NORMA TCNICA

COLOMBIANA

NTC-ISO/IEC
27005
2009-08-19

TECNOLOGA DE LA INFORMACIN.
TCNICAS DE SEGURIDAD. GESTIN
RIESGO
EN
LA
SEGURIDAD
DE
INFORMACIN

E:

DEL
LA

INFORMATION TECHNOLOGY. SECURITY TECHNIQUES.

INFORMATION SECURITY RISK MANAGEMENT

CORRESPONDENCIA:

esta norma es una adopcin idntica

(IDT) por traduccin, respecto a su
documento de referencia, la norma
ISO/IEC 27005:2008.

DESCRIPTORES:

tecnologa
de
la
informacin;
seguridad; gestin del riesgo en la
informacin.

I.C.S.: 35.040
Editada por el Instituto Colombiano de Normas Tcnicas y Certificacin (ICONTEC)
Apartado 14237 Bogot, D.C. - Tel. (571) 6078888 - Fax (571) 2221435

Prohibida su reproduccin

Editada 2009-09-01

PRLOGO

El Instituto Colombiano de Normas Tcnicas y Certificacin, ICONTEC, es el organismo

nacional de normalizacin, segn el Decreto 2269 de 1993.
ICONTEC es una entidad de carcter privado, sin nimo de lucro, cuya Misin es fundamental
para brindar soporte y desarrollo al productor y proteccin al consumidor. Colabora con el
sector gubernamental y apoya al sector privado del pas, para lograr ventajas competitivas en
los mercados interno y externo.
La representacin de todos los sectores involucrados en el proceso de Normalizacin Tcnica
est garantizada por los Comits Tcnicos y el perodo de Consulta Pblica, este ltimo
caracterizado por la participacin del pblico en general.
La NTC-ISO/IEC 27005 fue ratificada por el Consejo Directivo de 2009-08-19.
Esta norma est sujeta a ser actualizada permanentemente con el objeto de que responda en
todo momento a las necesidades y exigencias actuales.
A continuacin se relacionan las empresas que colaboraron en el estudio de esta norma a
travs de su participacin en el Comit Tcnico 181 Tcnicas de seguridad de la informacin.
ALIANZA SINERTIC
AVIANCA
BANCO AGRARIO
BANCO DE BOGOTA
BANCO DE LA REPBLICA
CHOUCAIR TESTING S.A.
COLSUBSIDIO
DAKYA LTDA.
ECOPETROL
EMPRESA DE TELFONOS DE BOGOTA
-E.T.B.FLUIDSIGNAL GROUP

GEOCONSULT
ICONTEC
IQ INFORMATION QUALITY
JTCCIA LTDA.
NEWNET S.A.
PIRMIDE
ADMINISTRACIN
DE
INFORMACIN LTDA.
PONTIFICIA UNIVERSIDAD JAVERIANA
SUN GEMINI
TELEFNICA TELECOM
TELMEX COLOMBIA S.A.

Adems de las anteriores, en Consulta Pblica el Proyecto se puso a consideracin de las

siguientes empresas:
A TODA HORA S.A.
ABN AMRO BANK
AGENDA DE CONECTIVIDAD
AGP COLOMBIA
ASOCIACIN BANCARIA DE COLOMBIA
ASOCIACIN GREMIAL DE
INSTITUCIONES FINANCIERAS
CREDIBANCO
ASOCIACIN LATINOAMERICANA DE
PROFESIONALES DE SEGURIDAD
INFORMTICA COLOMBIA

ATLAS TRANSVALORES
AVVILLAS
BANCAF
BANCO COLMENA BCSC
BANCO COLPATRA RED MULTIBANCA
BANCO DAVIVIENDA
BANCO DE CRDITO
BANCO DE OCCIDENTE
BANCO GBN SUDAMERIS
BANCO POPULAR
BUREAU VERITAS CERTIFICATION

