Universidad Piloto de Colombia, Melo Reyes, Oscar Javier.
Aspectos a tener en cuenta para el análisis de riesgos con base en normas ISO.
ASPECTOS A TENER EN CUENTA PARA EL
ANÁLISIS DE RIESGOS CON BASE EN LAS NORMAS
ISO/IEC 27001, ISO/IEC 27005 E ISO/ IEC 31000
Melo Reyes, Oscar Javier.
[email protected]
Universidad Piloto de Colombia
Resumen— El presente artículo pretende dar una
orientación al lector acerca de cuáles son los principales aspectos
que se deben tener en cuenta para llevar a cabo una adecuada
gestión del riesgo de acuerdo con las normas a tratar en el
presente documento como son las tres (3) normas pertenecientes
a la familia ISO: la ISO 27001 la cual especifica los requisitos
para la implementación de un Sistema de Gestión de Seguridad
de la Información (SGSI), la ISO 27005 la cual hace referencia
a como se lleva a cabo la gestión de riesgos de seguridad y por
último la ISO 31000 la cual enfatiza los principios y las
directrices para llevar a cabo la gestión del riesgo. También se
tratarán conceptos relacionados a la Gestión de Riesgos como el
Gobierno de Seguridad de la Información, ¿qué es?, ¿cómo se
encuentra conformado? y como se relaciona con la gestión de
riesgos, ¿Qué es el gobierno de TI?, ¿por qué es importante? y
¿cuál es su relación con el gobierno de seguridad de la
información?, todo esto con la principal finalidad de enunciar
algunos de los aspectos a considerar cuando se habla de
gestionar el riesgo en las organizaciones.
Índice de Términos— Gestión de riesgos, análisis,
metodología, seguridad de la información.
Abstract— This article intends to give the reader an
orientation as to what are the main aspects that must be taken
into account to carry out adequate risk management in
accordance with the standards to be discussed in this document,
such as the three (3) standards belonging to the ISO family:
27001 which specifies the requirements for the implementation
of an Information Security Management System (ISMS), 27005
which refers to how security risk management is carried out and
finally the 31000 which emphasizes the principles and
guidelines for carrying out risk management. Concepts related
to Risk Management such as the Government of Information
Security will also be discussed, what is it, how is it formed? And
as it relates to risk management, what is IT governance? Why is
it important? And what is your relationship with the information
security government? All this with the main purpose of stating
some of the aspects to consider when talking about managing
risk in organizations.
1
I. INTRODUCCIÓN
Para llevar a cabo una adecuada Gestión de Riesgos
de cara garantizar la seguridad de la información es
necesario definir una adecuada estrategia de
seguridad de la información la cual debe contener las
metas y directrices las cuales harán parte del
programa de seguridad de la información,
posteriormente dicha estrategia dará las bases para la
implementación de un Gobierno para la seguridad de
la información cuya importancia radica en brindar
confianza, así como proporcionar solidez para una
adecuada Gestión de Riesgos eficiente y efectiva
entre otros. A partir de aquí podemos concentrarnos
en la gestión de riesgos para lo cual debemos definir
una metodología para llevar a cabo el respectivo
análisis de riesgos, entonces de ahí surge la pregunta,
¿cuál metodología es la adecuada?; en el presente
artículo se tratarán algunas de las principales
metodologías (estándares) para gestionar el riesgo
como son la ISO/ IEC 27001, 27005, y la 31000 para
conocer la forma como llevan a cabo la gestión del
riesgo y como se encuentran relacionadas entre sí para
apalancar un Sistema de Gestión de Seguridad de la
Información.
II. EL GOBIERNO DE SEGURIDAD DE
LA INFORMACIÓN
Antes de abordar la gestión de Riesgos en
determinada organización debe tener previamente
definido lo que es el Gobierno de Seguridad de la
Información, para hacerlo se debe definir
previamente la estrategia de seguridad de la
organización, dicha estrategia se encarga de
documentar la dirección y las metas que se van a
implementar en el programa de seguridad de la
información dando así los cimientos para la
implantación del Gobierno de Seguridad de la
Universidad Piloto de Colombia, Melo Reyes, Oscar Javier. Aspectos a tener en cuenta para el análisis de riesgos con base en normas ISO.
información, de acuerdo con el manual de
certificación en administración de seguridad de la
información dicho gobierno se define como “las
reglas que dirigen la organización, que incluyen
políticas, estándares y procedimientos que se utilizan
para establecer la dirección y controlar las actividades
de la organización” [1]. Entonces el primer paso para
establecer un Gobierno de la Seguridad de la
información es que la alta dirección de termine cuales
son los resultados que desea obtener del programa de
seguridad de la información esto se logra mediante
acuerdos establecidos entre la dirección y los jefes de
cada unidad de negocio. Es así como el gerente de
seguridad de la información cuenta con la
información necesaria para desarrollar los requisitos
que contiene el plan de seguridad y seguidamente
concentrara sus esfuerzos en establecer los objetivos
del plan los cuales una vez logrados satisfarán los
requisitos. Para establecer tales objetivos nos
debemos basar en los resultados que previamente
estableció la alta dirección y es aquí donde se dispone
de diferentes marcos de referencia para ayudar a
definir el estado deseado por lo que se determinan y
utilizan los resultados, así como los niveles de riesgo
aceptables estableciendo los objetivos de control.
El gobierno de seguridad de la información debe
estar integrado a la estructura de gobierno de la
empresa para garantizar que las metas de esta sean
respaldadas por el programa de seguridad de la
información. El marco de trabajo a utilizarse no es
más que una descripción de temas relacionados los
cuales respaldan un enfoque en particular a los
