Proceso de Gestin de

Riesgo
ISO/IEC 27005

ISO/IEC 27005
Aunque no existe un mtodo concreto de cmo gestionar riesgos, se
recomienda usar un proceso estructurado, sistemtico y riguroso de anlisis de
riesgos para la creacin del plan de tratamiento de riesgos.
Los indicadores muestran si la organizacin est sujeta o tiene una alta
probabilidad de ser sometida a un riesgo que excede el riesgo permitido.

ISO/IEC 27005
Esta norma proporciona directrices para la Gestin del riesgo de Seguridad de
la Informacin en una organizacin.
Sin embargo esta norma no proporciona ninguna metodologa especfica para
el anlisis y la gestin del riesgo de la seguridad de la informacin.
Es aplicable a todo tipo de Organizacin:
Empresas comerciales
Organismos Gubernamentales
Organismos sin fines de lucro
Entidades Financieras

Compone
12 Clusulas

Objeto y campo de aplicacin

Referencias Normativas
Trminos y definiciones
Estructura
Informacin General
Visin General
Establecimiento del contexto
Valoracin del Riesgo
Tratamiento del Riesgo
Aceptacin del Riesgo
Comunicacon de los Riesgos de SI
Monitoreo y Revisin

Objeto
Esta norma suministra directrices para la gestin del riesgo en la
seguridad de la informacin. Esta norma brinda soporte a los
conceptos generales que se especifican en la norma ISO/IEC
27001 y est diseada para facilitar la implementacin satisfactoria
de la seguridad de la informacin con base en el enfoque de
gestin del riesgo.

Referencia
Los siguientes documentos de referencia son indispensables para
la aplicacin de esta norma. Para referencias con fecha,
nicamente se aplica la edicin citada. Para referencias sin fecha,
se aplica en la edicin ms reciente del documento
mencionado(incluyendo todas las enmiendas).

Trminos
TRMINOS Y DEFINICIONES
Para los propsitos de este documento, se aplican los trminos y
definiciones de las normas ISO/IEC 27001 e ISO/IEC 27002 y las
siguientes:
Impacto.
Cambio adverso en el nivel de los objetivos del negocio logrados.
Riesgo en la seguridad de la informacin.
Potencial de que una amenaza determinada explote las
vulnerabilidades de los activos o grupos de activos causando as
dao a la organizacin.

Trminos
Evitacin del riesgo.
Decisin de no involucrarse en una situacin de riesgo o tomar
accin para retirarse de dicha situacin.
Comunicacin del riesgo.
Intercambiar o compartir la informacin acerca del riesgo entre la
persona que toma la decisin y otras partes interesadas.
Estimacin del riesgo.
Proceso para asignar valores a la probabilidad y lasconsecuencias
de un riesgo.
Identificacin del riesgo.
Proceso para encontrar, enumerar y caracterizar loselementos de
riesgo.

Trminos
Reduccin del riesgo.
Acciones que se toman para disminuir la probabilidad las
consecuencias negativas, o ambas, asociadas con un riesgo.
Retencin del riesgo.
Aceptacin de la prdida o ganancia proveniente de un riesgop
articular.

Estructura de esta norma

Esta norma contiene la descripcin de los procesos para la gestin
del riesgo en la seguridad de la informacin y sus actividades.

Informacin General
Es necesario un enfoque sistemtico para la gestin del riesgo en la
seguridad de la informacin para identificar las necesidades de la
organizacin con respecto a los requisitos de seguridad de la
informacin y para crear un sistema de gestin de la seguridad de la
informacin (SGSI) eficaz.

Proceso
El proceso de gestin del riesgo en la seguridad de la informacin
puede ser iterativo para las actividades de valoracin del riesgo y/o
de tratamiento del riesgo..

Proceso de RSI
El contexto se establece primero. Luego se
realiza una valoracin del riesgo. Si sta
suministra informacin suficiente para
determinar de manera eficaz las acciones que
se necesitan para modificar los riesgos hasta
un nivel aceptable, entonces la labor est
terminada y sigue el tratamiento del riesgo.

Proceso
Actividades SGSI

Contexto
Determinar el propsito de la gestin del riesgo en la seguridad de la
informacin ya que esto afecta al proceso total y, en particular, al
establecimiento del contexto.
Este propsito puede ser:

dar soporte a un SGSI

conformidad legal y evidencias de la debida diligencia
preparacin de un plan para la continuidad del negocio
preparacin de un plan de respuesta a incidentes;

Las opciones para el tratamiento del riesgo se

deberan seleccionar con base en el resultado de la
evaluacin del riesgo, el costo esperado para
implementar estas opciones y los beneficios esperados
como resultado de tales opciones.

Tratamiento de Riesgos

Reduccin de riesgos
Accin:
El nivel del riesgo se debera reducir mediante la
seleccin de controles, de manera tal que el riesgo
residual se pueda revaluar como aceptable.
En general, los controles pueden brindar uno o ms de
los siguientes tipos de proteccin:
Correccin, eliminacin, prevencin, minimizacin del
impacto, disuasin, deteccin, recuperacin, monitoreo
y concienciacin.

Evitacin del riesgo

Cuando los riesgos identificados se consideran muy
altos, o si los costos para implementar otras opciones
de tratamiento del riesgo exceden los beneficios, se
puede tomar una decisin para evitar por completo el
riesgo
Por ejemplo, para los riesgos causados por la
naturaleza

Transferencia del riesgo

La transferencia del riesgo involucra una decisin para
compartir algunos riesgos con las partes externas.
La transferencia del riesgo puede crear riesgos nuevos
o modificar los riesgos identificados existentes.

Anexos
1.
2.
3.
4.
5.
6.

Alcance y Limitaciones
Identificacin, evaluacin de activos y valorizacin de impactos
Ejemplos de amenazas crticas
Vulnerabilidades y mtodos para valorizarlas
Aproximaciones a valorizacin RSI
Obligaciones para reduccin de riesgos