Beruflich Dokumente
Kultur Dokumente
Carlos Manuel FERNNDEZ Ing. en Informtica. CISA, CISM. Gerente de TICs (AENOR). Septiembre 2009
AENOR
ndice
Hoja de Ruta en las TICs Riesgos de los SI en las empresas El SGSI Certificacin de los SGSI Ventajas Algunos datos de certificacin Otras certificaciones TIC
2
AENOR
Quin es AENOR?
Asociacin privada Sin nimo de lucro Constitucin: 1986 Real decreto 2200/95 AENOR Corporacin. AENOR INTERNACIONAL (9 filiales). AENOR Mxico (10 aos en Mxico DF y Delegaciones) . Multisectorial Normalizacin Certificacin productos, servicios, sistemas de gestin y personal
Servicios de Formacin.
AENOR
TICs
AENOR
1.-IT Governance
ISO/IEC 38500 Gobierno de las TICs
ISO 12207
Ciclo de Vida de Desarrollo de Software
ISO 20000-2
Gua de Buenas Prcticas
5.- Nuevos productos y otros: Infraestructura CPD Green DATACENTER Buenas Prcticas Comercio Electrnico Software Original Accesibilidad WEB AENOR
AENOR
AENOR
Riesgos Empresariales
En el World Economic Forums Annual DAVOS meetingSWISS RE informa de su estudio encuesta a nivel mundial (60 entrevistas a senior executives en USA, Francia, Alemania, Italia, Japn y Reino Unido. Dic2005 ).
El riesgo de los Ordenadores y las TICs ocupa el primer lugar en 3 pases (Japn, Reino Unido y USA), y en el top three de los otros pases, para sus negocios. Como herramienta primordial para mitigar estos riesgos de SI indican el Control Interno Informtico.
AENOR
Un 5% dice que tienen acceso a areas de la red corporativa que no deberan tener.
Fuente: McAffee.
AENOR
Conclusiones:
La Direccin de las cas. Tiene una percepcin ms positiva de los CIOs que siguen criterios de Negocio. Les dan el rol de lderes contribuidores de negocio en un 58% La Gestin de las TICs mejora el posicionamiento del dpto. de SI y del CIO En un futuro los CIOS ms gestores y menos tecnlogos (Encuesta a: 85 Directores de TICs, 36 Dir. Generales y 12 Presidentes)
AENOR
AENOR
Seguridad de la Informacin
Para conducir y operar exitosamente una organizacin se requiere, que se
salvaguarden los activos, mantenga la integridad de los datos e infraestructura, suministre informacin relevante y fiable, trabaje de forma eficiente, tengan dispuestos controles internos que aporten garanta razonable de que los objetivos de negocio se alcanzan.
11
AENOR
CONFIDENCIALIDAD
Asegurar que la informacin es accesible solo para aquellos autorizados a tener acceso.
INTEGRIDAD
Garantizar la exactitud y completitud de la informacin y los mtodos de su proceso
12
El Sistema de Gestin de la SI
Es, Aquella parte del sistema general de gestin que comprende la poltica, la estructura organizativa, los procedimientos, los procesos, y los recursos necesarios para implantar la gestin de la seguridad de la informacin.
La herramienta de que dispone la Direccin para implantar las polticas y objetivos de Seguridad de la Informacin.
Permite, establecer y reordenar la Seguridad de los Sistemas de Informacin en concordancia con los Planes Estratgicos de la Organizacin y con sus Polticas de Seguridad.
13
AENOR
1 Poltica de Seguridad de Informacin 2 Estructura organizativa de la SI 3 Clasificacin y control de activos 4 Seguridad ligada al personal 5 Seguridad fsica y del entorno
6 Gestin de comunicaciones y operaciones 7 Control de accesos 8 Desarrollo y mantenimiento de sistemas 9 Gestin de Incidentes de Seguridad 10. Gestin Continuidad de Negocio 11 Conformidad y Cumplimiento legislacin
14
AENOR
Riesgo Residual
Activo1-------R1
AENOR
16
AENOR
Objeto y Alcance Esta norma especifica los requisitos para establecer, implantar, documentar y evaluar un SGSI. Especifica los requisitos de los controles de seguridad de acuerdo con las necesidades de las organizaciones, independientemente de su tipo, tamao o rea de actividad.
17
AENOR
11 REAS
AENOR
19
AENOR
Nivel 1
Manual de seguridad
Poltica(s), alcance evaluacin de riesgo, declaracin de aplicabilidad
Nivel 2
Describe procesos - quin, qu, cundo, dnde (4.1- 4.10) Describe las tareas y las actividades especficas y cmo se realizan
Nivel 3
Nivel 4
Proporciona las pruebas objetivas del cumplimiento con las exigencias del SGSI (clusula 3.6)
Registros
20
AENOR
En concordancia con las polticas de Seguridad y planes estratgicos de la Organizacin. Es la herramienta de que dispone la Direccin para implantar las polticas y objetivos de Seguridad de la Informacin:
Integridad, confidencialidad y disponibilidad.
21
AENOR
22
AENOR
23
AENOR
El proceso de certificacin
ANLISIS DE LA DOCUMENTACIN (MANUAL, PROCEDIMIENTOS) FASE I CUESTIONARIO PRELIMINAR Y SOLICITUD VISITA PREVIA FASE I
INFORME
AUDITORA DEL SISTEMA FASE II
INFORME
AUDITORAS DE RENOVACIN
INFORME
24
AENOR
25
AENOR
Seleccionar controles y dispositivos fsicos y lgicos adecuados a la estructura de la organizacin Asegurar el nivel necesario de disponibilidad, integridad, y confidencialidad de la informacin
26
AENOR
AENOR
28
AENOR
Bibliografa
Gua de Aplicacin de la Norma UNE-ISO/IEC 27001:2007 sobre Seguridad en Sistemas de Informacin para pymes. AENOR Ediciones 2009
MAGERIT: Metodologa de anlisis y gestin de riesgos de los sistemas de informacin de las Administraciones Pblicas. www.csi.map.es/csi/pg5m20.htm
Seguridad de las Tecnologas de la Informacin. AENOR. 2003. Varios Autores: Eduardo Fdez. Medina, Roberto Moya, Mario Piattini, etc.. www.aenor.es Seguridad Informtica para empresas y particulares. 2004. Mc Graw Hill y Panda. Gonzalo Alvrez Maran y Pedro Pablo Prez. Revisin: Pedro Bustamante. NIST Special Publication SP 800-12: An Introduction to Computer Security.The NIST Handbook. National Institute of Standards and Technology. http://csrc.nist.gov/publications/nistpubs/800-12/ Information Security Governance: Guidance for Boards of Directors and Executive Management. IT Governance Institute. Control Objectives for Information and Related Technology (Cobit) . www.isaca.org/cobit.htm
AENOR