ISO 27005 para la Gestión de Riesgos de Tecnologías de la Información

09/07/2017
Alejandro Riveros
5/5 - (2 votos)

ISO 27005 presenta información de utilidad para la Gestión de Riesgos en la Seguridad de la Información. ISO 27001 orienta sobre este tipo de riesgos.

ISO 27005 muestra un enfoque directamente centrado en Risk Management para Tecnologías de la Información. Este enfoque tiene que estar alineado con la Gestión de Riesgos Empresarial general de la compañía. Esta norma parte del mismo modelo definido en ISO 31000.

Gracias a esta norma se pueden seguir unas pautas para gestionar riesgos en Tecnologías de la Información, tales como aquellos originados por aplicaciones en condiciones vulnerables, sistemas operativos sin actualizaciones o tecnologías obsoletas, por poner unos ejemplos. ISO 27005 reemplaza a la norma ISO 13335-2 Gestión de Seguridad de la Información y la tecnología de las comunicaciones.

De acuerdo a ISO 27005 se establece un contexto en el que se indica un enfoque y criterios de evaluación, impacto y aceptación. Se definen alcances y límites. Se organiza la Gestión de Riesgos de Seguridad de la Información.

La evaluación de riesgos de Seguridad de la Información comprende la identificación, análisis y evaluación de los riesgos.

Evaluación de Riesgos de Seguridad de la Información
Identificación del Riesgo Análisis del Riesgo Evaluación de Riesgos
Introducción  Metodologías
Identificación de activos Evaluación de las consecuencias
Identificación de amenazas Evaluación de la probabilidad de los incidentes
Identificación de controles existentes Determinación del nivel de riesgo
Identificación de vulnerabilidades

La norma ISO 27005 también comprende el tratamiento de riesgos, la aceptación del riesgo, la comunicación y consulta, el monitoreo y revisión.

ISO 27005 se puede aplicar en todas las empresas, independientemente del tipo de organización que sea o de su tamaño. Esta norma facilita la gestión de los riesgos de Seguridad de la Información. Proporciona una orientación detallada para los encargados de implementar el Sistema de Gestión de la Seguridad de la Información (SGSI), profesionales del Risk Management y perfiles de seguridad.

Sobre el autor: Alejandro Riveros

Publicista colombiano con una amplia trayectoria en el mundo del marketing y las relaciones públicas. Experiencia en el sector empresarial y en importantes equipos políticos en Colombia. Máster en Marketing Político de la Universidad de Alcalá de Henares en Madrid, España.
Máster en Gestión de Riesgos
Fórmate con los mejores profesionales del sector

Infórmate aquí

Informe

Global Risk Analysis: Horizonte 2024

Descárgalo gratis

Artículos relacionados

Cómo prepararse para la gestión de crisis en una empresa

Cómo prepararse para la gestión de crisis en una empresa

Toda empresa ha de estar preparada para plantar cara a la adversidad de manera drástica. Cuando llegan los problemas, lo que realmente importa es ser capaz de llevar a cabo una gestión de crisis magistral. En este sentido, los negocios actuales están continuamente...

leer más

Síguenos en redes sociales

Sé el primero en comentar

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *