla. Una vulnerabilidad que no tiene amenaza correspondiente puedeno requerir la implementacin de un control, pero se debera reconocer y monitorear paraobservar sus cambios. Debe notarse que un control implementado de manera incorrecta oque funcione mal puede ser en s mismo una vulnerabilidad. Un control puede ser eficaz oineficaz dependiendo del entomo en el que opera. lnversamente, una amenazaque no tieneuna vulnerabilidad corespondiente puede no resultr en un riesgo.

Las vulnerabilidades se pueden relacionar con propiedades del activo que se pueden utilizarde una manera o por un propsito que el que se desea cuando se compr o hizo el activo.Se tienen que considerar vulnerabilidades que srrgen de distintas fuenies, por ejemplo, lasque son intrnsecas o extrnsecas al activo.

En el Anexo D se puede encontrar ejemplos de vulnerabilidades y mtodos para laevaluacin de la vulnerabilidad.

Producto: Una lista de vulnerabilidades en relacin con los activos, amenazas y controles,una lista de vulnerabilidades que no se relaciona a ninguna aunenaza identificada para surevisin.


NTP-ISOIIEC27OO524 de 95

8.2.1.6 Identificacin de las consecuencias

Insumo: Una lista de activos, una lista de procesos de negocios, y una lista de amenvas yvulnerabilidades donde sea apropiado en relacin con los activos y su relevancia.

Accin: Se debe identificar las consecuencias que pueden tener las prdidas deconfidencialidad, integridad y disponibilidad (vase la norma ISO/IEC 27001, apartado4.2.1 d) 4)).

Gua de. implementacin:

Una consecuencia puede hacer perder eficacia, puede haber condiciones operativasadversas, lucro cesante, dao a la reputacin, etc.

Esta actividad identifica el dao o las consecuencias a la organizacin que un incidentepodra causar. El escenario de un incidente es la descripcin de una amenva que explotauna cierta vulnerabilidad o conjunto de vulnerabilidades en un incidente de vulnerabilidadde la informacin (vase la norma ISO/IEC 27002, Captulo l3). El impacto de losescenarios del incidente debe determinarse considerando criterios de impacto definidosdurante la actividad de determinacin del contexto. Puede afectar a uno o ms activos o aparte de un activo. De esta manera, los activos pueden tener valores asignados para sucosto financiero y debido a las consecuencias para la empresa si se les daa o compromete.Las consecuencias pueden ser de naturaleza temporal o permanente como en el caso de ladestruccin de un activo.

NOTA: La norma ISOAEC 27001 describe la ocurrencia de escenarios de incidentes como "fallas deseguridad".

Las urganizaciones dcben ideniificar ias consecuencias operativas cie ios escenarios cieincidentes en trminos de los siguientes elementos sin limitarse a los mismos:

Tiempo de investigacin y reparacinTiempo (trabajo) perdidoOportunidad perdidaSalud y seguridad fsica

NoRMA rcNrcePERUANA


Costo financiero de habilidades especficas para reparar el daoReputacin de la imagen y buen nombre

En 83, Evaluacin de impacto, se puede encontrar detalles sobre la evaluacin devulnerabilidades tcnicas.

Producto: Una lista de escenarios de incidentes con sus consecuencias relacionadas a losactivos y procesos de negocios.

8.2.2

8.2.2.1

Estimacin del riesgo

Metodologas para la estimacin del riesgo

Se debe realizar el anlisis del riesgo en grados variables de detalle dependiendo delcarcter crucial de los activos, extensin de las vulnerabilidades conocidas e incidentesprevios que involucran a la organizacin. Una metodologa de estimacin puede sercualitativa o cuantitativa o una combinacin de ambas dependiendo de las circunstancias.Fn la'pnctica, se usa a menudo la estimacin cualitativa para obtener primero unaindicacin general del nivel de riesgo y para revelar los riesgos ms importantes. Luegopuede ser necesario realizar anlisis mis especficos o cuantitativos sobre los riesgos msimportantes porque a menudo es menos complejo y menos caro realizar anlisiscualitativos que anlisis cuantitativos.

La forma del anlisis debe ser consistente con los criterios de evaluacin del riesgodesarrollados como parte de la determinacin delcontexto.

A continuacin se describe los detalles de las metodologas de estimacin:

(a) Estimacin cualitativa:

La estimacin cualitativa usa una escala de atributos calificadores para describir lamagnitud de las consecuencias potenciales (por ejemplo, baja, media y alta) y la posibilidadde que esas consecuencias ocurran. Una ventaja de la estimacin cualitativa es su facilidadde comprensin por todo el personal relevante, mientras que una ventaja es la dependenciaen una eleccin subjetiva de la escala.

NoRMA rcucaPERUANA

NTP.ISOIIEC2TOO526 de 95

Estas escalas pueden adaptarse o ajustarse para acomodarse a las circunstancias y se puedeusar distintas descripciones para distintos riesgos. Se puede usar estimacin cualitativa:

Como una actividad de clasificacin inicial para identificar los riesgos querequieran un anlisis ms detallado.

Donde este tipo de anlisis sea apropiado para las decisiones.

Donde los datos numricos o los recursos sean inadecuados para unaestimacin cuantitativa

El anlisis cualitativo debe usar informacin fctica y datos siempre que estn disponibles.

(b) Estimacin cuantitativa

La estimacin cuantittiva usa una escala con valores numricos (ms que escalasdescriptivas que se utilizan en la estimacin cualitativa) para las consecuencias y laposibilidad, utilizando datos de una variedad de fuentes. La calidad del anlisis depende dela exactitud y completitud de los valores numricos y de la validez de los modelosutilizados. En la mayora de los casos la estimacin cuantitativa usa datos de incidenteshistricos, proveyendo la ventaja de que se puede relacionar directamente a los objetivos deseguridad de la informacin y a las preocupaciones de la organizacin. Una desventaja es lafalt de dichos datos sobre nuevos riesgos o sobre las debilidades en la seguridad de lainformacin, Una desventaja del enfoque cuantitativo puede ocurrir donde no se dispongade datos auditables, creando as una ilusin de valor y exactitud de la evaluacin del riesgo.

