Implementación ISO/IEC 27005. Gestión de riesgos de la Seguridad la Información ISO 27005 es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de informacion. La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001.
ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización. No recomienda una metodología concreta de enderá de una serie de factores, ‘Vipe next pase como el alcance real OF3 nformación (SGSl),o se Para llevar a cabo la 27005:2008 se debe e Seguridad de la propia industria. norma ISO sos: es la entrega de resultados acordes con las politicas y objetivos globales de la organización.
Así mismo, se establece el plan de comunicaciones y el análisis del contexto organizacional actual para definir el alcance de la gestión de riesgos tecnológicos. HACER: Corresponde a la implementación y operación de los ontroles, procesos y procedimientos (incluye la operación e implementación de las políticas definidas), lo correspondiente a la valoración y tratamiento de los riesgos. VERIFICAR: Evaluar y medir el desempeño de los procesos contra la política y los objetivos de seguridad e informar sobre los resultados.
ACTUAR: Establecer la poltica para la gestión de riesgos tecnológicos e implementar los cambios requeridos para la mejora de los procesos. Como parte de las fases verificar y actuar, se incluye el monitoreo y mejora continua, donde se erifican los cambios y el cumplimientos de los indicadores que fueran establecidos desde la planificación. Pasos de la metodología La metodología sigue los pasos del proceso de gestión de riesgos de acuerdo a ISO 27005, la cual contempla las siguientes etapas: Establecimiento de plan de comunicación interno y externo.
Definición del contexto organizacional interno y externo. Valoración de riesgos tecnológicos. Tratamiento de riesgos tecnológicos. Monitoreo y mejora continua del proceso riesgos tecnológicos. Monitoreo y mejora continua del proceso de gestión Gestión de riesgo y continuidad de negocios Parte fundamental de la continuidad de negocios es la gestión de incidentes y a su vez está se relaciona con la gestión de riesgos.
La adecuada gestión de incidentes evita que sean activados los planes de continuidad de negocios, por ello es importante que las respuestas a incidentes sean efectivas y se tengan claros los riesgos que pueden estar asociados. Conclusión La gestión de los riesgos tecnológicos es importante dado que las organizaciones al usar tecnología en su actividad diaria y como arte de sus procesos de negocio se encuentran expuestas a este tipo de riesgos; por ello pueden afectar la actividad propia de las mismas y ser fuentes de pérdidas y daños considerables.
De lo anterior los planes de seguridad deben enfatizar en crear conciencia en segundad para prevenir riesgos y buscar estrategias para obtener el apoyo de la alta dirección con el fin de cumplir con los objetivos y asegurar la información crítica, adicional la gestión adecuada de los riesgos permite evitar en gran medida la ocurrencia de incidentes y con ello evitar la activación de planes de continuidad. 3 DE 3