objetivos definidos en la estrategia sirviendo para
integrar y orientar las actividades necesarias para
implementar la estrategia de seguridad de la
información. Una claridad importante que se debe
hacer es que si el gobierno de la empresa está
estructurado mediante una metodología en particular
se recomienda utilizar el mismo marco para el
gobierno de seguridad de la información con el fin de
facilitar la labor de integración de la información.
Algunos elementos que hacen parte del marco de
trabajo (metodología) a implementarse son:
Las políticas de seguridad. Están diseñadas para
mitigar el riesgo y son desarrolladas como respuesta
a amenazas de tipo real, reflejan la dirección e
intenciones establecidas por la alta gerencia.
Estándares. Son desarrollados con el fin de definir
2
límites para personas, procesos, procedimientos y
tecnologías con el fin de promover el cumplimiento
de las políticas, también para respaldar el logro de los
objetivos, una política puede contener varios
estándares de acuerdo con el nivel de clasificación del
activo y su relación con el estándar. Otro aspecto que
sugiere para respaldar la estrategia de seguridad de la
información en proyectos nuevos es la creación de un
“caso de negocio” el cual se utiliza para capturar el
razonamiento del negocio al iniciar un proyecto o
tarea en él se deben identificar plenamente las
necesidades y el propósito del negocio con el fin de
implementar diferentes procesos de gobierno
incluyendo tecnologías y la relación costo- beneficio,
es decir, la propuesta de valor al momento de llevarlo
a cabo. El caso de negocio debe incluir factores que
pueden contribuir al éxito o al fracaso de proyecto,
por último, su presentación debe incluir aspectos
como beneficios, costos y riesgos además ser
expuesto de manera convincente.
Hallazgos en la encuesta global de seguridad de la
información realizada en el año 2015 por la firma EY
(Ennst and Young) indican que un gran porcentaje de
empresas no abordan de manera adecuada los
problemas de seguridad existentes ni los que pueden
emerger. Algunos de los hallazgos de la encuesta
destacan el problema, de acuerdo con los resultados
de la encuesta:
Solo el 12% de las organizaciones cree que la
seguridad de la información satisface las necesidades
de la organización, el 67% todavía realizan mejoras.
El 69% evidencio que el presupuesto asignado para
seguridad de la información debe aumentar hasta un
50% para que pueda llegar a proteger a la
organización [2]. Con base en lo anterior se puede
concluir que las fallas en la seguridad de la
información corresponden al gobierno y no pueden
ser resueltas por la tecnología por consiguiente la
protección adecuada de los recursos debe ser
planteada a nivel directivo (alta dirección). Teniendo
que cuenta que para muchas organizaciones la
información y el conocimiento que en ésta se basa es
uno de los activos más importantes, por ende, se ha
generado una dependencia tanto en la información
como en los sistemas que la soportan haciendo que el
gobierno de la seguridad de la información se
convierta en un aspecto crítico del gobierno
corporativo. Dentro de los beneficios de contar con un
Universidad Piloto de Colombia, Melo Reyes, Oscar Javier. Aspectos a tener en cuenta para el análisis de riesgos con base en normas ISO.
gobierno de seguridad de la información están:
- Brindar confianza en el cumplimiento de las
políticas.
- Hacer que la organización y la alta dirección
enfrenten de manera habitual responsabilidades
legales.
- Proveer una estructura, así como un marco para
optimizar las asignaciones de los recursos de la
seguridad que muchas veces son limitados.
- Proveer certeza de que las decisiones de impacto
(críticas) no se basan en información
improvisada, errada o incompleta.
- Dar un fundamento sólido para una adecuada
gestión de riesgos.
- Brindar confianza en la interacción con socios
comerciales.
- Proteger el “good will” de la organización frente
a sus clientes.
- Gestionar los recursos asignados a la seguridad de
la información de manera efectiva.
Teniendo en cuenta que el objetivo primordial del
gobierno de la seguridad de la información es el
desarrollo, la implementación y gestión de un
programa de seguridad que otorgue algunos de los
siguientes resultados:
- Proveer una alineación estratégica de
información con la estrategia del negocio.
- Llevar a cabo una adecuada gestión de riesgos a
través de la ejecución de medidas acordes para
mitigar los riesgos y reducir el impacto en los
recursos de información como entendimiento
colectivo del perfil de amenaza, vulnerabilidades
y riesgos de la organización, entendimiento de la
exposición al riesgo y sus consecuencias,
concienciación de las prioridades de la gestión de
riesgos con base en las consecuencias, mitigación
de riesgos acordes con las consecuencias
aceptables del riesgo residual y por último una
aceptación o transferencia del riesgo basadas en
las posibles consecuencias para el riesgo residual.
- Entregar valor optimizando las inversiones en
seguridad.
- Optimización de los recursos
- Medición del desempeño mediante el monitoreo y
reporte de procesos de seguridad de información
3
garantizando el cumplimiento de políticas,
normas y procedimientos previamente
establecidos.
III. GOBIERNO DE TI
Lo primero que debemos tener en cuenta es que el
gobierno de TI hace parte del gobierno corporativo,
es decir, es un subconjunto. Podemos definir el
gobierno de TI “como la estructura de relaciones y
procesos para dirigir y controlar la empresa hacia el
logro de sus objetivos agregando valor al mismo
tiempo que se logra un balance del riesgo versus el
retorno de sobre la TI y sus procesos” [3].
Las actividades del gobierno de TI se agrupan en
cinco áreas de enfoque:
1. Alineamiento estratégico: Se enfoca en asegura el
enlace entre los planes de y los de TI, en definir,
mantener y validar la propuesta de valor de TI y
en alinear las operaciones de TI con las de la
organización.
2. Entrega de valor: Hace referencia a ejecutar la
proposición de valor a través de todo el ciclo de
entrega asegurando que TI entregue los beneficios
acordados y alineados con la estrategia
enfocándose en la optimización de costos.
3. Administración de riesgos: Requiere conciencia
la por parte de los directores superiores de la
organización, entendimiento del apetito de riesgo,
aporta transparencia sobre los riesgos más
significativos de la empresa, implementa las
responsabilidades de la administración de riesgos
dentro de la organización.
4. Administración de recursos: Hace referencia a la
inversión óptima ya una adecuada administración
de los recursos críticos de TI como aplicaciones,
información, infraestructura y personas.
5. Medición del desempeño: Aportas el seguimiento
y supervisa la estrategia de implementación, el
desempeño de los procesos y la entrega de
servicio. En este punto es importante aclarar que,
si no hay forma de medir y evaluar las actividades
de TI, no es posible gobernar TI, asegurar el
alineamiento, la entrega de valor, la
administración de riesgos, así como el uso
efectivo de los recursos.
Universidad Piloto de Colombia, Melo Reyes, Oscar Javier. Aspectos a tener en cuenta para el análisis de riesgos con base en normas ISO.
Fig. 1. Áreas de enfoque del gobierno de TI [4].
IV. GESTIÓN DEL RIESGO
De acuerdo con el anual de certificación CISM en
su versión 2012 define la gestión de riesgos como “La
gestión de riesgos es, en términos generales, un
proceso encaminado a alcanzar el equilibrio óptimo
entre concretar oportunidades para obtener ganancias
y minimizar las vulnerabilidades y las pérdidas” [4].
Otra definición dada por la norma ISO/ 31000 nos
dice que la gestión del riesgo corresponde a
“Actividades coordinadas para dirigir y controlar una
organización respecto al riesgo” [5].
¿Cómo se puede medir un riesgo?, un riesgo se debe
medir en términos de la posibilidad y/ o probabilidad
que ocurra un evento como también por su impacto y/
o consecuencias que genere en la Organización.
Fig. 2. Factores de riesgo [6].
4
Dentro del establecimiento del SGSI se debe definir
una metodología para la evaluación del riesgo, los
requerimientos del negocio, así como los criterios de
aceptación del riesgo y especificar los niveles de
riesgo aceptables para la organización. Se recomienda
que los resultados obtenidos mediante la metodología
implementada sean comparables y repetibles, luego
se identifican los riesgos, se analizan y evalúan.
Fig. 3. Diagrama gestión de riesgos [7].
Como resultado de una adecuada gestión de riesgos
se deberían obtener los siguientes resultados:
- Entendimiento de las amenazas, las
vulnerabilidades, y el perfil de riesgo de la
organización.
- Entendimiento de la exposición al riesgo y las
posibles consecuencias de la inestabilidad.
- Conciencia de las prioridades de la gestión de
riesgos con base en las posibles consecuencias.
- Estrategia organizacional de mitigación de
riesgos adecuada para obtener consecuencias
aceptables.
- Aceptación/Atención organizacional con base
en un entendimiento de las posibles consecuencias del
riesgo residual.
- Evidencia cuantificable de que los recursos de
la gerencia se utilizan de forma apropiada y con
adecuada relación beneficio/costo.
A continuación, analizaremos lo propuesto por las
normas ISO 27001- 27005 y 31000 de cara al proceso
de gestión de riesgos.
Universidad Piloto de Colombia, Melo Reyes, Oscar Javier. Aspectos a tener en cuenta para el análisis de riesgos con base en normas ISO.
V. NORMAS ISO
A continuación, describiremos los marcos ISO para
la gestión de riesgos ISO 27001, ISO 27005 e ISO
31000.
La norma ISO/ IEC 27001: 2013 en términos
generales describe los requisitos para llevar a cabo la
implementación de un Sistema de Gestión de
Seguridad de la Información (SGSI), es decir, como
podemos gestionar la seguridad de la información en
una empresa para lo cual toma como eje principal la
evaluación de los riesgos, lo que permite a las
organizaciones obtener una visión para definir el
alcance así como el ámbito de la aplicación, normas,
políticas y procedimientos a implementarse e
integrando dicha metodología con el modelo de
mejora continua PDCA (ciclo de Deming) frecuente
en las diferentes normas de la familia ISO 27000:
Fig. 4. Fases del Sistema de Gestión de Seguridad de la
información (SGSI) [8].
Para llevar a cabo esta implementación la
organización debe elegir un modelo para llevar a
cabo la evaluación del resigo que se adapte a los
requerimientos del negocio para el caso de la
norma ISO 27001 la metodología es la siguiente:
5
Fig. 5. Método de Evaluación y Tratamiento de Riesgo [9].
Este método parte de la identificación de los
activos donde se identifican amenazas,
vulnerabilidades y requisitos asociados a estos,
luego se realiza un análisis del impacto, se
seleccionan e implementan controles y por último
se da tratamiento al riesgo, dentro de las
estrategias para el tratamiento del riesgo la
organización podría:
Asumir el riesgo. Se debe tratar en lo posible de
equilibrar riesgos y posibles beneficios.
Reducir el riesgo. Podemos Mitigar el impacto
el riesgo o ambos. El riesgo lo mitigamos con
medidas preventivas, por ejemplo, cifrando un
disco duro se reducen las posibilidades de que la
información acabe en malas manos si se llegase a
perder cuando el equipo portátil es movilizado
fuera de la organización. El impacto se reduce con
medidas reactivas o de recuperación, por ejemplo,
si tenemos copias de seguridad no impedimos que
pierda un archivo o que se dañe el Servidor de
bases de datos, pero podemos recuperar
rápidamente la información y continuar con la
operatividad.
Eliminar el riesgo. Por el ejemplo, colocar un
servidor Web público en el servidor de bases de
datos puede ser una forma de dar un servicio
mejor a los clientes, pero también abre una puerta
Universidad Piloto de Colombia, Melo Reyes, Oscar Javier. Aspectos a tener en cuenta para el análisis de riesgos con base en normas ISO. 6

a que haya una fuga o robo de información, realizada en el año 2017:

podemos separar el servidor de producción del de
acceso público y así el escenario de riesgo cambia. Tabla I. Encuesta ISO 2017, fuente ISO [10].
Number of Number of
Norma certificates in certificates in Change Change in %
Transferir el riesgo. Por ejemplo, contratar un 2016 2017
ISO 9001 1 105 937 1 058 504 -47 433 -4
seguro es trasladarle el riesgo a la aseguradora, ISO 14001 346 147 362 610 16 463 5
subcontratar un servicio con acuerdos de niveles ISO 50001 20 216 21 501 1285 6
ISO 27001 33 290 39 501 6 211 19
de servicio es pasarle el riesgo al proveedor de ISO 22000 32 139 32 722 583 2
dicho servicio, funciona bien cuando todos ganan ISO 13485 29 585 31 520 1 935 7
ISO 22301 3 853 4 281 428 11
con la repartición. ISO 20000-1 4 537 5 005 468 10
ISO 28000 356 494 138 39
ISO 39001 478 620 142 30
En los literales 6.12 y 6.1.3 de la norma ISO 27001 se TOTAL 1 576 538 1 556 758 -19 780 -1
especifican las acciones que se deben llevar a cabo
para evaluar y tratar los riesgos:
A continuación, se observa el crecimiento
6.1.2 Evaluación de riesgos de la seguridad de porcentual anual para cada continente en cuanto
la información: al número de certificados:

- Criterios de aceptación de riesgos

- Criterios para realizar evaluaciones de riesgos
- Identificar los riesgos de la seguridad de la
información
- Identificar a los dueños de los riesgos
- Analizar los riesgos de la seguridad de la
información
- Valuar las consecuencias
- Valuar la probabilidad
- Determinar los niveles de riesgo
Fig. 7. Encuesta ISO 2017, fuente ISO [11].
6.1.3 Tratamiento de riesgos de la seguridad de
la información: Por último, podemos observar el top 10 de los
sectores industriales con más certificaciones para
- Seleccionar las opciones apropiadas de ese año:
tratamiento de riesgos.
- Determinar todos los controles que sean
necesarios.
- Comparar los controles determinados en 6.1.3
b) con los del Anexo A.

Es importante resaltar como parte final de la

metodología el proceso de mejora continua que
sugiere la norma en cuanto a la conveniencia
adecuación y eficacia del sistema de seguridad de
la información.
Fig. 8. Encuesta ISO 2017, fuente ISO [12].

La norma ISO/ IEC 27001 se ha convertido en Los datos mencionados anteriormente

la norma principal a nivel mundial para la demuestran el incremento del posicionamiento de
seguridad de la información, a continuación, se la Norma ISO 27001 a nivel mundial ratificándola
dan a conocer algunos resultados de esta encuesta
Universidad Piloto de Colombia, Melo Reyes, Oscar Javier. Aspectos a tener en cuenta para el análisis de riesgos con base en normas ISO.
como la más utilizada.
Algunos beneficios que ofrece la Norma ISO
27001 son:
- Debido a que el marco legal se actualiza
constantemente en cualquier país es importante
contar con una metodología que se adapte a esta
situación por lo que la norma ISO 27001 ya que
contempla el análisis de los requisitos como parte
del conocimiento de la organización y de su
contexto.
- Ofrece una ventaja comercial frente a sus
competidores, debido q a que las empresas que no
cuenten con ella estarían en desventaja ya que los
clientes valoraran quien ofrezcan seguridad para su
información.
- Reduce los costos ya que para ISO 27001 es una
prioridad evitar los incidentes de seguridad y
cualquier incidente grande o pequeño genera
costos por el ende al evitarlos las empresas
ahorran dinero.
- Aporta una mejor organización a la empresa a
nivel de procesos ya que durante el proceso de
implementación de la norma se estos deben ser
documentados.
Según la norma ISO/ IEC 27005 se define el
proceso de gestión del riesgo para la seguridad de
la información basado en el ciclo PDCA (Plan-
Do- Check- Act):
Fig. 9. Modelo PDCA aplicado a la norma ISO
27005 [13].
A continuación, se describen brevemente las
7
diferentes etapas del modelo:
Plan (Planear). En esta etapa se desarrollan las
fases planteadas como son el establecimiento del
contexto, valoración del riesgo, tratamiento del
riesgo, aceptación del riesgo, comunicación del
riesgo y por último monitorización y revisión del
riesgo.
Do (Hacer). En esta etapa se plantea la
implementación del plan para el tratamiento de los
riesgos según la norma ISO 27005 las etapas son
Descripción general de cómo se va a tratar el
riesgo, reducción del riesgo, retención de riesgo,
evitación del riesgo y transferencia del riesgo.
Check (Verificar). En esta etapa se lleva a cabo
el monitoreo continuo y revisión de los riesgos
previamente identificados en las anteriores etapas,
de acuerdo con la norma ISO 27005 la cláusula
que hace referencia al monitoreo y revisión de los
factores de riesgo en la seguridad de la
información.
Act (Actuar). En esta etapa del ciclo PDCA se
lleva a cabo la fase de monitoreo, revisión y
mejora de la gestión del riesgo.
Podemos concluir entonces que ISO 27005 se
encarga de apoyar las labores de análisis y gestión
de riesgos en el marco de sistemas de gestión para
la seguridad de la información (SGSI)
acoplándose de esta manera al estándar ISO
27001 la cual define los requisitos para la
implementación de u SGSI por lo que se
recomienda a las organizaciones que vienen
trabajando bajo los marcos de la familia ISO
27000 que sigan estos estándares facilitando la
gestión y análisis de riesgos.
Otra norma que contempla el proceso de gestión
del riesgo es la ISO/ IEC 31000 la cual contempla
en sus diferentes apartados los principios y las
directrices que se deben lleva a cabo para
gestionar el riego de manera eficiente en las
organizaciones alineándose con las normas de la
familia ISO 27000 que también tratan la gestión
 Universidad Piloto de Colombia, Melo Reyes, Oscar Javier. Aspectos a tener en cuenta para el análisis de riesgos con base en normas ISO. 8

del riesgo como son la ISO/ IEC 27001 y la los procesos para la gestión del riesgo [15].
ISO/IEC 27005 ya tratadas anteriormente. Dentro de los principios se destaca como de
mayor importancia el de “crear de valor” el cual
hace referencia a generar valor mediante la
gestión de riesgos siendo el motor del sistema de
gestión donde parten y se desarrollan los demás
principios.

Para diseñar el marco de referencia se debe

Fig. 10. Proceso de gestión del riesgo en la seguridad de la
información (ISO 27005) [14].
Es importante aclarar que la norma ISO 27005
no proporciona una metodología concreta para el
análisis de riesgos, solamente describe a través de
cláusulas el proceso de análisis que recomiendan
incluyendo las fases que lo conforman:
- Establecimiento del contexto (Cláusula 7).
- Valoración del riesgo (Cláusula 8).
- Tratamiento del riesgo (Cláusula 9).
- Aceptación del riesgo (Cláusula 10).
- Comunicación del riesgo (Cláusula 11).
- Monitorización y revisión del riesgo (Cláusula
12).
La norma ISO/ IEC 31000 en su introducción
enuncia la relación existente los principios, el
marco de referencia y el proceso para llevar a cabo
la gestión del riesgo:
entender el contexto de la organización, definir la
política para gestionar el riesgo, rendir cuentas,
integrar los procesos de la organización, asignar
los recursos adecuados, establecer mecanismos
adecuados para la comunicación interna y la
presentación de informes. Posteriormente se lleva
a cabo la implementación de la gestión del riesgo
a través de la implementación del marco de
referencia, luego se lleva a cabo la
implementación del proceso dentro del cual se
incluyen las fases de establecimiento del contexto,
identificación del riesgo, análisis del riesgo,
evaluación del riesgo, y tratamiento del riesgo, es
importante mencionar que todas estas etapas van
acompañadas de manera transversal por procesos
de comunicación y consulta (numeral 5.2) y de
monitoreo y revisión (numeral 5.8).
Como uno de los principales diferenciales la
norma ISO 31000 podemos encontrar nuevas
estrategias para el tratamiento del riesgo como las
que se enuncian a continuación:
- Perseguir la oportunidad del riesgo.
- Cambiar la probabilidad del riesgo.
- Cambiar las consecuencias del riesgo.

- Compartir el riesgo.

VI. GLOSARIO DE TÉRMINOS

Activo. Algo que tiene valorar la organización y por lo

tanto requiere protección.

Amenaza. Circunstancia o evento que tiene el potencial

de causar daño a un activo y por tanto a la organización.
Fig. 11. Relaciones entre los principios, el marco de referencia y
 Universidad Piloto de Colombia, Melo Reyes, Oscar Javier. Aspectos a tener en cuenta para el análisis de riesgos con base en normas ISO. 9

Análisis. Examen detallado de una cosa para conocer información se administren de forma apropiada y que
sus características o cualidades, o su estado, y extraer los recursos de información de la empresa se utilicen
conclusiones, que se realiza separando o considerando con responsabilidad.
por separado las partes que la constituyen.
Gobierno de TI. Una estructura de relaciones y
Análisis del riesgo. Proceso para comprender la procesos para dirigir y controlar la empresa con el
naturaleza del riesgo y determinar el nivel de riesgo. objeto de alcanzar los objetivos de la empresa y añadir
valor mientras se equilibran los riesgos y el retorno
Comunicación del riesgo. Intercambiar o compartir la sobre TI y sus procesos.
información acerca del riesgo entre la persona que toma
la decisión y otras partes interesadas (ISO 27005). Integridad. Protección de la exactitud y la integridad de
los métodos de información y procesamiento.
Confidencialidad. Asegurar que la información es
accesible sólo para aquellos autorizados a tener acceso. Identificación del riesgo. Proceso para encontrar,
enumerar y caracterizar los elementos del riesgo.
Disponibilidad. Asegurar que los usuarios autorizados
tengan acceso a la información y a los activos asociados Impacto. Cambio adverso en el nivel de los objetivos
cuando sea necesario. del negocio logrado (ISO 27005).

Estándar. Que sirve de patrón, modelo o punto de Información. Es todo dato que tiene un significado y
referencia para medir o valorar cosas de la misma sirve para informar alguna situación, organización,
especie. persona, etc.

Estimación del riesgo. Proceso para asignar valores a ISO. Organización Internacional de Normalización.
la probabilidad y las consecuencias de un riesgo. Entidad internacional encargada de favorecer la
estandarización en el mundo.
Estrategia. Serie de acciones muy meditadas,
encaminadas hacia un fin determinado. Marco de referencia para la gestión del riesgo:
Conjunto de componentes que brindan las bases y las
Evitación del riesgo. Decisión de no involucrarse en disposiciones de la organización para diseñar,
una situación de riesgo o tomar acción para retirarse de implementar, monitorear, revisar y mejorar
dicha situación. continuamente la gestión del riesgo a través de toda la
organización (ISO 31000).
Evaluación del riesgo. Proceso de comparación de los
resultados del análisis de riesgo con los criterios de Metodología. Conjunto de métodos que se siguen en
riesgo para determinar si el riesgo, su magnitud o una investigación científica, un estudio o una
ambos son aceptables o tolerables. exposición doctrinal.