La manera en la que se expresan las consecuencias y la posibilidad y las maneras en las quese combinan para proporcionar un nivel de riesgo variarn de acuerdo al tipo de riesgo y alpropsito para el cual se debe utilizar el producto de la evaluacin del riesgo. Se debeconsiderar la incertidumbre y variabilidad de varias consecuencias y probabilidad en elanlisis y comunicarse de manera eftcaz.

NoRMA rcNlcePERUANA

NTP.ISOAEC2TOO527 de95

8.2.2.2 Evaluacin de consecuencias

Insumo: Una lista identificada de escenarios de incidentes relevantes que incluya laidentificacidn de alnenrlzas, vulnerabilidades, activos aceptador, .onr."uencias a losactivos yprocesos de negocio.

Accin: Se debe evaluar el impacto empresarial sobre la organizacin que podra resultarde

-incidentes posibles o reales en tomo a la seguridad de la informacin, tomando encuenta las consecuencias de una infraccin en la seguridad de la informacin tal como laprdida de confidencialidad, integridad o disponibilidad de los activos (se relaciona conISO/IEC 27001, Captulo a.2.1 e) l)).


Luego de identificar todos los activos que se estn revisando, se debe tomar en cuenta losvalores asignados a estos activos alavez que se evalan las consecuencias.

El valor de impacto sobre el negocio puede expresuse en formas cualitativas ycuantitativas, pto cualquier mtodo de asignar valor monetario puede proveergeneralmente ms informacin para la toma de decisiones y por tanto facilitar un procesode toma de decisiones ms eficiente.

La valorizacin de activos comienza con la clasificacin de activos de acuerdo con sucarcter crucial en trminos de la importancia de los activos para satisfacer los objetivos denegocio de la organizacin. Entonces se determina el valor utilizando dos medidas:

El valor de reemplazo del activo: el costo de una limpieza, de la recuperacin yde reemplazar la informacin (si es posible), y

Las consecuencias para el negocio por prdida o compromiso del activo, comoconsecuencias potenciales adversas para el negocio y/o legales o regulatoriasdebido a la divulgacin, modificacin, no-disponibilidad y/o destruccin deinformacin, y otros activos de informacin.

NoRMA rcNrcePERUANA


Esta valorizacin se puede determinar desde el anlisis de impacto en el negocio. El valor,determinado por la consecuencia para el negocio, es usualmente significativamente msalto que el simple costo de reemplazo, dependiendo de la importancia que tiene el activopara que la organizacin logre sus objetivos de negocio.

La valorizacin del activo es un factor clave en la evaluacin de impacto de un escenariode incidentes porque el incidente puede afectar a ms de un activo (por ejemplo activosdependientes) o solamente a una parte de un activo. Las distintas amenazas yvulnerabilidades tendnn diferentes impactos en los activos, como una prdida deconfidencialidad, integridad o disponibilidad.La evaluacin de consecuencias se relacionaentonces a la valorizacin de los activos en base al anlisis de impacto sobre el negocio.

Las consecuencias o el impacto sobre el negocio pueden determinarse modelando losresultados de un evento o conjunto de eventos o extrapolndolos de estudiosexperimentales o datos pasados.Se puede expresar las consecuencias en trminos de criterios monetarios, tcnicos ohumanos u otros criterios relevantes a la organizacin. En algunos casos se requiere ms deun valor numrico para especificar las consecuencias de distintos momentos, lugares,grupos o situaciones. Las consecuencias en el tiempo y las finanzas deben medirse con elmismo enfoque que se utiliza para la posibilidad de amenazas y la vulnerabilidad. Se tieneque mantener la consistencia sobre el enfoque cuantitativo o cualitativo.

En el Anexo B se puede encontrar mayor informacin sobre la valorizacin de los activos yla evaluacin de impacto.

Producto: Una lista de consecuencias evaluadas de un escenario de incidentes expresadacon respecto a los activos y a criterios de impacto.

8.2.2.3 Evaluacin de la posibilidad de incidentes

Insumos: Una lista identificada de escenarios de incidentes relevantes, incluyendo laidentificacin de amenazas, los activos afectados, las vulnerabilidades explotadas y lasconsecuencias para los activos y los procesos del negocio. Adems, listas de todos loscontroles existentes y planeados, su eficacia, implementacin y condicin de uso.

NoRMA rcNrcaPERUANA

NTP.TSO/IEC27OO529 de 95

Accin: La posibilidad de los escenarios de incidentes debe evaluarse (se relaciona con lanorrna ISO/IEC 27001, apartado a.2.1 e) 2)).

Gua de imolementacin

Luego de identificar los escenarios de incidentes, es necesario evaluar la posibilidad de queocurra cada escenario e impacto utilizando tcnicas de estimacin cualitativa y cuantitativa.Esto debe tomar en cuenta cun a menudo ocurren las amenazas y con qu facilidad sepuede explotar las vulnerabilidades, considerando :

la experiencia y las estdsticas aplicables paralaposibilidad de amenazas.

para fuentes de amenazas deliberadas: la motivacin y capacidades quecambiarn en el tiempo y los recursos disponibles a los posibles atacantes, ascomo la percepcin de la atraccin y la vulnerabilidad de los activos para unposible atacante.

para fuentes de amenazas accidentales: factores geogrficos, por ejemploproximidad a plantas qumicas o petroleras, la posibilidad de condicionesclimticas extremas y factores que podran influenciar los erores humanos y elmalfuncionamiento de los equipos.

vulnerabilidades, tanto individualmente como de manera agregada.

controles existentes y cun eficazmente reducen las vulnerabilidades.

Por ejemplo, un sistema de informacin puede tener una vulnerabilidad a las amenazas desuplantacin de identidad de usuario y mal uso de recursos. La vulnerabilidad desuplantacin de identidad de usuario puede ser alta debido alafaltz de autentificacin deusuario. Por otro lado, la posibilidad de un mal uso de recursos puede ser alta a pesar de lafalta de autentificacin de usuario porque las guas para utilizar mal los recursos sonlimitadas.

Dependiendo de la necesidad de exactitud, los activos se pueden agrupar, o puede sernecesario dividir los activos en srs elementos y relacionar los escenarios a los elementos.Por ejemplo, a travs de sitios geogrficos la naturaleza de las amenazas a los mismos tiposde activos puede cambiar o puede variar la eficacia de los controles existentes.

L

NORMA TECMCAPERUANA

NTP.ISOiIEC2TOO530 de 95

Producto: Posibilidad de escenarios de incidentes (cuantitativos o cualitativos).

8.2.2.4 Nivel de estimacin del riesgo

lnsumos: Una list de escenarios de incidentes con sus consecuencias relacionadas aactivos y procesos del negocio y su posibilidad (cuantitativa o cualitativa).

Accin: El nivel de riesgo debe estimarse para todos los escenarios de incidentes relevantes(se relaciona con la norma ISOiIEC 27001, apartado 4.2.1 e) $).


La estimacin del riesgo asigna valores a la posibilidad y a las consecuencias de un riesgo.Estos valores pueden ser cualitativos o cuantitativos. La estimacin del riesgo se basa enlas consecuencias evaluadas y en su posibilidad. Adicionalmente, puede considerar elbeneficio del costo, las preocupaciones de los intereses y otras variables, segn seaapropiado para la evaluacin del riesgo. El riesgo estimado es una combinacin de laposibilidad de un escenario de incidentes y sus consecuencias.

En el Anexo E se pueden encontrar ejemplos de distintos mtodos o enfoques deestimacin del riesgo en seguridad de la informacin.

Producto: Una lista de riesgos con niveles asignados de valor.

8.3 Evaluacin del riesgo

lnsumo: Una lista de riesgos con niveles asignados de valor y criterios de evaluacin delriesgo.

Accin: El nivel de riesgo debe compararse contra los criterios de evaluacin del riesgo ylos criterios de aceptacin del riesgo (se relaciona con la norma ISO/IEC 2700I, apartadoa.Z.t e) $).

NoRMA rcucePERUANA

NTP-ISOIIEC27OO53l de 95


La naturaleza de las decisiones que corresponden a la evaluacin del riesgo y a los criteriosde evaluacin del riesgo que se utilizarn para tomar esas decisiones se eciiren cuando seestablezca el contexto. Estas decisiones y el contexto deben volverse a revisar en msdetalle en esta etapa cuando se sabe ms sobre los riesgos particulares identificados. paraevaluar los riesgos, las organizaciones deben comparar- Ios riesgos estimados (utilizandomtodos o enfoques de seleccin tal como s"

-enciona en el Anexo E) con los ciiterios deevaluacin del riesgo definidos durante la determinacin del contexto.

Los criterios de evaluacin del riesgo utilizados para tomar la decisin deben serconsistentes con el contexto de gestin del riesgo en slguridad de la informacin definidoexterna e internamente y se debe tomar en cuenta los objetivos de la organizacin y elpunto de vista de los interesados, etc. Las decisiones qul s" toman en la actividad deevaluacin del riesgo se basan principalmente en el nivel e riesgo aceptable. Sin embargo,tambin se debe considerar las consecuencias, posibilidad y grado de confianza en elriesgo, identificacin y anlisis. La agregacin de mltiples risgos bajos o medios puedenresultar en riesgos generales mucho ms altos que ..qui...n -tratarse de maneracorrespondiente.

Las consideraciones deben incluir:

Propiedades de la seguridad de la informacin: si un criterio no es relevantepara la organizacin (por ejemplo prdida de confidencialidad), entonces todoslos riesgos que impactan a este criterio pueden no ser relevantes.

La importancia del proceso de negocio o actividad apoyada por un activoparticular o conjunto de activos: si se determina que -el proceso es de bajaimporancia, los riesgos asociados con l deben recibir una consideracin mlsbaja que los riesgos que impactan a procesos o actividades ms importantes.

La evaluacin del riesgo utiliza la comprensin del riesgo obtenida por el anlisis delriesgo para tomar decisiones sobre acciones futuras. Las deJisiones deben incluir:

Si una actividad debe realizarse.Las.prioridades para el tratamiento del riesgo considerando niveles estimadosde riesgos.



9.1

Durante la etapa de evaluacin del riesgo, los requisitos contractuales legales y regulatoriosson factores que deben tomarse en cuenta adems de los riesgos estimados.

Producto: Una lista de riesgos priorizada de acuerdo con los criterios de evaluacin delriesgo en relacin con los escenarios de incidentes que llevan a esos riesgos.

9. TRATAMIENTO DEL RIESGO EN SEGURIDAD DE LAINT'ORMACIN

Descripcin general del tratamiento del riesgo

Insumo: Una lista de riesgos priorizada de acuerdo con criterios de evaluacin del riesgo enrelacin con los escenarios de incidentes que llevan a esos riesgos.

Accin: Se debe seleccionar controles para reducir, retener, evitar o transferir los riesgos yun plan del tratamiento del riesgo definido.


Existen cuatro opciones disponibles para el tratamiento del riesgo: reduccin(vase el apartado 9.2), retencin del riesgo (vase el apartado 9.3), evitamiento(vase el apartado 9.4)y transferencia del riesgo (vase el apartado 9.5).

NOTA: La norma ISOiIEC 27001 4.2.1,0 2) usa el trmino "aceptar el riesgo" en vez de "retener elriesgo".

La Figura 2 ilustra la actividad de tratamiento del riesgo dentro del proceso de gestin delriesgo en seguridad de la informacin tal como se presenta en la Figura l.

del riesgodel riesgo

NoRMA rcNrcePERUANA


Decisin sobre elriesgo punto 1

Decisin sobre el

FTGURA 2 -

Actividad de tratamiento del riesgo

NoRMA rcNrcePERUANA


Las opciones de tratamiento del riesgo deben seleccionarse en base al resultado de laevaluacin del riesgo, el costo esperado de implementr esas opciones y el beneficioesperado de esas opciones.

