contenido - ogacomités técnicos iso algunos… •tc-176 – sistemas de gestión de calidad –...
TRANSCRIPT
Bienvenidos Lic. M.A. Elder Guerra Villagrán
Vice-Presidente INLAC Guatemala
Registered expert en ISO/IEC
JTC 1/SC27, ISO TC/176
Kaplan&Norton BSC Certified
Graduate
Contenido La seguridad de la información. Familia de normas ISO 27000. Comités Técnicos de ISO. Panorama actual y futuro en
estándares de seguridad de la información.
Instituto Latinoamericano de la Calidad capítulo Guatemala INLAC-GT.
La Seguridad de la Información
Mejora
de la
Seguridad
t
Controles Propios
TCP/IP
-Seguridad de la Información- Evolución histórica
Estrategia, Riegos..
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
70s 80s 90s 0s
Cultura, Identidad,
Redes Sociales, Web Móvil.. Mainframes
Redes, Cliente-
Servidor
Internet
Cloud, SaaS,
PaaS, IaaS
BS
7799
ISO
27K
Gestión de Seguridad de la información hoy.. • Impacto estratégico. Oportunidad de ventaja
competitiva. • Planificación, fijación de objetivos, coordinación,
formación, adaptación de toda la organización. • Afecta a la sociedad en general: directivos,
trabajadores, clientes. • “Una filosofía, una cultura, una estrategia, un
estilo de gerencia de la empresa”. • Familia ISO 27000
Evolución histórica
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
o Impresa o escrita en papel. o Almacenada electrónicamente. o Enviada por correo o algún otro medio
electrónico. o Mostrada en los videos corporativos, intranets. o Verbal – expresada en conversaciones. o ….cualquier forma o medio de información con
el cual se comparta o almacene, siempre debe protegerse correctamente.
Almacenamiento y Comunicación de la Información
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Que es la Seguridad de la Información?
ISO 27000 define la seguridad de la información como la conservación de..
•Confidencialidad “Propiedad de que la información no esté disponible ni se revele a personas, entidades ni procesos no autorizados”
•Integridad “Propiedad de salvaguardar la exactitud, no puede ser modificada ni alterada por alguien sin los accesos necesarios”
•Disponibilidad “Propiedad de que una entidad autorizada tenga acceso y la use según la demanda”
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Seguridad de la Información
• Entonces como podemos proteger la Confidencialidad, Integridad y Disponibilidad de la información…
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Seguridad de la Información
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Controles
•Password, boot, disco.
•Encriptación.
•Políticas y Procedimientos.
•Legal (Acuerdo).
•Capacitación y Sensibilización.
•Seguro.
Ejemplo KISS….vendedor…
Seguridad de la Información
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Que podemos concluir…
•Los controles no necesariamente estan relacionados solo a tecnología.
•Es bueno incluir otras personas de la organización como RRHH, Procedimientos, Seguridad Física, Seguridad Legal.
•Terceros como aseguradoras y proveedores.
•La seguridad de la información, no puede basarse en un único control, consiste en una combinación de controles con los cuales se llega a cierto nivel de aceptación del nivel de riesgo al que está expuesta la información.
Seguridad de la Información
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
• Que hacemos entonces con una empresa que tiene cientos de laptops, servidores, redes..
• Con mucha infomación en la intranet, pcs, laptops, incluso en videos, contratos físicos y digitalizados, información en la mente de nuestros colaboradores…
• Si proteger nuestra laptop en el carro fue un poco facil, proteger toda la empresa contra esto se vuelve un reto……
Seguridad de la Información
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
…por esto necesitamos un Sistema de Gestión de la seguridad de la información, un SGSI.
•No es un tema de software
•No es un tema de proyectos
•Es Sistema de Gestión que debe incorporarse como parte de la cultura de la organización...
•Es un tema estratégico y debe ser incluido en el modelo de gobernabilidad, de incentivos, de control de gestión en general.
