Norma en consulta publica hasta el 28 de mayo del presente ao.

Esta norma suministra directrices para la gestin del riesgo en la seguridad de la informacin. Esta norma brinda soporte a los conceptos generales que se especifican en la norma NBISO/IEC 27001 y est diseada para facilitar la implementacin satisfactoria de la seguridad de la informacin con base en el enfoque de gestin del riesgo. El conocimiento de los conceptos, modelos, procesos y terminologas que se describen en la norma NB-ISO/IEC 27001 y en NB-ISO/IEC 27002 es importante para la total comprensin de esta norma. Esta norma se aplica a todos los tipos de organizaciones (por ejemplo empresas comerciales, agencias del gobierno, organizaciones sin nimo de lucro) que pretenden gestionar los riesgos que podran comprometer la seguridad de la informacin de la organizacin. Los siguientes documentos normativos referenciados son indispensables para la aplicacin de este documento normativo. Para referencias fechadas, se aplica nicamente la edicin citada. Para referencias no fechadas, se aplica la ltima edicin del documento normativo referenciado (incluida cualquier correccin). NB/ISO/IEC 27001:2007 Tecnologa de la informacin - Tcnicas de seguridad Sistemas de gestin de seguridad Requisitos. NB/ISO/IEC 27002:2007 Tecnologa de la informacin - Tcnicas de seguridad - Cdigo de prctica para la gestin de seguridad de la informacin. El establecimiento del contexto est sustentado por el Anexo A (que define el alcance y los lmites del proceso de gestin del riesgo en la seguridad de la informacin). La identificacin y valoracin de los activos y las valoraciones de impacto se discuten en el Anexo B (ejemplos para activos), Anexo C (ejemplos de amenazas comunes) y Anexo D (ejemplos de vulnerabilidades comunes). Los ejemplos de los enfoques para la valoracin del riesgo en la seguridad de la informacin se presentan en el Anexo E. En el Anexo F se presentan las restricciones para la reduccin del riesgo. 6 VISIN GENERAL DEL PROCESO DE GESTIN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN As como lo ilustra la Figura 1, el proceso de gestin del riesgo en la seguridad de la informacin puede ser iterativo para las actividades de valoracin del riesgo y/o de tratamiento del riesgo. Un enfoque iterativo para realizar la valoracin del riesgo puede incrementar la profundidad y el detalle de la valoracin en cada iteracin. El enfoque iterativo suministra un buen equilibrio entre la reduccin del tiempo y el esfuerzo requerido para identificar los controles, incluso garantizando que los riesgos altos se valoren de manera correcta. El contexto se establece primero. Luego se realiza una valoracin del riesgo. Si sta suministra informacin suficiente para determinar de manera eficaz las acciones que se necesitan para modificar los riesgos hasta un nivel aceptable, entonces la labor est terminada y sigue el tratamiento del riesgo. Si la informacin no es suficiente, se llevar a

cabo otra iteracin de la valoracin del riesgo con un contexto revisado (por ejemplo, los criterios de evaluacin del riesgo, los criterios para aceptar el riesgo o los criterios de impacto), posiblemente en partes limitadas del alcance total (vase la Figura 1, Decisin sobre el riesgo-punto 1).

En un SGSI, el establecimiento del contexto, la valoracin del riesgo, el desarrollo del plan de tratamiento del riesgo y la aceptacin del riesgo son parte de la fase de "planificar". En la fase de "hacer" del SGSI, se implementan las acciones y los controles que son necesarios para reducir el riesgo hasta un nivel aceptable, de acuerdo con el plan de tratamiento del riesgo. En la fase de "verificar" del SGSI, los directores determinarn la necesidad de revisiones de las valoraciones y del tratamiento del riesgo a la luz de los incidentes y los cambios en las circunstancias. "actuar", se llevan a cabo todas las acciones que son necesarias, incluyendo la aplicacin adicional del proceso de gestin del riesgo en la seguridad de la informacin. 7 ESTABLECIMIENTO DEL CONTEXTO 7.1 CONSIDERACIONES GENERALES Dar soporte a un SGSI; - conformidad legal y evidencias de la debida diligencia; - preparacin de un plan para la continuidad del negocio; - preparacin de un plan de respuesta a incidentes; - descripcin de los requisitos de seguridad de la informacin para un producto, un servicio o un mecanismo. 7.2 CRITERIOS BSICOS Criterios de evaluacin del riesgo.Criterios de impacto.Criterios de la aceptacin del riesgo. 7.3 EL ALCANCE Y LOS LIMITES.-

