Publicada la ISO/IEC 27005:2008

viernes, 13 de junio de 2008

La semana pasada se publicó la norma ISO/IEC 27005:2008, bajo el título: "Information technology - Security techniques - Information security risk management".

Esta norma es una guía para la gestión de riesgos de seguridad de la información, de acuerdo con los principios ya definidos en otras normas de la serie 27000.

Sustituye (y actualiza) a las partes 3 y 4 de la norma ISO TR 13335 (Técnicas para la gestión de la seguridad IT y Selección de salvaguardas, respectivamente), y se convierte en la guía principal para el desarrollo de las actividades de análisis y tratamiento de riesgos en el contexto de un SGSI.

Constituye, por tanto, una ampliación del apartado 4.2.1 de la norma ISO 27001, en el que se presenta el análisis de riesgos como la piedra angular de un SGSI, y supone una excelente ayuda para todo aquél que quiera profundizar en el desarrollo práctico de un proceso de gestión de riesgos de seguridad de la información.

Anteriormente existía una dispersión enorme a "la hora" de evaluar los riesgos en materia de seguridad de la informaión y cada empresa dedicada a la consultoría utilizaba una metodología, incluso muchas consultoras tenían su propia metodología creadas en base a las ya existentes.
Entre otros sistemas existentes para la evaluación de riesgos existen: Magerit, CRAMM.

La aparición de esta norma supondrá una homogeneización dentro del sector a la hora de evaluar los riesgos y debe considerarse positivo.

Fuentes:
http://secugest.blogspot.com/2008/06/publicada-isoiec-270052008.html
http://sgsi-iso27001.blogspot.com/2008/06/publicada-la-iso-270052008-sobre-gestin.html