1 Riesgo Definido en su forma ms simple como una situacin que expone a un objeto a que
pueda ser afectado o daado. Extendiendo ms el concepto de riesgo, se puede determinar que
sta situacin tiene cierto grado de probabilidad de generar un incidente en el cual el objeto de
estudio en el caso de un proyecto de SGSI sera el activo de informacin pueda resultar
afectado. De esta forma, en un sentido ms amplio, se puede definir al riesgo como la combinacin
de la probabilidad de que ocurra un incidente con las consecuencias que generara el mismo en el
caso de que se materialice. (CNB - INDECOPI, 2008) (ISO 27799, 2008) (TALABIS & Martin, 2012)
(ISACA, 2012) (PELTIER, 2005) (ISO 31000, 2013)
TALABIS, M., & Martin, J. (2012). Information Security Risk Assessment Toolkit: Practical
Assessments through Data Collection and Data (Primera ed.). Massachusetts: Elsevier Science.
ISACA. (2012). CISM Certified Information Security Manager Review Manual 2013. ISACA.
Norma ISO/IEC 27001:2013 Estndar internacional desarrollado como una gua para el anlisis,
implementacin, control y mantenimiento de un Sistema de Gestin de Seguridad de la
Informacin, a travs del establecimiento de un grupo de requisitos a cumplir con este motivo.
Dado su enfoque orientado a los procesos de negocio, es una norma general aplicable a una gran
gama de empresas, adaptndose a los diferentes giros de negocio y activos de informacin que
stas puedan tener. La versin correspondiente al ao 2013 presenta una nueva estructura segn
el estndar definido por ISO/IEC para todas las normas referentes a sistemas de gestin, facilitando
la integracin y trabajo conjunto entre los diferentes estndares de gestin publicados por dicha
entidad.
Este estndar es de uso crtico en los proyectos de anlisis y diseo de SGSIs, dado que establece
concretamente los pasos implicados en este proceso. A diferencia de su versin anterior ISO/IEC
27001:2005 la norma actual no nombra el ciclo de Deming (Plan, Do, Check, Act) como
metodologa para definir el ciclo de vida y mejora continua del sistema de seguridad a
implementar, dejando abierta la posibilidad de la entidad a elegir un modelo de mejora continua
distinto y que se adapte mejor a sus necesidades. Sin embargo se utilizar el ciclo de Demming
para asegurar el cumplimiento de lo requerido en la Norma Tcnica Peruana NTP ISO/IEC
27001:2008 que utiliza la estructura de la norma ISO/IEC 27001:2005. Se requiere el uso de la
presente herramienta dado que la base para el proyecto de SGSI requiere que se establezca la
Poltica de Seguridad de la Informacin adems de servir como gua en los procesos que
establezcan finalmente los siguientes tems: - El alcance que tendr el SGSI sobre los procesos de la
empresa. - La poltica general de seguridad de la informacin - La identificacin y valoracin de los
activos de la informacin. - Los riesgos a los cuales los activos identificados se encuentran
expuestos. - La seleccin de los controles para mitigar los riesgos que se han detectado. Es
pertinente indicar que el alcance que se ha definido para el presente estudio slo abarca la fase de
Planificacin del ciclo de Deming, dado que no se pretende realizar la implantacin del SGSI que se
d como resultado del mismo. (ALEXANDER, 2007) (ISO 27001, 2013) (ORMELLA, 2013)
Lima.
FARN, K.-j., Hwang, J.-M., & Lin, S.-K. (2007). Study on Applying ISO/DIS 27799
to Healthcare Industry's ISMS. WSEAS Transactions on Biology and
GIUDICE, O., Fauquex, J., Scotti, S., & Yelen, M. (3 de Agosto de 2011).
Ltda.
http://blog.pucp.edu.pe/item/137301/promulgan-ley-de-proteccion-dedatos-personales-ley-n-
29733
http://ico.org.uk/for_organisations/data_protection/~/media/documents/libr
ary/Data_Protection/Practical_application/the_guide_to_data_protection.a
shx
2013. ISACA.
91
guidelines.
http://www.criptored.upm.es/guiateoria/gt_m327a.htm
Publishing ApS.
Requisitos. Lima.