Cuando se puede obtener grandes reducciones en el riesgo con un gasto relativamente bajo,dichas opciones deben implementarse. Las opciones adicionales para mejoras pueden serno econmicas y se tiene que utilizar el criterio para decidir si son justificables.

En general, las consecuencias adversas de los riesgos deben hacerse tan bajas como seapracticable razonablemente y sin importar criterios absolutos. Los gerentes debenconsiderar los riesgos poco frecuentes pero graves. En dichos casos, es posible que se tengaque implementar controles que no son justificables desde el punto de vista estrictamenteeconmico (por ejemplo, controles a la continuidad del negocio considerados para cubrirriesgos altos especficos).

Las cuatros opciones para el tratamiento del riesgo no se excluyen mutuamente. A veces laorganizacin puede beneficiarse sustancialmente por una combinacin de opciones como lareduccin de la posibilidad de riesgos, la reduccin de sus consecuencias, y la transferenciao retencin de cualquier riesgo residual.

Algunos tratamientos del riesgo pueden enfrentar eficazmente ms de un riesgo (porejemplo, la capacitacin y concientizacin en seguridad de la informacin). Debe definirseun plan de tratamiento del riesgo que identifique claramente la prioridad ordenando encules tratamientos del riesgo individual debe implementarse y su horizonte temporal. Sepuede establecer prioridades utilizando varias tcnicas, incluyendo puntajes de riesgo yanlisis costo-beneficio. Es responsabilidad de los gerentes de la organizacin el decidir elequilibrio entre los costos de implemeqtar controles y la asignacin presupuestal.

La identificacin de controles existentes puede determinar que los controles existentesexcedan las necesidades corrientes en trminos de comparaciones de costos, incluyendo elmantenimiento. Si se considera eliminar los controles redundantes e innecesarios(especialmente si los controles tienen altos costos de mantenimiento), debe tomarse encuenta la seguridad de la informacin y los factores del costo. Debido a que los controlespueden influenciar unos a otros, la eliminacin de los controles redundantes puede reducirla seguridad general que existe. Adems, puede ser ms barato dejar en funcionamientocontroles redundantes o innecesarios que eliminarlos.

NoRMA rclucePERUANA


se debe considerar las opciones de tratamiento del riesgo tomando en cuenta:

Cmo las partes afectadas perciben el riesgo.

Las maneras mrs apropiadas de comunicarse con esas partes.

El establecimiento del contexto (vase el apartado 7.2 -

Criterios de valorizacin delriesgo) provee informacin sobre requisitos legales y regulatorios sobre los cuales laorganizacin debe cumplir. El riesgo para las organiiaciJnes es el no cumplimiento ydeben implementarse las opciones de tratamiento para limitar esta posibilidad. Todas lasrestricciones

-organizativas, tcnicas, estructuraleJ, etc. -

que se ientifiquen durante laactividad de determinacin del contexto deben tomarse en cuenta durante el tratamiento delriesgo.

U.na vez que el plan de tratamiento del riesgo se ha definido, se tiene que determinar losriesgos residuales. Esto incluye una actualizuiin o reiteracin de la evaluacin del riesgo,tomando en cuenta los efectos esperados del tratamiento propuesto del riesgo. Si el riesgoresidual todava no cumple con los criterios de aceptacin et riesgo de li organ izacin,puede ser necesaria una nueva iteracin del trataminto del riesgo ntes de prceder a Iaaceptacin del riesgo. Se puede encontrar mis informacin en la norma ISd/IEC 27002,Captulo 0.3.

Producto: Plan de tratamiento del riesgo y riesgos residuales sujetos a la decisin deaceptacin por parte de los gerentes de la organizacin.

9.2 Reduccin del riesgo

Accin: El nivel de riesgo debe reducirse a travs de la seleccin de controles de tal modoque el riesgo residual se pueda re-evaluar como aceptable.

NoRMA rcncePERUANA



Se debe seleccionar controles apropiados y justificados para cumplir con los requisitosidentificados por la evaluacin y el tratamiento del riesgo. Esta seleccin debe tomar encuenta los criterios de aceptacin del riesgo as como los requisitos legales regulatorios ycontractuales Esta seleccin tambin debe tomar en cuenta el costo y el horizonte temporalpara la implementacin de controle sobre los aspectos tcnicos, ambientales y culturales. Amenudo es posible reducir el costo total de la propiedad de un sistema con controles dese guridad de la informac in se lecc ionados aprop iadamente.

En general, los controles pueden proporcionar uno o ms de los siguientes tipos deproteccin: correccin, eliminacin, prevencin, minimizacin del impacto, disuasin,recuperacin, monitoreo y conciencia. Durante la seleccin del control es importantecontrapesar el costo de adquisicin, implementacin, administracin, operacin,.monitoreoy mantenimiento de los controles contra el valor de los activos que se estn protegiendo.Adems, se debe considerar el retorno sobre la inversin en trminos de reduccin delriesgo y del potencial de explotar nuevas oportunidades de negocio que los controlespermitan. Adicionalmente, se debe considerar las habilidades especializadas que se puedenrequerir para definir e implementar nuevos controles o modificar los existentes.

La norma ISO/IEC 27002 provee informacin detallada sobre controles.

Existen muchas restricciones que pueden afectar la seleccin de controles. Las restriccionestcnicas como los requisitos de desempeo, administrabilidad, requisitos de apoyooperativo y cuestiones de compatibilidad pueden obstaculizar el uso de ciertos controles oinducir a error humano ya sea anulando el control, dando una falsa sensacin de seguridado incluso incrementando el riesgo ms all del control. Por ejemplo, el requerir clavescomplejas sin capacitacin adecuada lleva a los usuarios a escribir las claves. Ms an,podra ser el caso q. un control afecte el desempeo. Los gerentes deben tratar deidentificar una solucin que satisfaga los requisitos de desempeo y a la vez garanticesuficiente seguridad de la informacin. El resultado de este paso es una lista de controlesposible con su costo, beneficio y prioridad de implementacin.

Se debe tomar en cuenta varias restricciones cuando se selecciona controles y durante laimplementacin. Normalmente se consideran los siguientes:

Restricciones de tiempo.

NoRMATcucePERUANA

NTP-ISO/IEC27OO537 de95

Restricciones fi nancieras.

Restricciones tcnicas.

Restricciones operativas.

Restricciones culturales.

Restricciones ticas.

Restricciones ambientales.

Restricciones legales.

Facilidad de uso.

Restricciones personales.

Restricciones para integrar controles nuevos y existentes,

En el Anexo F se puede encontrar ms informacin sobre las restricciones a la reduccindel riesgo.

Retencin del riesgo9.3

Accin: La decisin de retener el riesgo sin acciones ulteriores debe tomarse dependiendode la evaluacin del riesgo.

NoTA: La norma ISO/IEC 27001, apartado 42.1 D 2) "aceptar riesgos a sabiendas y de maneraobjetiva siempre y cuando cumplan claranente las polticas de la organizacin y los criterios para laaceptacin de riesgos', describe la misma actividad.


Si el nivel de riesgo satisface los criterios de aceptacin del riesgo no es necesarioimplementar controles adicionales y se puede retener ei riesgo.


NTP-ISOIIEC 2700538 de 95

9.4 Evitamiento del riesgo

Accin: Se debe evitar la actividad o condicin que ocasiona el riesgo particular.


Cuando los riesgos identificados se consideran demasiado altos o los costos deimplementar otras opciones de tratamiento del riesgo exceden los beneficios, se puedetomar la decisin de evitar el riesgo completamente, retirndose de una actividad oconjunto de actividades planeadas o existentes, o cambiando las condiciones bajo lascuales se opera la actividad. Por ejemplo, para riesgos causados por la naturaleza puede seruna alternativa ms econmica mudar las instalaciones de procesamiento de la informacina un lugar donde el riesgo no exista o este bajo control.

Transferencia del riesgo

Accin: El riesgo debe transferirse a otra parte que pueda administrar ms eficazmente elriesgo particular dependiendo de la evaluacin del riesgo.


La transferencia del riesgo involucra una decisin de compartir ciertos riesgos con partesexternas. La transferencia del riesgo puede crear nuevos riesgos o modificar los riesgosexistentes identificados. Por lo tanto, puede ser necesario el tratamiento adicional delriesgo.

Se puede hacer la transferencia por medio de un seguro que soporte las consecuencias osubcontratando a un socio cuyo rol ser monitorear el sistema de informacin y tomaracciones inmediats para evitar un ataque antes de que logre un nivel de dao definido.

Se debe notar que puede ser posible transferir la responsabilidad de administrar el riesgo,pero nonnalmente no es posible transferir los pasivos de un impacto. Los clientesatribuirn usualmente un impacto adverso a una falta de la organizacin

9.5

NoRMA rcNlcaPERUANA


10.INT'ORMACIN

ACEPTACIN DEL RIESGO EN SEGURIDAD DE LA

Instim,o: El plan de tratamiento del riesgo y la evaluacin del riesgo residual estn sujetos ala decisin de aceptacin de los g...nto dl la organizacin.

Accin: Debe tomarse y registrarse de manera formal la decisin de aceptar los riesgos yresponsabilidades por esa decisin (esto se relaciona con la norma ISO/IE 27001apartado4.2.t h)).


Los planes de tratamiento del riesgo deben describir cmo se deben tratar los riesgosevaluados para satisfacer los criterios de aceptacin del riesgo (vase el apartado 7.2

-Criterios de aceptacin del riesgo). Es importante que los gerentes responsables revisen yaprueben los planes de tratamiento del riesgo propuestos y ls riesgos residuales resultantesy registrar cualquier condicin que se asocie .-on i"h" aprobacin.

Los criterios de aceptacin del riesgo pueden ser ms complejos que simplementedeterminar si un riesgo residual ."" o n por encima o por debajo de un umbral especfico.

En algunos casos el nivel de riesgo residual puede no cumplir con los criterios deaceptacin del riesgo porque los criterios que se esn aplicando no toman en cuenta lascircunstancias prevalecientes. Por ejemplo, ie puede argtir lu. ., necesario aceptar riesgosdebido a que los beneficios que u"o-f"* a tos .iesio, ,n rnuy atractivos, o porque elcosto de reduccin del riesgo es demasiado alto. oiJtras circunstncias indican que loscriterios de aceptacin del riesgo son inadecuados y se deberan revisar si fuera posible. sinembargo, no siempre es posible revisar los criterios de aceptacin del riesgo de maneraoportuna' En dichos casos' quienes toman las decisiones fueden tener qu"e aceptar losriesgos que no satisfacen los criterios de aceptacion noai. si esto es necesario, quientoma las decisiones debera comentar explcitamente los riesgos e incluir una justificacinpara que la decisin pueda pasar por encima de los criterios normales de ac"eptacin delriesgo.

NoRMA rcNrcePERUANA


11. COMUNICACIN DEL RIESGO EN SEGURIDAD DE LAINT'ORMACION

Insumo: Toda la informacin del riesgo que se obtiene de las actividades de gestin delriesgo (vase la Figura l).

Accin: La informacin sobre el riesgo debe intercambiarse y/o compartirse entre quienestoman las decisiones y otros interesados.


La comunicacin del riesgo es una actividad para lograr acuerdos sobre cmo manejar losriesgos intercambiando y/o compartiendo informacin sobre el riesgo entre quienes tomanlas decisiones y otros interesados. La informacin incluye, pero no se limita a, laexistencia, naturaleza, forma, posibilidad, gravedad, tratamiento y aceptabilidad de losriesgos.

La comunicacin eftcaz entre los interesados es importante ya que esto puede tener unimpacto significativo en las decisiones que se deben tomar. La comunicacin asegurar quelos responsables de implementar la gestin del riesgo y aquellos que tienen interesesparticulares comprendan la base sobre la cual se toman las decisiones y las accionesparticulares que se requieren. La comunicacin es bi-direccional.

