NOR
NORMA
MA TÉC
TÉCNIC
NICA
A
NTP
NTP-IS
-ISO/I
O/IEC 2
EC 27005
7005
PERUANA
2009
PERUANA
2009
Comisión de Normalización y de Fiscalización de Barreras Comerciales No Arancelarias - INDECOPI Comisión de Normalización y de Fiscalización de Barreras Comerciales No Arancelarias - INDECOPI Calle
Calle de de La La Prosa Prosa 138, 138, San San Borja Borja (Lima (Lima 41) 41) Apartado Apartado 145 145 Lima, Lima, PerúPerú
EDI. Tecnología de la información. Técnicas de seguridad.
EDI. Tecnología de la información. Técnicas de seguridad.
Gestión del riesgo en seguridad de la información
Gestión del riesgo en seguridad de la información
EDI. InformationEDI. Information technology. Security techniques. Information security risk technology. Security techniques. Information security risk managemmanagementent
(EQV. ISO/IEC 27005:2008 EDI. Information technology – Security techniques – Information security risk (EQV. ISO/IEC 27005:2008 EDI. Information technology – Security techniques – Information security risk management) management) 2009-09-30 2009-09-30 1ª Edición 1ª Edición R.029-2009/INDECOPI-CNB.
R.029-2009/INDECOPI-CNB. Publicada Publicada el el 2009-11-07 2009-11-07 Precio Precio basado basado en en 95 95 páginaspáginas I.C.S:
I.C.S: 35.040 35.040 ESTA ESTA NORMA NORMA ES ES RECOMENDABLERECOMENDABLE Descriptores: EDI, tecnología de la información, técnicas de seguridad, gestión del riesgo, seguridad de la Descriptores: EDI, tecnología de la información, técnicas de seguridad, gestión del riesgo, seguridad de la información
ii ÍNDICE ÍNDICE página página ÍNDICE ÍNDICE PREFACIO PREFACIO 1. 1. ALCANCE ALCANCE 11 2.
2. REFERENCIAS NORMATIVAS REFERENCIAS NORMATIVAS 11 3.
3. TÉRMINOS TÉRMINOS Y Y DEFINICIONES DEFINICIONES 22 4.
4. ESTRUCTURA DE ESTRUCTURA DE ESTA ESTA NORMA NORMA TÉCNICA TÉCNICA 33 PERUANA
PERUANA 5.
5. BASES BASES 55
6.
6. VISTA VISTA PANORÁMICA PANORÁMICA DEL DEL PROCESO PROCESO DE DE GESTIÓN GESTIÓN DELDEL RIESGO
RIESGO EN EN SEGURIDAD SEGURIDAD DE DE LA LA INFORMACIÓN INFORMACIÓN 88 7.
7. DETERMINACIÓN DETERMINACIÓN DEL DEL CONTEXTO CONTEXTO 1212 8.
8. EVALUACIÓN EVALUACIÓN DEL DEL RIESGO RIESGO EN EN SEGURIDADSEGURIDAD DE
DE LA LA INFORMACIÓN INFORMACIÓN 1717 9.
9. TRATAMIENTO TRATAMIENTO DEL DEL RIESGO RIESGO EN EN SEGURIDADSEGURIDAD DE
DE LA LA INFORMACIÓN INFORMACIÓN 3232 10.
10. ACEPTACIÓN DEL ACEPTACIÓN DEL RIESGO RIESGO EN EN SEGURIDADSEGURIDAD DE
DE LA LA INFORMACIÓN INFORMACIÓN 3939 11.
11. COMUNICACIÓN COMUNICACIÓN DEL DEL RIESGO RIESGO EN EN SEGURIDADSEGURIDAD DE
DE LA LA INFORMACIÓN INFORMACIÓN 4040 12.
12. MONITOREO Y MONITOREO Y REVISIÓN REVISIÓN DEL DEL RIESGO RIESGO EN EN SEGURIDADSEGURIDAD DE
DE LA LA INFORMACIÓN INFORMACIÓN 4242 13.
ii ÍNDICE ÍNDICE página página ÍNDICE ÍNDICE PREFACIO PREFACIO 1. 1. ALCANCE ALCANCE 11 2.
2. REFERENCIAS NORMATIVAS REFERENCIAS NORMATIVAS 11 3.
3. TÉRMINOS TÉRMINOS Y Y DEFINICIONES DEFINICIONES 22 4.
4. ESTRUCTURA DE ESTRUCTURA DE ESTA ESTA NORMA NORMA TÉCNICA TÉCNICA 33 PERUANA
PERUANA 5.
5. BASES BASES 55
6.
6. VISTA VISTA PANORÁMICA PANORÁMICA DEL DEL PROCESO PROCESO DE DE GESTIÓN GESTIÓN DELDEL RIESGO
RIESGO EN EN SEGURIDAD SEGURIDAD DE DE LA LA INFORMACIÓN INFORMACIÓN 88 7.
7. DETERMINACIÓN DETERMINACIÓN DEL DEL CONTEXTO CONTEXTO 1212 8.
8. EVALUACIÓN EVALUACIÓN DEL DEL RIESGO RIESGO EN EN SEGURIDADSEGURIDAD DE
DE LA LA INFORMACIÓN INFORMACIÓN 1717 9.
9. TRATAMIENTO TRATAMIENTO DEL DEL RIESGO RIESGO EN EN SEGURIDADSEGURIDAD DE
DE LA LA INFORMACIÓN INFORMACIÓN 3232 10.
10. ACEPTACIÓN DEL ACEPTACIÓN DEL RIESGO RIESGO EN EN SEGURIDADSEGURIDAD DE
DE LA LA INFORMACIÓN INFORMACIÓN 3939 11.
11. COMUNICACIÓN COMUNICACIÓN DEL DEL RIESGO RIESGO EN EN SEGURIDADSEGURIDAD DE
DE LA LA INFORMACIÓN INFORMACIÓN 4040 12.
12. MONITOREO Y MONITOREO Y REVISIÓN REVISIÓN DEL DEL RIESGO RIESGO EN EN SEGURIDADSEGURIDAD DE
DE LA LA INFORMACIÓN INFORMACIÓN 4242 13.
iiii ANEXOS ANEXOS ANEXO ANEXO A A 4747 ANEXO ANEXO B B 5656 ANEXO ANEXO C C 7373 ANEXO ANEXO D D 7676 ANEXO ANEXO E E 8282 ANEXO ANEXO F F 9292
iii
PREFACIO
A. RESEÑA HISTÓRICA
A.1 La presente Norma Técnica Peruana ha sido elaborada por el Comité Técnico de Normalización de Codificación e intercambio electrónico de datos, mediante el Sistema 1 o de Adopción, durante el mes de agosto de 2009, utilizando como antecedente a la norma ISO/IEC 27005:2008 Information technology – Security techniques – Information security risk management.
A.2 El Comité Técnico de Normalización de Codificación e intercambio electrónico de datos presentó a la Comisión de Normalización y de Fiscalización de Barreras Comerciales No Arancelarias –CNB-, con fecha 2009-08-25, el PNTP-ISO/IEC 27005:2009, para su revisión y aprobación, siendo sometido a la etapa de Discusión Pública el 2009-08-28. No habiéndose presentado observaciones fue oficializado como Norma Técnica Peruana NTP-ISO/IEC 27005:2009 EDI. Tecnología de la
información. Técnicas de seguridad. Gestión del riesgo en seguridad de la información, 1ª Edición, el 07 de noviembre de 2009.
A.3 Esta Norma Técnica Peruana es una adopción de la norma ISO/IEC 27005:2008. La presente Norma Técnica Peruana presenta cambios editoriales referidos principalmente a terminología empleada propia del idioma español y ha sido estructurada de acuerdo a las Guías Peruanas GP 001:1995 y GP 002:1995.
