NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005 2009-08-19
TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD. GESTIÓN RIESGO EN LA SEGURIDAD DE INFORMACIÓN
E:
DEL LA
INFORMATION TECHNOLOGY. SECURITY TECHNIQUES. INFORMATION SECURITY RISK MANAGEMENT
CORRESPONDENCIA:
esta norma es una adopción idéntica (IDT) por traducción, respecto a su documento de referencia, la norma ISO/IEC 27005:2008.
DESCRIPTORES:
tecnología de la información; seguridad; gestión del riesgo en la información.
I.C.S.: 35.040 Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC) Apartado 14237 Bogotá, D.C. - Tel. (571) 6078888 - Fax (571) 2221435
Prohibida su reproducción
Editada 2009-09-01
PRÓLOGO
El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo nacional de normalización, según el Decreto 2269 de 1993. ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en los mercados interno y externo. La representación de todos los sectores involucrados en el proceso de Normalización Técnica está garantizada por los Comités Técnicos y el período de Consulta Pública, este último caracterizado por la participación del público en general. La NTC-ISO/IEC 27005 fue ratificada por el Consejo Directivo de 2009-08-19. Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en todo momento a las necesidades y exigencias actuales. A continuación se relacionan las empresas que colaboraron en el estudio de esta norma a través de su participación en el Comité Técnico 181 Técnicas de seguridad de la información. ALIANZA SINERTIC AVIANCA BANCO AGRARIO BANCO DE BOGOTA BANCO DE LA REPÚBLICA CHOUCAIR TESTING S.A. COLSUBSIDIO DAKYA LTDA. ECOPETROL EMPRESA DE TELÉFONOS DE BOGOTA -E.T.B.FLUIDSIGNAL GROUP
GEOCONSULT ICONTEC IQ INFORMATION QUALITY JTCCIA LTDA. NEWNET S.A. PIRÁMIDE ADMINISTRACIÓN DE INFORMACIÓN LTDA. PONTIFICIA UNIVERSIDAD JAVERIANA SUN GEMINI TELEFÓNICA TELECOM TELMEX COLOMBIA S.A.
Además de las anteriores, en Consulta Pública el Proyecto se puso a consideración de las siguientes empresas: A TODA HORA S.A. ABN AMRO BANK AGENDA DE CONECTIVIDAD AGP COLOMBIA ASOCIACIÓN BANCARIA DE COLOMBIA ASOCIACIÓN GREMIAL DE INSTITUCIONES FINANCIERAS CREDIBANCO ASOCIACIÓN LATINOAMERICANA DE PROFESIONALES DE SEGURIDAD INFORMÁTICA COLOMBIA
ATLAS TRANSVALORES AVVILLAS BANCAFÉ BANCO COLMENA BCSC BANCO COLPATRÍA RED MULTIBANCA BANCO DAVIVIENDA BANCO DE CRÉDITO BANCO DE OCCIDENTE BANCO GBN SUDAMERIS BANCO POPULAR BUREAU VERITAS CERTIFICATION
CARGA S.A. CHAID NEME HERMANOS CIBERCALL S.A. CITIBANK COLEGIO LA PRESENTACIÓN - DUITAMA COMFENALCO TOLIMA COMPAÑÍA AGRÍCOLA DE SEGUROS DE VIDA CONTRALORÍA DE BOGOTA CONTRALORÍA DE CUNDINAMARCA COOPERATIVA SANTANDEREANA DE TRANSPORTADORES LTDA. CORPORACIÓN FINANCIERA DEL VALLE CREANGEL LTDA. D.S. SISTEMAS LTDA. DATIC SA DELOITTE DEPARTAMENTO NACIONAL DE PLANEACIÓN DESCA DITRANSA ETEK INTERNACIONAL EXPRESS DEL FUTURO S.A. FEDESOFT FUNDACIÓN UNIVERSITARIA TECNOLÓGICO COMFENALCO GIRSAT COLOMBIA LTDA. HONOR SERVICIOS DE SEGURIDAD IGI LTDA. INTERBOLSA IPX LTDA. IQ OUTSOURCING S.A. IT FORENSIC LTDA. KPMG LTDA. LUIS FERNANDO MEDINA LEGUÍZAMO METROALARMAS LTDA.
MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO NITERIX P Y Z SERVICIOS LTDA. PARQUE TECNOLÓGICO DEL SOFTWARE -PARQUESOFTPARTNERS SYSTEM TECHNOLOGICAL OUTSOURCING PROINDUL LTDA. PROYECTOS INTEGRALES LTDA. QUALITY SYSTEMS INTERNATIONAL & CIA LTDA. REDCOM LTDA. REDEBAN MULTICOLOR SECRETARIA GENERAL DE LA ALCALDÍA MAYOR SENA SERVICIOS MÉDICOS OLIMPOS SINGLAR CONSULTORES S.A. SOCIEDAD COLOMBIANA DE ARCHIVISTAS SUN GEMINI S.A. SYNAPSIS TERRA FERME S.A. UNE - E.P.M. TELECOMUNICACIONES UNIVERSIDAD AUTÓNOMA DE OCCIDENTE UNIVERSIDAD DE CUNDINAMARCA UNIVERSIDAD DE LOS ANDES UNIVERSIDAD EAN UNIVERSIDAD INDUSTRIAL DE SANTANDER UNIVERSIDAD JAVERIANA UNIVERSIDAD NACIONAL DE COLOMBIA WORLDCAD LTDA.
ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados normas internacionales, regionales y nacionales y otros documentos relacionados. DIRECCIÓN DE NORMALIZACIÓN
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
CONTENIDO
Página
INTRODUCCIÓN
1.
OBJETO Y CAMPO DE APLICACIÓN ...................................................................... 1
2.
REFERENCIAS NORMATIVAS ................................................................................. 1
3.
TÉRMINOS Y DEFINICIONES ................................................................................... 1
4.
ESTRUCTURA DE ESTA NORMA ............................................................................ 3
5.
INFORMACIÓN GENERAL ....................................................................................... 4
6.
VISIÓN GENERAL DEL PROCESO DE GESTIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN .................................................................. 5
7.
ESTABLECIMIENTO DEL CONTEXTO ..................................................................... 7
7.1
CONSIDERACIONES GENERALES ......................................................................... 7
7.2
CRITERIOS BÁSICOS ............................................................................................... 7
7.3
EL ALCANCE Y LOS LÍMITES .................................................................................. 9
7.4
ORGANIZACIÓN PARA LA GESTIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN ............................................................................................ 10
8.
VALORACIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN ........... 11
8.1
DESCRIPCIÓN GENERAL DE LA VALORACIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN .......................................................... 11
8.2
ANÁLISIS DEL RIESGO .......................................................................................... 12
8.3
EVALUACIÓN DEL RIESGO ................................................................................... 20
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
Página
9.
TRATAMIENTO DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN ......... 21
9.1
DESCRIPCIÓN GENERAL DEL TRATAMIENTO DEL RIESGO ............................. 21
9.2
REDUCCIÓN DEL RIESGO ..................................................................................... 24
9.3
RETENCIÓN DEL RIESGO ..................................................................................... 25
9.4
EVITACIÓN DEL RIESGO ....................................................................................... 25
9.5
TRANSFERENCIA DEL RIESGO ............................................................................ 25
10.
ACEPTACIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN ........... 26
11.
COMUNICACIÓN DE LOS RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN ............................................................................................ 26
12.
MONITOREO Y REVISIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN ............................................................................................ 28
12.1
MONITOREO Y REVISIÓN DE LOS FACTORES DE RIESGO ............................... 28
12.2
MONITOREO, REVISIÓN Y MEJORA DE LA GESTIÓN DEL RIESGO .................. 29
DOCUMENTO DE REFERENCIA ....................................................................................... 67
BIBLIOGRAFÍA ................................................................................................................... 66
ANEXOS ANEXO A (Informativo) DEFINICIÓN DEL ALCANCE Y LOS LÍMITES DEL PROCESO DE GESTIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN ............................................... 31 ANEXO B (Informativo) IDENTIFICACIÓN Y VALORACIÓN DE LOS ACTIVOS Y VALORACIÓN DEL IMPACTO ........................................................................................ 37 ANEXO C (Informativo) EJEMPLOS DE AMENAZAS COMUNES ........................................................................... 49
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
Página
ANEXO D (Informativo) VULNERABILIDADES Y MÉTODOS PARA LA VALORACIÓN DE LA VULNERABILIDAD ................................................................................................. 51 ANEXO E (Informativo) ENFOQUES PARA LA VALORACIÓN DE RIESGOS EN LA SEGURIDAD DE LA INFORMACIÓN ....................................................................................................... 56 ANEXO F (Informativo) RESTRICCIONES PARA LA REDUCCIÓN DE RIESGOS ................................................. 63
FIGURAS Figura 1. Proceso de gestión del riesgo en la seguridad de la información ................... 5 Figura 2. Actividad para el tratamiento del riesgo........................................................... 22
TABLA Tabla 1. Alineamiento del SGSI y el proceso de gestión del riesgo en la seguridad de la información ...................................................................................... 6
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
INTRODUCCIÓN
Esta norma proporciona directrices para la gestión del riesgo en la seguridad de la información en una organización, dando soporte particular a los requisitos de un sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma NTC-ISO/IEC 27001. Sin embargo, esta norma no brinda ninguna metodología específica para la gestión del riesgo en la seguridad de la información. Corresponde a la organización definir su enfoque para la gestión del riesgo, dependiendo por ejemplo del alcance de su SGSI, del contexto de la gestión del riesgo o del sector industrial. Se puede utilizar una variedad de metodologías existentes bajo la estructura descrita en esta norma para implementar los requisitos de un sistema de gestión de seguridad de la información. Esta norma es pertinente para los directores y el personal involucrado en la gestión del riesgo en la seguridad de la información dentro de una organización y, cuando corresponda, para las partes externas que dan soporte a dichas actividades.
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD. GESTIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN
1.