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Que es la Seguridad de la Información?
ISO 27000 define la seguridad de la información como la conservación de..
•Confidencialidad “Propiedad de que la información no esté disponible ni se revele a personas, entidades ni procesos no autorizados”
•Integridad “Propiedad de salvaguardar la exactitud, no puede ser modificada ni alterada por alguien sin los accesos necesarios”
•Disponibilidad “Propiedad de que una entidad autorizada tenga acceso y la use según la demanda”
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Gestión de la Seguridad de la Información “Aspecto de la función de gestión que determina y aplica la política, los objetivos y las responsabilidades que lo realizan con medios tales como la planificación, el control y la garantía de la mejora de la seguridad de la información”.
La gestión de la seguridad de la información es responsabilidad de todos los niveles ejecutivos, pero debe estar guiada por la alta dirección. Su realización involucra a todos los miembros de la organización.
Terminología…
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Sistema de gestión de seguridad de la información
“Conjunto de la estructura de la organización, de responsabilidades, políticas, procedimientos, procesos y recursos que se establecen para llevar a término la gestión de la seguridad de la información”.
Terminología…
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Familia de Normas ISO 27000
ISO 27000
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Algunas creencias…
ISO 27000
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
• Es solo un montón de documentos…
• Requiere una gran inversion en tecnología…
• Se puede implementar en 60 dias….
• Se lo asignaremos a nuestro gerente de IT para que lo haga mas rápido…
…..mentiras..
• Por estos y otros mitos, muchas empresas deciden no implementarlo y se pierden de ser mas competitivas y a lo mejor disminuir costos o incrementar sus ventas.
ISO 27000
• Es una metodología para la gestión de la protección de la información crítica de la empresa.
• Podemos aplicar las buenas practicas aunque no sea con fines de certificación.
• Si para la empresa es un factor competitivo la certificación, entonces se justifica invertir ello.
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
27000 Vocabulario
27001
Norma Principal, contiene los requisitos de un Sistema de Gestión de Seguridad de la Información. ANEXO A: 39 Objetivos de Control y 133 Controles, agrupados en 11 Dominios.
27002 Guia de buenas practicas que describe los objetivos de controles recomendables en cuanto a la seguridad de la información.
27003 Guia de Implementación del SGSI 27004 Desarrollo y utilización de Métricas
27005 Directrices para la gestión de riesgos en la seguridad de la información.
27006 Requisitos para acreditación de entidades de auditoría y certificación
27007 Guia de auditoria para un SGSI 27008 Guia de auditoria de los controles del SGSI
27011 Guia de Implementación de SGSI en sectores de telecomunicaciones
Familia ISO 27000
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Familia ISO 27000 DES 27013 Guia de Implementación de ISO 20K en conjunto con ISO 27k.
DES 27014 Guia de Gobierno Corporativo en la Seguridad de la Información.
DES 27015 Guia de SGSI para organizaciones del sector financiero y seguros.
DES 27016 Guia de Valoración de los aspectos financieros de la seguridad de la información.
DES 27017 Guia de Seguridad para Cloud Computing.
27031 Continuidad del Negocio (BS 25999).
DES 27032 Guia relativa a la ciberseguridad.
DES 27033 Seguridad en Redes, consiste en 7 partes.
DES 27034 Seguridad en Aplicaciones Informáticas, consiste en 5 partes.
27035 Gestión de Incidentes de Seguridad de la Información.
DES 27036 Guia de seguridad en las relaciones con los proveedores, consiste en 4 partes.
DES 27037 Guia de identificación, recopilación y custodia de evidencias digitales.
DES 27038 Guia de especificación para seguridad en la redacción digital.
DES 27039 Guia para la selección, desplliegue y operación de sistemas de detección y prevensión de intrusión (IDS/IPS).
DES 27040 Guia para la seguridad en medios de almacenamiento.