CARGA S.A.
CHAID NEME HERMANOS
CIBERCALL S.A.
CITIBANK
COLEGIO LA PRESENTACIN - DUITAMA
COMFENALCO TOLIMA
COMPAA AGRCOLA DE SEGUROS DE
VIDA
CONTRALORA DE BOGOTA
CONTRALORA DE CUNDINAMARCA
COOPERATIVA SANTANDEREANA DE
TRANSPORTADORES LTDA.
CORPORACIN FINANCIERA DEL VALLE
CREANGEL LTDA.
D.S. SISTEMAS LTDA.
DATIC SA
DELOITTE
DEPARTAMENTO NACIONAL DE
PLANEACIN
DESCA
DITRANSA
ETEK INTERNACIONAL
EXPRESS DEL FUTURO S.A.
FEDESOFT
FUNDACIN UNIVERSITARIA
TECNOLGICO COMFENALCO
GIRSAT COLOMBIA LTDA.
HONOR SERVICIOS DE SEGURIDAD
IGI LTDA.
INTERBOLSA
IPX LTDA.
IQ OUTSOURCING S.A.
IT FORENSIC LTDA.
KPMG LTDA.
LUIS FERNANDO MEDINA LEGUZAMO
METROALARMAS LTDA.

MINISTERIO DE COMERCIO, INDUSTRIA

Y TURISMO
NITERIX
P Y Z SERVICIOS LTDA.
PARQUE TECNOLGICO DEL
SOFTWARE -PARQUESOFTPARTNERS SYSTEM TECHNOLOGICAL
OUTSOURCING
PROINDUL LTDA.
PROYECTOS INTEGRALES LTDA.
QUALITY SYSTEMS INTERNATIONAL &
CIA LTDA.
REDCOM LTDA.
REDEBAN MULTICOLOR
SECRETARIA GENERAL DE LA
ALCALDA MAYOR
SENA
SERVICIOS MDICOS OLIMPOS
SINGLAR CONSULTORES S.A.
SOCIEDAD COLOMBIANA DE
ARCHIVISTAS
SUN GEMINI S.A.
SYNAPSIS
TERRA FERME S.A.
UNE - E.P.M. TELECOMUNICACIONES
UNIVERSIDAD AUTNOMA DE
OCCIDENTE
UNIVERSIDAD DE CUNDINAMARCA
UNIVERSIDAD DE LOS ANDES
UNIVERSIDAD EAN
UNIVERSIDAD INDUSTRIAL DE
SANTANDER
UNIVERSIDAD JAVERIANA
UNIVERSIDAD NACIONAL DE COLOMBIA
WORLDCAD LTDA.

ICONTEC cuenta con un Centro de Informacin que pone a disposicin de los interesados
normas internacionales, regionales y nacionales y otros documentos relacionados.
DIRECCIN DE NORMALIZACIN

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27005

RESUMEN

CONTENIDO

Pgina

INTRODUCCIN

1.

OBJETO Y CAMPO DE APLICACIN ...................................................................... 1

2.

REFERENCIAS NORMATIVAS ................................................................................. 1

3.

TRMINOS Y DEFINICIONES ................................................................................... 1

4.

ESTRUCTURA DE ESTA NORMA ............................................................................ 3

5.

INFORMACIN GENERAL ....................................................................................... 4

6.

VISIN GENERAL DEL PROCESO DE GESTIN DEL RIESGO EN

LA SEGURIDAD DE LA INFORMACIN .................................................................. 5

7.

ESTABLECIMIENTO DEL CONTEXTO ..................................................................... 7

7.1

CONSIDERACIONES GENERALES ......................................................................... 7

7.2

CRITERIOS BSICOS ............................................................................................... 7

7.3

EL ALCANCE Y LOS LMITES .................................................................................. 9

7.4

ORGANIZACIN PARA LA GESTIN DEL RIESGO EN LA SEGURIDAD

DE LA INFORMACIN ............................................................................................ 10

8.

VALORACIN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN ........... 11

8.1

DESCRIPCIN GENERAL DE LA VALORACIN DEL RIESGO

EN LA SEGURIDAD DE LA INFORMACIN .......................................................... 11

8.2

ANLISIS DEL RIESGO .......................................................................................... 12

8.3

EVALUACIN DEL RIESGO ................................................................................... 20

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27005

RESUMEN

Pgina

9.

TRATAMIENTO DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN ......... 21

9.1

DESCRIPCIN GENERAL DEL TRATAMIENTO DEL RIESGO ............................. 21

9.2

REDUCCIN DEL RIESGO ..................................................................................... 24

9.3

RETENCIN DEL RIESGO ..................................................................................... 25

9.4

EVITACIN DEL RIESGO ....................................................................................... 25

9.5

TRANSFERENCIA DEL RIESGO ............................................................................ 25

10.

ACEPTACIN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN ........... 26

11.

COMUNICACIN DE LOS RIESGOS DE LA SEGURIDAD

DE LA INFORMACIN ............................................................................................ 26

12.

MONITOREO Y REVISIN DEL RIESGO EN LA SEGURIDAD

DE LA INFORMACIN ............................................................................................ 28

12.1

MONITOREO Y REVISIN DE LOS FACTORES DE RIESGO ............................... 28

12.2

MONITOREO, REVISIN Y MEJORA DE LA GESTIN DEL RIESGO .................. 29

DOCUMENTO DE REFERENCIA ....................................................................................... 67

BIBLIOGRAFA ................................................................................................................... 66

ANEXOS
ANEXO A (Informativo)
DEFINICIN DEL ALCANCE Y LOS LMITES DEL PROCESO DE GESTIN
DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN ............................................... 31
ANEXO B (Informativo)
IDENTIFICACIN Y VALORACIN DE LOS ACTIVOS
Y VALORACIN DEL IMPACTO ........................................................................................ 37
ANEXO C (Informativo)
EJEMPLOS DE AMENAZAS COMUNES ........................................................................... 49

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27005

RESUMEN

Pgina

ANEXO D (Informativo)
VULNERABILIDADES Y MTODOS PARA LA VALORACIN
DE LA VULNERABILIDAD ................................................................................................. 51
ANEXO E (Informativo)
ENFOQUES PARA LA VALORACIN DE RIESGOS EN LA SEGURIDAD
DE LA INFORMACIN ....................................................................................................... 56
ANEXO F (Informativo)
RESTRICCIONES PARA LA REDUCCIN DE RIESGOS ................................................. 63

FIGURAS
Figura 1. Proceso de gestin del riesgo en la seguridad de la informacin ................... 5
Figura 2. Actividad para el tratamiento del riesgo........................................................... 22

TABLA
Tabla 1. Alineamiento del SGSI y el proceso de gestin del riesgo
en la seguridad de la informacin ...................................................................................... 6

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27005

RESUMEN

INTRODUCCIN

Esta norma proporciona directrices para la gestin del riesgo en la seguridad de la informacin
en una organizacin, dando soporte particular a los requisitos de un sistema de gestin de
seguridad de la informacin (SGSI) de acuerdo con la norma NTC-ISO/IEC 27001. Sin
embargo, esta norma no brinda ninguna metodologa especfica para la gestin del riesgo en la
seguridad de la informacin. Corresponde a la organizacin definir su enfoque para la gestin
del riesgo, dependiendo por ejemplo del alcance de su SGSI, del contexto de la gestin del
riesgo o del sector industrial. Se puede utilizar una variedad de metodologas existentes bajo la
estructura descrita en esta norma para implementar los requisitos de un sistema de gestin de
seguridad de la informacin.
Esta norma es pertinente para los directores y el personal involucrado en la gestin del riesgo
en la seguridad de la informacin dentro de una organizacin y, cuando corresponda, para las
partes externas que dan soporte a dichas actividades.

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27005

RESUMEN

TECNOLOGA DE LA INFORMACIN.
TCNICAS DE SEGURIDAD.
GESTIN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN

1.

OBJETO Y CAMPO DE APLICACIN

Esta norma suministra directrices para la gestin del riesgo en la seguridad de la informacin.
Esta norma brinda soporte a los conceptos generales que se especifican en la norma
NTC-ISO/IEC 27001 y est diseada para facilitar la implementacin satisfactoria de la
seguridad de la informacin con base en el enfoque de gestin del riesgo.
El conocimiento de los conceptos, modelos, procesos y terminologas que se describen en la
norma NTC-ISO/IEC 27001 y en NTC-ISO/IEC 27002 es importante para la total comprensin
de esta norma.
Esta norma se aplica a todos los tipos de organizaciones (por ejemplo empresas comerciales,
agencias del gobierno, organizaciones sin nimo de lucro) que pretenden gestionar los riesgos
que podran comprometer la seguridad de la informacin de la organizacin.

2.

REFERENCIAS NORMATIVAS

Los siguientes documentos normativos referenciados son indispensables para la aplicacin de

este documento normativo. Para referencias fechadas, se aplica nicamente la edicin citada.
Para referencias no fechadas, se aplica la ltima edicin del documento normativo referenciado
(incluida cualquier correccin).
NTC-ISO/IEC 27001:2006, Tecnologa de la informacin. Tcnicas de seguridad. Sistemas de
gestin de la seguridad de la informacin (SGSI). Requisitos.
NTC-ISO/IEC 27002:2007, Tecnologa de la informacin. Tcnicas de seguridad. Cdigo de
practica para la gestin de la seguridad de la informacin.