B. INSTITUCIONES QUE PARTICIPARON EN LA ELABORACIÓN
DE LA NORMA TÉCNICA PERUANA
Secretaría GS1 PERU
Presidente Roberto Puyó
Secretaria Mary Wong
ENTIDAD REPRESENTANTE
DISTRIBUIDORA MAYORISTA SYMBOL S.A. Adela Barcenas Walter Equizabel
iv
DROKASA PERU S.A. Juan Aquije
E. WONG S.A. Marcela Aparicio
Rolando Bartra
FOLIUM S.A.C. Roberto Huby
IBC SOLUTIONS PERU S.A.C. Oscar Velásquez Daniella Orellana
ITS CONSULTANTS S.A.C. Ricardo Dioses
OFICINA DE NORMALIZACION PREVISIONAL Roberto Puyó PONT. UNIV. CATOLICA DEL PERU Viktor Khlebnikov
Willy Carrera
PRESIDENCIA DEL CONSEJO Max Lázaro
DE MINISTROS Cesar Vílchez
PROCTER & GAMBLE DEL PERU S.A. Javier Kameya SUPERINTENDENCIA DE ADMINISTRACION Daniel Llanos
TRIBUTARIA – SUNAT Flor Febres
TECNOLOGÍA FLEXOGRAFICA S.A. Luis Chávez Saavedra
TCI S.A. Renzo Alcántara
UNILEVER ANDINA PERU S.A. Rolando Rivadeneira Luis Villena
GS1 PERU Tatiana Peña
---oooOooo--- NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 1 de 95
EDI. Tecnología de la información. Técnicas de seguridad.
Gestión del riesgo en seguridad de la información
1. ALCANCE
Esta Norma Técnica Peruana establece lineamientos para la gestión del riesgo en seguridad de la información.
Esta Norma Técnica Peruana apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñado para asistir a la implementación satisfactoria de la seguridad de la información en base a un enfoque de gestión del riesgo.
Es importante conocer los conceptos, modelos, procesos y tecnologías descritos en las normas ISO/IEC 27001 e ISO/IEC 27002 para entender cabalmente esta NTP.
Esta Norma Técnica Peruana es aplicable a todo tipo de organizaciones (por ejemplo: empresas comerciales, dependencias gubernamentales, organizaciones sin fines de lucro) que tratan de administrar los riesgos que podrían comprometer la seguridad de la información de la organización.
2. REFERENCIAS NORMATIVAS
Las siguientes normas contienen disposiciones que al ser citadas en este texto, constituyen requisitos de esta Norma Técnica Peruana. Las ediciones indicadas estaban en vigencia en el momento de esta publicación. Como toda Norma está sujeta a revisión, se recomienda a aquellos que realicen acuerdos con base en ellas, que analicen la conveniencia de usar las ediciones recientes de las normas citadas seguidamente. El Organismo Peruano de Normalización posee la información de las Normas Técnicas Peruanas en vigencia en todo
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 2 de 95
2.1 Normas Técnicas Internacionales
2.1.1 ISO/IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements.
2.1.2 ISO/IEC 27002:2005 Information technology – Security techniques – Code of practice for information security management.
3. TÉRMINOS Y DEFINICIONES
Para los fines de esta NTP, se aplican los términos y definiciones que aparecen en las normas ISO/IEC 27001, ISO/IEC 27002 y los siguientes:
3.1 impacto: Cambio adverso en el nivel de objetivos empresariales logrados.
3.2 riesgo en la seguridad de la información: El potencial de que una amenaza dada explote las vulnerabilidades de un activo o grupo de activos y cause así daño a la organización.
NOTA: Se mide en términos de una combinación de la probabilidad de un evento y su consecuencia.
3.3 evitamiento del riesgo: Decisión de no involucrarse en una acción para retirarse de una situación de riesgo.
3.4 comunicación del riesgo: Intercambio o compartir información sobre el riesgo entre quien toma las decisiones y otros interesados.
3.5 estimación del riesgo: Proceso para asignar valores a la probabilidad y consecuencias de un riesgo.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 3 de 95
NOTA 1: En el contexto de esta NTP, el término “actividad” se utiliza en vez del término “proceso” para la estimación del riesgo.
NOTA 2: En el contexto de esta NTP, el término “posibilidad” se utiliza en vez del término “probabilidad” para la estimación del riesgo.
3.6 identificación del riesgo: Proceso para encontrar, listar y caracterizar elementos de riesgo.
3.7 reducción del riesgo: Acciones que se toman para reducir la probabilidad, consecuencias negativas o ambas asociadas con un riesgo.
3.8 retención del riesgo: Aceptación de la carga de la pérdida o el beneficio de la ganancia a partir de un riesgo en particular.
NOTA: En el contexto de los riesgos para la seguridad de la información, sólo se consideran consecuencias negativas (pérdidas) para la retención del riesgo.
3.9 transferencia del riesgo: Compartir con otra parte la carga de la pérdida o el beneficio de la ganancia respecto de un riesgo.
NOTA: En el contexto de los riesgos para la seguridad de la información, sólo se consideran consecuencias negativas (pérdidas) para la transferencia del riesgo.
4. ESTRUCTURA DE ESTA NORMA TÉCNICA PERUANA
Esta NTP contiene la descripción del proceso de gestión del riesgo en seguridad de la información y sus actividades.
El capítulo 5 proporciona información sobre los antecedentes.
El capítulo 6 proporciona una vista panorámica del proceso de gestión del riesgo en seguridad de la información.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 4 de 95
Todas las actividades de gestión del riesgo en seguridad de la información que se presentan en el capítulo 6 se describen posteriormente en los capítulos siguientes:
- Establecimiento del contexto en el capítulo 7,
- Evaluación del riesgo en el capítulo 8,
- Tratamiento del riesgo en el capítulo 9,
- Aceptación del riesgo en el capítulo 10,
- Comunicación del riesgo en el capítulo 11,
- Monitoreo y revisión del riesgo en el capítulo 12.
En los anexos se presenta información adicional para las actividades de gestión del riesgo en seguridad de la información. El Anexo A (Definición del alcance y límites del proceso de gestión del riesgo en seguridad de la información) establece el contexto. El Anexo B se refiere a la identificación y valorización de los activos y evaluación de impacto (ejemplos para activos), el Anexo C se refiere a ejemplos de amenazas típicas y el Anexo D a
ejemplos de vulnerabilidades típicas.
En el Anexo E se presentan ejemplos sobre enfoques de evaluación del riesgo en seguridad de la información.
El Anexo F presenta restricciones para la reducción del riesgo.
Todas las actividades de gestión del riesgo tal como se presentan de el capítulo 7 al capítulo 12 se estructuran del modo siguiente:
Insumo: Identifica cualquier información requerida para realizar la actividad.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 5 de 95
Guía de implementación: Provee guía sobre el desempeño de la acción. Parte de esta guía puede no ser conveniente en todos los casos y en consecuencia otras maneras de realizar la
acción pueden ser más apropiadas.
Producto: Identifica toda información derivada luego de realizar la actividad.
5. BASES
Es necesario tener un enfoque sistemático sobre la gestión del riesgo en seguridad de la información para identificar las necesidades de la organización respecto de los requisitos de seguridad de la información y para crear un sistema eficaz de gestión de seguridad de la información (ISMS, por sus siglas en inglés). Este enfoque debería ser conveniente para el entorno de la organización y en particular debería estar alineado con la gestión general del riesgo de la empresa. Los esfuerzos de seguridad deben enfrentar los riesgos de manera eficaz y oportuna cuando y donde sea necesario. La gestión del riesgo en seguridad de la información debería ser parte integral de todas las actividades de gestión de seguridad de la información y debería aplicarse tanto a la implementación como a la operación en curso de un ISMS.
La gestión del riesgo en seguridad de la información debe ser un proceso continuo. El proceso debe establecer el contexto, evaluar los riesgos y tratarlos utilizando un plan de
tratamiento de riesgos para implementar las recomendaciones y decisiones. La gestión del riesgo analiza lo que puede ocurrir y cuáles serían las consecuencias posibles, antes de decidir qué debe hacerse y cuándo para reducir el riesgo a un nivel aceptable.
La gestión del riesgo en seguridad de la información debe contribuir a lo siguiente:
- Identificar los riesgos.
- Evaluar los riesgos en términos de sus consecuencias para la empresa y la posibilidad de su ocurrencia.
- La comunicación y comprensión de la posibilidad y consecuencias de estos riesgos.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 6 de 95
- Priorización de acciones para reducir la ocurrencia de riesgo.
- Participación de los interesados cuando se toman las decisiones de gestión del riesgo e información sobre la situación de la gestión del riesgo.
- Eficacia del monitoreo del tratamiento del riesgo.
- Monitoreo y revisión regulares de los riesgos y del proceso de gestión del riesgo.
- Captación de información para mejorar el enfoque de gestión del riesgo.
