ISO logoDesde junio de este año, ya contamos con una nueva norma dentro de la serie ISO 27000 (La serie ISO 27000). Se trata, quizás, de una de las normas más estructurales de la serie ya que establece un criterio sobre la gestión del riesgo y proporciona un marco normalizado que nos puede ayudar a definir nuestra propia metodología y que tiene por título ISO/IEC 27005:2008 (Information technology, Security techniques, Information security risk management).

ISO/IEC 27005:2008 proporciona una guía para la gestión del riesgo en un sistema de seguridad de la información. Soporta los conceptos definidos en la ISO/IEC 27001 y está diseñado para ayudar a la implementación de un sistema de seguridad de la información basado en la gestión del riesgo.

ISO/IEC 27005:2008 se puede aplicar a todo tipo de organizaciones (comercial, agencias públicas, ONGs, … ).

El análisis del riesgo es crucial para el desarrollo y operación de un sistema de seguridad de la información. En esta etapa, la organización debe construir lo que será su “modelo de seguridad”, esto es, una representación de todos sus activos y sus dependencias jerarquicas, así como el mapa de amenazas (todo aquello que pudiera ocurrir y que tuviera un impacto para la organización). Posteriormente se realiza la estimación de impactos (probabilidad de que se materialice la amenaza) y se calcula el riesgo al que está sometida la organización.

Sin embargo, este diagnóstico es válido sólo para ese momento puntual en el tiempo. No es algo estático sino que va a cambiar a lo largo del tiempo: nuevos activos, nuevas amenazas, modificación en la ocurrencia de las amenazas (pensar por ejemplo en el caso del phishing como esta amenaza ha pasado a ser extremadamente frecuente en este último año). Por tanto, cada año la organización debe replantearse su diagnóstico y cuestionarse si tiene nuevos sintomas o si los sintomas detectados han sido ya mitigados y se pueden tratar otras carencias de menor importancia. La mejora continua afecta también al riesgo ya que si los niveles más altos se han solucionado, lo lógico es plantearse para el siguiente año atacar los siguientes.

Entre las metodologías de seguridad y gestión de riesgos destacan: OCTAVE, MAGERIT, MEHARI y FAIR, entre otras que se puede consultar en este enlace.

Enlaces:
Fuente de la información
Mas información en ISO

Be Sociable, Share!