“LISANDRO ALVARADO”.
DECANATO DE CIENCIAS Y TECNOLOGÍA.
COORDINACIÓN DE FOMENTO DEL DCYT
DIPLOMADO SEGURIDAD DE LA INFORMACIÓN
Enero, 2016
INTRODUCCIÓN
Se puede aplicar a Estudia los riesgos que La norma suministra las Proporciona un método para la
cualquier empresa, no es soporta un sistema de directrices para la gestión evaluación y gestión de riesgos,
específica de una información y el entorno de riesgos de seguridad de concretamente en el dominio de
Ámbito de
aplicación
Integra el proceso de Permite concientizar a los Proporciona una guía para Se basa en los requerimientos de
gestión de riesgos en el responsables de los la gestión del riesgo en un la ISO/IEC 27005 :2008,
gobierno corporativo de la sistemas de información sistema de seguridad de la proporcionando el conjunto de
organización, planificación de la existencia de riesgos información. herramientas y elementos
y estrategia, gestión, y de la necesidad de Soporta los conceptos necesarios para su
procesos de información, atajarlos a tiempo. definidos en la ISO/IEC implementación.
políticas, valores y cultura Ofrece un método 27001 y está diseñado para Metodología diseñada para
puede ser aplicada a lo sistemático para analizar ayudar a la realizar un análisis directo e
largo de la vida de una tales riesgos. implementación de un individual de situaciones de
organización, así como Ayuda a descubrir y sistema de seguridad de la riesgos descritas a través de
Características
Usa el ciclo Ciclo pdca 1. Análisis de riesgos. a. Establecimiento del Análisis o evaluación de riesgos
contexto (Cláusula 7.) Evaluación de seguridad
1. Los principios de
2. Caracterización de los (Evaluación de vulnerabilidades)
gestión del riesgo.
activos: b. Evaluación del riesgo Análisis de amenazas
2. La marco de trabajo
a. Caracterización de las (Cláusula 8.)
(framework) para la
amenazas
gestión del riesgo.
b. Caracterización de las c. Tratamiento del riesgo a. Establecimiento del contexto
3. El proceso de gestión
salvaguardas (Cláusula 9.) b. Tipología y lista de activos
del riesgo.
c. Estimación del estado principales.
del riesgo d. Aceptación del riesgo c. Análisis de activos: activos de
(Cláusula 10.) respaldo y vulnerabilidades
Fases
Proporciona un enfoque Ayuda a que las Posee una cláusula completa Usa un modelo de análisis de
común en favor de otras decisiones que deban orientada a la monitorización riesgos cualitativo y
normativas tomarse y que tengan y revisión de riesgos. cuantitativo.
Ventajas
que tratan sobre riesgos que ser validadas por la Posee la fase de aceptación de
específicos y/o sectores, dirección estén riesgos, previa su justificación.
no las fundamentadas y sean Permite un análisis
sustituye sirve de guía fácilmente defendibles completo cuantitativo
Esta norma, a diferencia El hecho de tener que No es una metodología La recomendación de los
de otras, no certifica. Su traducir de forma directa concreta, sino que nos controles no la incluye dentro del
objetivo es orientar una todas las valoraciones en sirve para no tener dudas análisis de riesgos sino en la
práctica eficaz relativa a la valores económicos hace sobre los elementos que gestión de los riesgos.
gestión de riesgos que la aplicación de esta debe incluir toda buena La estimación del impacto se
Desventajas
Una metodología de análisis de riesgos debe ser sencilla y de fácil comprensión, tanto para
su aplicación como en el mantenimiento, por lo que, debe cumplir un orden cronológico en sus
pasos, es decir, debe ser sistemática y modular. También, debe ser adaptable para usarse en
cualquier entorno.
BIBLIOGRAFÍA
http://www.welivesecurity.com/la-es/2013/05/14/magerit-metodologia-practica-para-
gestionar-riesgos/
http://www.surlatina.cl/contenidos/archivos_articulos/13-
el%20nuevo%20estandar%20iso%20para%20la%20gestion%20del%20riesgo.pdf
http://sitios.poder-judicial.go.cr/auditoria/documentos/XVI_CLAI-
PARAGUAY_2012/Ricardo_Correa-Beneficios%20de%20la%20ISO%2031000.pdf
https://www.isotools.org/2015/03/06/como-ayuda-la-norma-iso-31000-en-la-gestion-de-
riesgo/
https://seguridadinformaticaufps.wikispaces.com/MAGERIT
http://www.gestiopolis.com/riesgos-sistemas-informacion-iso-27005-vs-magerit-otras-
metodologias/