Formacin, superacin y competitividad de las empresas PONENCIA

El SGSI y la Norma ISO-27001

Enrique Oteo Elvira

El SGSI y la Norma ISO-27001 1

Informacin y Seguridad

Informacin y Seguridad La Gestin de la Seguridad Normas ISO

1 1.1

Informacin y Seguridad

Informacin

Datos ....................

representacin simblica de atributos

Informacin .........

conjunto organizado de datos

Conocimiento ......

informacin til para la toma de decisiones

1 1.1.1

Informacin y Seguridad

Sistema de Informacin
Datos Informacin

conjunto de componentes Activos que interactan Informacin ...

como medio para que la

considerados gestionando

Sistema De Informacin

toma de decisiones Informacin Conocimiento

Empresa pueda alcanzar sus

objetivos

1 1.1.2

Informacin y Seguridad

Activos de Informacin

Datos .....................

informacin susceptible de ser procesada o gestionada

Aplicaciones ......... Equipos ................. Conocimiento ....... Documentacin .... Personas ...............

procedimientos y programas que procesan informacin mquinas y dispositivos para el tratamiento de informacin capacitacin para utilizar o disponer de informacin representacin del conocimiento como meta-informacin empleados y terceros que disponen de acceso a informacin

1 1.1.3

Informacin y Seguridad

Valor de los Activos

los Activos de Informacin, tangibles o no, tienen un Valor que depende fundamentalmente del negocio de la Empresa

el Valor de un Activo de informacin se determina por el Impacto en el negocio debido a una Amenaza materializada, y debe incluir los Costes de
Prdidas de Ingresos Prdidas Financieras Cuota de Mercado el Activo el Dao en el Negocio la Recuperacin

Imagen de la Empresa

Las Indemnizaciones

1 1.2

Informacin y Seguridad

Propiedades de la Informacin

La seguridad es una de las diversas propiedades de la Informacin. Su consideracin tiene como objeto asegurar la conformidad con los requisitos establecidos para los atributos asociados a ella.

Seguridad

Calidad
Legitimidad

1 1.2.1

Informacin y Seguridad

Atributos de la Seguridad

Qu atributos de la seguridad se deben proteger? Qu requisitos se deben especificar?

Integridad ..................... Mantenimiento controlado de la informacin Confidencialidad ......... Acceso en base a la necesidad de conocimiento Disponibilidad ............. Acceso en base a la necesidad de utilizacin

Autenticidad .................. Certeza de la validez de identidad de un activo Fiabilidad ...................... Validez de la informacin para su finalidad de uso

1 1.2.2

Informacin y Seguridad

Fuentes de los Requisitos

Los requisitos de Seguridad de Informacin provienen de tres tipos de fuentes

Objetivos
Valoracin de riesgos de la Organizacin. Con ella se identifican las amenazas a los activos, se evala la vulnerabilidad y la probabilidad de su ocurrencia, y se estima su posible impacto

Legislacin
Leyes, estatutos, y regulaciones, que debera satisfacer la Organizacin, sus socios comerciales, los contratistas, y proveedores de servicios

Normas
Principios, objetivos, y requisitos que forman parte del tratamiento de la informacin que la Organizacin ha desarrollado para apoyar sus operaciones

1 1.2.3

Informacin y Seguridad

Importancia de la Seguridad

Actividades de Negocio

Sistemas de Informacin

Continuidad

Seguridad

10

El SGSI y la Norma ISO-27001 2

La Gestin de la Seguridad

Informacin y Seguridad La Gestin de la Seguridad Normas ISO

11

2 2.1

La Gestin de la Seguridad

Necesidad de la Gestin

La criticidad de la Seguridad de la Informacin hace necesario llevar a cabo la implantacin de

1)

Medidas de Proteccin

2)

un Sistema de Gestin

12

2 2.2

La Gestin de la Seguridad

El Sistema de Gestin

El Sistema de Gestin de Seguridad de la Informacin (SGSI)

es un sistema de gestin que comprende

la poltica, la estructura organizativa,

los procedimientos, los procesos, y los recursos necesarios para implantar y gestionar la Seguridad de la Informacin.

13

2 2.3

La Gestin de la Seguridad

Cualidades del SGSI

El Sistema de Gestin de Seguridad de la Informacin (SGSI)

constituye la herramienta mas adecuada de que dispone la Direccin de una organizacin para llevar a cabo las polticas y los objetivos de la Seguridad de la Informacin.

proporciona mecanismos para la salvaguarda de los activos de

informacin y de los sistemas que los procesan, en concordancia con las polticas de seguridad y los planes estratgicos de la Organizacin.