Gestión de riesgos. Proceso encaminado a alcanzar el Nivel de riesgo. Magnitud de un riesgo o de una
equilibrio óptimo entre encontrar oportunidades para combinación de riesgos, expresada en términos de la
obtener ganancias y minimizar las vulnerabilidades y combinación de las consecuencias y su probabilidad.
las pérdidas.
Plan para la gestión del riesgo. Esquema dentro del
Gobierno de seguridad de la información. Parte marco de referencia para la gestión del riesgo que
integral del gobierno corporativo y consiste en el específica el enfoque, los componentes y los recursos
liderazgo y estructuras de relaciones y procesos de la gestión que se van a aplicar a la gestión del riesgo
organizacionales que protegen la información. (ISO 31000).
Proporciona dirección estratégica a las actividades de
seguridad y garantiza que se alcancen los objetivos, que Propietario del riesgo. Persona o entidad con la
los riesgos relacionados con seguridad de la responsabilidad de rendir cuentas y con la autoridad
 Universidad Piloto de Colombia, Melo Reyes, Oscar Javier. Aspectos a tener en cuenta para el análisis de riesgos con base en normas ISO.
para gestionar un riesgo (ISO guía 73: 2009).
Reducción del riesgo. Acciones que se toman para
disminuir la probabilidad, las consecuencias negativas,
o ambas, asociadas a un riesgo.
Retención del riesgo. Aceptación de la pérdida o
ganancia proveniente de un riesgo particular.
Riesgo. Estimación del grado de exposición de un
activo. Indica lo que le podría pasar a los activos sino
se protegen adecuadamente.
Riesgo en la seguridad de la información. Potencial de
que una amenaza explote las vulnerabilidades de los
activos o grupos de activos causando así daño a la
organización.
Riesgo residual. Es aquél que permanece después de
que la dirección desarrolle sus respuestas a los riesgos.
El riesgo residual refleja el riesgo remanente una vez se
han implantado de manera eficaz las acciones
planificadas por la dirección para mitigar el riesgo
inherente.
Seguridad de la información. Protección de la
información contra una amplia gama de amenazas
para asegurar continuidad del negocio, reducir al
mínimo el daño del negocio y maximizar el retorno de
inversión y las oportunidades de negocio.
Tratamiento del riesgo: Proceso para modificar el
riesgo, el tratamiento de riesgo puede implicar evitar el
riesgo decidiendo no iniciar o continuar con la
actividad que lo originó, incrementar el riesgo con el
fin de perseguir una oportunidad, retirar la fuente del
riesgo, cambiar la probabilidad, cambiar las
consecuencias, compartir el riesgo con alguna de las
partes o retener el riesgo a través de la decisión
informada.
Vulnerabilidad. Debilidad que es inherente al activo.
Su presencia no causa por sí misma, ya que necesita
presentarse una amenaza que la explote.
VII. CONCLUSIONES
Así como cada día surgen nuevas amenazas de
diferente índole que pueden impactar la seguridad de
la información en las organizaciones también
1
0
evolucionan las normas, técnicas procedimientos y
estándares con la finalidad de contrarrestarlas, para
esto se hace fundamental que las organizaciones
mantengan vigentes sus estándares y realicen un
monitoreo permanente de su Sistema de Gestión de
Seguridad de la información con el fin de evidenciar
brechas, vacíos y/ o de implementar la mejora
continua y no que quede ésta solamente mencionada
en los diferentes estándares.
La gestión del riesgo debe considerarse como una
constante a lo largo de todo el proceso para garantizar
la seguridad de la información independientemente
del marco de referencia y demás metodologías que
estén siendo utilizadas por la organización, desde sus
etapas iniciales como son la definición de los
gobiernos de seguridad de la información y de TI, esto
con el fin de concientizar la organización y
familiarizarla a lo largo del proceso hasta sus etapas
finales como es el caso de la mejora continua.
Las normas (metodologías) para el análisis de
Riesgos de la ISO son marcos de cláusulas que
describen actividades que no se limitan solo a la
seguridad de la información, sino que unifican riesgos
de diferentes tipos para poder tomar decisiones
combinando riesgos laborales, financieros, técnicos,
medioambientales, y de más que se puedan llegar a
considerar dentro del contexto de la Seguridad de la
Información.
Las metodologías para el análisis de riesgos nos
indican los pasos a seguir para su correcta ejecución
ya que son complejos y tienen multitud de variables.
Utilizar una herramienta para llevar a cabo el análisis
de riesgos facilita su elaboración y permite realizar las
labores de manera más sistemática. Esto facilita que la
información resultante sea reutilizable y comparable
con resultados de sucesivos análisis.
REFERENCIAS
[1] ISACA, Manual de preparación para el examen CISM 15°.
[2] Ernst and Young, Encuesta Global de Seguridad de la
Información 2015.
[3] NETWORK SEC Resumen ejecutivo implantación de
Gobierno de TI https://www.network-
sec.com/files/Gobierno_TI.pdf.
[4] Figura 1. Áreas de enfoque del gobierno de TI (ITGI, 2007).
https://www.researchgate.net/figure/Figura-4-Areas-de-
Universidad Piloto de Colombia, Melo Reyes, Oscar Javier. Aspectos a tener en cuenta para el análisis de riesgos con base en normas ISO. 1
1
enfoque-del-gobierno-de-TI-ITGI-2007_fig4_291098221.
[5] ISACA, Manual de preparación para el examen CISM 15°.
[6] NORMA ISO/ IEC 31000: 2011, Página 9.
[7] Factores de riesgo, http://www.iso27000.es/sgsi.html.
[8] Diagrama de Gestión del Riesgo, adaptado de
http://www.iso27000.es/.
[9] Fases del Sistema de Gestión de Seguridad de la
información (SGSI).
[10] Método de Evaluación y Tratamiento de Riesgo, adaptado
de http://www.iso27000.es/.
[11] Encuesta ISO 2017.
https://isotc.iso.org/livelink/livelink/fetch/-
8853493/8853511/8853520/18808772/00._Overall_results
_and_explanatory_note_on_2017_Survey_results.pdf?node
id=19208898&vernum=-2.
[12] Encuesta ISO 2017.
https://www.globalstd.com/networks/blog/iso-survey-
2017
[13] Encuesta ISO 2017.
https://www.globalstd.com/networks/blog/iso-survey-
2017
[14] Modelo PDCA aplicado a la norma ISO 27005 [13].
[15] Proceso de gestión del riesgo en la seguridad de la
información. NORMA IOS/ IEC 27005: 2009
[16] Relaciones entre los principios, el marco de referencia y los
procesos para la gestión del riesgo. Norma ISO/ IEC 31000:
2011.

Autor
Oscar J. M. Reyes
Analista de sistemas de información
Ingeniero de Sistemas
Aspirante Especialista en Seguridad Informática