AENOR

Estándares Internacionales de Tecnologías de la Información (ISO)

SGSI (UNE ISO/IEC 27001). Sistemas de Gestión de la Seguridad de la Información.

Carlos Manuel FERNÁNDEZ

Ing. en Informática. CISA, CISM.

Gerente de TICs (AENOR).

Septiembre 2009

AENOR

Índice

• Hoja de Ruta en las TICs

• Riesgos de los SI en las empresas

• El SGSI

• Certificación de los SGSI

• Ventajas

• Algunos datos de certificación

• Otras certificaciones TIC

2

AENOR

¿Quién es AENOR?

Asociación privada

Sin ánimo de lucro

Constitución: 1986

Real decreto 2200/95

AENOR Corporación.

AENOR INTERNACIONAL (9 filiales).

AENOR México (10 años en México DF y Delegaciones) .

Multisectorial

Normalización

Certificación productos, servicios, sistemas de gestión y personal

Servicios de Formación.

AENOR

ISO 20000-2 Guía de buenas

prácticasISO 19770

SAMISO 20001-1

S.G. STI

ISO 27002 Guía de

controles

ISO 27001 S.G. Seguridad de la

Información

BS2599 (1 y 2)

Gestión de continuidad de

negocio

ISO 15504 SPiCE

IT Governance

ISO 38500

ISO 12207 Ciclo de vida de

desarrollo de software

Normas con relación con TICs

TICs

AENOR© AENOR

1´.-BCM –

BS25999(1y 2)Bussines Continuity Management. BSI

standard

1.-IT

GovernanceISO/IEC 38500

Gobierno de las TICs

2.-SPICE – ISO 15504Modelo de Evaluación, Mejora y Capacidad de

Software

4.-SAM

ISO 19770Software Asset Management

3.2. SGSI

UNE-ISO 27001

ISO 27002

Guía de

Controles

ISO 12207Ciclo de Vida de Desarrollo de

Software

3.1-SGSTI

ISO 20000-1Sistema de Gestión Servicios TI

ISO 20000-2Guía de Buenas

Prácticas

2.-Procesos de Ingeniería de Software 3.-Procesos / Servicios en Datacenter

5.- Nuevos productos y otros:

•Infraestructura CPD – Green

DATACENTER

• Buenas Prácticas Comercio

Electrónico

• Software Original

• Accesibilidad WEB

Hoja de Ruta en las TICs

3.3. ISO/IEC

24762Disaster Recovery Services

AENOR

Factores que influyen en la Seguridad de los SI:

• Actualmente: Nueva York y en los 80´s :

Mainframe – Ciudad de Ávila. Magerit

• Amplio uso de la Tecnología.

• Interconectividad de los sistemas. Sistemas abiertos y distribuidos.

• Cambios muy rápidos en las TICs.

• Ataques a Organizaciones. Tema atractivo?.

• Factores externos: Legislación .etc...(Information Security Governance. 2001. IT Governance Institute).

6

AENOR

Riesgos Empresariales

En el World Economic Forums Annual – DAVOS meeting-SWISS RE informa de su estudio – encuesta a nivel mundial (60 entrevistas a senior executives en USA, Francia, Alemania, Italia, Japón y Reino Unido. Dic-2005 ).

– El riesgo de los Ordenadores y las TICs ocupa el primer lugar en 3 países (Japón, Reino Unido y USA), y en el top three de los otros países, para sus negocios.

– Como herramienta primordial para mitigar estos riesgos de SI indican el Control Interno Informático.

7

AENOR

Informe de riesgos en las TICs

• Uno de cada 5 empleados deja a su familia y amigos usar sus portátiles corporativos para acceder a Internet. (21%).

• Uno de cada diez confiesa que baja algún tipo de contenido que no debiera mientras está en el trabajo.

• Dos tercios admiten tener conocimientos muy limitados en materia de seguridad.

• Un 5% dice que tienen acceso a areas de la red corporativa que no deberían tener.

Fuente: McAffee.

8

AENOR

Gestión de las TICs con criterios de Negocio.

• Informe Penteo (2006):– Sólo un 21% de las cías gestionan el Dpto. de SI con criterios de negocio

– 31 % gestionan el dpto. de SI sólo con criterios tecnológicos

– 48 % gestionan con criterios híbridos

• Conclusiones:– La Dirección de las cías. Tiene una percepción más positiva de los CIOs

que siguen criterios de Negocio. Les dan el rol de líderes contribuidores de negocio en un 58%

– La Gestión de las TICs mejora el posicionamiento del dpto. de SI y del CIO

– En un futuro los CIOS más gestores y menos tecnólogos

(Encuesta a: 85 Directores de TICs, 36 Dir. Generales y 12 Presidentes)

9

AENOR

ISO 27001: SG de la Seguridad de la Información

Solución a los Riesgos Empresariales,

Decisión estratégica de la organización

• Modelo para la definición, implementación, operación, revisión, mantenimiento y mejora del SG de la SI.

