2. Norma ISO
27005
• La norma ISO/ IEC 27005 se define el
proceso de gestión del riesgo para la seguridad
de la información basado en el ciclo PDCA
(Plan- Do- Check- Act):
3. Plan (Planear)
• En esta etapa se desarrollan las fases
planteadas como son el establecimiento del
contexto, valoración del riesgo, tratamiento del
riesgo, aceptación del riesgo, comunicación
del riesgo y por último monitorización y
revisión del riesgo.
4. Do (Hacer)
• En esta etapa se plantea la implementación del plan para el tratamiento de los riesgos
según la norma ISO 27005 las etapas son Descripción general de cómo se va a tratar el
riesgo, reducción del riesgo, retención de riesgo, evitación del riesgo y transferencia del
riesgo.
5. Check (Verificar)
• En esta etapa se lleva a cabo el monitoreo continuo y
revisión de los riesgos previamente identificados en las
anteriores etapas, de acuerdo con la norma ISO 27005 la
cláusula que hace referencia al monitoreo y revisión de los
factores de riesgo en la seguridad de la información.
6. Act (Actuar)
• En esta etapa del ciclo PDCA se lleva a cabo la
fase de monitoreo, revisión y mejora de la gestión
del riesgo.
7. ISO 27005
La norma ISO 27005
no proporciona una
metodología concreta
para el análisis de
riesgos, solamente
describe a través de
cláusulas el proceso
de análisis que
recomiendan
incluyendo las fases
que lo conforman:
Establecimiento del contexto (Cláusula 7).
Valoración del riesgo (Cláusula 8).
Tratamiento del riesgo (Cláusula 9).
Aceptación del riesgo (Cláusula 10).
Comunicación del riesgo (Cláusula 11).
Monitorización y revisión del riesgo (Cláusula 12).
9. Monitoreo del riesgo
• El monitoreo del riesgo a nivel de seguridad de
la información consiste en valorar el riesgo y el
contexto en el que este se desenvuelve. Se evalúa
si el proceso es el apropiado y si existen nuevos
riesgos o cambios en los existentes, que puedan
ocasionar nuevas amenazas, vulnerabilidades o
situaciones que se consideren inaceptables. Se
realiza una grabación del proceso, para obtener la
trazabilidad que permita mejorarlo si se requiere.
10. Monitoreo y
Revisión del
riesgo de la
seguridad de
la
información
• Cualquier activo nuevo que se
incorpore al dominio de la gestión
de riesgos.
• Valores de los activos que deben
ajustarse para reflejar los
cambiantes requisitos comerciales.
• Nuevos riesgos, externos o
internos, que aún no han sido
evaluados.
• Incidentes relacionados con la
seguridad de la información.
Los riesgos son
dinámicos y pueden
cambiar
rápidamente. Como
resultado, deben
monitorearse
activamente para
detectar cambios
fácilmente y
mantener una
imagen completa de
los riesgos. Además,
las organizaciones
deben vigilar de
cerca lo siguiente: