Gestión de Riesgos tecnológicos basada en ISO 31000 e ISO 27005 y su aporte a la continuidad de negocios

Technology risk management based on ISO 31000 and ISO 27005, and its contribution to business operation continuity

  • Alexandra Ramírez Castro Universidad Distrital Francisco José de Caldas
  • Zulima Ortiz Bayona Universidad Distrital Francisco José de Caldas
Palabras clave: business continuity, information security, information technologies, ISO 31000, ISO/IEC 27005, technological risks. (en_US)
Palabras clave: ISO 31000, ISO/IEC 27005, continuidad de negocios, riesgo tecnológico, seguridad de la información, tecnologías de la información. (es_ES)

Resumen (es_ES)

Este documento presenta una metodología para gestionar riesgos tecnológicos cuya base son los estándares ISO (International Organization for Standardization) 31000 e ISO/IEC (International Electrotechnical Commission) 27005, teniendo en cuenta que estos indican ‘que’ se requiere para la gestión de riesgos más no indican ‘como’ se puede realizar esta gestión. Además incluye recomendaciones y buenas prácticas de otros estándares y guías internacionales para manejo de riesgos, seguridad y gestión de servicios.

La metodología se desarrolla para riesgo tecnológico dado que el aumento en el uso de tecnologías de la información puede posibilitar puntos de quiebre o fisuras en aspectos de seguridad con respecto a su utilización, por ello se presenta una forma de aseguramiento y control sobre la infraestructura (nivel físico), los sistemas de información (nivel lógico) y las medidas organizacionales (factor humano) desde la perspectiva tecnológica. Como segunda parte se presenta una forma de integración de la metodología a la gestión de continuidad de negocios, como sustento al análisis de impacto sobre negocios y el desarrollo de estrategias en lo que respecta a procesos de base tecnológica.

Resumen (en_US)

This document presents a methodology for technological risk management based on the ISO (International Organization for Standardization) 31000 and the ISO/IEC (International Electrotechnical Commission) 27005 standards, taking into account that in these, only the “what” is indicated (what is required for risk management) but they do not indicate the “how”, (how to achieve such management). It also includes recommendations and best practices from other international standards and guidelines for risk management, security and services management.

The methodology was developed for technological risk given the increased use of information technology and hence the greater chance of breaking points or security holes arising during its use. Therefore it accounts for a form of assurance and control over the technology infrastructure (physical layer), information systems (logic layer) and organizational measures (human factor), from the technological perspective. The second part considers the integration of the methodology into the bussiness continuity management, giving support to the business impact analysis and strategies development in regards to technology-based processes.

Descargas

La descarga de datos todavía no está disponible.

Biografía del autor/a

Alexandra Ramírez Castro, Universidad Distrital Francisco José de Caldas

Nació en Bogotá, Colombia. Es ingeniera de sistemas de la Universidad Distrital Francisco José de Caldas. Se encuentra estudiando la Maestría en Seguridad de las Tecnologías de la Información y las Comunicaciones. Certificada como auditor interno BS 25999 (Gestión de continuidad de negocios) e ITIL Foundations v3 (Gestión de servicios de tecnología). Tiene estudios complementarios en gestión de proyectos y seguridad de la información.

Ha trabajado como consultora en gestión de riesgos y actualmente está vinculada con el Banco de Bogotá.

Zulima Ortiz Bayona, Universidad Distrital Francisco José de Caldas

Nació en Ocaña, Colombia, es Matemática de la Universidad Nacional de Colombia, Msc en Matemáticas de la Universidad Nacional de Colombia, Especialista en Teleinformática de la Universidad Distrital Francisco José de Caldas.

Actualmente se desempeña como profesora de tiempo completo de la Facultad de Ingeniería de la Universidad Francisco José de Caldas. Sus áreas de interés son la criptografía y la seguridad informática.

Referencias

Caída en la red de Bancolombia genera caos en los usuarios del sistema. (Febrero 2011). Recuperado de http://www.rcn.com.co/noticias/16-02-11/ca-da-de-la-red-en-bancolombia-gener-caos-en-los-usuarios-del-sistema.