- Educación a gerentes y personal respecto a los riesgos y acciones que se toman para mitigarlos.
El proceso de gestión del riesgo en seguridad de la información puede aplicarse a la organización en su conjunto, a cualquier parte específica de la organización (por ejemplo: un departamento, una ubicación física, un servicio), a cualquier sistema de información, existente o planeado, o a aspectos particulares del control (por ejemplo: planeamiento de la continuidad del negocio).
6. VISTA PANORÁMICA DEL PROCESO DE GESTIÓN DEL
RIESGO EN SEGURIDAD DE LA INFORMACIÓN
El proceso de gestión del riesgo en seguridad de la información consiste en establecer el contexto (Capítulo 7), evaluar el riesgo (Capítulo 8), tratar el riesgo (Capítulo 9), aceptar el riesgo (Capítulo 10), comunicar el riesgo (Capítulo 11) y monitorear y revisar el riesgo (Capítulo 12).
NORMA
NORMA TÉCNITÉCNICA CA NTP-INTP-ISO/ISO/IEC 27EC 27005005 PERUANA
PERUANA 7 7 de de 9595
DETERMINACION DEL CONTEXTO
DETERMINACION DEL CONTEXTO
IDENTIFICACION DEL RIESGO
IDENTIFICACION DEL RIESGO
ESTIMACION DEL RIESGO
ESTIMACION DEL RIESGO
EVALUACION DEL RIESGO
EVALUACION DEL RIESGO
C C O O M M U U N N I I C C A A C C I I Ó Ó N N D D E E L L R R I I E E S S G G O O M M O O N N I I T T O O R R E E O O Y Y E E V V A A L L U U A A C C I I Ó Ó N N D D E E L L R R I I E E S S G G O O
EVALUACION DEL RIESGO EVALUACION DEL RIESGO ANALISIS DEL RIESGO ANALISIS DEL RIESGO
No No
DECISION SOBRE EL DECISION SOBRE EL RIESGO DEL PUNTO 1 RIESGO DEL PUNTO 1 Evaluación de satisfacción Evaluación de satisfacción
Si Si
TRATAMIENTO DEL RIESGO
TRATAMIENTO DEL RIESGO
No No Si Si DECISION SOBRE EL DECISION SOBRE EL RIESGO DEL PUNTO 2 RIESGO DEL PUNTO 2 Tratamiento satisfactorio Tratamiento satisfactorio
ACEPTACION D
ACEPTACION DEL RIESGOEL RIESGO
FIN DE LA PRIMERA O SUBSIGUIENTES ITERACIONES FIN DE LA PRIMERA O SUBSIGUIENTES ITERACIONES
FIGURA 1 – Proceso de gestión del riesgo de seguridad de la información FIGURA 1 – Proceso de gestión del riesgo de seguridad de la información
NORMA
NORMA TÉCNITÉCNICA CA NTP-INTP-ISO/ISO/IEC 27EC 27005005 PERUANA
PERUANA 8 8 de de 9595
Tal como lo
Tal como lo ilustra la Figura 1, ilustra la Figura 1, el proceso de gestión de seguridad de la información puedeel proceso de gestión de seguridad de la información puede ser iterativo para la evaluación del riesgo y/o para las actividades de tratamiento del
ser iterativo para la evaluación del riesgo y/o para las actividades de tratamiento del riesgo.riesgo. Un enfoque iterativo para la conducción de la evaluación del riesgo puede incrementar la Un enfoque iterativo para la conducción de la evaluación del riesgo puede incrementar la profundidad
profundidad y y detalle detalle de de la la evaluación evaluación en en cada cada iteración. iteración. El El enfoque enfoque iterativo iterativo provee provee unun buen
buen balance balance entre entre minimizar minimizar el el tiempo tiempo y y el el esfuerzo esfuerzo que que se se emplea emplea en en identificar identificar loslos controles y a la vez asegurar que se evalúe apropiadamente los altos riesgos.
controles y a la vez asegurar que se evalúe apropiadamente los altos riesgos.
Primero se determina el contexto. Luego se realiza una evaluación del riesgo. Si esto Primero se determina el contexto. Luego se realiza una evaluación del riesgo. Si esto provee
provee suficiente suficiente información para información para determinar determinar efectivamenefectivamente te las las acciones requeridas acciones requeridas parapara modificar los riesgos a un nivel aceptable, entonces la tarea está completa y sigue el modificar los riesgos a un nivel aceptable, entonces la tarea está completa y sigue el tratamiento del riesgo. Si la información es suficiente, se conducirá otra iteración de la tratamiento del riesgo. Si la información es suficiente, se conducirá otra iteración de la evaluación del riesgo con el contexto revisado (por ejemplo criterios de evaluación del evaluación del riesgo con el contexto revisado (por ejemplo criterios de evaluación del riesgo, criterios de aceptación del riesgo o criterios de impacto) posiblemente en partes riesgo, criterios de aceptación del riesgo o criterios de impacto) posiblemente en partes limitadas del alcance total (véase la Figura 1,
limitadas del alcance total (véase la Figura 1, Decisión sobre el Riesgo Capítulo 1).Decisión sobre el Riesgo Capítulo 1).
La eficacia en el tratamiento del riesgo depende de los resultados de la evaluación del La eficacia en el tratamiento del riesgo depende de los resultados de la evaluación del riesgo. Es posible que el tratamiento del riesgo no conduzca inmediatamente a un nivel riesgo. Es posible que el tratamiento del riesgo no conduzca inmediatamente a un nivel aceptable de riesgo residual. En esta situación, podría requerirse otra iteración de la aceptable de riesgo residual. En esta situación, podría requerirse otra iteración de la evaluación del riesgo con parámetros de contexto cambiados (por ejemplo evaluación del evaluación del riesgo con parámetros de contexto cambiados (por ejemplo evaluación del riesgo, aceptación del riesgo o criterios de impacto), si fuera necesario, seguido de otro riesgo, aceptación del riesgo o criterios de impacto), si fuera necesario, seguido de otro tratamiento del riesgo (véase la Figura 1, Decisión sobre el
tratamiento del riesgo (véase la Figura 1, Decisión sobre el Riesgo Capítulo 2).Riesgo Capítulo 2).
La actividad de aceptación del riesgo tiene que asegurar que los gerentes de la organización La actividad de aceptación del riesgo tiene que asegurar que los gerentes de la organización acepten explícitamente los riesgos residuales. Esto es especialmente importante en una acepten explícitamente los riesgos residuales. Esto es especialmente importante en una situación donde la implementación de controles se omite o pospone, por ejemplo debido al situación donde la implementación de controles se omite o pospone, por ejemplo debido al costo.
costo.
Durante todo el
Durante todo el proceso de gestión del riesgo en seguridad de la información es importanteproceso de gestión del riesgo en seguridad de la información es importante que los riesgos y su tratamiento se comuniquen a los gerentes apropiados y al personal que los riesgos y su tratamiento se comuniquen a los gerentes apropiados y al personal operativo. Incluso antes del tratamiento de los riesgos puede ser muy valioso contar con operativo. Incluso antes del tratamiento de los riesgos puede ser muy valioso contar con información sobre los riesgos identificados para administrar los incidentes y puede ayudar información sobre los riesgos identificados para administrar los incidentes y puede ayudar a reducir el daño potencial. La conciencia de los gerentes y el personal respecto de los a reducir el daño potencial. La conciencia de los gerentes y el personal respecto de los riesgos, la naturaleza de los controles empleados para mitigar los riesgos y las áreas de riesgos, la naturaleza de los controles empleados para mitigar los riesgos y las áreas de preocupac
preocupación para ión para la organización ayudan a la organización ayudan a tratar los tratar los incidentes y los eventos incidentes y los eventos inesperadosinesperados de la manera más eficaz. Deben documentarse los resultados detallados de toda actividad de la manera más eficaz. Deben documentarse los resultados detallados de toda actividad del proceso de gestión del riesgo en seguridad de la información y de los dos puntos de del proceso de gestión del riesgo en seguridad de la información y de los dos puntos de decisión sobre el
NORMA
NORMA TÉCNITÉCNICA CA NTP-INTP-ISO/ISO/IEC 27EC 27005005 PERUANA
PERUANA 9 9 de de 9595
La norma ISO/IEC 27001 especifica que los controles implementados dentro del alcance, La norma ISO/IEC 27001 especifica que los controles implementados dentro del alcance, límites y contexto del ISMS deben basarse en el riesgo. La aplicación de un proceso de límites y contexto del ISMS deben basarse en el riesgo. La aplicación de un proceso de gestión del riesgo en seguridad de la información puede satisfacer este requisito. Existen gestión del riesgo en seguridad de la información puede satisfacer este requisito. Existen muchos enfoques por medio de los cuales se puede implementar exitosamente el proceso muchos enfoques por medio de los cuales se puede implementar exitosamente el proceso en una organización. La organización debe utilizar el enfoque que mejor se acomode a sus en una organización. La organización debe utilizar el enfoque que mejor se acomode a sus circunstancias para cada aplicación específica del
circunstancias para cada aplicación específica del proceso.proceso.
