Facultad de Ingeniería industrial

carrera de ingeniería en teleinformática

Materia:
Auditoría

Trabajo realizado por:

Alvarez Bajaña Marlon Xavier
Fonseca Mayorga Josseline Madelayne
Tomalá Asunción Andrea Elizabeth

Docente:
Ing. Mario Pinos

Curso:
9no – 1 Teleinformática
Norma ISO
27005:2011
 Definición

▸ Es el estándar internacional que se ocupa de la

gestión de riesgos de seguridad de información. La
norma suministra las directrices para la gestión
de riesgos de seguridad de la información en una
empresa, apoyando particularmente los requisitos
del sistema de gestión de seguridad de la
información definidos en ISO 27001.
“
▸ ISO / IEC 27005: 2011 ser aplicada
cualquier
sociedades
públicas,
organización pública
mercantiles, administraciones
organizaciones
agencias públicas,
no
en
o

lucrativas,
ONGs o bien la entidad
que gestione un SGSI y proteger todo lo
que afecte la seguridad de la información.
Que tengan la intención de manejar los
riesgos que podrían comprometer la
seguridad de la información de la
organización
“
▸ Gracias a esta norma se pueden seguir unas pautas
para gestionar riesgos en Tecnologías de la
Información, tales como aquellos originados por
aplicaciones en condiciones vulnerables, sistemas
operativos sin actualizaciones o tecnologías
obsoletas, por poner unos ejemplos. ISO 27005
reemplaza a la norma ISO 13335-2 Gestión de
Seguridad de la Información y la tecnología de
las comunicaciones.
Ventajas

▸ Permite identificar las necesidades de la organización

sobre los requisitos de seguridad de información.
▸ Ayuda a crear los SGSI eficaz.
▸ Aborda los riesgos de
▸ manera eficaz y oportuna, donde y cuando sea
necesario.
▸ Es parte de integridad de todas las actividades de
gestión de seguridad de la información tanto para su
▸ aplicación como para su operación continua de un SGSI.
Desventajas

▸ No recomienda metodología concreta,

dependerá de una serie de factores,
como el alcance real del Sistema de
Gestión de Seguridad de la
Información (SGSI), o el sector
comercial de la propia industria.
8

Beneficios

▸ ISO / IEC 27005 permitirán una gestión eficaz de los riesgos de

seguridad de la información dentro de su organización.

▸ El estándar ahora está totalmente alineado con el estándar

internacional para la gestión de riesgos, ISO31000. Usar los dos
juntos puede mejorar la forma en que los riesgos dentro de su
organización se manejan de manera efectiva.

▸ ISO27005 utiliza los conceptos comunes en ISO27001 e ISO27002. El

uso de este Estándar con los demás en la familia ISO / IEC 27000
proporcionará un marco eficaz para la gestión de la seguridad de
la información.
Gestión de
Riesgos en
Tecnologías de
la Información
 Gestión de Riesgos en Tecnologías
de la Información

▸ Gestión del Riesgo es una actividad recurrente que se

refiere al análisis, planificación, ejecución, control y
seguimiento de las medidas implementadas y la política
de seguridad impuesta.

La actualización de establecimiento, mantenimiento y

continua mejora de un SGSI ofrecen una clara indicación
de que una empresa está utilizando un enfoque
sistemático para la identificación, evaluación y gestión
de riesgos de seguridad de la información.
Identificación de riegos

▸ Un riesgo puede ser expresado como el efecto de la

incertidibumbre sobre los objetivos de seguridad de la
información. También, están asociados a la causa
potencial de que una amenaza pueda explotar una o mas
vulnerabilidades de un activo o grupo de activos de
información, teniendo como consecuencia algún tipo de
daño.
“
Ejemplos de
riesgos
▸ Sistemas operativos, vulnerables y sin actualizaciones
▸ Diseñar aplicaciones inapropiadas, incompletas, con bugs
y errores recurrentes
▸ Tecnologías obsoletas
▸ Mal rendimiento de la infraestructura IT
 Evaluación del riesgos

La evaluación de riesgos se ejecuta en los puntos discretos

de tiempo y hasta que el rendimiento de la próxima
evaluación proporciona una visión temporal de los riesgos
evaluados.
La evaluación de riesgos se realiza a menudo en más de una
interacción, la primera es una evaluación de alto nivel para
identificar los riesgos altos, mientras que las
interacciones posteriores detallan el análisis de los
riesgos principales y tolerables. Varios factores ayudan
a seleccionar eventos con cierto grado de riesgo:
“
▸
▸
▸
Probabilidad
Consecuencias
Ocurrencia
▸ Urgencia
▸ Maleabilidad
▸ Dependencia
▸ Proximidad
15
La evaluación de riesgos requiere
de los siguientes puntos:

▸ Un estudio de la vulnerabilidad, amenazas, probabilidad,

pérdidas y la eficacia de las medidas de seguridad. Los
directivos de la empresa utilizan los resultados de la
evaluación del riesgo para desarrollar los requisitos de
seguridad y sus especificaciones.
▸ El proceso de evaluación de amenazas y vulnerabilidades,
para estimar el efecto producido en caso de pérdidas y
establecer el grado de aceptación y aplicabilidad de las
operaciones del negocio.
▸ Identificar los activos y las facilidades que pueden ser
afectadas por las amenazas y vulnerabilidades.