Ir al contenido

ISO/IEC 27005

De Wikipedia, la enciclopedia libre

ISO/IEC 27005. Risk Management of Information Security, en español Gestión de riesgos de la Seguridad la Información, es parte de una familia en crecimiento de estándares sobre Sistemas de Gestión de la Seguridad de la Información (SGSI) de ISO/IEC, el ISO 27000 series (para más información consultar ISO/IEC 27000). La norma ISO/IEC 27005 suministra las directrices para gestionar los riesgos que puede sufrir la información de una empresa, principalmente se apoya en el ISO/IEC 27001, centrándose principalmente en los requisitos de seguridad de la información.

Objetivo de la Norma

[editar]

Este estándar esta principalmente dirigido a empresas aunque es útil para cualquier tipo de organización que desee mejorar su Sistema de Gestión de Seguridad de Información(SGSI) o que puedan sufrir ciertos problemas de seguridad en su empresa, para ello no es necesario aplicar toda la metodología del estándar, si no más bien centrarse en una serie de factores, como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria.

Por tanto, su principal objetivo es mejorar la gestión de riesgos de seguridad de la información en una organización dando a entender la metodología concreta para cada problema de seguridad de información, es decir, una metodología concreta no servirá para todos los problemas de Sistema de Gestión de Seguridad de la Información.

Evolución Histórica

[editar]

La versión vigente del estándar ISO/IEC 27005 es la actualización recibida en el 2018 (ISO/IEC 27005:2018) que a su vez fue una actualización de la versión de este estándar del 2011, de hecho, el estándar ISO/IEC 27005:2011 es una actualización de este mismo estándar, de la versión creada en el 2008. La primera versión que se creó fue la ISO/IEC 27005:2008 que se basa en dos estándares más antiguos que son el estándar ISO/IEC TR 13335-3:1998 y el estándar ISO/IEC TR 13335-4:2000, el primero trata la seguridad de la información, la ciberseguridad y la protección de la privacidad, mientras que, el segundo trata de la selección de salvaguardas siendo la cuarta parte de las pautas para la gestión de la seguridad informática.

Actualmente el estándar ISO/IEC 27005 va a quedar obsoleto tras la publicación del estándar ISO/IEC WD 27005 Information technology — Security techniques — Information security risk management, en español, Tecnología de la información - Técnicas de seguridad - Gestión de riesgos de seguridad de la información, que actualmente se encuentra bajo desarrollo, ya que este estándar será una modificación del estándar ISO/IEC 27005.

Estructura

[editar]

Los términos y definiciones dados en esta norma están definidos dentro de la norma ISO/IEC 27000.↵El estándar ISO/IEC 27005 consta de 24 páginas donde se incluyen ejemplos e incluso información adicional de interés para el lector. El estándar ISO/IEC 27005 tiene las siguientes secciones:

  • Prefacio.
  • Introducción.
  • Referencias normativas.
  • Términos y definiciones.
  • Estructura.
  • Fondo.
  • Descripción del proceso de ISRM.
  • Establecimiento Contexto.
  • Información sobre la evaluación de riesgos de seguridad (ISRA).
  • Tratamiento de Riesgos Seguridad de la Información.
  • Admisión de Riesgos Seguridad de la información.
  • Comunicación de riesgos de seguridad de información.
  • Información de seguridad Seguimiento de Riesgos y Revisión.
  • Anexos
    • Anexo A: Definición del alcance del proceso.
    • Anexo B: Valoración de activos y evaluación de impacto.
    • Anexo C: Ejemplos de amenazas típicas.
    • Anexo D: Las vulnerabilidades y métodos de evaluación de la vulnerabilidad.
    • Anexo E: Enfoques ISRA.

Cabe destacar que en los anexos se nos informa de impactos, amenazas y vulnerabilidades que nos pueden servir para ver como afrontar riesgos del mismo tipo con los activos de la información en evaluación.

Véase también

[editar]

Enlaces externos

[editar]