Sigue pautas de ISO 9001 e ISO 14001.

Para todo tipo de organizaciones.

En el marco de los riesgos empresariales generales.

Fin, seleccionar controles de seguridad, adecuados y proporcionados.

Enfoque por procesos, y para la mejora contínua.

SGSI_1 10

AENOR

Seguridad de la Información

Para conducir y operar exitosamente una organizaciónse requiere, que se

salvaguarden los activos,

mantenga la integridad de los datos e infraestructura,

suministre información relevante y fiable,

trabaje de forma eficiente,

tengan dispuestos controles internos que aportengarantía razonable de que los objetivos de negocio sealcanzan.

11

AENOR

Propiedades principales asociadas a la Información

La gestión eficaz de la Seguridad de la Información permite a la organización preservarlas.

DISPONIBILIDAD CONFIDENCIALIDAD

INTEGRIDAD

Asegurar que la información es accesible solo para aquellos autorizados a tener acceso.

Garantizar la exactitud y

completitud de la información y

los métodos de su proceso

Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.

12

AENOR

El Sistema de Gestión de la SI

Es,

• Aquella parte del sistema general de gestión que comprende

la política, la estructura organizativa, los procedimientos, los

procesos, y los recursos necesarios para implantar la gestión de

la seguridad de la información.

• La herramienta de que dispone la Dirección para implantar las

políticas y objetivos de Seguridad de la Información.

Permite, establecer y reordenar la Seguridad de los Sistemas deInformación en concordancia con los Planes Estratégicos de laOrganización y con sus Políticas de Seguridad.

13

AENOR

SGSI - UNE ISO 27001. MODELO PDCA

1 Política de Seguridad de Información2 Estructura organizativa de la SI3 Clasificación y control de activos4 Seguridad ligada al personal5 Seguridad física y del entorno

6 Gestión de comunicaciones y operaciones7 Control de accesos8 Desarrollo y mantenimiento de sistemas9 Gestión de Incidentes de Seguridad10. Gestión Continuidad de Negocio11 Conformidad y Cumplimiento legislación

ISO IEC 27002

“P”

“D”

“C”

“A”

Definir política de seguridadEstablecer alcance del al SGSIRealizar análisis de riesgosSeleccionar los controles

Implantar plan de gestión de riesgosImplantar el SGSIImplantar los controles

Revisar internamente el SGSIRealizar auditorias internas del SGSI

Adoptar las acciones correctivasAdoptar las acciones preventivas

14

AENOR

Gestión de riesgos – Implantación de controles

Activos de SI

Sistemas de información (aplicativos)

Software

Hardware

Telecomunicaciones

Personas

Análisis y Gestión de riesgos

R=F(X1,X2,X3,Xn)

Integridad (X1)

Confidencialidad (X2)

Disponibilidad (X3)

Amenazas (X4)

Vulnerabilidades (X5)

Impacto Económico (X6)

XN

Riesgo Residual

Activo1-------R’1

Activo2-------R’2

Aplicando

ISO/IEC 27002

(Selección de

Controles)

Procesos

15

AENOR

ISO 27001: Especificaciones para los SGSI

1 Objeto y Alcance

2 Referencias Normativas

3 Términos y Definiciones

4 SGSI

5 Responsabilidad de Dirección.

6 Auditorías Internas

7 Revisión del SGSI por la Dirección

8 Mejora del SGSI

9 Bibliografía

Anexo A: Objetivos de Control y Controles

Anexo B: Principios de OCDE.

Anexo C: Correspondencia con ISO 9001:200, ISO 14001:2004

16

AENOR

SGSI - ISO/IEC 27001

Objeto y Alcance

• Esta norma especifica los requisitos para establecer, implantar,documentar y evaluar un SGSI.

• Especifica los requisitos de los controles de seguridad deacuerdo con las necesidades de las organizaciones,independientemente de su tipo, tamaño o área de actividad.

17

AENOR

• Cada área o dominio tiene asociados uno o varios objetivos de

seguridad.

• Para cada objetivo se definen, a su vez, uno o más controles de

seguridad cuya implantación debe traducirse en la consecución

del objetivo de seguridad asociado

133 CONTROLES

11 ÁREAS

39 OBJETIVOS

CONTROL

SGSI - ISO/IEC 27002: Objetivos y Controles

18

AENOR19

SGSI - ISO/IEC 27002: Objetivos y Controles

AENOR

La documentación del SGSI

Procedimientos

Registros

Manual de seguridad

Política(s), alcanceevaluación de riesgo,declaración de aplicabilidad

Describe procesos - quién, qué, cuándo, dónde (4.1- 4.10)

Describe las tareas y las actividades específicas y cómo se realizan

Proporciona las pruebas objetivas del cumplimiento con las exigencias del SGSI (cláusula 3.6)

Nivel 2

Nivel 3

Nivel 4

Nivel 1

Instrucciones de trabajo,listas de comprobación, formularios, etc.