Comités Técnicos de la ISO
Comités Técnicos ISO
Estructura General
•P-Members – Países – Voz y Voto.
•O-Members – Países – Voz.
•Liaison – Organismos Internacionales - Voz.
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Comités Técnicos ISO
Algunos…
•TC-176 – Sistemas de Gestión de Calidad – ISO 9K
•TC-207 – Sistemas de Gestión Ambientales – ISO 14K
•JTC 1 – Relacionado a Tecnologías de la información – ISO 20k, ISO 27k
•..entre otros..
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Comités Técnicos ISO
Participación de Centro América
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Comités Técnicos ISO
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Comités Técnicos ISO
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Comités Técnicos ISO
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Panamá
– 1 Comité
Guatemala
• 0 comités, Correspondent Member
Honduras
• 0 comités, Suscriber Member
Nicaragua
• nada
Comités Técnicos ISO
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
-Correspondent members-
•Usualmente un país que no tiene todavía mucho desarrollo a nivel nacional en temas de estandarización y normas. •No toman parte activa ni técnica en la elaboración de los estándares, tiene derecho a estar informados en los temas que les interese.
-Suscriber members-
•Usualmente países con economías muy pequeñas. •Tienen derecho a contacto con la ISO.
fuente www.iso.org
Comités Técnicos de la ISO
-ISO/IEC JTC 1/SC27-
ISO/IEC JTC 1/SC27
• ISO International Standardization Organization
• IEC International Electrotechnical Comission
• JTC 1 Joint Thecnnical Committee 1 – Information Technology
• SC 27 Sub Committee 27 – IT Security Techniques
• WG 1 Working Group 1 – Information Security Management Systems
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
ISO/IEC JTC 1/SC27
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
fuente SC27 Platinum Book
ISO/IEC JTC 1/SC27
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
fuente SC27 Platinum Book
ISO/IEC JTC 1/SC27
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Participación de América Latina
en ISO/IEC JTC 1/SC27
• 47 P Members
• 18 O Members
America Latina…
– 3 P members (Mexico, Uruguay, Brasil)
– 3 O member (Argentina, Costa Rica, El Salvador)
– La participación en los comités técnicos ha disminuido.
fuente www.iso.org
ISO/IEC JTC 1/SC27
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
ISO/IEC JTC 1/SC27
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
• Países como el nuestro no invierten en ser miembros de comités técnicos.
• Ni en el comité de Calidad -ISO 9000-
• Ni comités de tecnología como donde se hace la ISO 27000.
….esto no quiere decir que al sector privado inclusive al sector gobierno no le interese..
ISO/IEC JTC 1/SC27
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
• INLAC esta permitiendo que éstos países tengan presencia y voz.
• Desde Guatemala estamos coordinando los los expertos técnicos INLAC-JTC1 de América Latina.
ISO/IEC JTC 1/SC27
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
INLAC solicitó ser organismo enlace para América Latina, Oct-2010 en Berlín, Alemania.
ISO/IEC JTC 1/SC27
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
INLAC solicitó ser organismo enlace para América Latina, Oct-2010 en Berlín, Alemania.
ISO/IEC JTC 1/SC27
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Expusimos la necesidad de mejorar la divulgación de los estándares de tecnología en América Latina y nuestro deseo de colaborar con ello.
ISO/IEC JTC 1/SC27
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
INLAC participa en Abril-2011 en la reunión en Singapur, ya como organismo enlace.
ISO/IEC JTC 1/SC27
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
INLAC participa en Abril-2011 en la reunión en Singapur, ya como organismo enlace.
Edward Humphreys - UK
Coordinador WG1
Padre de la ISO 27K
Satoru Yamasaki
Representa Japón
Líder 27017 –Cloud-
ISO/IEC JTC 1/SC27
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
INLAC participa en Abril-2011 en la reunión en Singapur, ya como organismo enlace.