3.

TRMINOS Y DEFINICIONES

Para los propsitos de este documento, se aplican los trminos y definiciones de las normas
NTC-ISO/IEC 27001 y NTC-ISO/IEC 27002 y las siguientes:
3.1 Impacto. Cambio adverso en el nivel de los objetivos del negocio logrados.
2

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27005

RESUMEN

3.2 Riesgo en la seguridad de la informacin. Potencial de que una amenaza determinada

explote las vulnerabilidades de los activos o grupos de activos causando as dao a la
organizacin.
NOTA
Se mide en trminos de una combinacin de la probabilidad de que suceda un evento y sus
consecuencias.

3.3 Evitacin del riesgo. Decisin de no involucrarse en una situacin de riesgo o tomar
accin para retirarse de dicha situacin.
[ISO/IEC Gua 73:2002]
3.4 Comunicacin del riesgo. Intercambiar o compartir la informacin acerca del riesgo entre
la persona que toma la decisin y otras partes interesadas.
[ISO/IEC Gua 73:2002]
3.5 Estimacin del riesgo. Proceso para asignar valores a la probabilidad y las consecuencias
de un riesgo.
[ISO/IEC Gua 73:2002]
NOTA 1 En el contexto de esta norma, el trmino "actividad" se utiliza en lugar del trmino "proceso" para la
estimacin del riesgo.

3.6 Identificacin del riesgo. Proceso para encontrar, enumerar y caracterizar los elementos
de riesgo.
[ISO/IEC Gua 73:2002]
NOTA
En el contexto de esta norma, el trmino "actividad" se utiliza en lugar del trmino "proceso" para la
identificacin del riesgo.

3.7 Reduccin del riesgo. Acciones que se toman para disminuir la probabilidad las
consecuencias negativas, o ambas, asociadas con un riesgo.
[ISO/IEC Gua 73:2002]
3.8 Retencin del riesgo. Aceptacin de la prdida o ganancia proveniente de un riesgo
particular.
[ISO/IEC Gua 73:2002]
NOTA
En el contexto de los riesgos en la seguridad de la informacin, nicamente se consideran las
consecuencias negativas (prdidas) para la retencin del riesgo.

3.9 Transferencia del riesgo. Compartir con otra de las partes la prdida o la ganancia de un
riesgo.
[ISO/IEC Gua 73:2002]
NOTA
En el contexto de los riesgos en la seguridad de la informacin, nicamente se consideran las
consecuencias negativas (prdidas) para la transferencia del riesgo.

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27005

RESUMEN

BIBLIOGRAFA

[1]

ISO/IEC Guide 73:2002, Risk Management. Vocabulary. Guidelines for Use in

Standards.

[2]

ISO/IEC 16085:2006, Systems and Software Engineering. Life Cycle Process. Risk
Management.

[3]

AS/NZS 4360:2004, Risk Management.

[4]

NIST Special Publication 800-12, An Introduction to Computer Security: The NIST

Handbook.

[5]

NIST Special Publication 800-30, Risk management Guide for Information Technology
Systems, recommendations of the National Institute of Standards and Technology.

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27005

RESUMEN

IMPORTANTE

Este resumen no contiene toda la informacin necesaria para la aplicacin del documento normativo original al que se
refiere la portada. ICONTEC lo creo para orientar a su cliente sobre el alcance de cada uno de sus documentos y facilitar
su consulta. Este resumen es de libre distribucin y su uso es de total responsabilidad del usuario final.
El documento completo al que se refiere este resumen puede consultarse en los centros de informacin de ICONTEC en
Bogot, Medelln, Barranquilla, Cali o Bucaramanga, tambin puede adquirirse a travs de nuestra pgina web o en
nuestra red de oficinas (vase www.icontec.org).
El logo de ICONTEC y el documento normativo al que hace referencia este resumen estn cubiertos por las leyes de
derechos reservados de autor.
Informacin de servicios aplicables al documento aqu referenciado la encuentra en: www.icontec.org o por medio del
contacto cliente@icontec.org.

ICONTEC INTERNACIONAL