Norma ISO/IEC 27005 Presentado por
Download
Report
Transcript Norma ISO/IEC 27005 Presentado por
ISO/IEC 27005
Esta norma hace parte de la creciente familia de estándares internacionales que son
publicados por la Organización Internacional de Estandarización (ISO, por sus siglas
en inglés) y la Comisión Electrotécnica Internacional (IEC) en el área del Sistema de
Gestión de la Seguridad de la Información (SGSI).
Su título completo es ISO/IEC 27005, Tecnología de la Información, Técnicas de
Seguridad, Gestión del Riesgo de la Seguridad de la Información.
Esta norma especifica un estructurado, sistemático y riguroso proceso para el análisis
de riesgos para crear un plan de tratamiento de riesgos en una corporación. Sin
embargo, esta norma no brinda ninguna metodología específica para la gestión del
riesgo en la seguridad de la información. Corresponde a la organización definir su
enfoque para la gestión del riesgo, dependiendo por ejemplo del alcance de su SGSI,
del contexto de la gestión del riesgo o del sector en el que se aplica.
ISO/IEC 27005
Esta norma se aplica a todos los tipos de organizaciones (Empresas comerciales,
agencias del gobierno, organizaciones sin ánimo de lucro, entre otras) que pretenden
gestionar los riesgos que podrían comprometer la seguridad de la información de la
organización.
ISO/IEC 27005: Términos y Definiciones
• Impacto: Cambio adverso en el nivel de los objetivos del negocio logrados.
• Riesgo en la seguridad de la información: Potencial de que una amenaza
determinada explote las vulnerabilidades de los activos o grupos de activos causando
así daño a la organización.
• Evitación del riesgo: Decisión de no involucrarse en una situación de riesgo o
tomar acción para retirarse de dicha situación.
• Comunicación del riesgo: Intercambiar o compartir la información acerca del
riesgo entre la persona que toma la decisión y otras partes interesadas.
• Estimación del riesgo: Proceso para asignar valores a la probabilidad y las
consecuencias de un riesgo.
• Identificación del riesgo: Proceso para encontrar, enumerar y caracterizar los
elementos de riesgo.
• Reducción del riesgo: Acciones que se toman para disminuir la probabilidad las
consecuencias negativas, o ambas, asociadas con un riesgo.
• Retención del riesgo: Aceptación de la pérdida o ganancia proveniente de un riesgo
particular.
• Transferencia del riesgo: Compartir con otra de las partes la pérdida o la ganancia
de un riesgo.
ISO/IEC 27005: Términos y Definiciones
La gestión del riesgo en la seguridad de la información debería contribuir a:
• La identificación de los riesgos.
• La evaluación de los riesgos en términos de sus consecuencias para el negocio y la
probabilidad de su ocurrencia.
• La comunicación y entendimiento de la probabilidad y las consecuencias de estos
riesgos.
• El establecimiento del orden de prioridad para el tratamiento de los riesgos.
• La priorización de las acciones para reducir la ocurrencia de los riesgos.
• La participación de los interesados cuando se toman las decisiones sobre gestión
del riesgo y mantenerlos informados sobre el estado de la gestión del riesgo.
• La eficacia del monitoreo del tratamiento del riesgo.
• El monitoreo y revisión con regularidad del riesgo y los procesos de gestión de
riesgos.
ISO/IEC 27005: Esquema
ISO/IEC 27005: Ejemplo, Empresa ABC
La empresa ABC, una reconocida empresa de telefonía móvil en la ciudad de Machu
Picchu, se encarga de vender dispositivos móviles y de ofrecer planes postpago,
cuenta con una única sede principal en el centro de la ciudad. Últimamente ha tenido
problemas en el departamento de ventas, con lo cual los directivos decidieron aplicar
la norma ISO/IEC 27005 para el análisis y evaluación de los riesgos y amenazas para
posteriormente aplicar herramientas correctivas y solucionar los problemas que
representan pérdidas para la empresa.
ISO/IEC 27005: Ejemplo, Empresa ABC
A. Identificación Del Proceso
1. Nombre y sigla del proceso: Ventas (V)
2. Descripción: En este proceso, el asesor comercial se encarga de aplicar estrategias de mercadeo
y negocios para concretar de manera eficiente las ventas de los productos y servicios que la
empresa ofrece.
3. Tipo de proceso: Clave
4. Responsables: Director del departamento de ventas y asesores comerciales.
5. Destinatario: Usuarios que requieran dispositivos móviles y/o planes prepago/postpago para
diversas necesidades en comunicación de telefonía móvil.
