Norma ISO/IEC 27005
Presentado por:Adelmo Antonio Navarro Dávila
Cód: 1150028
ISO/IEC 27005
Esta norma hace parte de la creciente familia de estándares internacionales que son publicados por la Organización Internacional de Estandarización (ISO, por sus siglas en inglés) y la Comisión Electrotécnica Internacional (IEC) en el área del Sistema de Gestión de la Seguridad de la Información (SGSI).
Su título completo es ISO/IEC 27005, Tecnología de la Información, Técnicas de Seguridad, Gestión del Riesgo de la Seguridad de la Información.
Esta norma especifica un estructurado, sistemático y riguroso proceso para el análisis de riesgos para crear un plan de tratamiento de riesgos en una corporación. Sin embargo, esta norma no brinda ninguna metodología específica para la gestión del riesgo en la seguridad de la información. Corresponde a la organización definir su enfoque para la gestión del riesgo, dependiendo por ejemplo del alcance de su SGSI, del contexto de la gestión del riesgo o del sector en el que se aplica.
ISO/IEC 27005
Esta norma se aplica a todos los tipos de organizaciones (Empresas comerciales, agencias del gobierno, organizaciones sin ánimo de lucro, entre otras) que pretenden gestionar los riesgos que podrían comprometer la seguridad de la información de la organización.
ISO/IEC 27005: Términos y Definiciones
• Impacto: Cambio adverso en el nivel de los objetivos del negocio logrados.
• Riesgo en la seguridad de la información: Potencial de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando así daño a la organización.
• Evitación del riesgo: Decisión de no involucrarse en una situación de riesgo o tomar acción para retirarse de dicha situación.
• Comunicación del riesgo: Intercambiar o compartir la información acerca del riesgo entre la persona que toma la decisión y otras partes interesadas.
• Estimación del riesgo: Proceso para asignar valores a la probabilidad y las consecuencias de un riesgo.
• Identificación del riesgo: Proceso para encontrar, enumerar y caracterizar los elementos de riesgo.
• Reducción del riesgo: Acciones que se toman para disminuir la probabilidad las consecuencias negativas, o ambas, asociadas con un riesgo.
• Retención del riesgo: Aceptación de la pérdida o ganancia proveniente de un riesgo particular.
• Transferencia del riesgo: Compartir con otra de las partes la pérdida o la ganancia de un riesgo.
ISO/IEC 27005: Términos y Definiciones
La gestión del riesgo en la seguridad de la información debería contribuir a:
• La identificación de los riesgos.• La evaluación de los riesgos en términos de sus consecuencias para el negocio y la
probabilidad de su ocurrencia.• La comunicación y entendimiento de la probabilidad y las consecuencias de estos
riesgos.• El establecimiento del orden de prioridad para el tratamiento de los riesgos.• La priorización de las acciones para reducir la ocurrencia de los riesgos.• La participación de los interesados cuando se toman las decisiones sobre gestión
del riesgo y mantenerlos informados sobre el estado de la gestión del riesgo.• La eficacia del monitoreo del tratamiento del riesgo.• El monitoreo y revisión con regularidad del riesgo y los procesos de gestión de
riesgos.
ISO/IEC 27005: Esquema
ISO/IEC 27005: Ejemplo, Empresa ABC
La empresa ABC, una reconocida empresa de telefonía móvil en la ciudad de Machu Picchu, se encarga de vender dispositivos móviles y de ofrecer planes postpago, cuenta con una única sede principal en el centro de la ciudad. Últimamente ha tenido problemas en el departamento de ventas, con lo cual los directivos decidieron aplicar la norma ISO/IEC 27005 para el análisis y evaluación de los riesgos y amenazas para posteriormente aplicar herramientas correctivas y solucionar los problemas que representan pérdidas para la empresa.
ISO/IEC 27005: Ejemplo, Empresa ABCA. Identificación Del Proceso
1. Nombre y sigla del proceso: Ventas (V)
2. Descripción: En este proceso, el asesor comercial se encarga de aplicar estrategias de mercadeo y negocios para concretar de manera eficiente las ventas de los productos y servicios que la empresa ofrece.
3. Tipo de proceso: Clave
4. Responsables: Director del departamento de ventas y asesores comerciales.
5. Destinatario: Usuarios que requieran dispositivos móviles y/o planes prepago/postpago para diversas necesidades en comunicación de telefonía móvil.
