ISO / IEC 27005 "Tecnología de la información - Técnicas de seguridad - Gestión de riesgos de seguridad de la información" es una norma internacional publicada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) que proporciona una guía de buenas prácticas sobre la gestión de riesgos de la información. [1] Es una parte fundamental de la serie de normas ISO / IEC 27000 , comúnmente conocida como ISO27k.
El estándar ofrece consejos para identificar, evaluar, evaluar y tratar sistemáticamente los riesgos de seguridad de la información, procesos en el corazón de un Sistema de Gestión de Seguridad de la Información (SGSI) ISO27k. Su objetivo es garantizar que las organizaciones diseñen, implementen, administren, monitoreen y mantengan sus controles de seguridad de la información y otros arreglos de manera racional, de acuerdo con sus riesgos de seguridad de la información.
La tercera edición actual de ISO / IEC 27005 se publicó en 2018. Se está redactando una cuarta edición [2] y se publicará a finales de 2022. [3]
Descripción general
ISO / IEC 27005 no especifica ni recomienda métodos específicos de gestión de riesgos en detalle. En su lugar, analiza el proceso en términos más generales / generales, basándose en el método genérico de gestión de riesgos descrito por ISO 31000 [4], es decir:
- Identificar y evaluar los riesgos;
- Decida qué hacer con los riesgos (cómo 'tratarlos') ... y hágalo;
- Monitorear los riesgos, tratamientos de riesgos, etc., identificando y respondiendo adecuadamente a cambios, problemas / preocupaciones u oportunidades de mejora significativos;
- Mantener informadas a las partes interesadas (principalmente la dirección de la organización) durante todo el proceso.
Dentro de ese marco amplio, se alienta a las organizaciones a seleccionar / desarrollar y utilizar los métodos, estrategias y / o enfoques de gestión de riesgos de la información que mejor se adapten a sus necesidades particulares, por ejemplo: [5]
- Identificar la posibilidad de diversos incidentes, situaciones o escenarios que comprometerían o dañarían la confidencialidad, integridad y / o disponibilidad de la información;
- Evaluar las amenazas, las vulnerabilidades y los impactos comerciales que puedan surgir de incidentes que involucren sistemas y redes de TI, además del procesamiento manual de información, información en papel o expresada en palabras e imágenes, además de información intangible como conocimiento, propiedad intelectual, etc .;
- Considerando factores que están totalmente dentro del control de la organización, totalmente fuera de su control o parcialmente controlables;
- Determinar los valores absolutos o relativos de diversas formas, tipos o categorías de información para la organización, en particular la información y el procesamiento de información que es fundamental para el logro de importantes objetivos comerciales;
- Evaluar los riesgos de información utilizando métodos cuantitativos o cualitativos / comparativos para estimar / determinar la probabilidad / probabilidad de varios tipos de incidentes y los impactos organizacionales si ocurrieran;
- Considerar y gestionar los riesgos de información en relación con otros tipos (por ejemplo, riesgos estratégicos, comerciales / de mercado, de productos, de TI, de salud y seguridad, y de cumplimiento legal / regulatorio);
- Aplicar / adaptar métodos y enfoques de gestión de riesgos ya utilizados por la organización, adoptar buenas prácticas o desarrollar enfoques nuevos / híbridos;
- Decidir si evitar los riesgos (normalmente no iniciando o retirando actividades riesgosas), compartirlos con terceros (por ejemplo, a través de ciberseguros o cláusulas contractuales), mitigarlos mediante controles de seguridad de la información o retenerlos / aceptarlos, aplicando el riesgo. criterios de apetito / tolerancia;
- Priorizar según la importancia o la naturaleza de los riesgos, y la rentabilidad u otras implicaciones de los tratamientos de riesgo en consideración, planificar su tratamiento en consecuencia, asignar recursos, etc .;
- Mitigar los riesgos de la información mediante la reducción de su probabilidad y / o impacto de diversas formas, por ejemplo, seleccionando controles automatizados, manuales, físicos o administrativos que sean preventivos, de detección o correctivos;
- Hacer frente a las incertidumbres, incluidas las que se encuentran dentro del propio proceso de gestión de riesgos (por ejemplo, la aparición de incidentes imprevistos, coincidencias desafortunadas, errores de juicio y fallas parciales o totales de los controles);
- Obtener seguridad a través de pruebas, valoración, evaluación, revisiones, auditorías, etc. de que los tratamientos de riesgo elegidos son apropiados y siguen siendo suficientemente efectivos en la práctica;
- Cumplir con los requisitos u obligaciones relevantes que se imponen o aceptan voluntariamente a la organización a través de diversas leyes, regulaciones, contratos, acuerdos, estándares, códigos, etc. (por ejemplo, leyes de privacidad, PCI-DSS, consideraciones éticas y ambientales);
- Aprender de la experiencia (incluidos los incidentes experimentados por la organización más los cuasi accidentes y los que afectan a organizaciones comparables) y mejorar continuamente.
Objetivos
Las normas de la serie ISO / IEC 27000 son aplicables a todos los tipos y tamaños de organización: un grupo muy diverso, por lo que no sería apropiado imponer enfoques, métodos, riesgos o controles específicos para todos ellos. En cambio, los estándares brindan una guía general bajo el paraguas de un sistema de gestión. Se anima a los gerentes a seguir métodos estructurados que sean relevantes y apropiados para la situación particular de su organización , tratando de manera racional y sistemática sus riesgos de información.
La identificación y el control de los riesgos de la información ayudan a garantizar que se traten de manera adecuada, de una manera que responda a los cambios y aproveche las oportunidades de mejora que conducen con el tiempo a una mayor madurez y eficacia del SGSI.
Estructura y contenido del estándar
ISO / IEC 27005: 2018 tiene la estructura convencional común a otras normas ISO / IEC, con las siguientes secciones principales: [6]
- Fondo
- Descripción general del proceso de gestión de riesgos de seguridad de la información
- Establecimiento de contexto
- Evaluación de riesgos de seguridad de la información
- Tratamiento de riesgos de seguridad de la información
- Aceptación de riesgos de seguridad de la información
- Comunicación y consulta de riesgos de seguridad de la información
- supervisión y revisión de riesgos de seguridad de la información
Y seis apéndices:
- Definición del alcance y los límites del proceso de gestión de riesgos de seguridad de la información.
- Identificación y valoración de activos y evaluación de impacto
- Ejemplos de amenazas típicas
- Vulnerabilidades y métodos para la evaluación de vulnerabilidades
- Enfoques de evaluación de riesgos de seguridad de la información
- Restricciones para la modificación del riesgo
Referencias
- ^ "ISO / IEC 27005: 2018" . ISO.org . Consultado el 17 de abril de 2021 .
- ^ "ISO / IEC 27005 de próxima publicación" . ISO.org . Consultado el 17 de abril de 2021 .
- ^ "ISO / IEC 27005" . ISO27001security.com . Consultado el 17 de abril de 2021 .
- ^ "Gestión de riesgos ISO 31000" . ISO.org . Consultado el 17 de abril de 2021 .
- ^ "Preguntas frecuentes sobre ISO27k" . ISO27001security.com . Consultado el 17 de abril de 2021 .
- ^ "Vista previa ISO de 27005: 2018" . ISO.org . Consultado el 17 de abril de 2021 .