En un ISMS, determinar el contexto, evaluar el riesgo, desarrollar un plan de tratamiento En un ISMS, determinar el contexto, evaluar el riesgo, desarrollar un plan de tratamiento del riesgo y aceptar el riesgo son parte de la fase del “plan”. En la fase de “hacer” del del riesgo y aceptar el riesgo son parte de la fase del “plan”. En la fase de “hacer” del ISMS, se implementan las acciones y controles requeridos para reducir el riesgo a un nivel ISMS, se implementan las acciones y controles requeridos para reducir el riesgo a un nivel aceptable de acuerdo con el plan de tratamiento del riesgo. En la fase de “verificar” del aceptable de acuerdo con el plan de tratamiento del riesgo. En la fase de “verificar” del ISMS, los gerentes determinarán la necesidad de revisiones de la
ISMS, los gerentes determinarán la necesidad de revisiones de la evaluación del riesgo y elevaluación del riesgo y el tratamiento del riesgo a la luz de los incidentes y cambios en las circunstancias. En la fase tratamiento del riesgo a la luz de los incidentes y cambios en las circunstancias. En la fase de “actuar”, se realizan todas las acciones requeridas, incluyendo la aplicación adicional de “actuar”, se realizan todas las acciones requeridas, incluyendo la aplicación adicional del proceso de gestión del riesgo en seguridad de la
del proceso de gestión del riesgo en seguridad de la información.información.
La tabla siguiente resume las actividades de gestión del riesgo en seguridad de la La tabla siguiente resume las actividades de gestión del riesgo en seguridad de la información relevantes a las cuatro fases del proceso del ISMS:
información relevantes a las cuatro fases del proceso del ISMS:
TABLA 1 –
TABLA 1 – Alineamiento del ISMS y del Alineamiento del ISMS y del Proceso de Gestión del Riesgo en SeguridadProceso de Gestión del Riesgo en Seguridad de la Información de la Información Proceso Proceso ISMS ISMS
Proceso de Gestión del Riesgo en Seguridad de la Proceso de Gestión del Riesgo en Seguridad de la
Información Información Plan Plan Determinar el contexto Determinar el contexto Evaluar el riesgo Evaluar el riesgo
Desarrollar el plan de tratamiento del
Desarrollar el plan de tratamiento del riesgoriesgo Aceptar el riesgo
Aceptar el riesgo Hacer
Hacer Implementar Implementar el el plan plan de de tratamiento tratamiento del del riesgoriesgo
Revisar Revisar
Monitoreo y revisión continuos de los riesgos Monitoreo y revisión continuos de los riesgos
Hacer
Hacer Mantener y Mantener y mejorar mejorar el el Proceso Proceso de de Gestión Gestión del del Riesgo Riesgo enen Seguridad de la Información
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 10 de 95
7. DETERMINACIÓN DEL CONTEXTO
7.1 Consideraciones generales
Insumo: Toda la información sobre la organización que sea relevante para determinar el contexto de la gestión del riesgo en seguridad de la información.
Acción: Se debería establecer el contexto para la gestión del riesgo en seguridad de la información, lo cual implica establecer los criterios básicos necesarios para la gestión del riesgo en seguridad de la información (7.2), definir el alcance y los límites (7.3) y establecer una organización apropiada que opere la gestión del riesgo en seguridad de la información (7.4).
Guía de implementación
Es esencial determinar el propósito de la gestión del riesgo en seguridad de la información, ya que esto afecta el proceso general y la determinación del contexto en particular. Este propósito puede:
- Apoyar un ISMS.
- Aplicar la ley y evidenciar diligencia debida.
- Preparar un plan de continuidad del negocio.
- Preparar un plan de respuesta al incidente.
- Describir los requisitos de seguridad de la información para un producto, servicio o mecanismo.
En los capítulos 7.2, 7.3 y 7.4 se trata en más detalle la guía de implementación para establecer los elementos del contexto que se requieren para apoyar un ISMS.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 11 de 95
NOTA: La norma ISO/IEC 27001 no utiliza el término “contexto”. Sin embargo, todo el capítulo 7 se refiere a los requisitos de “definir el alcance y límites del ISMS” [4.2.1 a)], “definir una política del ISMS” [4.2.1 b)] y “definir el enfoque de la evaluación del riesgo” [4.2.1 c)], especificados en ISO/IEC 27001.
Producto: La especificación de los criterios básicos, el alcance y los límites y la organización para el proceso de gestión del riesgo en seguridad de la información.
7.2 Criterios básicos
Dependiendo del alcance y objetivo de la gestión del riesgo se puede aplicar distintos enfoques. El enfoque también puede ser diferente para cada iteración.
Se debe seleccionar o desarrollar un enfoque de gestión del riesgo apropiado que resuelva criterios básicos como: criterios de evaluación del riesgo, criterios de impacto, criterios de aceptación del riesgo.
Además, la organización debe evaluar si se dispone de los recursos necesarios para:
- Una evaluación del riesgo y establecer un plan de tratamiento del riesgo.
- Definir e implementar políticas y procedimientos, incluyendo la implementación de controles seleccionados.
- Monitorear controles.
- Monitorear el proceso de gestión del riesgo en seguridad de la información.
NOTA: Véase también la norma ISO/IEC 27001 (Capítulo 5.2.1) concerniente al suministro de recursos para la operación de implementación de un ISMS.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 12 de 95
Criterios de evaluación del riesgo
Los criterios de evaluación del riesgo deben desarrollarse para evaluar el riesgo de seguridad para la información de la organización considerando lo siguiente:
- El valor estratégico del proceso de información empresarial. - El carácter crucial de los activos de información involucrados. - Requisitos legales y regulatorios y obligaciones contractuales.
- Importancia operativa y empresarial de la disponibilidad, confidencialidad e integridad.
- Las expectativas y percepciones de los interesados así como las consecuencias negativas para el buen nombre y la reputación.
Adicionalmente, se puede utilizar los criterios de evaluación del riesgo para especificar prioridades para el tratamiento del riesgo.
Criterios de impacto
Se debe desarrollar y especificar criterios de impacto en términos del grado de daño en costos para la organización causados por un evento contra la seguridad de la información considerando lo siguiente:
- Nivel de clasificación del activo de información impactado.
- Infracciones a la seguridad de la información (por ejemplo pérdida de confidencialidad, integridad y disponibilidad)
- Operaciones impedidas (internas o de terceros) - Lucro cesante y valor financiero.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 13 de 95
- Daño a la reputación.
- Infracciones de estipulaciones legales, regulatorias o contractuales.
NOTA: Véase también la norma ISO/IEC 27001 [Capítulo 4.2.1 d) 4] concerniente a la identificación de criterios de impacto para pérdidas de confidencialidad, integridad y disponibilidad.
Criterios de aceptación del riesgo
Se debe desarrollar y especificar criterios de aceptación del riesgo. Los criterios de aceptación del riesgo a menudo dependen de los intereses, políticas, metas, objetivos de los interesados en la organización.
Una organización debe definir sus propias escalas para los niveles de aceptación del riesgo. Durante el desarrollo se deben considerar los siguientes factores:
- Los criterios de aceptación del riesgo pueden incluir umbrales múltiples con un nivel objetivo deseado del riesgo, pero con advertencias para los altos gerentes referentes a aceptar riesgos por encima de este nivel en determinadas circunstancias.
- Se puede expresar los criterios de aceptación del riesgo como la tasa de utilidad estimada (u otro beneficio empresarial) respecto del riesgo estimado.
- Se puede aplicar distintos criterios de aceptación del riesgo a distintas clases de riesgo, por ejemplo, no se puede aceptar riesgos que podrían resultar en el incumplimiento de regulaciones o leyes, mientras que se puede permitir la aceptación de riesgos altos si esto se especifica como un requisito contractual. - Los criterios de aceptación del riesgo pueden incluir requisitos para un
tratamiento adicional futuro, por ejemplo se puede aceptar un riesgo si existe aprobación y compromiso de accionar para reducirlo a un nivel aceptable dentro de un período definido.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 14 de 95
Los criterios de aceptación del riesgo pueden diferir de acuerdo a por cuánto tiempo se espera que el riesgo exista; por ejemplo, el riesgo se puede asociar con una actividad temporal o de corto plazo. Se debe establecer los criterios de aceptación del riesgo considerando lo siguiente:
- Criterios empresariales
- Aspectos legales y regulatorios - Operaciones
- Tecnología - Finanzas
- Factores sociales y humanitarios
NOTA: Los criterios de aceptación del riesgo corresponden a “criterios para aceptar riesgos e identificar el nivel aceptable del riesgo”, según se especifica en la norma ISO/IEC 27001 Cápitulo 4.2.1 c) 2).
Se puede encontrar más información en el Anexo A.
7.3 El alcance y los límites
La organización debe definir el alcance y los límites de la gestión del riesgo en seguridad de la información.
El alcance del proceso de gestión del riesgo en seguridad de la información debe definirse para asegurar que se tomen en cuenta todos los activos relevantes en la evaluación del riesgo. Además se tiene que identificar los límites [véase también la norma ISO/IEC 27001 Capítulo 4.2.1 a)] para enfrentar los riesgos que puedan surgir dentro de esos límites.
Se debe recolectar información sobre la organización para determinar el entorno en el que opera y su relevancia para el proceso de gestión del riesgo en seguridad de la información.
Cuando se definen el alcance y los límites, la organización debe considerar la información siguiente:
- Los objetivos, estrategias y políticas empresariales estratégicas de la organización.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 15 de 95
- Procesos de negocios.
- Las funciones y estructura de la organización.
- Los requisitos legales regulatorios y contractuales aplicables a la organización. - La política de seguridad de información de la organización.
- El enfoque general de la organización respecto de la gestión del riesgo. - Activos de información.
- Ubicaciones de la organización y sus características geográficas. - Restricciones que afecten a la organización.
- Expectativa de los interesados. - Entorno socio-cultural.
- Interfases (es decir, intercambio de información con el entorno).
Adicionalmente, la organización debe proporcionar justificación para cualquier exclusión del alcance.
Algunos ejemplos del alcance de la gestión del riesgo pueden ser una aplicación de Tecnología de Información - TI, una infraestructura de TI, un proceso de negocio o una parte definida de una organización.
NOTA: El alcance y límites de la gestión del riesgo en seguridad de la información se relaciona al alcance y límites del ISMS que se requiere en la norma ISO/IEC 27001 4.2.1a).
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 16 de 95
7.4 Organización para la gestión del riesgo de seguridad en la información
Se debe establecer y mantener la organización y responsabilidades para el proceso de gestión del riesgo en seguridad de la información. Los siguientes son los roles y responsabilidades principales de esta organización:
- Desarrollo del proceso de gestión del riesgo en seguridad de la información conveniente para la organización.
- Identificación y análisis de los interesados.
- Definición de roles y responsabilidades de todas las partes tanto internas como externas a la organización.
- Establecimiento de las relaciones requeridas entre la organización y los interesados, así como las interfases con las funciones de gestión del riesgo en las altas esferas de la organización (por ejemplo gestión del riesgo operativo), así como las interfaces con otros proyectos o actividades relevantes.
- Definición de los caminos para el escalamiento de las decisiones. - Especificación de los registros que deben mantenerse.
Los gerentes apropiados de la organización deben aprobar esta estructura.
NOTA: ISO/IEC 27001 requiere determinar y proveer los recursos necesarios para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un ISMS [5.2.1 a)]. Se puede considerar la organización para las operaciones de gestión del riesgo como uno de los recursos requeridos por la norma ISO/IEC 27001.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 17 de 95
8. EVALUACIÓN DEL RIESGO EN SEGURIDAD DE LA
INFORMACIÓN
8.1 Descripción general de la evaluación del riesgo en seguridad de la información
NOTA: La actividad de evaluación del riesgo se conoce como el proceso en la norma ISO/IEC 27001.
Insumo: Determinación de criterios básicos, el alcance y los límites, y la organización para el proceso de gestión del riesgo en seguridad de la información.
Acción: Se debe identificar, cuantificar o describir cualitativamente, así como priorizar los riesgos contra los criterios y objetivos de evaluación del riesgo relevantes para la organización.
Guía de implementación:
Un riesgo es una combinación de las consecuencias que se seguiría de la ocurrencia de un evento no deseado y de la posibilidad de la ocurrencia del evento. La evaluación del riesgo cuantifica o describe cualitativamente el riesgo y permite a los gerentes priorizar los riesgos de acuerdo con la gravedad que perciben u otros criterios establecidos.
La evaluación de riesgo consiste de las siguientes actividades:
- Análisis del riesgo (véase el apartado 8.2) que comprende: - Identificación del riesgo (véase el apartado 8.2.1)
- Estimación del riesgo (véase el apartado 8.2.2) - Evaluación del riesgo (véase el apartado 8.3)
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 18 de 95
La evaluación del riesgo determina el valor de los activos de la información, identifica las amenazas y vulnerabilidades aplicables que existen (o podrían existir), identifica los controles existentes y su efecto en el riesgo identificado, determina las consecuencias potenciales y finalmente prioriza los riesgos derivados y los ordena respecto del conjunto
de criterios de evaluación del riesgo establecidos en la determinación del contexto.
La evaluación del riesgo se conduce a menudo en dos (o más) iteraciones. Primero se realiza una evaluación de alto nivel para identificar riesgos potencialmente altos que implican una mayor evaluación. La siguiente iteración puede incluir otra consideración profunda de riesgos potencialmente altos revelados en la iteración inicial. Allí donde esto provea información insuficiente para evaluar el riesgo, se conducen más análisis detallados probablemente en partes del alcance total y posiblemente utilizando un método diferente.
La organización debe decidir la selección de su propio enfoque para la evaluación del riesgo en base a los objetivos y la meta de evaluación del riesgo.
El Anexo E presenta enfoques sobre evaluación del riesgo en seguridad de la información. Producto: Una lista de riesgos evaluados priorizados de acuerdo con criterios de evaluación del riesgo.
8.2 Análisis del riesgo
8.2.1 Identificación del riesgo
8.2.1.1 Introducción a la identificación del riesgo
El propósito de la identificación del riesgo es determinar qué podría suceder que cause una pérdida potencial y entender cómo, dónde y por qué podría ocurrir la pérdida. Los pasos escritos en los apartados que siguen al apartado 8.2.1 deben recolectar datos de insumos para la actividad de estimación del riesgo.
NOTA: Las actividades descritas en los capítulos siguientes deben describirse en el siguiente orden dependiendo de la metodología aplicada.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 19 de 95
8.2.1.2 Identificación de activos
Insumo: Alcance y límites para la evaluación del riesgo a conducirse, lista de interesados con propietarios, ubicación, función, etc.
Acción: Se debe identificar los activos dentro del alcance establecido (se relaciona con la norma ISO/IEC 27001, apartado 4.2.1 d) 1)).
Guía de implementación:
Un activo es cualquier cosa que tenga valor para la organización y que por lo tanto requiera protección. Para la identificación de activos debe recordarse que un sistema de información es más que hardware y software.
La identificación de activos debe realizarse a un nivel adecuado de detalle que proporcione suficiente información para la evaluación del riesgo. El nivel de detalle utilizado en la identificación de activos influenciará la cantidad general de información recolectada durante la evaluación del riesgo. El nivel puede refinarse en iteraciones posteriores de la evaluación del riesgo.
Se debe identificar al propietario de un activo para cada activo, para determinar las disposiciones sobre responsabilidad y rendición de cuentas por el activo. El propietario del activo puede no tener derechos de propiedad sobre el activo, pero tiene responsabilidad sobre su producción, desarrollo, mantenimiento, uso y seguridad, según corresponda. El propietario del activo a menudo es la persona más apropiada para determinar el valor que el activo tiene para la organización (véase la valorización de activos en el apartado 8.2.2).