6. Inicio: Cuando se empieza una relación comercial con el cliente. Donde se ofrecen diversos productos y servicios.
7. Fin: Termina cuando el cliente acepta o rechaza lo propuesto en la relación comercial.
8. Entrada: Necesidades del cliente, información sobre planes de negocios, stock.
9. Salidas: Ofertas, pedidos aceptados, contratos firmados registros de ventas y clientes
10. Registros: Contratos de compra de equipos y contratos de planes.
11. Aplicación informática: Plataforma de ventas ABC Versión 1.0.
ISO/IEC 27005: Ejemplo, Empresa ABCB. Identificación de Activos
Subprocesos/Actividades
Atención al cliente
Oferta de equipos y/o de planes
Venta de equipos y/o planes
Registro de venta de equipos y/o planes
Archivo de contratos diligenciados por el cliente
Manejo de la plataforma ABC
Aplicación de planes de negocio
Realización de informes periódicos sobre las ventas
ISO/IEC 27005: Ejemplo, Empresa ABC
B. Identificación de Activos
Información
Normas internas de la empresa
Plan de negocios
Plan estratégico de ventas
Manual del asesor comercial
Información de los clientes
Información de los dispositivos móviles
ISO/IEC 27005: Ejemplo, Empresa ABCB. Identificación de Activos
Tecnológicos Físicos Humanos
Recurso Cantidad Estado Recurso Cantidad Estado Cargo
Computador PH omni 999
15 Bueno Mesa de oficina, 4 gavetas
15 Bueno Director del departamento de ventas
Impresora PH 1043T
5 Bueno Archivero metálico, 5
gavetas
5 Excelente Asesor comercial
Clientes
Servidor ZIZKO server
2 Bueno Mesa de trabajo, 2 gavetas
5 Excelente
Teclado PH 15 Bueno
Mouse PH 15 Bueno
Access Point ZIZKO
1 Bueno
ISO/IEC 27005: Ejemplo, Empresa ABC
B. Identificación de Activos
Tecnológicos
Recurso Versión
Sistema Operativo Güindous XD 9.5
Herramienta Ofimática Güindous word XD 9.5
Antivirus HABAZT versión completa 1000
Plataforma de ventas ABC 1.0
ISO/IEC 27005: Ejemplo, Empresa ABCC. Actividades del Proceso: Planear (P), Hacer (H), Verificar (V), Actuar (A)
Emisor Entradas Actividades Salidas Receptor
Ventas Calendario Laboral (P) Planeación laboral semanal, mensual y
anual.
Cronograma de actividades laborales
semanales, mensuales y anuales.
Ventas
Ventas y Mercadeo Estrategias de negocios
(P) Planeación sobre las estrategias de
negocios a aplicar en el proceso de ventas.
Plan de negocios Trimestral, semestral y
anual.
Ventas y Mercadeo
Ventas Contrato de adquisición de un dispositivo móvil
(H) Venta de un dispositivo móvil.
Contrato diligenciado por el cliente para su
posterior registro en el sistema.
Ventas, Clientes
Ventas Contrato de servicio de
telefonía postpago
(H) Adquisición del servicio de telefonía móvil a través de un
plan.
Contrato diligenciado por el cliente para su
posterior registro en el sistema.
Ventas, Clientes
ISO/IEC 27005: Ejemplo, Empresa ABCC. Actividades del Proceso: Planear (P), Hacer (H), Verificar (V), Actuar (A)
Emisor Entradas Actividades Salidas Receptor
Ventas, Mercadeo y
Gerencia
Requerimientos sobre metas en ventas para
los asesores
(P) Definición de una meta mensual fija mínima en ventas para los asesores.
Especificaciones de las metas en los contratos de los
asesores
Ventas
Ventas Registros y estadísticas de ventas
mensuales, trimestrales,
semestrales y anuales
(V) Realización de informes sobre las
ventas de productos y servicios de la
compañía.
Informes de estadísticas de
ventas mensuales, trimestrales, semestrales y
anuales.
Gerencia y Contabilidad
ISO/IEC 27005: Ejemplo, Empresa ABCD. Identificación de Amenazas
Amenazas: Internas (I) y Externas (E) Debilidades (Factor Interno)Perdida de los registros de ventas y clientes (I). No se planificó un sistema de respaldo al crear la
BD.
Caídas inesperadas del sistema (I). En ciertas temporadas los servidores no dan abasto a las peticiones de los clientes.
Problemas de seguridad en la plataforma ABC (I). En la implementación de la plataforma no se diseñó un módulo de seguridad.
Acceso no autorizado a la plataforma ABC (E). Hay falencias en la asignación de privilegios de los usuarios de la plataforma.
Por falta de vigilantes en las instalaciones se robaron 2 equipos de computo (I).
En los requerimientos de seguridad se especificó que se necesitaban 10 vigilantes pero las directivas
sólo aprobaron la contratación de 5.
No existe un sistema de cámaras de seguridad y en el robo de los 2 equipos no habían testigos presentes (E).
La junta directiva no aprobó la implementación de un sistema de cámaras de seguridad
La chapa del portón de la bodega está dañado (I). La empresa encargada de proveer las puertas de las bodegas no cuenta con registro calificado de
calidad.
Protestas de usuarios inconformes con el servicio cerca a las instalaciones (E).
Existen problemas en la plataforma y en los servicios.
ISO/IEC 27005: Ejemplo, Empresa ABC
D. Identificación de AmenazasAmenazas (Factor Externo) Debilidades (Factor Interno)
Sabotaje a la infraestructura por parte de delincuentes (E). El esquema de seguridad es pobre.
No existen planes de contingencia para tratar actos vandálicos (I).
Falta de planeación para estos casos.
Tormentas eléctricas con altas probabilidades de rayos (E). Falta de planeación en el diseño del sistema eléctrico del edificio.
ISO/IEC 27005: Ejemplo, Empresa ABCE. Mapa de Riesgos y Controles
Causas y Riesgos Controles
Causas Riesgo Descripción Preventivo CorrectivoPerdida de los registros de
ventas y clientes.
Robo y perdida de información
Realizar respaldos periódicos para asegurar la información de las ventas y de los
clientes. xCaídas inesperadas del sistema.
Problemas de seguridad en la plataforma ABC.
Acceso no autorizado a la plataforma ABC. Implementar un módulo de seguridad en la
plataforma. xNo existe un sistema de
cámaras de seguridad y en el robo de los 2 equipos no habían testigos presentes.
Robo de dispositivos de la bodega y de las
oficinasContratar más vigilantes y comprar cámaras
para ubicarlos en zonas estratégicas de la compañía. x
Por falta de vigilantes en las instalaciones 1 espía robo información sobre ventas.
Espionaje corporativo
Comprar una chapa nueva y cambiar la chapa vieja del portón de la bodega. x
La chapa del portón de la bodega está dañado.
ISO/IEC 27005: Ejemplo, Empresa ABCE. Mapa de Riesgos
Causas y Riesgos Controles
Causas Riesgo Descripción Preventivo Correctivo
Protestas de usuarios inconformes con el servicio cerca a las
instalaciones.
Daños en la infraestructura
física
Diseño de planes de contingencia y de esquemas de seguridad de la mano
con instituciones de policía y de seguridad de la compañía.
xSabotaje a la infraestructura por
parte de delincuentes.
No existen planes de contingencia para tratar
actos vandálicos.
Tormentas eléctricas con altas probabilidades
de rayos.
Daños en los equipos
eléctricos
Diseño e instalación de un sistema pararrayos en el edificio de la
compañía. x
Referencias Bibliográficas
• ISO/IEC 27005, disponible en:http://en.wikipedia.org/wiki/ISO/IEC_27005http://www.iso27001security.com/html/27005.htmlhttp://es.scribd.com/doc/124454177/ISO-27005-
espanol• Mapa de procesos, disponible en:
http://www.formatoedu.com/web_gades/docs/2__Mapa_de_Procesos_1.pdf• Proceso de venta, disponible en:
http://www.promonegocios.net/mercadotecnia/proceso-venta.htm• Recursos de la empresa, disponible en:
http://es.slideshare.net/pepelucholuyoluyo/14-va-semana-rh-rf-rm-rt-re
• Ciclo Planear, Hacer, Verificar, Actuar, disponible en:http://www.blog-top.com/el-ciclo-phva-planear-
hacer-verificar-actuar/
Septiembre 2014
Gracias Por Su Atención