6. Inicio: Cuando se empieza una relación comercial con el cliente. Donde se ofrecen diversos
productos y servicios.
7. Fin: Termina cuando el cliente acepta o rechaza lo propuesto en la relación comercial.
8. Entrada: Necesidades del cliente, información sobre planes de negocios, stock.
9. Salidas: Ofertas, pedidos aceptados, contratos firmados registros de ventas y clientes
10. Registros: Contratos de compra de equipos y contratos de planes.
11. Aplicación informática: Plataforma de ventas ABC Versión 1.0.
ISO/IEC 27005: Ejemplo, Empresa ABC
B. Identificación de Activos
Subprocesos/Actividades
Atención al cliente
Oferta de equipos y/o de planes
Venta de equipos y/o planes
Registro de venta de equipos y/o planes
Archivo de contratos diligenciados por el cliente
Manejo de la plataforma ABC
Aplicación de planes de negocio
Realización de informes periódicos sobre las ventas
ISO/IEC 27005: Ejemplo, Empresa ABC
B. Identificación de Activos
Información
Normas internas de la empresa
Plan de negocios
Plan estratégico de ventas
Manual del asesor comercial
Información de los clientes
Información de los dispositivos móviles
ISO/IEC 27005: Ejemplo, Empresa ABC
B. Identificación de Activos
Tecnológicos
Físicos
Humanos
Recurso
Cantidad
Estado
Recurso
Cantidad
Estado
Cargo
Computador
PH omni 999
15
Bueno
Mesa de
oficina, 4
gavetas
15
Bueno
Director del departamento de
ventas
Impresora
PH 1043T
5
Bueno
Archivero
metálico, 5
gavetas
5
Excelente
Asesor comercial
Servidor
ZIZKO server
2
Bueno
Mesa de
trabajo, 2
gavetas
5
Teclado PH
15
Bueno
Mouse PH
15
Bueno
Access Point
ZIZKO
1
Bueno
Clientes
Excelente
ISO/IEC 27005: Ejemplo, Empresa ABC
B. Identificación de Activos
Tecnológicos
Recurso
Versión
Sistema Operativo Güindous XD
9.5
Herramienta Ofimática Güindous word XD
9.5
Antivirus HABAZT versión completa
1000
Plataforma de ventas ABC
1.0
ISO/IEC 27005: Ejemplo, Empresa ABC
C. Actividades del Proceso: Planear (P), Hacer (H), Verificar (V), Actuar (A)
Emisor
Entradas
Actividades
Salidas
Receptor
Ventas
Calendario Laboral
(P) Planeación laboral
semanal, mensual y
anual.
Cronograma de
actividades laborales
semanales, mensuales y
anuales.
Ventas
Ventas y Mercadeo
Estrategias de
negocios
(P) Planeación sobre
las estrategias de
negocios a aplicar en
el proceso de ventas.
Plan de negocios
Trimestral, semestral y
anual.
Ventas y
Mercadeo
Ventas
Contrato de
adquisición de un
dispositivo móvil
(H) Venta de un
dispositivo móvil.
Contrato diligenciado
por el cliente para su
posterior registro en el
sistema.
Ventas,
Clientes
Ventas
Contrato de
servicio de
telefonía postpago
(H) Adquisición del
servicio de telefonía
móvil a través de un
plan.
Contrato diligenciado
por el cliente para su
posterior registro en el
sistema.
Ventas,
Clientes
ISO/IEC 27005: Ejemplo, Empresa ABC
C. Actividades del Proceso: Planear (P), Hacer (H), Verificar (V), Actuar (A)
Emisor
Entradas
Actividades
Salidas
Receptor
Ventas,
Mercadeo y
Gerencia
Requerimientos sobre
metas en ventas para
los asesores
(P) Definición de una
meta mensual fija
mínima en ventas
para los asesores.
Especificaciones de
las metas en los
contratos de los
asesores
Ventas
Ventas
Registros y
estadísticas de ventas
mensuales,
trimestrales,
semestrales y anuales
(V) Realización de
informes sobre las
ventas de productos
y servicios de la
compañía.
Informes de
estadísticas de
ventas mensuales,
trimestrales,
semestrales y
anuales.
Gerencia y
Contabilidad
ISO/IEC 27005: Ejemplo, Empresa ABC
D. Identificación de Amenazas
Amenazas: Internas (I) y Externas (E)
Debilidades (Factor Interno)
Perdida de los registros de ventas y clientes (I).
No se planificó un sistema de respaldo al crear la
BD.
Caídas inesperadas del sistema (I).
En ciertas temporadas los servidores no dan abasto
a las peticiones de los clientes.
Problemas de seguridad en la plataforma ABC (I).
En la implementación de la plataforma no se
diseñó un módulo de seguridad.
Acceso no autorizado a la plataforma ABC (E).
Hay falencias en la asignación de privilegios de los
usuarios de la plataforma.
Por falta de vigilantes en las instalaciones se robaron 2
equipos de computo (I).
En los requerimientos de seguridad se especificó
que se necesitaban 10 vigilantes pero las directivas
sólo aprobaron la contratación de 5.
No existe un sistema de cámaras de seguridad y en el robo
de los 2 equipos no habían testigos presentes (E).
La junta directiva no aprobó la implementación de
un sistema de cámaras de seguridad
La chapa del portón de la bodega está dañado (I).
La empresa encargada de proveer las puertas de las
bodegas no cuenta con registro calificado de
calidad.
Protestas de usuarios inconformes con el servicio cerca a las
instalaciones (E).
Existen problemas en la plataforma y en los
servicios.
ISO/IEC 27005: Ejemplo, Empresa ABC
D. Identificación de Amenazas
Amenazas (Factor Externo)
Debilidades (Factor Interno)
Sabotaje a la infraestructura por parte de delincuentes (E).
El esquema de seguridad es pobre.
No existen planes de contingencia para tratar actos
vandálicos (I).
Falta de planeación para estos casos.
Tormentas eléctricas con altas probabilidades de rayos (E).
Falta de planeación en el diseño del sistema
eléctrico del edificio.
ISO/IEC 27005: Ejemplo, Empresa ABC
E. Mapa de Riesgos y Controles
Causas y Riesgos
Causas
Riesgo
Controles
Descripción
Preventivo
Realizar respaldos periódicos para asegurar
la información de las ventas y de los
clientes.
x
Correctivo
Perdida de los registros de
ventas y clientes.
Caídas inesperadas del
sistema.
Problemas de seguridad en
la plataforma ABC.
Robo y perdida de
información
Acceso no autorizado a la
plataforma ABC.
No existe un sistema de
cámaras de seguridad y en
el robo de los 2 equipos no
habían testigos presentes.
Robo de dispositivos
de la bodega y de las
oficinas
Por falta de vigilantes en las
instalaciones 1 espía robo
información sobre ventas.
Espionaje
corporativo
La chapa del portón de la
bodega está dañado.
x
Implementar un módulo de seguridad en la
plataforma.
Contratar más vigilantes y comprar cámaras
para ubicarlos en zonas estratégicas de la
compañía.
Comprar una chapa nueva y cambiar la
chapa vieja del portón de la bodega.
x
x
ISO/IEC 27005: Ejemplo, Empresa ABC
E. Mapa de Riesgos
Causas y Riesgos
Causas
Riesgo
Descripción
Preventivo
Daños en la
infraestructura
física
Diseño de planes de contingencia y de
esquemas de seguridad de la mano
con instituciones de policía y de
seguridad de la compañía.
x
Daños en los
equipos
eléctricos
Diseño e instalación de un sistema
pararrayos en el edificio de la
compañía.
x
Protestas de usuarios
inconformes con el
servicio cerca a las
instalaciones.
Sabotaje a la
infraestructura por
parte de delincuentes.
Controles
No existen planes de
contingencia para tratar
actos vandálicos.
Tormentas eléctricas
con altas probabilidades
de rayos.
Correctivo
Referencias Bibliográficas
• ISO/IEC 27005, disponible en:
http://en.wikipedia.org/wiki/ISO/IEC_27005
http://www.iso27001security.com/html/27005.html
http://es.scribd.com/doc/124454177/ISO-27005-espanol
• Mapa de procesos, disponible en:
http://www.formatoedu.com/web_gades/docs/2__Mapa_de_Procesos_1.pdf
• Proceso de venta, disponible en:
http://www.promonegocios.net/mercadotecnia/proceso-venta.htm
• Recursos de la empresa, disponible en:
http://es.slideshare.net/pepelucholuyoluyo/14-va-semana-rh-rf-rm-rt-re
• Ciclo Planear, Hacer, Verificar, Actuar, disponible en:
http://www.blog-top.com/el-ciclo-phva-planear-hacer-verificar-actuar/
Septiembre 2014