OBJETO Y CAMPO DE APLICACIÓN
Esta norma suministra directrices para la gestión del riesgo en la seguridad de la información. Esta norma brinda soporte a los conceptos generales que se especifican en la norma NTC-ISO/IEC 27001 y está diseñada para facilitar la implementación satisfactoria de la seguridad de la información con base en el enfoque de gestión del riesgo. El conocimiento de los conceptos, modelos, procesos y terminologías que se describen en la norma NTC-ISO/IEC 27001 y en NTC-ISO/IEC 27002 es importante para la total comprensión de esta norma. Esta norma se aplica a todos los tipos de organizaciones (por ejemplo empresas comerciales, agencias del gobierno, organizaciones sin ánimo de lucro) que pretenden gestionar los riesgos que podrían comprometer la seguridad de la información de la organización.
2.
REFERENCIAS NORMATIVAS
Los siguientes documentos normativos referenciados son indispensables para la aplicación de este documento normativo. Para referencias fechadas, se aplica únicamente la edición citada. Para referencias no fechadas, se aplica la última edición del documento normativo referenciado (incluida cualquier corrección). NTC-ISO/IEC 27001:2006, Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la información (SGSI). Requisitos. NTC-ISO/IEC 27002:2007, Tecnología de la información. Técnicas de seguridad. Código de practica para la gestión de la seguridad de la información.
3.
TÉRMINOS Y DEFINICIONES
Para los propósitos de este documento, se aplican los términos y definiciones de las normas NTC-ISO/IEC 27001 y NTC-ISO/IEC 27002 y las siguientes: 3.1 Impacto. Cambio adverso en el nivel de los objetivos del negocio logrados. 2
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
3.2 Riesgo en la seguridad de la información. Potencial de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando así daño a la organización. NOTA Se mide en términos de una combinación de la probabilidad de que suceda un evento y sus consecuencias.
3.3 Evitación del riesgo. Decisión de no involucrarse en una situación de riesgo o tomar acción para retirarse de dicha situación. [ISO/IEC Guía 73:2002] 3.4 Comunicación del riesgo. Intercambiar o compartir la información acerca del riesgo entre la persona que toma la decisión y otras partes interesadas. [ISO/IEC Guía 73:2002] 3.5 Estimación del riesgo. Proceso para asignar valores a la probabilidad y las consecuencias de un riesgo. [ISO/IEC Guía 73:2002] NOTA 1 En el contexto de esta norma, el término "actividad" se utiliza en lugar del término "proceso" para la estimación del riesgo.
3.6 Identificación del riesgo. Proceso para encontrar, enumerar y caracterizar los elementos de riesgo. [ISO/IEC Guía 73:2002] NOTA En el contexto de esta norma, el término "actividad" se utiliza en lugar del término "proceso" para la identificación del riesgo.
3.7 Reducción del riesgo. Acciones que se toman para disminuir la probabilidad las consecuencias negativas, o ambas, asociadas con un riesgo. [ISO/IEC Guía 73:2002] 3.8 Retención del riesgo. Aceptación de la pérdida o ganancia proveniente de un riesgo particular. [ISO/IEC Guía 73:2002] NOTA En el contexto de los riesgos en la seguridad de la información, únicamente se consideran las consecuencias negativas (pérdidas) para la retención del riesgo.
3.9 Transferencia del riesgo. Compartir con otra de las partes la pérdida o la ganancia de un riesgo. [ISO/IEC Guía 73:2002] NOTA En el contexto de los riesgos en la seguridad de la información, únicamente se consideran las consecuencias negativas (pérdidas) para la transferencia del riesgo.
3
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
BIBLIOGRAFÍA
[1]
ISO/IEC Guide 73:2002, Risk Management. Vocabulary. Guidelines for Use in Standards.
[2]
ISO/IEC 16085:2006, Systems and Software Engineering. Life Cycle Process. Risk Management.
[3]
AS/NZS 4360:2004, Risk Management.
[4]
NIST Special Publication 800-12, An Introduction to Computer Security: The NIST Handbook.
[5]
NIST Special Publication 800-30, Risk management Guide for Information Technology Systems, recommendations of the National Institute of Standards and Technology.
…
4
NORMA TÉCNICA COLOMBIANA
NTC-ISO/IEC 27005
RESUMEN
IMPORTANTE
Este resumen no contiene toda la información necesaria para la aplicación del documento normativo original al que se refiere la portada. ICONTEC lo creo para orientar a su cliente sobre el alcance de cada uno de sus documentos y facilitar su consulta. Este resumen es de libre distribución y su uso es de total responsabilidad del usuario final. El documento completo al que se refiere este resumen puede consultarse en los centros de información de ICONTEC en Bogotá, Medellín, Barranquilla, Cali o Bucaramanga, también puede adquirirse a través de nuestra página web o en nuestra red de oficinas (véase www.icontec.org). El logo de ICONTEC y el documento normativo al que hace referencia este resumen están cubiertos por las leyes de derechos reservados de autor. Información de servicios aplicables al documento aquí referenciado la encuentra en: www.icontec.org o por medio del contacto
[email protected].
ICONTEC INTERNACIONAL
5