El límite de revisión es el perímetro de activos de la organización que el proceso de gestión del riesgo en seguridad de la información debe administrar según definición.
El Anexo B contiene más información sobre la identificación y valorización de activos relacionados con la seguridad de la información.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 20 de 95
Producto: Una lista de activos a administrarse respecto de su riesgo y una lista de procesos de negocio relativos a activos y su relevancia.
8.2.1.3 Identificación de amenazas
Insumo: Información sobre amenazas obtenida a partir de la revisión de incidentes, propietarios de activos, usuarios y otras fuentes, incluyendo catálogos externos de
amenazas.
Acción: Se debe identificar las amenazas y sus fuentes (relativas a la norma ISO/IEC 27001, apartado 4.2.1 d) 2)).
Guía de implementación:
Una amenaza tiene el potencial de dañar activos como la información, los procesos y los sistemas y, por tanto, las organizaciones. Las amenazas pueden ser de origen natural o humano y pueden ser accidentales o deliberadas. Deben identificarse tanto las fuentes de amenazas accidentales como las deliberadas. Una amenaza puede surgir desde adentro o desde afuera de la organización. Se debe identificar las amenazas de manera genérica y por tipo (por ejemplo acciones no autorizadas, daño físico, fallas técnicas) y entonces cuando sea apropiado, las amenazas individuales dentro de la clase genérica identificada. Esto significa que no se desatiende ninguna amenaza, incluyendo las inesperadas, pero que el volumen de trabajo requerido es limitado.
Algunas amenazas pueden afectar a más de un activo. En dichos casos, pueden causar distintos impactos dependiendo de qué activos sean afectados.
Se puede obtener insumos respecto de la identificación de la amenaza y de la estimación de la posibilidad de ocurrencia (véase el apartado 8.2.2.3) que hacen los propietarios o usuarios de activos, del personal de recursos humanos, de la gerencia de planta y de los especialistas en seguridad de la información, expertos de seguridad física, departamento legal y otras organizaciones, incluyendo organismos legales, autoridades meteorológicas, compañías de seguros y autoridades del gobierno nacional. Se debe considerar aspectos de medioambiente y cultura cuando se enfrentan amenazas.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 21 de 95
Se debe considerar la experiencia interna de incidentes y las evaluaciones de amenazas pasadas en la evaluación actual. Puede valer la pena consultar otros catálogos de amenazas (quizás específicos a una organización o empresa) para completar la lista de amenazas genéricas, cuando sea relevante. Se dispone de catálogos y estadísticas de amenazas en gremios industriales, gobiernos nacionales, organismos legales, compañías de seguros, etc.
Cuando se usa catálogos de amenazas o evaluaciones de los resultados de amenazas pasadas, debemos ser conscientes de que hay un cambio continuo en las amenazas relevantes, especialmente si el entorno empresarial o los sistemas de información cambian.
El Anexo C presenta más información sobre tipos de amenazas.
Producto: Una lista de amenazas con la identificación del tipo y fuente de la amenaza.
8.2.1.4 Identificación de controles existentes
Insumo: Documentación de controles, planes de implementación de tratamiento de riesgos.
Acción: Se debe identificar los controles existentes y planificados.
Guía de implementación:
Se debe identificar los controles existentes para evitar trabajo o costo innecesarios, por ejemplo en la duplicación de controles. Además, a la vez que se identifican los controles existentes, se debe hacer una verificación para asegurar que los controles están funcionando correctamente –una referencia a los informes de auditoría ya existentes sobre el ISMS limita el tiempo que se emplea en esta tarea. Si un control no funciona como se esperaba, esto puede causar vulnerabilidades. Se debe considerar la situación en la que un control (o estrategia) seleccionado falle y, por lo tanto se requieran controles complementarios para tratar de manera eficaz el riesgo identificado. En un ISMS, de acuerdo con ISO/IEC 27001, esto se logra gracias a la medición de la eficacia de los controles. Una manera de estimar el efecto del control es ver cómo reduce la posibilidad de amenaza y la facilidad de explotación de la vulnerabilidad o impacto del incidente. Las revisiones de la gerencia y los informes de auditoría también proporcionan información sobre la eficacia de los controles existentes.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 22 de 95
Se debe considerar los controles que se ha planificado implementar de acuerdo con los planes de implementación de tratamiento de riesgo de la misma manera que aquellos que
ya se implementaron.
Un control existente y planificado puede identificarse como ineficaz, o no suficiente, o no justificado. Si no es justificado ni suficiente, se debe verificar el control para determinar si
se le debe eliminar, si se le debe reemplazar por otro control más adecuado o si debería continuarse con el mismo, por ejemplo, por razones de costos.
Las siguientes actividades pueden ser útiles para la identificación de controles existentes o planeados:
- Revisión de documentos que tienen información sobre los controles (por ejemplo, planes de implementación de tratamiento del riesgo). Si los procesos de gestión de seguridad de la información están bien documentados, se debe disponer de todos los controles existentes o planeados y de su situación de implementación;
- Verificación de la seguridad de la información con las personas responsables (por ejemplo el funcionario encargado de la seguridad de la información y el funcionario encargado de la seguridad del sistema de información, el gerente de construcción o el gerente de operaciones) y los usuarios respecto de qué controles se implementan realmente para el proceso de información o el sistema de información que se está considerando;
- Conducción de una revisión in-situ de los controles físicos, comparando los implementados con la lista de qué controles debería tenerse y verificando los implementados respecto de si están funcionando de manera correcta y eficaz, o - Revisión de resultados de auditorías internas.
Producto: Una lista de todos los controles existentes y planeados, su implementación y su condición de uso.
8.2.1.5 Identificación de vulnerabilidades
NORMA
NORMA TÉCNITÉCNICA CA NTP-INTP-ISO/ISO/IEC 27EC 27005005 PERUANA
PERUANA 23 23 de de 9595
Acción: Se debe identificar las vulnerabilidades que las amenazas pueden explotar para Acción: Se debe identificar las vulnerabilidades que las amenazas pueden explotar para causar daño a los activos o a la organización (se relaciona con la norma ISO/IEC 27001, causar daño a los activos o a la organización (se relaciona con la norma ISO/IEC 27001, apartado 4.2.1 d) 3)).
apartado 4.2.1 d) 3)).
Guía de implementación: Guía de implementación:
Se puede identificar vulnerabilidades en
Se puede identificar vulnerabilidades en las áreas siguientes:las áreas siguientes:
-- OrganizaciónOrganización
-- Procesos y procedimientosProcesos y procedimientos -- Rutinas administrativasRutinas administrativas -- PersonalPersonal
-- Entorno físicoEntorno físico
-- Configuración del sistema de informaciónConfiguración del sistema de información
-- Hardware, software o Hardware, software o equipo de comunicacionesequipo de comunicaciones -- Dependencia de partes externasDependencia de partes externas
La presencia de una vulnerabilidad no causa daño en sí misma, ya que se requiere una La presencia de una vulnerabilidad no causa daño en sí misma, ya que se requiere una amenaza para explotarla. Una vulnerabilidad que no tiene amenaza correspondiente puede amenaza para explotarla. Una vulnerabilidad que no tiene amenaza correspondiente puede no requerir la implementación de un control, pero se debería reconocer y monitorear para no requerir la implementación de un control, pero se debería reconocer y monitorear para observar sus cambios. Debe notarse que un control implementado de manera incorrecta o observar sus cambios. Debe notarse que un control implementado de manera incorrecta o que funcione mal puede ser en sí mismo una vulnerabilidad. Un control puede ser eficaz o que funcione mal puede ser en sí mismo una vulnerabilidad. Un control puede ser eficaz o ineficaz dependiendo del entorno en el
ineficaz dependiendo del entorno en el que opera. Inversamenteque opera. Inversamente, una amenaza que no , una amenaza que no tienetiene una vulnerabilidad co
una vulnerabilidad correspondiente puerrespondiente puede de no resultar en un riesgono resultar en un riesgo..
Las vulnerabilidades se pueden relacionar con propiedades del activo que
Las vulnerabilidades se pueden relacionar con propiedades del activo que se pueden utilizarse pueden utilizar de una manera o por un propósito que el que se desea cuando se compró o hizo el activo. de una manera o por un propósito que el que se desea cuando se compró o hizo el activo. Se tienen que considerar vulnerabilidades que surgen de distintas fuentes, por ejemplo, las Se tienen que considerar vulnerabilidades que surgen de distintas fuentes, por ejemplo, las que son intrínsecas o extrínsecas al activo.
que son intrínsecas o extrínsecas al activo.
