NORMA TÉCNICA NTC-ISO/IEC
COLOMBIANA
27005
2009-08-19
TECNOLOGÍA DE LA INFORMACIÓN.
TÉCNICAS DE SEGURIDAD. GESTIÓN DEL
RIESGO
EN
LA
SEGURIDAD
DE
LA
INFORMACIÓN
E: INFORMATION TECHNOLOGY. SECURITY TECHNIQUES. INFORMATION SECURITY RISK MANAGEMENT
CORRESPONDENCIA: esta norma es una adopción idéntica (IDT) por traducción, respecto a su documento de referencia, la norma ISO/IEC 27005:2008.
DESCRIPTORES: tecnología de la información; seguridad; gestión del riesgo en la información.
I.C.S.: 35.040
Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC) Apartado 14237 Bogotá, D.C. - Tel. (571) 6078888 - Fax (571) 2221435
PRÓLOGO
El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo nacional de normalización, según el Decreto 2269 de 1993.
ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental
para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en los mercados interno y externo.
La representación de todos los sectores involucrados en el proceso de Normalización Técnica está garantizada por los Comités Técnicos y el período de Consulta Pública, este último caracterizado por la participación del público en general.
La NTC-ISO/IEC 27005 fue ratificada por el Consejo Directivo de 2009-08-19.
Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en todo momento a las necesidades y exigencias actuales.
A continuación se relacionan las empresas que colaboraron en el estudio de esta norma a través de su participación en el Comité Técnico 181 Técnicas de seguridad de la información. ALIANZA SINERTIC
AVIANCA
BANCO AGRARIO BANCO DE BOGOTA BANCO DE LA REPÚBLICA CHOUCAIR TESTING S.A. COLSUBSIDIO
DAKYA LTDA. ECOPETROL
EMPRESA DE TELÉFONOS DE BOGOTA -E.T.B.- FLUIDSIGNAL GROUP GEOCONSULT ICONTEC IQ INFORMATION QUALITY JTCCIA LTDA. NEWNET S.A. PIRÁMIDE ADMINISTRACIÓN DE INFORMACIÓN LTDA.
PONTIFICIA UNIVERSIDAD JAVERIANA SUN GEMINI
TELEFÓNICA TELECOM TELMEX COLOMBIA S.A.
Además de las anteriores, en Consulta Pública el Proyecto se puso a consideración de las siguientes empresas:
A TODA HORA S.A. ABN AMRO BANK
AGENDA DE CONECTIVIDAD AGP COLOMBIA
ASOCIACIÓN BANCARIA DE COLOMBIA ASOCIACIÓN GREMIAL DE INSTITUCIONES FINANCIERAS CREDIBANCO ASOCIACIÓN LATINOAMERICANA DE PROFESIONALES DE SEGURIDAD INFORMÁTICA COLOMBIA ATLAS TRANSVALORES AVVILLAS BANCAFÉ BANCO COLMENA BCSC
BANCO COLPATRÍA RED MULTIBANCA BANCO DAVIVIENDA
BANCO DE CRÉDITO BANCO DE OCCIDENTE BANCO GBN SUDAMERIS BANCO POPULAR
CARGA S.A.
CHAID NEME HERMANOS CIBERCALL S.A.
CITIBANK
COLEGIO LA PRESENTACIÓN - DUITAMA COMFENALCO TOLIMA
COMPAÑÍA AGRÍCOLA DE SEGUROS DE VIDA
CONTRALORÍA DE BOGOTA
CONTRALORÍA DE CUNDINAMARCA COOPERATIVA SANTANDEREANA DE TRANSPORTADORES LTDA.
CORPORACIÓN FINANCIERA DEL VALLE CREANGEL LTDA. D.S. SISTEMAS LTDA. DATIC SA DELOITTE DEPARTAMENTO NACIONAL DE PLANEACIÓN DESCA DITRANSA ETEK INTERNACIONAL EXPRESS DEL FUTURO S.A. FEDESOFT
FUNDACIÓN UNIVERSITARIA TECNOLÓGICO COMFENALCO GIRSAT COLOMBIA LTDA.
HONOR SERVICIOS DE SEGURIDAD IGI LTDA. INTERBOLSA IPX LTDA. IQ OUTSOURCING S.A. IT FORENSIC LTDA. KPMG LTDA.
LUIS FERNANDO MEDINA LEGUÍZAMO METROALARMAS LTDA.
MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO
NITERIX
P Y Z SERVICIOS LTDA. PARQUE TECNOLÓGICO DEL SOFTWARE -PARQUESOFT-
PARTNERS SYSTEM TECHNOLOGICAL OUTSOURCING
PROINDUL LTDA.
