1 / 21

Norma ISO/IEC 27005

Norma ISO/IEC 27005. Presentado por: Adelmo Antonio Navarro Dávila Cód: 1150028. ISO/IEC 27005.

hedda-farrell
Télécharger la présentation

Norma ISO/IEC 27005

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Norma ISO/IEC 27005

  2. Presentado por: Adelmo Antonio Navarro Dávila Cód: 1150028

  3. ISO/IEC 27005 Esta norma hace parte de la creciente familia de estándares internacionales que son publicados por la Organización Internacional de Estandarización (ISO, por sus siglas en inglés) y la Comisión Electrotécnica Internacional (IEC) en el área del Sistema de Gestión de la Seguridad de la Información (SGSI). Su título completo es ISO/IEC 27005, Tecnología de la Información, Técnicas de Seguridad, Gestión del Riesgo de la Seguridad de la Información. Esta norma especifica un estructurado, sistemático y riguroso proceso para el análisis de riesgos para crear un plan de tratamiento de riesgos en una corporación. Sin embargo, esta norma no brinda ninguna metodología específica para la gestión del riesgo en la seguridad de la información. Corresponde a la organización definir su enfoque para la gestión del riesgo, dependiendo por ejemplo del alcance de su SGSI, del contexto de la gestión del riesgo o del sector en el que se aplica.

  4. ISO/IEC 27005 Esta norma se aplica a todos los tipos de organizaciones (Empresas comerciales, agencias del gobierno, organizaciones sin ánimo de lucro, entre otras) que pretenden gestionar los riesgos que podrían comprometer la seguridad de la información de la organización.

  5. ISO/IEC 27005: Términos y Definiciones • Impacto: Cambio adverso en el nivel de los objetivos del negocio logrados. • Riesgo en la seguridad de la información: Potencial de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando así daño a la organización. • Evitación del riesgo: Decisión de no involucrarse en una situación de riesgo o tomar acción para retirarse de dicha situación. • Comunicación del riesgo: Intercambiar o compartir la información acerca del riesgo entre la persona que toma la decisión y otras partes interesadas. • Estimación del riesgo: Proceso para asignar valores a la probabilidad y las consecuencias de un riesgo. • Identificación del riesgo: Proceso para encontrar, enumerar y caracterizar los elementos de riesgo. • Reducción del riesgo: Acciones que se toman para disminuir la probabilidad las consecuencias negativas, o ambas, asociadas con un riesgo. • Retención del riesgo: Aceptación de la pérdida o ganancia proveniente de un riesgo particular. • Transferencia del riesgo: Compartir con otra de las partes la pérdida o la ganancia de un riesgo.

  6. ISO/IEC 27005: Términos y Definiciones • La gestión del riesgo en la seguridad de la información debería contribuir a: • La identificación de los riesgos. • La evaluación de los riesgos en términos de sus consecuencias para el negocio y la probabilidad de su ocurrencia. • La comunicación y entendimiento de la probabilidad y las consecuencias de estos riesgos. • El establecimiento del orden de prioridad para el tratamiento de los riesgos. • La priorización de las acciones para reducir la ocurrencia de los riesgos. • La participación de los interesados cuando se toman las decisiones sobre gestión del riesgo y mantenerlos informados sobre el estado de la gestión del riesgo. • La eficacia del monitoreo del tratamiento del riesgo. • El monitoreo y revisión con regularidad del riesgo y los procesos de gestión de riesgos.

  7. ISO/IEC 27005: Esquema

  8. ISO/IEC 27005: Ejemplo, Empresa ABC La empresa ABC, una reconocida empresa de telefonía móvil en la ciudad de Machu Picchu, se encarga de vender dispositivos móviles y de ofrecer planes postpago, cuenta con una única sede principal en el centro de la ciudad. Últimamente ha tenido problemas en el departamento de ventas, con lo cual los directivos decidieron aplicar la norma ISO/IEC 27005 para el análisis y evaluación de los riesgos y amenazas para posteriormente aplicar herramientas correctivas y solucionar los problemas que representan pérdidas para la empresa.

  9. ISO/IEC 27005: Ejemplo, Empresa ABC

  10. ISO/IEC 27005: Ejemplo, Empresa ABC

  11. ISO/IEC 27005: Ejemplo, Empresa ABC

  12. ISO/IEC 27005: Ejemplo, Empresa ABC

  13. ISO/IEC 27005: Ejemplo, Empresa ABC

  14. ISO/IEC 27005: Ejemplo, Empresa ABC

  15. ISO/IEC 27005: Ejemplo, Empresa ABC

  16. ISO/IEC 27005: Ejemplo, Empresa ABC

  17. ISO/IEC 27005: Ejemplo, Empresa ABC

  18. ISO/IEC 27005: Ejemplo, Empresa ABC

  19. ISO/IEC 27005: Ejemplo, Empresa ABC

  20. Referencias Bibliográficas • ISO/IEC 27005, disponible en: • http://en.wikipedia.org/wiki/ISO/IEC_27005 • http://www.iso27001security.com/html/27005.html • http://es.scribd.com/doc/124454177/ISO-27005-espanol • Mapa de procesos, disponible en: • http://www.formatoedu.com/web_gades/docs/2__Mapa_de_Procesos_1.pdf • Proceso de venta, disponible en: • http://www.promonegocios.net/mercadotecnia/proceso-venta.htm • Recursos de la empresa, disponible en: http://es.slideshare.net/pepelucholuyoluyo/14-va-semana-rh-rf-rm-rt-re • Ciclo Planear, Hacer, Verificar, Actuar, disponible en: • http://www.blog-top.com/el-ciclo-phva-planear-hacer-verificar-actuar/

  21. Gracias Por Su Atención Septiembre 2014

More Related