En el Anexo D se puede encontrar ejemplos de vulnerabilidades y métodos para la En el Anexo D se puede encontrar ejemplos de vulnerabilidades y métodos para la evaluación de la vulnerabilidad.
evaluación de la vulnerabilidad.
Producto: Una lista de vulnerabilidades en relación con los activos, amenazas y controles, Producto: Una lista de vulnerabilidades en relación con los activos, amenazas y controles, una lista de vulnerabilidades que no se relaciona a ninguna amenaza identificada para su una lista de vulnerabilidades que no se relaciona a ninguna amenaza identificada para su revisión.
NORMA
NORMA TÉCNITÉCNICA CA NTP-INTP-ISO/ISO/IEC 27EC 27005005 PERUANA
PERUANA 24 24 de de 9595
8.2.1.6
8.2.1.6 Identificación de las consecuencIdentificación de las consecuenciasias
Insumo: Una lista de activos, una lista de procesos de negocios, y una lista de amenazas y Insumo: Una lista de activos, una lista de procesos de negocios, y una lista de amenazas y vulnerabilidades donde sea apropiado en relación con los activos y su relevancia.
vulnerabilidades donde sea apropiado en relación con los activos y su relevancia.
Acción: Se debe identificar las consecuencias que pueden tener las pérdidas de Acción: Se debe identificar las consecuencias que pueden tener las pérdidas de confidencialidad, integridad y disponibilidad (véase la norma ISO/IEC 27001, apartado confidencialidad, integridad y disponibilidad (véase la norma ISO/IEC 27001, apartado 4.2.1 d) 4)).
4.2.1 d) 4)).
Guía de implementación: Guía de implementación:
Una consecuencia puede hacer perder eficacia, puede haber condiciones operativas Una consecuencia puede hacer perder eficacia, puede haber condiciones operativas adversas, lucro cesante, daño a la
adversas, lucro cesante, daño a la reputación, etc.reputación, etc.
Esta actividad identifica el daño o las consecuencias a la organización que un incidente Esta actividad identifica el daño o las consecuencias a la organización que un incidente podría causar.
podría causar. El El escenario de escenario de un incidente un incidente es la es la descripción de una descripción de una amenaza que explotaamenaza que explota una cierta vulnerabilidad o conjunto de vulnerabilidades en un incidente de vulnerabilidad una cierta vulnerabilidad o conjunto de vulnerabilidades en un incidente de vulnerabilidad de la información (véase la norma ISO/IEC 27002, Capítulo 13). El impacto de los de la información (véase la norma ISO/IEC 27002, Capítulo 13). El impacto de los escenarios del incidente debe determinarse considerando criterios de impacto definidos escenarios del incidente debe determinarse considerando criterios de impacto definidos durante la actividad de determinación del contexto. Puede afectar a uno o más activos o a durante la actividad de determinación del contexto. Puede afectar a uno o más activos o a parte
parte de de un un activo. activo. De De esta esta manera, manera, los los activos activos pueden pueden tener tener valores valores asignados asignados para para susu costo financiero y debido a las consecuencias para la empresa si se les daña o compromete. costo financiero y debido a las consecuencias para la empresa si se les daña o compromete. Las consecuencias pueden ser de naturaleza temporal o permanente como en el caso de la Las consecuencias pueden ser de naturaleza temporal o permanente como en el caso de la destrucción de un activo.
destrucción de un activo.
NOTA: La
NOTA: La norma norma ISO/IEC 27001 ISO/IEC 27001 describe la ocurrencia ddescribe la ocurrencia de escenarios de incidentes como “fallas dee escenarios de incidentes como “fallas de seguridad”.
seguridad”.
Las organizaciones deben identificar las consecuencias operativas de los escenarios de Las organizaciones deben identificar las consecuencias operativas de los escenarios de incidentes en términos de los siguientes elementos sin li
incidentes en términos de los siguientes elementos sin limitarse a los mismos:mitarse a los mismos:
-- Tiempo de Tiempo de investigación y reparacióninvestigación y reparación -- Tiempo (trabajo) perdidoTiempo (trabajo) perdido
-- Oportunidad perdidaOportunidad perdida -- Salud y seguridad físicaSalud y seguridad física
NORMA
NORMA TÉCNITÉCNICA CA NTP-INTP-ISO/ISO/IEC 27EC 27005005 PERUANA
PERUANA 25 25 de de 9595
-- Costo financiero de habilidades específicas para reparar el Costo financiero de habilidades específicas para reparar el dañodaño -- Reputación de la imagen y buen nombreReputación de la imagen y buen nombre
En B3, Evaluación de impacto, se puede encontrar detalles sobre la evaluación de En B3, Evaluación de impacto, se puede encontrar detalles sobre la evaluación de vulnerabilidades técnicas.
vulnerabilidades técnicas.
Producto: Una lista de escenarios de incidentes con sus consecuencias relacionadas a los Producto: Una lista de escenarios de incidentes con sus consecuencias relacionadas a los activos y procesos de negocios.
activos y procesos de negocios.
8.2.2
8.2.2 Estimación del riesgoEstimación del riesgo
8.2.2.1
8.2.2.1 Metodologías para la estimación del riesgoMetodologías para la estimación del riesgo
Se debe realizar el análisis del riesgo en grados variables de detalle dependiendo del Se debe realizar el análisis del riesgo en grados variables de detalle dependiendo del carácter crucial de los activos, extensión de las vulnerabilidades conocidas e incidentes carácter crucial de los activos, extensión de las vulnerabilidades conocidas e incidentes previos
previos que que involucran involucran a a la la organización. organización. Una Una metodología metodología de de estimación estimación puede puede serser cualitativa o cuantitativa o una combinación de ambas dependiendo de las circunstancias. cualitativa o cuantitativa o una combinación de ambas dependiendo de las circunstancias. En la práctica
En la práctica, , se usa a se usa a menudo la menudo la estimación cestimación cualitativa para ualitativa para obtener primero obtener primero unauna indicación general del nivel de riesgo y para revelar los riesgos más importantes. Luego indicación general del nivel de riesgo y para revelar los riesgos más importantes. Luego puede ser
puede ser necesario realizar necesario realizar análisis más análisis más específicos o específicos o cuantitativos sobre cuantitativos sobre los rilos riesgos másesgos más importantes porque a menudo es menos complejo y menos caro realizar análisis importantes porque a menudo es menos complejo y menos caro realizar análisis cualitativos que análisis cuantitativos.
cualitativos que análisis cuantitativos.
La forma del análisis debe ser consistente con los criterios de evaluación del riesgo La forma del análisis debe ser consistente con los criterios de evaluación del riesgo desarrollados como parte de la determinación del contexto.
desarrollados como parte de la determinación del contexto. A continuación se describe los detalles de las
A continuación se describe los detalles de las metodologías de estimación:metodologías de estimación:
(a) Estimación cualitativa: (a) Estimación cualitativa:
La estimación cualitativa usa una escala de atributos calificadores para describir la La estimación cualitativa usa una escala de atributos calificadores para describir la magnitud de las consecuencias potenc
magnitud de las consecuencias potenciales (por ejemplo, baja, media y alta) iales (por ejemplo, baja, media y alta) y la posibilidady la posibilidad de que esas consecuencias ocurran. Una ventaja de la estimación cualitativa es su facilidad de que esas consecuencias ocurran. Una ventaja de la estimación cualitativa es su facilidad de comprensión por todo el personal relevante, mientras que una ventaja es la dependencia de comprensión por todo el personal relevante, mientras que una ventaja es la dependencia en una elección subjetiva de la escala.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 26 de 95
Estas escalas pueden adaptarse o ajustarse para acomodarse a las circunstancias y se puede usar distintas descripciones para distintos riesgos. Se puede usar estimación cualitativa:
- Como una actividad de clasificación inicial para identificar los riesgos que requieran un análisis más detallado.
- Donde este tipo de análisis sea apropiado para las decisiones.
- Donde los datos numéricos o los recursos sean inadecuados para una estimación cuantitativa
El análisis cualitativo debe usar información fáctica y datos siempre que estén disponibles.