PROYECTOS INTEGRALES LTDA. QUALITY SYSTEMS INTERNATIONAL & CIA LTDA. REDCOM LTDA. REDEBAN MULTICOLOR SECRETARIA GENERAL DE LA ALCALDÍA MAYOR SENA
SERVICIOS MÉDICOS OLIMPOS SINGLAR CONSULTORES S.A. SOCIEDAD COLOMBIANA DE ARCHIVISTAS
SUN GEMINI S.A. SYNAPSIS
TERRA FERME S.A.
UNE - E.P.M. TELECOMUNICACIONES UNIVERSIDAD AUTÓNOMA DE
OCCIDENTE
UNIVERSIDAD DE CUNDINAMARCA UNIVERSIDAD DE LOS ANDES UNIVERSIDAD EAN
UNIVERSIDAD INDUSTRIAL DE SANTANDER
UNIVERSIDAD JAVERIANA
UNIVERSIDAD NACIONAL DE COLOMBIA WORLDCAD LTDA.
ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados
normas internacionales, regionales y nacionales y otros documentos relacionados.
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
CONTENIDO
Página
INTRODUCCIÓN
1. OBJETO Y CAMPO DE APLICACIÓN ... 1
2. REFERENCIAS NORMATIVAS ... 1
3. TÉRMINOS Y DEFINICIONES ... 1
4. ESTRUCTURA DE ESTA NORMA ... 3
5. INFORMACIÓN GENERAL ... 4
6. VISIÓN GENERAL DEL PROCESO DE GESTIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN ... 5
7. ESTABLECIMIENTO DEL CONTEXTO ... 7
7.1 CONSIDERACIONES GENERALES ... 7
7.2 CRITERIOS BÁSICOS ... 7
7.3 EL ALCANCE Y LOS LÍMITES ... 9
7.4 ORGANIZACIÓN PARA LA GESTIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN ... 10
8. VALORACIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN ... 11
8.1 DESCRIPCIÓN GENERAL DE LA VALORACIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN ... 11
8.2 ANÁLISIS DEL RIESGO ... 12
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
Página
9. TRATAMIENTO DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN ... 21
9.1 DESCRIPCIÓN GENERAL DEL TRATAMIENTO DEL RIESGO ... 21
9.2 REDUCCIÓN DEL RIESGO ... 24
9.3 RETENCIÓN DEL RIESGO ... 25
9.4 EVITACIÓN DEL RIESGO ... 25
9.5 TRANSFERENCIA DEL RIESGO ... 25
10. ACEPTACIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN ... 26
11. COMUNICACIÓN DE LOS RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN ... 26
12. MONITOREO Y REVISIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN ... 28
12.1 MONITOREO Y REVISIÓN DE LOS FACTORES DE RIESGO ... 28
12.2 MONITOREO, REVISIÓN Y MEJORA DE LA GESTIÓN DEL RIESGO ... 29
DOCUMENTO DE REFERENCIA ... 67
BIBLIOGRAFÍA ... 66
ANEXOS ANEXO A (Informativo) DEFINICIÓN DEL ALCANCE Y LOS LÍMITES DEL PROCESO DE GESTIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN ... 31
ANEXO B (Informativo) IDENTIFICACIÓN Y VALORACIÓN DE LOS ACTIVOS Y VALORACIÓN DEL IMPACTO ... 37
ANEXO C (Informativo) EJEMPLOS DE AMENAZAS COMUNES ... 49
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
Página
ANEXO D (Informativo)
VULNERABILIDADES Y MÉTODOS PARA LA VALORACIÓN
DE LA VULNERABILIDAD ... 51 ANEXO E (Informativo)
ENFOQUES PARA LA VALORACIÓN DE RIESGOS EN LA SEGURIDAD
DE LA INFORMACIÓN ... 56 ANEXO F (Informativo)
RESTRICCIONES PARA LA REDUCCIÓN DE RIESGOS ... 63
FIGURAS
Figura 1. Proceso de gestión del riesgo en la seguridad de la información ... 5 Figura 2. Actividad para el tratamiento del riesgo ... 22
TABLA
Tabla 1. Alineamiento del SGSI y el proceso de gestión del riesgo
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
INTRODUCCIÓN
Esta norma proporciona directrices para la gestión del riesgo en la seguridad de la información en una organización, dando soporte particular a los requisitos de un sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma NTC-ISO/IEC 27001. Sin embargo, esta norma no brinda ninguna metodología específica para la gestión del riesgo en la seguridad de la información. Corresponde a la organización definir su enfoque para la gestión del riesgo, dependiendo por ejemplo del alcance de su SGSI, del contexto de la gestión del riesgo o del sector industrial. Se puede utilizar una variedad de metodologías existentes bajo la estructura descrita en esta norma para implementar los requisitos de un sistema de gestión de seguridad de la información.
