Norma ISO/IEC 27005
Adelmo Antonio Navarro Dávila Presentado por: Adelmo Antonio Navarro Dávila Cód: 1150028
ISO/IEC 27005 Esta norma hace parte de la creciente familia de estándares internacionales que son publicados por la Organización Internacional de Estandarización (ISO, por sus siglas en inglés) y la Comisión Electrotécnica Internacional (IEC) en el área del Sistema de Gestión de la Seguridad de la Información (SGSI). Su título completo es ISO/IEC 27005, Tecnología de la Información, Técnicas de Seguridad, Gestión del Riesgo de la Seguridad de la Información. Esta norma especifica un estructurado, sistemático y riguroso proceso para el análisis de riesgos para crear un plan de tratamiento de riesgos en una corporación. Sin embargo, esta norma no brinda ninguna metodología específica para la gestión del riesgo en la seguridad de la información. Corresponde a la organización definir su enfoque para la gestión del riesgo, dependiendo por ejemplo del alcance de su SGSI, del contexto de la gestión del riesgo o del sector en el que se aplica.
ISO/IEC 27005 Esta norma se aplica a todos los tipos de organizaciones (Empresas comerciales, agencias del gobierno, organizaciones sin ánimo de lucro, entre otras) que pretenden gestionar los riesgos que podrían comprometer la seguridad de la información de la organización.
ISO/IEC 27005: Términos y Definiciones Impacto: Cambio adverso en el nivel de los objetivos del negocio logrados. Riesgo en la seguridad de la información: Potencial de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando así daño a la organización. Evitación del riesgo: Decisión de no involucrarse en una situación de riesgo o tomar acción para retirarse de dicha situación. Comunicación del riesgo: Intercambiar o compartir la información acerca del riesgo entre la persona que toma la decisión y otras partes interesadas. Estimación del riesgo: Proceso para asignar valores a la probabilidad y las consecuencias de un riesgo. Identificación del riesgo: Proceso para encontrar, enumerar y caracterizar los elementos de riesgo. Reducción del riesgo: Acciones que se toman para disminuir la probabilidad las consecuencias negativas, o ambas, asociadas con un riesgo. Retención del riesgo: Aceptación de la pérdida o ganancia proveniente de un riesgo particular. Transferencia del riesgo: Compartir con otra de las partes la pérdida o la ganancia de un riesgo.
ISO/IEC 27005: Términos y Definiciones La gestión del riesgo en la seguridad de la información debería contribuir a: La identificación de los riesgos. La evaluación de los riesgos en términos de sus consecuencias para el negocio y la probabilidad de su ocurrencia. La comunicación y entendimiento de la probabilidad y las consecuencias de estos riesgos. El establecimiento del orden de prioridad para el tratamiento de los riesgos. La priorización de las acciones para reducir la ocurrencia de los riesgos. La participación de los interesados cuando se toman las decisiones sobre gestión del riesgo y mantenerlos informados sobre el estado de la gestión del riesgo. La eficacia del monitoreo del tratamiento del riesgo. El monitoreo y revisión con regularidad del riesgo y los procesos de gestión de riesgos.
ISO/IEC 27005: Esquema
ISO/IEC 27005: Ejemplo, Empresa ABC La empresa ABC, una reconocida empresa de telefonía móvil en la ciudad de Machu Picchu, se encarga de vender dispositivos móviles y de ofrecer planes postpago, cuenta con una única sede principal en el centro de la ciudad. Últimamente ha tenido problemas en el departamento de ventas, con lo cual los directivos decidieron aplicar la norma ISO/IEC 27005 para el análisis y evaluación de los riesgos y amenazas para posteriormente aplicar herramientas correctivas y solucionar los problemas que representan pérdidas para la empresa.
A. Identificación Del Proceso ISO/IEC 27005: Ejemplo, Empresa ABC A. Identificación Del Proceso 1. Nombre y sigla del proceso: Ventas (V) 2. Descripción: En este proceso, el asesor comercial se encarga de aplicar estrategias de mercadeo y negocios para concretar de manera eficiente las ventas de los productos y servicios que la empresa ofrece. 3. Tipo de proceso: Clave 4. Responsables: Director del departamento de ventas y asesores comerciales. 5. Destinatario: Usuarios que requieran dispositivos móviles y/o planes prepago/postpago para diversas necesidades en comunicación de telefonía móvil. 6. Inicio: Cuando se empieza una relación comercial con el cliente. Donde se ofrecen diversos productos y servicios. 7. Fin: Termina cuando el cliente acepta o rechaza lo propuesto en la relación comercial. 8. Entrada: Necesidades del cliente, información sobre planes de negocios, stock. 9. Salidas: Ofertas, pedidos aceptados, contratos firmados registros de ventas y clientes 10. Registros: Contratos de compra de equipos y contratos de planes. 11. Aplicación informática: Plataforma de ventas ABC Versión 1.0.
B. Identificación de Activos Subprocesos/Actividades ISO/IEC 27005: Ejemplo, Empresa ABC B. Identificación de Activos Subprocesos/Actividades Atención al cliente Oferta de equipos y/o de planes Venta de equipos y/o planes Registro de venta de equipos y/o planes Archivo de contratos diligenciados por el cliente Manejo de la plataforma ABC Aplicación de planes de negocio Realización de informes periódicos sobre las ventas
B. Identificación de Activos ISO/IEC 27005: Ejemplo, Empresa ABC B. Identificación de Activos Información Normas internas de la empresa Plan de negocios Plan estratégico de ventas Manual del asesor comercial Información de los clientes Información de los dispositivos móviles
B. Identificación de Activos ISO/IEC 27005: Ejemplo, Empresa ABC B. Identificación de Activos Tecnológicos Físicos Humanos Recurso Cantidad Estado Cargo Computador PH omni 999 15 Bueno Mesa de oficina, 4 gavetas Director del departamento de ventas Impresora PH 1043T 5 Archivero metálico, 5 gavetas Excelente Asesor comercial Clientes Servidor ZIZKO server 2 Mesa de trabajo, 2 gavetas Teclado PH Mouse PH Access Point ZIZKO 1
B. Identificación de Activos ISO/IEC 27005: Ejemplo, Empresa ABC B. Identificación de Activos Tecnológicos Recurso Versión Sistema Operativo Güindous XD 9.5 Herramienta Ofimática Güindous word XD Antivirus HABAZT versión completa 1000 Plataforma de ventas ABC 1.0
ISO/IEC 27005: Ejemplo, Empresa ABC C. Actividades del Proceso: Planear (P), Hacer (H), Verificar (V), Actuar (A) Emisor Entradas Actividades Salidas Receptor Ventas Calendario Laboral (P) Planeación laboral semanal, mensual y anual. Cronograma de actividades laborales semanales, mensuales y anuales. Ventas y Mercadeo Estrategias de negocios (P) Planeación sobre las estrategias de negocios a aplicar en el proceso de ventas. Plan de negocios Trimestral, semestral y anual. Contrato de adquisición de un dispositivo móvil (H) Venta de un dispositivo móvil. Contrato diligenciado por el cliente para su posterior registro en el sistema. Ventas, Clientes Contrato de servicio de telefonía postpago (H) Adquisición del servicio de telefonía móvil a través de un plan.
ISO/IEC 27005: Ejemplo, Empresa ABC C. Actividades del Proceso: Planear (P), Hacer (H), Verificar (V), Actuar (A) Emisor Entradas Actividades Salidas Receptor Ventas, Mercadeo y Gerencia Requerimientos sobre metas en ventas para los asesores (P) Definición de una meta mensual fija mínima en ventas para los asesores. Especificaciones de las metas en los contratos de los asesores Ventas Registros y estadísticas de ventas mensuales, trimestrales, semestrales y anuales (V) Realización de informes sobre las ventas de productos y servicios de la compañía. Informes de estadísticas de ventas mensuales, trimestrales, semestrales y anuales. Gerencia y Contabilidad
ISO/IEC 27005: Ejemplo, Empresa ABC D. Identificación de Amenazas Amenazas: Internas (I) y Externas (E) Debilidades (Factor Interno) Perdida de los registros de ventas y clientes (I). No se planificó un sistema de respaldo al crear la BD. Caídas inesperadas del sistema (I). En ciertas temporadas los servidores no dan abasto a las peticiones de los clientes. Problemas de seguridad en la plataforma ABC (I). En la implementación de la plataforma no se diseñó un módulo de seguridad. Acceso no autorizado a la plataforma ABC (E). Hay falencias en la asignación de privilegios de los usuarios de la plataforma. Por falta de vigilantes en las instalaciones se robaron 2 equipos de computo (I). En los requerimientos de seguridad se especificó que se necesitaban 10 vigilantes pero las directivas sólo aprobaron la contratación de 5. No existe un sistema de cámaras de seguridad y en el robo de los 2 equipos no habían testigos presentes (E). La junta directiva no aprobó la implementación de un sistema de cámaras de seguridad La chapa del portón de la bodega está dañado (I). La empresa encargada de proveer las puertas de las bodegas no cuenta con registro calificado de calidad. Protestas de usuarios inconformes con el servicio cerca a las instalaciones (E). Existen problemas en la plataforma y en los servicios.
ISO/IEC 27005: Ejemplo, Empresa ABC D. Identificación de Amenazas Amenazas (Factor Externo) Debilidades (Factor Interno) Sabotaje a la infraestructura por parte de delincuentes (E). El esquema de seguridad es pobre. No existen planes de contingencia para tratar actos vandálicos (I). Falta de planeación para estos casos. Tormentas eléctricas con altas probabilidades de rayos (E). Falta de planeación en el diseño del sistema eléctrico del edificio.
ISO/IEC 27005: Ejemplo, Empresa ABC x E. Mapa de Riesgos y Controles Causas y Riesgos Controles Causas Riesgo Descripción Preventivo Correctivo Perdida de los registros de ventas y clientes. Robo y perdida de información Realizar respaldos periódicos para asegurar la información de las ventas y de los clientes. x Caídas inesperadas del sistema. Problemas de seguridad en la plataforma ABC. Acceso no autorizado a la plataforma ABC. Implementar un módulo de seguridad en la plataforma. No existe un sistema de cámaras de seguridad y en el robo de los 2 equipos no habían testigos presentes. Robo de dispositivos de la bodega y de las oficinas Contratar más vigilantes y comprar cámaras para ubicarlos en zonas estratégicas de la compañía. Por falta de vigilantes en las instalaciones 1 espía robo información sobre ventas. Espionaje corporativo Comprar una chapa nueva y cambiar la chapa vieja del portón de la bodega. La chapa del portón de la bodega está dañado.
Daños en la infraestructura física Daños en los equipos eléctricos ISO/IEC 27005: Ejemplo, Empresa ABC E. Mapa de Riesgos Causas y Riesgos Controles Causas Riesgo Descripción Preventivo Correctivo Protestas de usuarios inconformes con el servicio cerca a las instalaciones. Daños en la infraestructura física Diseño de planes de contingencia y de esquemas de seguridad de la mano con instituciones de policía y de seguridad de la compañía. x Sabotaje a la infraestructura por parte de delincuentes. No existen planes de contingencia para tratar actos vandálicos. Tormentas eléctricas con altas probabilidades de rayos. Daños en los equipos eléctricos Diseño e instalación de un sistema pararrayos en el edificio de la compañía.
Referencias Bibliográficas ISO/IEC 27005, disponible en: http://en.wikipedia.org/wiki/ISO/IEC_27005 http://www.iso27001security.com/html/27005.html http://es.scribd.com/doc/124454177/ISO-27005-espanol Mapa de procesos, disponible en: http://www.formatoedu.com/web_gades/docs/2__Mapa_de_Procesos_1.pdf Proceso de venta, disponible en: http://www.promonegocios.net/mercadotecnia/proceso-venta.htm Recursos de la empresa, disponible en: http://es.slideshare.net/pepelucholuyoluyo/14-va-semana-rh-rf-rm-rt-re Ciclo Planear, Hacer, Verificar, Actuar, disponible en: http://www.blog-top.com/el-ciclo-phva-planear-hacer-verificar-actuar/
Gracias Por Su Atención Septiembre 2014