Aspectos a tener en cuenta para el análisis de riesgos con base en las normas ISO/IEC 27001, ISO/IEC 27005 E ISO/ IEC 31000

Abstract

El presente artículo pretende dar una orientación al lector acerca de cuáles son los principales aspectos que se deben tener en cuenta para llevar a cabo una adecuada gestión del riesgo de acuerdo con las normas a tratar en el presente documento como son las tres (3) normas pertenecientes a la familia ISO: la ISO 27001 la cual especifica los requisitos para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI), la ISO 27005 la cual hace referencia a como se lleva a cabo la gestión de riesgos de seguridad y por último la ISO 31000 la cual enfatiza los principios y las directrices para llevar a cabo la gestión del riesgo. También se tratarán conceptos relacionados a la Gestión de Riesgos como el Gobierno de Seguridad de la Información, ¿qué es?, ¿cómo se encuentra conformado? y como se relaciona con la gestión de riesgos, ¿Qué es el gobierno de TI?, ¿por qué es importante? y ¿cuál es su relación con el gobierno de seguridad de la información?, todo esto con la principal finalidad de enunciar algunos de los aspectos a considerar cuando se habla de gestionar el riesgo en las organizaciones.

This article intends to give the reader an orientation as to what are the main aspects that must be taken into account to carry out adequate risk management in accordance with the standards to be discussed in this document, such as the three (3) standards belonging to the ISO family: 27001 which specifies the requirements for the implementation of an Information Security Management System (ISMS), 27005 which refers to how security risk management is carried out and finally the 31000 which emphasizes the principles and guidelines for carrying out risk management. Concepts related to Risk Management such as the Government of Information Security will also be discussed, what is it, how is it formed? And as it relates to risk management, what is IT governance? Why is it important? And what is your relationship with the information security government? All this with the main purpose of stating some of the aspects to consider when talking about managing risk in organizations.