20

AENOR

Características del SGSI

Este Sistema proporciona mecanismos para la

salvaguarda:

– De los Activos de Información.

– De los Sistemas que los procesan.

En concordancia con las políticas de Seguridad y planes

estratégicos de la Organización.

Es la herramienta de que dispone la Dirección para

implantar las políticas y objetivos de Seguridad de la

Información:

Integridad, confidencialidad y disponibilidad.

21

AENOR

Factores críticos para el éxito

• Una seguridad orientada al negocio

• Implementar la Seguridad en consonancia con la cultura de la empresa

• Apoyo visible y compromiso de la Dirección.

• Buen entendimiento de los requisitos de seguridad, de la evaluación y gestión de los riesgos.

• Convencer de la necesidad de la seguridad a directivos y empleados.

• Proveer formación y guías sobre políticas y normas a toda la organización.

• Un sistema de medición para evaluar el rendimiento de la gestión de la seguridad y sugerir mejoras.

22

AENOR

Acreditación de AENOR – ISO 27001

23

AENOR

El proceso de certificación

CUESTIONARIO

PRELIMINAR Y SOLICITUD

INFORME

AUDITORÍA DEL

SISTEMA

FASE II

INFORME

AUDITORÍAS DE

SEGUIMIENTO

ANUALES

AUDITORÍAS DE

RENOVACIÓN

INFORME

AUDITORÍA

EXTRAORDINARIACONCESIÓN DEL

CERTIFICADO

PLAN DE ACCIONES

CORRECTORAS

1 mes

VISITA PREVIA

FASE I

ANÁLISIS DE LA DOCUMENTACIÓN

(MANUAL, PROCEDIMIENTOS)

FASE I

REGISTRO

SISTEMA DE

GESTIÓN

24

AENOR

Ventajas de certificar la Seguridad de la Información

Para los Sistemas de Información:

• Sistematizar las actividades de SI

• Ahorro de recursos en las actividades de SI, mejorando la motivación e

implicación de los empleados

• Analizar riesgos: identificar amenazas, vulnerabilidades e impactos en la

actividad empresarial

Establecer objetivos y metas que permitan aumentar el nivel de confianzaen la seguridad

• Planificar, organizar y estructurar los recursos asignados a seguridad de la

información

• Identificar y clasificar los activos de información

25

AENOR

Ventajas de certificar la Seguridad de la Información

• Seleccionar controles y dispositivos físicos y lógicos adecuados a la

estructura de la organización

• Asegurar el nivel necesario de disponibilidad, integridad, y confidencialidad

de la información

• Establecer planes para adecuada gestión de la continuidad del negocio

• Establecer procesos y actividades de revisión, mejora continua y auditoría

de la gestión y tratamiento de la información

26

AENOR

• Para el Negocio:

– Integrar la gestión de la seguridad de la información con otras modalidades de gestión empresarial

– Mejorar la imagen, confianza y competitividad empresarial. Certificación y reconocimiento por terceros.

– Comprobar su compromiso con el cumplimiento de la legislación: protección de datos de carácter personal, servicios sociedad de información, comercio electrónico, propiedad intelectual, etc...

– Dar satisfacción a accionistas y demostrar el valor añadido de las actividades de seguridad de la información en la empresa.

APORTA CONFIANZA A LOS SISTEMAS DE INFORMACIÓN

Ventajas de certificar la Seguridad de la Información

27

AENOR28

AENOR

Bibliografía

• Guía de Aplicación de la Norma UNE-ISO/IEC 27001:2007 sobre Seguridad en Sistemas de Información para

pymes.

AENOR Ediciones 2009

• MAGERIT: Metodología de análisis y gestión de riesgos de los sistemas de información de las

Administraciones Públicas. www.csi.map.es/csi/pg5m20.htm

• Seguridad de las Tecnologías de la Información. AENOR. 2003. Varios Autores: Eduardo Fdez. Medina,Roberto Moya, Mario Piattini, etc..

www.aenor.es

• Seguridad Informática para empresas y particulares. 2004. Mc Graw Hill y Panda. Gonzalo Alvárez Marañón yPedro Pablo Pérez. Revisión: Pedro Bustamante.

• NIST Special Publication SP 800-12: An Introduction to Computer Security.The NIST Handbook. NationalInstitute of Standards and Technology.

– http://csrc.nist.gov/publications/nistpubs/800-12/

• Information Security Governance: Guidance for Boards of Directors and Executive Management. ITGovernance Institute.

• Control Objectives for Information and Related Technology (Cobit) . www.isaca.org/cobit.htm

• Implementation guide ISO 27001/ISO 17799. Van Haren

29