Dale Johnstone - AU
WG1 Vice Convenor Angelika Plate
Lider Mundial
ISO/IEC JTC 1/SC27
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Próxima Reunión Mayo en Estocolmo, Suecia
ISO/IEC JTC 1/SC27
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Temas próxima Reunión,
Mayo en Estocolmo, Suecia WG1 Experts,
Please find attached the 1st Draft of the WG1 Agenda for the upcoming meetings in Stockholm, Sweden.
Also please find attached the logistics and registration document for this meeting.
Herewith is a summary of the WG1 documents currently under consideration:
WG1 SD1 - Roadmap - Revised CD text published for Comment [N10572]
27000 - Revised CD text published for Voting & Comment [N10574] + [N10575] (Special)
27001 - Revised CD text published for Voting & Comment [N10641] +[N10642] (Special)
27002 - Revised CD text published for Voting & Comment [N10656]
27004 - Pre-Review Contributions Sort [N10685]
27010 - ITTF FDIS [N10681]
27013 - ITTF DIS [N10623]
27014 - ITTF DIS [N10621]
27015 - Revised PDTR text published for Voting & Comment [N10590]
27016 - Revised WD text published for Voting & Comment [N10592]
27017 - Due to the delayed release of 27002 - the revised WD text is expected to be available before end of January 2012 [N10594]
Study Period - Using Capability Maturity Models in Information Security Management [N10618]
Study Period - Cloud Computing Security and Privacy [N10615]
Study Period - Privacy / Personal Information Management Systems (PIMS) [N10679]
Call for contributions for potential new standardization activities in area of Smart Grid [N10504]
Kind regards,
Edward & Dale
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Ya nos esperan y cuentan con nuestros comentarios..
INLAC
Instituto Latinoamericano de la Calidad
INLAC BOARD
•Membership control
•Coordination ISO TC’s
•Review of ISO/TC’s documents
Vision
Mission
Objetives
Agreement
Procedures
Programs
ETHICAL CODE Policy
Organizational Structure
INLAC
BRASIL
INLAC
COLOMBIA
INLAC
GUATEMALA
INLAC
MÉXICO
INLAC
USA
INLAC
VENEZUELA
INLAC that are formalized
Delegations authorized by Board
INLAC
CUBA
INLAC
ARGENTINA INLAC
CHILE
In process to formalized
INLAC
ECUADOR
INLAC
EL SALVADOR
INLAC
PERÚ Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Asociación no Lucrativa.
Creada en 1,993 en México.
Misión: Promover en Latinoamérica una cultura de calidad en la industria, en los servicios y en las nuevas generaciones.
El capítulo Guatemala se lanzó en Agosto-2010.
Actualmente 2 expertos técnicos INLAC-GT participando en comités técnicos de la ISO.
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Socios fundadores capítulo Guatemala.. Super Intendencia de Bancos Seguros Universales, S.A. Fianzas Universales, S.A. Banco Agrícola Mercantil S.O.S. Asistencia y Ajustes, S.A. Servicios Integrados de Calidad (Si-Calidad) Promociones en Exportación ProExport –Grupo Tecún- Envasadora de Alimentos y Conservas, S.A. (ACSA) Industrias Ana Belly Grupo Multi-Vistas Dirección del Sistema Nacional de la Calidad, Ministerio de Economía
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Necesitamos tu apoyo dando opiniones sobre documentos técnicos, normas en revisión.
Hazte Socio, tenemos distintos tipos de
membresias. Puedes postularte para partcipar en un comité
técnico de la ISO.
Para 2do. Semestre-2012, lanzaremos la red de opinión de Expertos Técnicos. (estar pendientes)
Elder Guerra - VP INLAC-GT,
Guatemala, Sep-2012
Gracias
Lic. M.A. Elder Guerra Villagrán
Vice-Presidente INLAC Guatemala
www.inlac.org.gt www.inlac.org
Registered expert en ISO/IEC
JTC 1/SC27, ISO TC/176
Kaplan&Norton BSC Certified