Las percepciones del riesgo pueden variar debido a las diferencias en los supuestos,conceptos y a las necesidades, problemas y preocupaciones de los interesados segn serelacionen ellos con el riesgo o los problemas en cuestin. Los interesados probablementeconsideren la aceptabilidad del riesgo en base a su percepcin del riesgo. Esto esespecialmente importante para asegurar que las percepciones del riesgo de los interesados,as como sus percepciones de los beneficios se pueden identificar y documentar y lasrazones subyacentes se pueden entender y resolver de manera clara.

Debe realizarse la comunicacin sobre el riesgo de manera que se logre lo siguiente:

- Proporcionar aseguramiento del resultado de la gestin del riesgo de laorganizacin.

NoRMA rcNrcePERUANA

NTP-ISO/IEC27OO54l de 95

- Recolectar informacin sobre el riesgo.

- Compartir los resultados de la evaluacin del riesgo y presentar el plan detratamiento del riesgo.

- Evitr o reducir la ocurrencia y consecuencia de las infracciones a laseguridad de la informacin debido a la falta de comprensin mutua entre quienestoman las decisiones y los interesados.

- Apoyar la toma de decisiones.

- Obtener nuevo conocimiento sobre seguridad de la informacin.

- Coordinar con otras partes y planificar las respuestas para reducir lasconsecuencias de cualquier incidente.

- Darle a los que toman las decisiones y a los interesados un sentido deresponsabilidad sobre los riesgos.

- Mejorar la conciencia.

Una organizacin debe desarrollar planes de comunicacin del riesgo para operacionesnormales, as como para las situaciones de emergencia. Por lo tanto, la uciividad decomunicacin del riesgo debe realizarse de manera continua.

La coordinacin entre quienes toman las decisiones y los interesados ms importantes debelograrse por medio de la formulacin de un comit donde se debata ls riesgos, supriorizacin y su tratamiento apropiado y aceptacin.

Es importante cooperar con la unidad de relaciones pblicas o comunicaciones concernidadentro de la organizacinpara coordinar todas las tareas relacionadas con la comunicacindel riesgo. Esto es crucial en el caso de acciones de comunicacin de la crisis, por ejemploen respuesta a incidentes particulares.

Producto: La comprensin continua del proceso de gestin del riesgo en seguridad de lainformacin de la organizaciny sus resultados.

NoRMA rcNrcePERUA\IA

NTP-ISO/TEC27OO542 de 95

12. MONITOREO Y REVISION DEL RIESGO EN SEGURIDAD DE LAnvronu.cIN

t2.l Monitoreo y revisin de factores del riesgo

Insumo: Toda la informacin sobre el riesgo que se obtiene a travs de las actividades degestin del riesgo (Vase la Figura 1).

Accin: Se debe monitorear y revisar los riesgos y sus factores (es decir, valor de losactivos, impactos, amenazas, vulnerabilidades, posibilidad de ocurrencia) para identificarcualquier cambio en el contexto de la informacin en una etapa temprana y para manteneruna visin general de toda la imagen del riesgo.


Los riesgos no son estticos. Las amenazas, vulnerabilidades, posibilidad o consecuenciaspueden cambiar abruptamente sin ninguna indicacin. Por lo tanto, es necesario elmonitoreo constante para detectar estos cambios. Esto lo pueden apoyar servicios externosque provean informacin respecto a nuevas rlmenazas o vulnerabilidades.

Las organizaciones deben asegurar que se monitoree continuamente lo siguiente:

Nuevos activos que hayan sido incluidos en el alcance de la gestin del riesgo.La modificacin necesaria de los valores de los activos, por ejemplo: debido alas necesidades cambiantes del negocio.Nuevas amenazas que podran ser activas tanto fuera como dentro de laorganizacin y que no se han evaluado.La posibilidad de que las vulnerabilidades nuevas o aumentadas permitan quehaya amenazas que exploten estas vulnerabilidades nuevas o cambiadas.Vulnerabilidades identificadas para determinar las que se estn exponiendo aamenazas nuevas o re-emergentes.El mayor impacto o las consecuencias de amenazas, vulnerabilidades y riesgosevaluados resultan en un nivel de riesgo inaceptable cuando se agregan.Incidentes de seguridad de la informacin.

NoRMA rcNlcePERUANA


Las nuevas amenvas, vulnerabilidades o cambios en las posibilidades o las consecuenciaspueden incrementar los riesgos previamente evaluados cmo bajos. La revisin de riesgosbajos y aceptados debe considerar cada riesgo por separado y iodos los riesgos como unagregado tambin para evaluar su impacto acumulado potencial. Si los riefios no caendentro de la categora baja o aceptable, se les debe tratar utilizando una o ms de lasopciones consideradas en el Captulo 9.

Los factores que afectan las posibilidades y las consecuencias de que ocuran las amenazaspueden cambiar, as como pueden cambiar los factores que afectan la conveniencia o elcosto de las distintas opciones de tratamiento.

Los factores que afectan la posibilidad y consecuencias de las amenazas que ocurrenpueden cambiar, como pueden hacerlo los factores que afectan la conveniencia o el costode las distintas opciones de tratamiento. Los cambios importantes que afectan a laorganizacin deben recibir una revisin ms especfica. Por lo tanto, las actividades demonitoreo del riesgo deben repetirse regularmente y las opciones seleccionadas para eltratamiento del riesgo deben revisarse peridicamente.

El resultado de las actividades de monitoreo del riesgo pueden ser un insumo para otrasactividades de revisin del riesgo.

La organizacin debe revisar todos los riesgos de manera regular y cuando ocurren cambiosimportantes (de acuerdo con la nonna ISo/IEc 2700l,upurdo i.z.l>.

Producto: El alineamiento continuo de la gestin del riesgo con los objetivos de negocio dela organizacin y con los criterios de aceptacin del riesg-o.

