Information-technology-security-techniques-information-security-risk-management-ISO-IEC-27005

La Gestión de Riesgos de Seguridad de la Información, tal como lo propone este estándar, va más allá de contraseñas específicas, firewalls, filtros y encriptación. Su enfoque integral, que por el momento forma parte de una creciente familia de normas ISO/IEC 27000 en el área de los sistemas de gestión de seguridad de la información, ayuda a las empresas a adoptar un enfoque estructurado para gestionar los riesgos de seguridad de la información. Es un estándar de apoyo que proporciona pautas.

Sin embargo, esta norma no entra en detalles sobre dar especificaciones y recomendaciones estrictas o nombrar ningún método de análisis de riesgo específico, aunque especifica procesos rigurosos que deben llevar a cabo las organizaciones para crear un plan de tratamiento de riesgo.

Las organizaciones de cualquier tamaño y tipo pueden beneficiarse de este estándar al participar en un proceso integral y sistemático de prevención, protección, preparación y mitigación. Simplemente redactar un plan de respuesta que anticipe y minimice las consecuencias de los incidentes de seguridad de la información ya no es suficiente, pero las organizaciones también deben tomar medidas de adaptación y proactivas para reducir la probabilidad de tal evento.

¿Qué es la Gestión de Riesgos de Seguridad de la Información?

La gestión de riesgos de seguridad de la información son las actividades coordinadas para dirigir y controlar una organización para evaluar y abordar de manera efectiva los riesgos de seguridad de la información a lo largo del tiempo.

Un proceso eficaz de gestión de riesgos de seguridad de la información

según lo recomendado por ISO/IEC 27005 es clave para un SGSI exitoso, ya que la serie ISO/IEC 27000 está deliberadamente alineada con el riesgo, donde al principio, es importante que las organizaciones evalúen los riesgos antes de elaborar planes de gestión y tratamiento de riesgos.

ISO/IEC 27005 se desarrolla para ayudar a las organizaciones a mejorar la gestión de riesgos de seguridad de la información y minimizar el riesgo de interrupción del negocio.

Aunque no los menciona, en cuanto al empleo del tratamiento de riesgos, la norma permite métodos como OCTAVE, EBIOS, MEHARI y NIST 800-30. Sin embargo, al usar este estándar, la organización todavía aprendería cómo implementar, conducir y mantener un proceso formal de evaluación de riesgos, tratamiento de riesgos, aceptación de riesgos, comunicación, consulta, monitoreo y revisión.

Obtener libro
Leer libro PDF