Analis Iso

UNIVERSIDAD MAYOR DE SAN ANDRÉS
POSTGRADO EN INFORMÁTICA
MAESTRÍA EN INFORMÁTICA FORENSE, SEGURIDAD DE LA INFORMACIÓN Y
AUDITORIA INFORMÁTICA
MEJORES PRACTICAS DE ANÁLISIS

Y GESTIÓN DE RIESGOS
Maestrante: Pascual Yana Chejo
La Paz - Bolivia
INTRODUCCIÓN.-
La información en todas sus formas (automatizada o no, formalizada o no, pública

o reservada), es uno de los principales activos de cualquier tipo de organización,
necesarios para su normal funcionamiento.
Se debe tomar un conjunto de medidas preventivas y reactivas en la organización

y en los sistemas tecnológicos que permiten resguardar y proteger
la información buscando mantener la confidencialidad, la disponibilidad e
integridad de datos y de la misma.
Aun con esas medidas, toda información está expuesta a amenazas que pueden
explotar la vulnerabilidad de ese activo, pudiendo causar daños relacionados con
su uso, propiedad, operación, distribución.
Y el riesgo persiste, entonces asimismo se debe desarrollar una serie de medidas

que permitan conocer y dimensionar todos los elementos relacionados con los
riesgos para poder mitigarlas, minimizarlas, en el mejor de los casos anularlos.
Muchas normas han establecido parámetros, métodos y fases de trabajo para

tratar la gestión de riesgo con el objetivo de definir un modelo válido que permita a
una organización prepararse y convivir con el riesgo.
A continuación realizamos una enumeración de las normas que regulan las

buenas prácticas a llevarse a cabo en una organización:
DESARROLLO
ISO/IEC 27005.
ISO 27005 es el estándar internacional que se ocupa de la gestión de riesgos de
seguridad de información. La norma suministra las directrices para la gestión de
riesgos de seguridad de la información en una empresa, apoyando particularmente
los requisitos del sistema de gestión de seguridad de la información definidos
en ISO 27001.
ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de

gestionar los riesgos que puedan complicar la seguridad de la información de su
organización. No recomienda una metodología concreta, dependerá de una serie
de factores, como el alcance real del Sistema de Gestión de Seguridad de la
Información (SGSI), o el sector comercial de la propia industria.
Los usuarios elijen el método que mejor se adapte para, por ejemplo, una
evaluación de riesgos de alto nivel seguido de un análisis de riesgos en
profundidad sobre las zonas de alto riesgo.
La norma incorpora algunos elementos iterativos, por ejemplo si los resultados de

la evaluación no son satisfactorios.
ISO 22301:2012
La norma ISO 22301:2012 especifica los requisitos necesarios para planificar,
establecer, implantar, operar, monitorear, revisar, mantener y mejorar de forma
continua el Sistema de Gestión para responder y recuperarse pronto de las
interrupciones, en el momento en el que sucedan.
Los requisitos que se especifican en la norma ISO 22301:2012 son genéricos y

son aplicables a todas las empresas, no importa su tamaño, naturaleza o tipo. El
grado de aplicación de los requisitos depende del ambiente operativo y de la
complejidad de la empresa.
La norma ISO 22301:2012 se puede aplicar en cualquier organización,

independientemente del tamaño que tienen y a lo que se dediquen, éstas deben:
- Establecer, implementar, mantener y mejorar el Sistema de Gestión de
Continuidad de Negocio.
- Asegurar la conformidad con la política establecida de la continuidad de
negocio de la empresa.
- Demostrar la conformidad a los interesados.
- Certificar su Sistema de Gestión de Continuidad de Negocio mediante un
organismos externo de certificación.
- Realizar una autoevaluación de conformidad con la norma ISO 22301:2012.
La norma ISO 22301:2012 se encuentra organizada en las siguientes

cláusulas principales:
- Cláusula 4: Contexto de la organización

- Cláusula 5: Liderazgo
- Cláusula 6: Planificación
- Cláusula 7: Soporte
- Cláusula 8: Operación
- Cláusula 9: Evaluación del desempeño
- Cláusula 10: Mejora
Norma UNE-ISO 31000
La norma UNE-ISO 31000:2010 "Gestión del riesgo. Principios y directrices" es un

estándar desarrollado en colaboración por ISO e IEC que proporciona principios y
directrices genéricas sobre la gestión del riesgo. Se trata de una norma general de
aplicación a cualquier organización independientemente del tamaño o sector y que
no es certificable.
La propuesta de esta norma comprende tres elementos claves:

- Los principios de gestión del riesgo.
- El marco de trabajo para la gestión del riesgo.
- El proceso de gestión del riesgo.
Los principios de gestión del riesgo, el por qué esa gestión es importante,
vienen recogidos en la Norma ISO 31000:
- Crea valor.
- Integra la gestión del riesgo en los procesos de la Organización y en la
toma de decisiones.
- Trata la incertidumbre.
- Es sistemática, estructurada y adecuada.
- Está basada en la mejor información disponible.
- Está hecha a medida.
- Tiene en cuenta factores humanos y culturales.
- Es transparente y participativa.
- Es dinámica, iterativa, y responde a los cambios.
- Facilita la mejora continua de la organización.
Marco de trabajo para la gestión del riesgo, su principal objetivo es garantizar

que la información sobre el riesgo se comunica y se utiliza como base para la
toma de decisiones en la Organización. Es decir, el riesgo pasa a formar parte de
la globalidad de la Organización. Se asegura que la Organización integra el
concepto de riesgo en todas sus decisiones.
Proceso de gestión del riesgo, garantiza que los riesgos inherentes a la

Organización se identifican, evalúan y tratan de manera que se asegura un nivel
de riesgo aceptable.
CONCLUSIONES
Una buena gestión de riesgos debe incluir las siguientes capacidades:
Alinear el riesgo aceptado y la estrategia
En su evaluación de alternativas estratégicas, la dirección considera el riesgo

aceptado por la alta gerencia, estableciendo los objetivos correspondientes y
desarrollando mecanismos para gestionar los riesgos asociados.
Mejorar las decisiones de respuesta a los riesgos
La gestión de riesgos proporciona rigor para identificar los riesgos y seleccionar

entre las posibles alternativas de respuesta a ellos: evitar, reducir, compartir o
aceptar.
Reducir las sorpresas y pérdidas operativas
Las organizaciones consiguen mejorar su capacidad para identificar los eventos

potenciales y establecer respuestas, reduciendo las sorpresas y los costes o
pérdidas asociados.
Identificar y gestionar la diversidad de riesgos para toda la entidad
Cada organización se enfrenta a múltiples riesgos que afectan a las distintas áreas
y la gestión de riesgos facilita respuestas eficaces e integradas a los impactos
conexos de dichos riesgos.
Aprovechar las oportunidades
Mediante la consideración de una amplia gama de potenciales eventos, la

dirección está en posición de identificar y aprovechar las oportunidades de modo
proactivo.
Mejorar la dotación de capital
La obtención de información sólida sobre el riesgo permite a la dirección evaluar

eficazmente las necesidades globales de capital y mejorar su asignación.

Analis Iso

Cargado por

Copyright:

Formatos disponibles

Analis Iso

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Analis Iso

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD MAYOR DE SAN ANDRÉS

MEJORES PRACTICAS DE ANÁLISIS

Maestrante: Pascual Yana Chejo

La información en todas sus formas (automatizada o no, formalizada o no, pública

Se debe tomar un conjunto de medidas preventivas y reactivas en la organización

Y el riesgo persiste, entonces asimismo se debe desarrollar una serie de medidas

Muchas normas han establecido parámetros, métodos y fases de trabajo para

A continuación realizamos una enumeración de las normas que regulan las

ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de

La norma incorpora algunos elementos iterativos, por ejemplo si los resultados de

Los requisitos que se especifican en la norma ISO 22301:2012 son genéricos y

La norma ISO 22301:2012 se puede aplicar en cualquier organización,

La norma ISO 22301:2012 se encuentra organizada en las siguientes

- Cláusula 4: Contexto de la organización

Norma UNE-ISO 31000

La norma UNE-ISO 31000:2010 "Gestión del riesgo. Principios y directrices" es un

La propuesta de esta norma comprende tres elementos claves:

Marco de trabajo para la gestión del riesgo, su principal objetivo es garantizar

Proceso de gestión del riesgo, garantiza que los riesgos inherentes a la

Una buena gestión de riesgos debe incluir las siguientes capacidades:

Alinear el riesgo aceptado y la estrategia

En su evaluación de alternativas estratégicas, la dirección considera el riesgo

Mejorar las decisiones de respuesta a los riesgos

La gestión de riesgos proporciona rigor para identificar los riesgos y seleccionar

Reducir las sorpresas y pérdidas operativas

Las organizaciones consiguen mejorar su capacidad para identificar los eventos

Identificar y gestionar la diversidad de riesgos para toda la entidad

Aprovechar las oportunidades

Mediante la consideración de una amplia gama de potenciales eventos, la

Mejorar la dotación de capital

La obtención de información sólida sobre el riesgo permite a la dirección evaluar

También podría gustarte