12.2 Monitoreo, revisin y mejoramiento de gestin der riesgo

Insumo: Toda la informacin sobre el riesgo que se obtiene de las actividades de gestindel riesgo (vase la figura l).

Accin: El proceso de gestin del riesgo en seguridad de la informacin debe monitorearse,revisarse y mejorarse continurmente segn ,""-n...r*io y apropiado.

NORMA TCNICAPERUANA



Se necesita monitoreo y revisin constante para asegurar que el contexto, el resultado de laevaluacin y el tratamiento del riesgo, as como los planes de manejo sigan siendorelevantes y apropiados a las circunstancias.

La organizacin debe asegurane de que el proceso y gestin del riesgo de seguridad de lainformacin y las actividades relacionadas sigan siendo apropiadas en las circunstanciaspresentes y se cumplan. Cualquier mejora acordada al proceso con las acciones necesariaspara mejorar el cumplimiento con el proceso deben notificarse a los gerentes adecuadospara asegurarse de que no se pase por alto o subestime ningn riesgo o elemento riesgoso yque se tomen acciones y decisiones necesarias para proveer una compresin realist delriesgo y par^tener la capacidad de responder.

Adems, la organizacin debe verificar regularmente que los criterios utilizados para medirel riesgo y sus elementos siguen siendo vlidos y consistentes con los objetivos, estrategiasy polticas empresariales y que los cambios al contexto empresarial se toman enconsideracin de manera adecuada durante el proceso de gestin del riesgo en seguridad dela informacin. Esta actividad de monitoreo y revisin debe ocuparse de, aunque nolimitarse a, lo siguiente:

Contexto legal y ambiental.Contexto competitivo.Enfoque de evaluacin del riesgo.Valor y categoras del activo.Criterios de impacto.Criterios de evaluacin del riesgo.Criterios de acepacin del riesgo.Costo total de propiedad.Recursos necesarios.

La organizacin debe asegurar que los recrrsos para la evaluacin y el tratamiento delriesgo estn disponibles continuamente para revisar el riesgo, resolver amenazas ovulnerabilidades nuevas o modificadas, y para aconsejar a la gerencia de maneracorrespondiente.

NoRMA rcNrcePERUANA

NTP.ISOi]EC27OO545 de 95

El monitoreo de la gestin del riesgo puede resultar en la modificacin o adicin deenfoques, metodologas o herramientas utilizados dependiendo de:

Cambios identificados.Integracin de la evaluacin del riesgo.Objetivo del proceso de gestin del riesgo en seguridad de Ia informacin(por ejemplo, continuidad del negocio, capacidad de recuperacin ante los incidentes,

cumplimiento).Objetivo del proceso de gestin del riesgo en seguridad de la informacin(por ejemplo, organizacin, unidad empresarial, proceso de la informacin,

implementacin tcnica" aplicacin, conexin a la Internet).

Producto: Relevancia continua delinformacin para los objetivos deproceso.

gestin del riesgo en seguridad de lala organizacin o la actualizacin del

procesonegocio

dede

13.

13.1.

ANTECEDENTES

ISOiIEC 27005:2008 Information technology -

Security techniques -lnformation security risk management

NoRMA rcNrcePERUANA


ANEXO A(TNFORMATTVO)

4.1

DEFINCION DEL ALCANCE Y LIMITES DELPROCESO DE GESTION DEL RIESGO EN SEGURTDAD

DE LA INFORMACIN

Estudio de la organizacin

Evaluar la organizacin. El estudio de la organizacin nos recuerda los elementoscaractersticos que definen la identidad de una organizacin. Esto tiene que. ver con elpropsito, negocio, misiones, valores y estrategias de esta organizacin. Se debe identificarestos elementos juntos con los que contribuyen a su desarrollo (por ejemplo, lasubcontratacin).

La dificultad de esta actividad reside en comprender exactamente cmo est estructurada laorganizacin. Identificar su estructura real proveer una comprensin del papel eimportancia de cada divisin en el logro de los objetivos de la organizacin.

Por ejemplo, el hecho de que el gerente de seguridad de la informacin reporte a los altosgerentes en vez de a los gerentes de TI puede indicar la participacin de la alta gerenciaen la seguridad de la infurmacin.

El propsito princioal de la oreanizacin. El propsito principal de una organizacin puededefinirse como las razones por las que existe (su campo de actividad, sus segmentos demercado, etc.).

Su negocio. El negocio de la organizacin, definido por las tcnicas y el know-how de susempleados le permite lograr sus misiones. Es especfico al campo de actividad de laorganizacin y a menudo define su cultura.

NoRMA rcNlcePERUANA

NTP-ISOAEC27OO547 de95

Su misin. La organizacin logra su propsito cumpliendo con su misin. La misin, losservicios proporcionados y/o los productos manufach.rados deben identificarse en relacincon los usuarios finales.

Sus valores. Los valores, los principios importantes o un cdigo bien definido de conductaque se aplica al ejercicio de un negocio. Esto puede referirse al personal, a las relacionescon agentes externos (clientes, etc.), a la calidad de productos suministrados o serviciosproporcionados.

Tomar el eiemplo de una organizacin cuyo propsito es el servicio pblico, cttyo negocioes el transporte y cuyas misiones incluyen el transporte de nios y de la eicuela. Susvalores pueden ser Ia puntualidad y la seguridad del servicio durante il transporte.

Estructura de la organizacin. Existen distintos tipos de estructura:

- Estructura por divisiones: Cada divisin se coloca bajo la autoridad de ungerente de divisin responsable por las decisiones estratgicas administrativas yoperativas que conciemen a su unidad.

- Estructura funcional: Se ejerce autoridad funcional sobre losprocedimientos, la naturaleza del trabajo y a veces las decisiones o el planeamiento(por ejemplo, produccin, TI, recursos humanos, marketing, etc.)

Comentarios:

- Una divisin dentro de una organizacin con estructura por divisiones puedeorganizarse como una estrucfura funcional y viceversa.

- Se puede decir que una organizacin tiene una estructura de matriz si tieneelel:qtr. - ^rL^^ +i-^. J- d+-r^fit,^vv^vlvr u! a^\iJ riljijb i- JLIUrure.