Esta norma es pertinente para los directores y el personal involucrado en la gestión del riesgo en la seguridad de la información dentro de una organización y, cuando corresponda, para las partes externas que dan soporte a dichas actividades.
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
2
TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD.
GESTIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN
1. OBJETO Y CAMPO DE APLICACIÓN
Esta norma suministra directrices para la gestión del riesgo en la seguridad de la información. Esta norma brinda soporte a los conceptos generales que se especifican en la norma NTC-ISO/IEC 27001 y está diseñada para facilitar la implementación satisfactoria de la seguridad de la información con base en el enfoque de gestión del riesgo.
El conocimiento de los conceptos, modelos, procesos y terminologías que se describen en la norma NTC-ISO/IEC 27001 y en NTC-ISO/IEC 27002 es importante para la total comprensión de esta norma.
Esta norma se aplica a todos los tipos de organizaciones (por ejemplo empresas comerciales, agencias del gobierno, organizaciones sin ánimo de lucro) que pretenden gestionar los riesgos que podrían comprometer la seguridad de la información de la organización.
2. REFERENCIAS NORMATIVAS
Los siguientes documentos normativos referenciados son indispensables para la aplicación de este documento normativo. Para referencias fechadas, se aplica únicamente la edición citada. Para referencias no fechadas, se aplica la última edición del documento normativo referenciado (incluida cualquier corrección).
NTC-ISO/IEC 27001:2006, Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la información (SGSI). Requisitos.
NTC-ISO/IEC 27002:2007, Tecnología de la información. Técnicas de seguridad. Código de practica para la gestión de la seguridad de la información.
3. TÉRMINOS Y DEFINICIONES
Para los propósitos de este documento, se aplican los términos y definiciones de las normas NTC-ISO/IEC 27001 y NTC-ISO/IEC 27002 y las siguientes:
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
3
3.2 Riesgo en la seguridad de la información. Potencial de que una amenaza determinada
explote las vulnerabilidades de los activos o grupos de activos causando así daño a la organización.
NOTA Se mide en términos de una combinación de la probabilidad de que suceda un evento y sus consecuencias.
3.3 Evitación del riesgo. Decisión de no involucrarse en una situación de riesgo o tomar
acción para retirarse de dicha situación. [ISO/IEC Guía 73:2002]
3.4 Comunicación del riesgo. Intercambiar o compartir la información acerca del riesgo entre
la persona que toma la decisión y otras partes interesadas. [ISO/IEC Guía 73:2002]
3.5 Estimación del riesgo. Proceso para asignar valores a la probabilidad y las consecuencias
de un riesgo.
[ISO/IEC Guía 73:2002]
NOTA 1 En el contexto de esta norma, el término "actividad" se utiliza en lugar del término "proceso" para la estimación del riesgo.
3.6 Identificación del riesgo. Proceso para encontrar, enumerar y caracterizar los elementos
de riesgo.
[ISO/IEC Guía 73:2002]
NOTA En el contexto de esta norma, el término "actividad" se utiliza en lugar del término "proceso" para la identificación del riesgo.
3.7 Reducción del riesgo. Acciones que se toman para disminuir la probabilidad las
consecuencias negativas, o ambas, asociadas con un riesgo. [ISO/IEC Guía 73:2002]
3.8 Retención del riesgo. Aceptación de la pérdida o ganancia proveniente de un riesgo
particular.
[ISO/IEC Guía 73:2002]
NOTA En el contexto de los riesgos en la seguridad de la información, únicamente se consideran las consecuencias negativas (pérdidas) para la retención del riesgo.
3.9 Transferencia del riesgo. Compartir con otra de las partes la pérdida o la ganancia de un
riesgo.
[ISO/IEC Guía 73:2002]
NOTA En el contexto de los riesgos en la seguridad de la información, únicamente se consideran las consecuencias negativas (pérdidas) para la transferencia del riesgo.
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
4
BIBLIOGRAFÍA
[1] ISO/IEC Guide 73:2002, Risk Management. Vocabulary. Guidelines for Use in Standards.
[2] ISO/IEC 16085:2006, Systems and Software Engineering. Life Cycle Process. Risk Management.
[3] AS/NZS 4360:2004, Risk Management.
[4] NIST Special Publication 800-12, An Introduction to Computer Security: The NIST Handbook.
[5] NIST Special Publication 800-30, Risk management Guide for Information Technology Systems, recommendations of the National Institute of Standards and Technology.
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
5