Ramírez Castro, Alexandra. (2012). Desarrollo de una metodología para la gestión del riesgo tecnológico a partir de ISO 31000 e ISO 27005. Tesis de grado para optar como Ingeniera de sistemas, Proyecto curricular de ingeniería de sistemas, Universidad Distrital Francisco José de Caldas, Bogotá, Colombia.

ISO (International Standard Organization). (2011). Gestión del riesgo – Principios directrices. Estándar de Seguridad ISO 31000.

ISO (International Standard Organization). (2008). Tecnología de la información – Técnicas de seguridad – Gestión del riesgo de seguridad de la información. Estándar de Seguridad ISO/IEC 27005.

Ministerio de administraciones públicas. (2006). MAGERIT - Metodología de análisis y gestión de riesgos de los sistemas de información – Método, Versión 2, España.

NIST (National Institute of Standards and Technology). (2002). NIST SP 800-30. Guía de Gestión de riesgo para sistemas de tecnología de la Información – Recomendaciones del Instituto Nacional de Estándares y Tecnología.

ICONTEC (Instituto Colombiano de Normas Técnicas y Certificación). (2006). Gestión de riesgo, NTC 5254 - Norma Técnica Colombiana.

ISO (International Standard Organization). (2005). Tecnología de la Información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Requerimientos. Estándar de Seguridad ISO/IEC 27001,.

OGC (Office of government commerce). (2009). ITIL® V3 Foundation – Study guide book and online course. The art of service.

The Business Continuity Institute. (2010). Guía de buenas prácticas. Una guía de gestión para la implementación de buenas prácticas en la gestión de la continuidad del negocio.

Orientación acerca del enfoque basado en procesos para los sistemas de gestión de la calidad. (Mayo 2001). Recuperado de http://www.iram.com.ar/Documentos/Certificacion/Sistemas/ISO9000_2000/procesos.pdf.

ISO (International Standard Organization). (2005). Tecnología de la Información – Técnicas de seguridad – Código de prácticas para la gestión del a seguridad de la información. Estándar de Seguridad ISO/IEC 27002.

Kent Anderson. (2008). A business Model for information Security. Recuperado de http://www.isaca.org/Journal/Past-Issues/2008/Volume-3/Documents/jpdf0803-a-business-model.pdf

Thibodeau, Patrick. Computerworld. (Septiembre 2011). Computerworld: Como cambio el 11 de septiembre a los centros de datos. México. Recuperado de http://www.computerworldmexico.mx/articulos/18239.htm?goback=.gde_128300_member_162326734

Computerworld. (Septiembre 2011). Computerworld: Lecciones aprendidas para la recuperación de desastres tras el 9/11. México. Recuperado de http://www.computerworldmexico.mx/Articulos/18319.htm

Strozza, Pedro. (2001). Clarin.com: Las empresas que funcionaban en las Torres Gemelas intentan volver a la normalidad. Argentina. Recuperado de

http://edant.clarin.com/diario/2001/10/12/i-309412.htm

Ruiz Vega, Carolina. (Septiembre 2012). Cryptex – Seguridad de la información: Dos tercios de las empresas latinas carecen de una estrategia de gestión de riesgo. Recuperado de http://seguridad-informacion.blogspot.com/2012/09/dos-tercios-de-las-empreas-latinas.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+SeguridadDeLaInformacion+%28Seguridad+de+la+Informacion+link%3A+http%3A%2F%2Fseguridad-informacion.blogspot.com%29

Cómo citar
Ramírez Castro, A., & Ortiz Bayona, Z. (2011). Gestión de Riesgos tecnológicos basada en ISO 31000 e ISO 27005 y su aporte a la continuidad de negocios. Ingeniería, 16(2), 56-66. https://doi.org/10.14483/23448393.3833
Revista INGENIERÍA, Vol. 16, No. 2, 2011
Publicado: 2011-12-18

Artículos más leídos del mismo autor/a