Estndares Internacionales de Tecnologas de la Informacin (ISO)

SGSI (UNE ISO/IEC 27001). Sistemas de Gestin de la Seguridad de la Informacin.

Carlos Manuel FERNNDEZ Ing. en Informtica. CISA, CISM. Gerente de TICs (AENOR). Septiembre 2009

AENOR

ndice

Hoja de Ruta en las TICs Riesgos de los SI en las empresas El SGSI Certificacin de los SGSI Ventajas Algunos datos de certificacin Otras certificaciones TIC
2

AENOR

Quin es AENOR?
Asociacin privada Sin nimo de lucro Constitucin: 1986 Real decreto 2200/95 AENOR Corporacin. AENOR INTERNACIONAL (9 filiales). AENOR Mxico (10 aos en Mxico DF y Delegaciones) . Multisectorial Normalizacin Certificacin productos, servicios, sistemas de gestin y personal
Servicios de Formacin.

AENOR

Normas con relacin con TICs

BS2599 (1 y 2) Gestin de continuidad de negocio

ISO 27002 Gua de controles ISO 27001 S.G. Seguridad de la Informacin

IT Governance ISO 38500

TICs

ISO 15504 SPiCE

ISO 20000-2 Gua de buenas prcticas

ISO 20001-1 S.G. STI

ISO 19770 SAM

ISO 12207 Ciclo de vida de desarrollo de software

AENOR

Hoja de Ruta en las TICs

1.-BCM BS25999(1y 2)
Bussines Continuity Management. BSI standard

1.-IT Governance
ISO/IEC 38500 Gobierno de las TICs

2.-Procesos de Ingeniera de Software

3.-Procesos / Servicios en Datacenter

2.-SPICE ISO 15504

Modelo de Evaluacin, Mejora y Capacidad de Software

4.-SAM ISO 19770

Software Asset Management

3.1-SGSTI ISO 20000-1

Sistema de Gestin Servicios TI

ISO 12207
Ciclo de Vida de Desarrollo de Software

ISO 20000-2
Gua de Buenas Prcticas

5.- Nuevos productos y otros: Infraestructura CPD Green DATACENTER Buenas Prcticas Comercio Electrnico Software Original Accesibilidad WEB AENOR

3.2. SGSI UNE-ISO 27001

ISO 27002 Gua de Controles

3.3. ISO/IEC 24762

Disaster Recovery Services

AENOR

Factores que influyen en la Seguridad de los SI:

Actualmente: Nueva York y en los 80s : Mainframe Ciudad de vila. Magerit Amplio uso de la Tecnologa. Interconectividad de los sistemas. Sistemas abiertos y distribuidos. Cambios muy rpidos en las TICs. Ataques a Organizaciones. Tema atractivo?. Factores externos: Legislacin .etc...
(Information Security Governance. 2001. IT Governance Institute).

AENOR

Riesgos Empresariales
En el World Economic Forums Annual DAVOS meetingSWISS RE informa de su estudio encuesta a nivel mundial (60 entrevistas a senior executives en USA, Francia, Alemania, Italia, Japn y Reino Unido. Dic2005 ).
El riesgo de los Ordenadores y las TICs ocupa el primer lugar en 3 pases (Japn, Reino Unido y USA), y en el top three de los otros pases, para sus negocios. Como herramienta primordial para mitigar estos riesgos de SI indican el Control Interno Informtico.

AENOR

Informe de riesgos en las TICs

Uno de cada 5 empleados deja a su familia y amigos usar sus porttiles corporativos para acceder a Internet. (21%). Uno de cada diez confiesa que baja algn tipo de contenido que no debiera mientras est en el trabajo. Dos tercios admiten tener conocimientos muy limitados en materia de seguridad.

Un 5% dice que tienen acceso a areas de la red corporativa que no deberan tener.
Fuente: McAffee.

AENOR

Gestin de las TICs con criterios de Negocio.

Informe Penteo (2006):
Slo un 21% de las cas gestionan el Dpto. de SI con criterios de negocio 31 % gestionan el dpto. de SI slo con criterios tecnolgicos 48 % gestionan con criterios hbridos

Conclusiones:
La Direccin de las cas. Tiene una percepcin ms positiva de los CIOs que siguen criterios de Negocio. Les dan el rol de lderes contribuidores de negocio en un 58% La Gestin de las TICs mejora el posicionamiento del dpto. de SI y del CIO En un futuro los CIOS ms gestores y menos tecnlogos (Encuesta a: 85 Directores de TICs, 36 Dir. Generales y 12 Presidentes)

AENOR

ISO 27001: SG de la Seguridad de la Informacin

Solucin a los Riesgos Empresariales, Decisin estratgica de la organizacin Modelo para la definicin, implementacin, operacin, revisin, mantenimiento y mejora del SG de la SI.
Sigue pautas de ISO 9001 e ISO 14001. Para todo tipo de organizaciones. En el marco de los riesgos empresariales generales. Fin, seleccionar controles de seguridad, adecuados y proporcionados. Enfoque por procesos, y para la mejora contnua.
SGSI_1 10

AENOR

Seguridad de la Informacin
Para conducir y operar exitosamente una organizacin se requiere, que se
salvaguarden los activos, mantenga la integridad de los datos e infraestructura, suministre informacin relevante y fiable, trabaje de forma eficiente, tengan dispuestos controles internos que aporten garanta razonable de que los objetivos de negocio se alcanzan.

11

AENOR

Propiedades principales asociadas a la Informacin

DISPONIBILIDAD
Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la informacin y sus activos asociados.

CONFIDENCIALIDAD
Asegurar que la informacin es accesible solo para aquellos autorizados a tener acceso.

INTEGRIDAD
Garantizar la exactitud y completitud de la informacin y los mtodos de su proceso

La gestin eficaz de la Seguridad de la Informacin permite a la organizacin preservarlas.

AENOR

12

El Sistema de Gestin de la SI
Es, Aquella parte del sistema general de gestin que comprende la poltica, la estructura organizativa, los procedimientos, los procesos, y los recursos necesarios para implantar la gestin de la seguridad de la informacin.

La herramienta de que dispone la Direccin para implantar las polticas y objetivos de Seguridad de la Informacin.
Permite, establecer y reordenar la Seguridad de los Sistemas de Informacin en concordancia con los Planes Estratgicos de la Organizacin y con sus Polticas de Seguridad.

13

AENOR

SGSI - UNE ISO 27001. MODELO PDCA

Definir poltica de seguridad Establecer alcance del al SGSI Realizar anlisis de riesgos Seleccionar los controles

Implantar plan de gestin de riesgos Implantar el SGSI Implantar los controles

ISO IEC 27002

1 Poltica de Seguridad de Informacin 2 Estructura organizativa de la SI 3 Clasificacin y control de activos 4 Seguridad ligada al personal 5 Seguridad fsica y del entorno

6 Gestin de comunicaciones y operaciones 7 Control de accesos 8 Desarrollo y mantenimiento de sistemas 9 Gestin de Incidentes de Seguridad 10. Gestin Continuidad de Negocio 11 Conformidad y Cumplimiento legislacin

Adoptar las acciones correctivas Adoptar las acciones preventivas

Revisar internamente el SGSI Realizar auditorias internas del SGSI

14

AENOR

Gestin de riesgos Implantacin de controles

Procesos
Activos de SI Anlisis y Gestin de riesgos R=F(X1,X2,X3,Xn) Integridad (X1) Confidencialidad (X2) Disponibilidad (X3) Amenazas (X4) Vulnerabilidades (X5) Impacto Econmico (X6) XN Activo2-------R2 Aplicando ISO/IEC 27002 (Seleccin de Controles)
15

Riesgo Residual

Sistemas de informacin (aplicativos)

Software Hardware Telecomunicaciones Personas

Activo1-------R1

AENOR

ISO 27001: Especificaciones para los SGSI

1 Objeto y Alcance 2 Referencias Normativas 3 Trminos y Definiciones 4 SGSI 5 Responsabilidad de Direccin. 6 Auditoras Internas

7 Revisin del SGSI por la Direccin

8 Mejora del SGSI 9 Bibliografa Anexo A: Objetivos de Control y Controles Anexo B: Principios de OCDE. Anexo C: Correspondencia con ISO 9001:200, ISO 14001:2004

16

AENOR

SGSI - ISO/IEC 27001

Objeto y Alcance Esta norma especifica los requisitos para establecer, implantar, documentar y evaluar un SGSI. Especifica los requisitos de los controles de seguridad de acuerdo con las necesidades de las organizaciones, independientemente de su tipo, tamao o rea de actividad.

17

AENOR

SGSI - ISO/IEC 27002: Objetivos y Controles

Cada rea o dominio tiene asociados uno o varios objetivos de seguridad. Para cada objetivo se definen, a su vez, uno o ms controles de seguridad cuya implantacin debe traducirse en la consecucin del objetivo de seguridad asociado

11 REAS

39 OBJETIVOS CONTROL 133 CONTROLES

18

AENOR

SGSI - ISO/IEC 27002: Objetivos y Controles

19

AENOR

La documentacin del SGSI

Nivel 1

Manual de seguridad
Poltica(s), alcance evaluacin de riesgo, declaracin de aplicabilidad

Nivel 2

Describe procesos - quin, qu, cundo, dnde (4.1- 4.10) Describe las tareas y las actividades especficas y cmo se realizan

Procedimientos Instrucciones de trabajo, listas de comprobacin, formularios, etc.

Nivel 3

Nivel 4

Proporciona las pruebas objetivas del cumplimiento con las exigencias del SGSI (clusula 3.6)

Registros

20

AENOR

Caractersticas del SGSI

Este Sistema proporciona mecanismos para la salvaguarda:
De los Activos de Informacin. De los Sistemas que los procesan.

En concordancia con las polticas de Seguridad y planes estratgicos de la Organizacin. Es la herramienta de que dispone la Direccin para implantar las polticas y objetivos de Seguridad de la Informacin:
Integridad, confidencialidad y disponibilidad.

21

AENOR

Factores crticos para el xito

Una seguridad orientada al negocio Implementar la Seguridad en consonancia con la cultura de la empresa Apoyo visible y compromiso de la Direccin. Buen entendimiento de los requisitos de seguridad, de la evaluacin y gestin de los riesgos. Convencer de la necesidad de la seguridad a directivos y empleados. Proveer formacin y guas sobre polticas y normas a toda la organizacin. Un sistema de medicin para evaluar el rendimiento de la gestin de la seguridad y sugerir mejoras.

22

AENOR

Acreditacin de AENOR ISO 27001

23

AENOR

El proceso de certificacin
ANLISIS DE LA DOCUMENTACIN (MANUAL, PROCEDIMIENTOS) FASE I CUESTIONARIO PRELIMINAR Y SOLICITUD VISITA PREVIA FASE I

INFORME
AUDITORA DEL SISTEMA FASE II

INFORME

AUDITORAS DE RENOVACIN

INFORME

REGISTRO SISTEMA DE GESTIN

PLAN DE ACCIONES CORRECTORAS 1 mes

AUDITORAS DE SEGUIMIENTO ANUALES AUDITORA EXTRAORDINARIA

CONCESIN DEL CERTIFICADO

24

AENOR

Ventajas de certificar la Seguridad de la Informacin

Para los Sistemas de Informacin:
Sistematizar las actividades de SI Ahorro de recursos en las actividades de SI, mejorando la motivacin e implicacin de los empleados Analizar riesgos: identificar amenazas, vulnerabilidades e impactos en la actividad empresarial Establecer objetivos y metas que permitan aumentar el nivel de confianza en la seguridad Planificar, organizar y estructurar los recursos asignados a seguridad de la informacin

Identificar y clasificar los activos de informacin

25

AENOR

Ventajas de certificar la Seguridad de la Informacin

Seleccionar controles y dispositivos fsicos y lgicos adecuados a la estructura de la organizacin Asegurar el nivel necesario de disponibilidad, integridad, y confidencialidad de la informacin

Establecer planes para adecuada gestin de la continuidad del negocio

Establecer procesos y actividades de revisin, mejora continua y auditora de la gestin y tratamiento de la informacin

26

AENOR

Ventajas de certificar la Seguridad de la Informacin

Para el Negocio: Integrar la gestin de la seguridad de la informacin con otras modalidades de gestin empresarial Mejorar la imagen, confianza y competitividad empresarial. Certificacin y reconocimiento por terceros. Comprobar su compromiso con el cumplimiento de la legislacin: proteccin de datos de carcter personal, servicios sociedad de informacin, comercio electrnico, propiedad intelectual, etc... Dar satisfaccin a accionistas y demostrar el valor aadido de las actividades de seguridad de la informacin en la empresa.
APORTA CONFIANZA A LOS SISTEMAS DE INFORMACIN
27

AENOR

28

AENOR

Bibliografa
Gua de Aplicacin de la Norma UNE-ISO/IEC 27001:2007 sobre Seguridad en Sistemas de Informacin para pymes. AENOR Ediciones 2009

MAGERIT: Metodologa de anlisis y gestin de riesgos de los sistemas de informacin de las Administraciones Pblicas. www.csi.map.es/csi/pg5m20.htm
Seguridad de las Tecnologas de la Informacin. AENOR. 2003. Varios Autores: Eduardo Fdez. Medina, Roberto Moya, Mario Piattini, etc.. www.aenor.es Seguridad Informtica para empresas y particulares. 2004. Mc Graw Hill y Panda. Gonzalo Alvrez Maran y Pedro Pablo Prez. Revisin: Pedro Bustamante. NIST Special Publication SP 800-12: An Introduction to Computer Security.The NIST Handbook. National Institute of Standards and Technology. http://csrc.nist.gov/publications/nistpubs/800-12/ Information Security Governance: Guidance for Boards of Directors and Executive Management. IT Governance Institute. Control Objectives for Information and Related Technology (Cobit) . www.isaca.org/cobit.htm

Implementation guide ISO 27001/ISO 17799. Van Haren

29

AENOR