Al definir el alcance y los lmites, la organizacin debera considerar la siguiente informacin: - los objetivos estratgicos de negocio, polticas y estrategias de la organizacin; - procesos del negocio; - las funciones y estructura de la organizacin; - los requisitos legales, reglamentarios y contractuales aplicables a la organizacin; - la poltica de seguridad de la informacin de la organizacin; - el enfoque global de la organizacin hacia la gestin del riesgo; - activos de informacin; - ubicacin de la organizacin y sus caractersticas geogrficas; - restricciones que afectan a la organizacin; - expectativas de las partes interesadas; - entorno sociocultural; - interfaces (Ejemplo: intercambio de informacin con el entorno). 7.4 ORGANIZACIN PARA LA GESTIN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN Se recomienda establecer y mantener la organizacin y las responsabilidades en el proceso de gestin del riesgo y la seguridad de la informacin. Las siguientes son las principales funciones y responsabilidades en esta organizacin: - Desarrollar el proceso de gestin del riesgo en la seguridad de la informacin que sea adecuado para la organizacin. - Identificar y analizar las partes interesadas. - Definir las funciones y las responsabilidades de todas las partes, tanto internas como externas, de la organizacin. - Establecer las relaciones necesarias entre la organizacin y las partes interesadas, as como las interfaces con las funciones de la gestin del riesgo de alto nivel de la organizacin (por ejemplo, gestin del riesgo operativo), y las interfaces con otros proyectos o actividades relevantes. - Definir las rutas para escalar decisiones. - Especificar los registros que se deben conservar. 8 VALORACIN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN 8.1 DESCRIPCIN GENERAL DE LA VALORACIN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN La valoracin del riesgo consta de las siguientes actividades: - Anlisis del riesgo (vase el numeral 8.2) el cual consiste en: - identificacin del riesgo (vase el numeral 8.2.1);

- estimacin del riesgo (vase el numeral 8.2.2). - Evaluacin del riesgo (vase el numeral 8.3). La valoracin del riesgo determina el valor de los activos de informacin, identifica las amenazas y vulnerabilidades aplicables que existen (o que podran existir), identifica los controles existentes y sus efectos en el riesgo identificado, determina las consecuencias potenciales y, finalmente, prioriza los riesgos derivados y los clasifica frente a los criterios de evaluacin del riesgo determinados en el contexto establecido. 8.2 ANLISIS DEL RIESGO 8.2.1 Identificacin del riesgo 8.2.1.1 Introduccin a la identificacin del riesgo 8.2.1.2 Identificacin de los activos 8.2.1.3 Identificacin de las amenazas 8.2.1.4 Identificacin de los controles existentes 8.2.1.5 Identificacin de las vulnerabilidades 8.2.1.6 Identificacin de las consecuencias 8.2.2 Estimacin del riesgo 8.2.2.1 Metodologas para la estimacin del riesgo a) Estimacin cualitativa: b) Estimacin cuantitativa: 8.2.2.2 Valoracin de las consecuencias 8.2.2.3 Valoracin de los incidentes 8.2.2.4 Nivel de estimacin del riesgo 9.2 REDUCCIN DEL RIESGO Se recomienda seleccionar controles adecuados y justificados que satisfagan los requisitos identificados en la valoracin y el tratamiento del riesgo. - restricciones de tiempo; - restricciones financieras; - restricciones tcnicas; - restricciones operativas; - restricciones culturales; - restricciones ticas; - restricciones ambientales; - restricciones legales; - facilidad de uso;

- restricciones de personal; 9.3 RETENCIN DEL RIESGO Accin: la decisin sobre la retencin del riesgo sin accin posterior se debera tomar dependiendo de la evaluacin del riesgo. NOTA La normal NB-ISO/IEC 27001, 4.2.1 f) 2), "aceptar los riesgos con conocimiento y objetividad, siempre y cuando satisfagan claramente la poltica y los criterios de la organizacin para la aceptacin de los riesgos", describe la misma actividad. Gua para la implementacin: Si el nivel del riesgo satisface los criterios para su aceptacin, no es necesario implementar controles adicionales y el riesgo se puede retener. 9.4 EVITACIN DEL RIESGO Accin: se debera evitar la actividad o la accin que da origen al riesgo particular. Gua para la implementacin: Cuando los riesgos identificados se consideran muy altos, o si los costos para implementar otras opciones de tratamiento del riesgo exceden los beneficios, se puede tomar una decisin para evitar por completo el riesgo, mediante el retiro de una actividad o un conjunto de actividades planificadas o existentes, o mediante el cambio en las condiciones bajo las cuales se efecta tal actividad. Por ejemplo, para los riesgos causados por la naturaleza, puede ser una alternativa ms eficaz en trminos de costo, transferir fsicamente las instalaciones de procesamiento de la informacin a un lugar donde no exista el riesgo o est bajo control. 9.5 TRANSFERENCIA DEL RIESGO Accin: el riesgo se debera transferir a otra parte que pueda gestionar de manera ms eficaz el riesgo particular dependiendo de la evaluacin del riesgo. Gua para la implementacin: La transferencia del riesgo involucra una decisin para compartir algunos riesgos con las partes externas. La transferencia del riesgo puede crear riesgos nuevos o modificar los riesgos identificados existentes. Por lo tanto, puede ser necesario el tratamiento adicional para el riesgo. La transferencia se puede hacer mediante un seguro que dar soporte a las consecuencias o mediante subcontratacin de un asociado cuya funcin ser monitorear el sistema de informacin y tomar acciones inmediatas para detener un ataque antes de que ste produzca un nivel definido de dao.