- En cualquier estructura organizativa se pueden distinguir los siguientesniveles:

El nivel de toma de decisiones (definicin de orientaciones estratgicas);El nivel de liderazgo (coordinacin y gestin);El nivel operativo (actividades de produccin y apoyo).

NoRMA rctucePERUANA

NTP.ISOIIEC2TOO548 de 95

Organigrama. La estructura de la organizacin se representa esquemticamente en unorganigrama. Esta representacin debe destcar las lneas jerrquicas y la delegacin deautoridad, pero tambin debe incluir otras relaciones, las que incluso si no se basan enninguna autoridad formal, son no obstante lneas de flujo de la informacin.

La estratesia de la oreanizacin. Esto requiere una expresin formal de los principios guade la organizacin. La estrategia de la organizacin determina la direccin y el desanolloque se necesitan para beneficiarse de los temas en juego y de los cambios importantes queestiin planeandos.

A.2 Lista de restricciones que afectan a la organizacin

Deben tomarse en cuenta todas las restricciones que afectan a la organizacin y determinansu orientacin en seguridad de la informacin. Su fuente puede estar dentro de laorganizacin, en cuyo caso tiene cierto control sobre ella o fuera de la organizacin y, porlo tanto, generalmente no es negociable. Las restricciones a los recurSos (presupuesto,personal) y las restricciones de emergencia estn entre las ms importantes.

La organizacin frja sus objetivos (respecto de su negocio, comportamiento, etc.)comprometindose con un cierto camino, posiblemente en un perodo largo. Define lo quequiere ser y los medios que necesitar. para implementarlo. Cuando se especifica estecamino, la organizacin toma en cuenta los desarrollos, la tcnica y el know-how, losdeseos que los usuarios, los clientes, etc. han expresado. Este objetivo se puede expresar enla forma de estrategias operativas o de desarrollo con la finalidad, por ejemplo, de cortarcostos operativos, mejorar la calidad del servicio, etc.

Estas estrategias probablemente incluyen informacin y el sistema de informacin (SI) queayuda en su aplicacin. Consecuentemente, las caractersticas concernientes a la identidad,misin y estrategias de la organizacin son elementos fundamentales en el anlisis delproblema, ya que el incumplimiento de un aspecto de la seguridad de la informacin puederesultar en repensar estos objetivos estratgicos.

Ademis, es esencial que las propuestas respecto de las necesidades de seguridad de lainformacin sigan siendo consistentes con las reglas, usos y medios vigentes en laorganizacin.

f-1l:l:lil:l:l:l

NoRMA rcurcePERUANA


La lista de restricciones incluye pero no se limita a:

Restricciones de naturaleza poltica

Estas pueden referirse a administraciones gubernamentales, instituciones pblicas o msgeneralmente a cualquier organizacin que tenga que aplicar decisiones gubernamentales.Normalmente son decisiones que conciernen a la orientacin estratgica u operativa queuna decisin gubemamental u rgano de toma de decisiones realiza y deben aplicarse.

Por ejemplo, la computarizacin de facturas o docamentos administrativos introduceproblemas de seguridad de la informacin.

Restricciones de naturaleza estratgica

Las restricciones pueden surgir de los cambios planeados o posibles a las estructuras uorientacin de la organizacin. Se expresa en los planes estratgicos u operativos de laorganizacin.

Por eiemplo, la cooperacin internacional al compartir informacin delicada puedenecesitar acuerdos concernientes al intercambo seguro.

Restricc iones territoriales

La estructuray/o el propsito de la organizacinpueden introducir restricciones especficascomo la distribucin de sitios en todo el territorio nacional o en el extranjero.

Los eiemplos incluyen senicos postales, embajadas, bancos, subsidiarias de grandesgrupos industriale s, etc.

NoRMA rcNrcePERUANA

NTP.ISO/TEC27OO550 de 95

Las restricciones sursen del clima econmico v poltico

La operacin de una organizacin puede cambiar profundamente debido a eventosespecficos como huelgas o crisis nacionales o internacionales.

Por ejemplo, algunos servicios pueden ser capaces de continuar incluso a pesar de unaseria crisis.

Restricc iones estructurales

La naturaleza de Ia estructura de una organizacin (por divisiones, funcional u otra) puedellevar a una poltica de seguridad de la informacin especifica y a la organizacin deseguridad adaptada a la estructura.

Por ejemplo, une estructura internacional puede ser copaz de reconciliar las necesidadesespecficas de seguridad para cada pas.

Restricciones funcionales

Las restricciones funcionales surgen directamente de las misiones generales o especificasde la organizaci.

Por ejemplo, una organizacin que opera 24 horas al da debe asegurar que sus recursosestn continuamente disponibles.

Restricciones respecto al personal

La naturaleza de estas restricciones vara considerablemente. Esn ligadas al nivel deresponsabilidad, reclutamiento, calificacin, capacitacin, conciencia de la seguridad,motivacin, disponibilidad, etc.

s._afilrlilflil1l:!ii,t

Irl;i:lit;lrl

I

il:l

NoRMA rcNtcePERUANA

NTP.ISO/IEC27OO55l de 95

Por eiemplo, todo el personal de una organizacin de defensa debe tener autorizacinpar a manej ar informacin alt amente co nfi denc ial.

Restricciones que surgen del calendario de la oreanizacin

Estas restricciones pueden resultar de la reestructuracin o el establecimiento de polticasnacionales o internacionales nuevas que imponen ciertos plazos.

Por ejemplo, Ia creacin de una divisin de seguridad.

Restricciones relacionadas a mtodos

Los mtodos apropiados al know-how de la organizacin tendrn que imponerse paraaspectos como el planeamiento, especificaciones, desarrollo, etc. de proyictos.

Por ejemplo, una restriccin tpica de este tipo es Ia necesidad de inc

Norma Técnica Peruana - Indecopi EDI TI

Documents

Transcript of Norma Técnica Peruana - Indecopi EDI TI