(b) Estimación cuantitativa
La estimación cuantitativa usa una escala con valores numéricos (más que escalas descriptivas que se utilizan en la estimación cualitativa) para las consecuencias y la posibilidad, utilizando datos de una variedad de fuentes. La calidad del análisis depende de
la exactitud y completitud de los valores numéricos y de la validez de los modelos utilizados. En la mayoría de los casos la estimación cuantitativa usa datos de incidentes históricos, proveyendo la ventaja de que se puede relacionar directamente a los objetivos de seguridad de la información y a las preocupaciones de la organización. Una desventaja es la falta de dichos datos sobre nuevos riesgos o sobre las debilidades en la seguridad de la información, Una desventaja del enfoque cuantitativo puede ocurrir donde no se disponga de datos auditables, creando así una ilusión de valor y exactitud de la evaluación del riesgo.
La manera en la que se expresan las consecuencias y la posibilidad y las maneras en las que se combinan para proporcionar un nivel de riesgo variarán de acuerdo al tipo de riesgo y al propósito para el cual se debe utilizar el producto de la evaluación del riesgo. Se debe considerar la incertidumbre y variabilidad de varias consecuencias y probabilidad en el análisis y comunicarse de manera eficaz.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 27 de 95
8.2.2.2 Evaluación de consecuencias
Insumo: Una lista identificada de escenarios de incidentes relevantes que incluya la identificación de amenazas, vulnerabilidades, activos aceptados, consecuencias a los activos y procesos de negocio.
Acción: Se debe evaluar el impacto empresarial sobre la organización que podría resultar de incidentes posibles o reales en torno a la seguridad de la información, tomando en cuenta las consecuencias de una infracción en la seguridad de la información tal como la pérdida de confidencialidad, integridad o disponibilidad de los activos (se relaciona con
ISO/IEC 27001, Capítulo 4.2.1 e) 1)).
Guía de implementación
Luego de identificar todos los activos que se están revisando, se debe tomar en cuenta los valores asignados a estos activos a la vez que se evalúan las consecuencias.
El valor de impacto sobre el negocio puede expresarse en formas cualitativas y cuantitativas, pero cualquier método de asignar valor monetario puede proveer generalmente más información para la toma de decisiones y por tanto facilitar un proceso de toma de decisiones más eficiente.
La valorización de activos comienza con la clasificación de activos de acuerdo con su carácter crucial en términos de la importancia de los activos para satisfacer los objetivos de negocio de la organización. Entonces se determina el valor utilizando dos medidas:
- El valor de reemplazo del activo: el costo de una limpieza, de la recuperación y de reemplazar la información (si es posible), y
- Las consecuencias para el negocio por pérdida o compromiso del activo, como consecuencias potenciales adversas para el negocio y/o legales o regulatorias debido a la divulgación, modificación, no-disponibilidad y/o destrucción de información, y otros activos de información.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 28 de 95
Esta valorización se puede determinar desde el análisis de impacto en el negocio. El valor, determinado por la consecuencia para el negocio, es usualmente significativamente más alto que el simple costo de reemplazo, dependiendo de la importancia que tiene el activo para que la organización logre sus objetivos de negocio.
La valorización del activo es un factor clave en la evaluación de impacto de un escenario de incidentes porque el incidente puede afectar a más de un activo (por ejemplo activos dependientes) o solamente a una parte de un activo. Las distintas amenazas y vulnerabilidades tendrán diferentes impactos en los activos, como una pérdida de confidencialidad, integridad o disponibilidad. La evaluación de consecuencias se relaciona entonces a la valorización de los activos en base al análisis de impacto sobre el negocio.
Las consecuencias o el impacto sobre el negocio pueden determinarse modelando los resultados de un evento o conjunto de eventos o extrapolándolos de estudios experimentales o datos pasados.
Se puede expresar las consecuencias en términos de criterios monetarios, técnicos o humanos u otros criterios relevantes a la organización. En algunos casos se requiere más de un valor numérico para especificar las consecuencias de distintos momentos, lugares, grupos o situaciones. Las consecuencias en el tiempo y las finanzas deben medirse con el mismo enfoque que se utiliza para la posibilidad de amenazas y la vulnerabilidad. Se tiene que mantener la consistencia sobre el enfoque cuantitativo o cualitativo.
En el Anexo B se puede encontrar mayor información sobre la valorización de los activos y la evaluación de impacto.
Producto: Una lista de consecuencias evaluadas de un escenario de incidentes expresada con respecto a los activos y a criterios de impacto.
8.2.2.3 Evaluación de la posibilidad de incidentes
Insumos: Una lista identificada de escenarios de incidentes relevantes, incluyendo la identificación de amenazas, los activos afectados, las vulnerabilidades explotadas y las consecuencias para los activos y los procesos del negocio. Además, listas de todos los controles existentes y planeados, su eficacia, implementación y condición de uso.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 29 de 95
Acción: La posibilidad de los escenarios de incidentes debe evaluarse (se relaciona con la norma ISO/IEC 27001, apartado 4.2.1 e) 2)).
Guía de implementación
Luego de identificar los escenarios de incidentes, es necesario evaluar la posibilidad de que ocurra cada escenario e impacto utilizando técnicas de estimación cualitativa y cuantitativa. Esto debe tomar en cuenta cuán a menudo ocurren las amenazas y con qué facilidad se puede explotar las vulnerabilidades, considerando:
- la experiencia y las estadísticas aplicables para la posibilidad de amenazas. - para fuentes de amenazas deliberadas: la motivación y capacidades que
cambiarán en el tiempo y los recursos disponibles a los posibles atacantes, así como la percepción de la atracción y la vulnerabilidad de los activos para un posible atacante.
- para fuentes de amenazas accidentales: factores geográficos, por ejemplo proximidad a plantas químicas o petroleras, la posibilidad de condiciones climáticas extremas y factores que podrían influenciar los errores humanos y el malfuncionamiento de los equipos.
- vulnerabilidades, tanto individualmente como de manera agregada. - controles existentes y cuán eficazmente reducen las vulnerabilidades.
Por ejemplo, un sistema de información puede tener una vulnerabilidad a las amenazas de suplantación de identidad de usuario y mal uso de recursos. La vulnerabilidad de suplantación de identidad de usuario puede ser alta debido a la falta de autentificación de usuario. Por otro lado, la posibilidad de un mal uso de recursos puede ser alta a pesar de la falta de autentificación de usuario porque las guías para utilizar mal los recursos son limitadas.
Dependiendo de la necesidad de exactitud, los activos se pueden agrupar, o puede ser necesario dividir los activos en sus elementos y relacionar los escenarios a los elementos. Por ejemplo, a través de sitios geográficos la naturaleza de las amenazas a los mismos tipos de activos puede cambiar o puede variar la eficacia de los controles existentes.
NORMA TÉCNICA NTP-ISO/IEC 27005
PERUANA 30 de 95
Producto: Posibilidad de escenarios de incidentes (cuantitativos o cualitativos).
8.2.2.4 Nivel de estimación del riesgo
Insumos: Una lista de escenarios de incidentes con sus consecuencias relacionadas a activos y procesos del negocio y su posibilidad (cuantitativa o cualitativa).
Acción: El nivel de riesgo debe estimarse para todos los escenarios de incidentes relevantes (se relaciona con la norma ISO/IEC 27001, apartado 4.2.1 e) 4)).
Guía de implementación:
La estimación del riesgo asigna valores a la posibilidad y a las consecuencias de un riesgo. Estos valores pueden ser cualitativos o cuantitativos. La estimación del riesgo se basa en las consecuencias evaluadas y en su posibilidad. Adicionalmente, puede considerar el beneficio del costo, las preocupaciones de los intereses y otras variables, según sea
apropiado para la evaluación del riesgo. El riesgo estimado es una combinación de la posibilidad de un escenario de incidentes y sus consecuencias.
En el Anexo E se pueden encontrar ejemplos de distintos métodos o enfoques de estimación del riesgo en seguridad de la información.
Producto: Una lista de riesgos con niveles asignados de valor.
8.3 Evaluación del riesgo
Insumo: Una lista de riesgos con niveles asignados de valor y criterios de evaluación del riesgo.
Acción: El nivel de riesgo debe compararse contra los criterios de evaluación del riesgo y los criterios de aceptación del riesgo (se relaciona con la norma ISO/IEC 27001, apartado 4.2.1 e) 4)).