14

2 2.4

La Gestin de la Seguridad

Importancia de un SGSI

La informacin es un Activo mas, que aporta Valor aadido a la Organizacin, y que en consecuencia debe estar protegido. Gracias a un SGSI se puede proteger la Informacin frente a un amplio abanico de amenazas a fin de

asegurar la continuidad de las operaciones, minimizar los daos y las prdidas, y maximizar el retorno de la inversin.

15

2 2.5

La Gestin de la Seguridad

Beneficios de un SGSI

Conformidad legal Gestin de los riesgos Credibilidad y confianza Ventaja competitiva Reduccin de costes Fortalecimiento de la gestin

16

2 2.5.1

La Gestin de la Seguridad

Conformidad legal

Conformidad legal
evidenciando el cumplimiento con la legalidad vigente, as como el

compromiso de la Direccin en la aplicacin de las Normativas al uso

Gestin de los riesgos Credibilidad y confianza Ventaja competitiva Reduccin de costos Fortalecimiento de la gestin

17

2 2.5.2

La Gestin de la Seguridad

Gestin de los riesgos

Conformidad legal

Gestin de los riesgos

analizando los riesgos, y previniendo, eliminando, o reduciendo el nivel de riesgo mediante la implantacin de controles adecuados
Credibilidad y confianza Ventaja competitiva Reduccin de costos Fortalecimiento de la gestin

18

2 2.5.3

La Gestin de la Seguridad

Credibilidad y confianza

Conformidad legal Gestin de los riesgos

Credibilidad y confianza
definiendo de forma precisa e inequvoca los objetivos y metas que permiten alcanzar un alto nivel de confiabilidad frente a los clientes
Ventaja competitiva Reduccin de costos Fortalecimiento de la gestin

19

2 2.5.4

La Gestin de la Seguridad

Ventaja competitiva

Conformidad legal Gestin de los riesgos Credibilidad y confianza

Ventaja competitiva
obteniendo la certificacin de un SGSI basada en ISO 17799, que permite establecer una diferenciacin con respecto a la competencia

Reduccin de costos Fortalecimiento de la gestin

20

2 2.5.5

La Gestin de la Seguridad

Reduccin de costes

Conformidad legal Gestin de los riesgos Credibilidad y confianza Ventaja competitiva

Reduccin de costos
planificando y controlando la eficacia de los recursos asignados a la Seguridad de la Informacin
Fortalecimiento de la gestin

21

2 2.5.6

La Gestin de la Seguridad

Fortalecimiento de la gestin

Conformidad legal Gestin de los riesgos Credibilidad y confianza Ventaja competitiva Reduccin de costos

Fortalecimiento de la gestin
asegurando la implicacin del personal, e incorporando la Seguridad de la Informacin a los procesos de mejora, revisin, y auditora

22

El SGSI y la Norma ISO-27001 3

Normas ISO

Informacin y Seguridad La Gestin de la Seguridad Normas ISO

23

3 3.1

Normas ISO

Normas de Sistemas de Gestin

Sistemas de Gestin ...

Certificacin:

Ambiental ISO 14001

de la Calidad

ISO 9001

de la Seguridad de la Informacin
ISO 27001

Marca de conformidad con normas. Con ella se da a entender que el sistema de gestin de la seguridad de la organizacin licenciataria a la que se concede es objeto de las evaluaciones y controles establecidos en el sistema de certificacin y que un certificador acreditado ha obtenido la adecuada confianza en su conformidad con la Norma correspondiente.
24

3 3.2

Normas ISO ISO-27001 + ISO 27002

1 ISO 27001

Definicin de los procesos

Certificable

Cmo?

2 ISO 27002 Conformidad

mbito de los Controles Qu?

25

3 3.2.1

Normas ISO

ISO-27001

Especificaciones para los Sistemas de Gestin de la Seguridad de la Informacin (SGSI)

Se especifican los requisitos para establecer, implantar, documentar, y evaluar un Sistema de Gestin de la Seguridad de la Informacin, de acuerdo con las necesidades de una Organizacin, con independencia de su tipo, tamao o actividad.

26

3 3.2.2

Normas ISO

ISO-27002

Cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin

Se ofrecen recomendaciones para realizar una gestin eficaz de la seguridad de la informacin, facilitando una base comn que permite desarrollar normas de seguridad que proporcionen confianza dentro de las organizaciones.

27

3 3.3

Normas ISO

ISO 27001: Cmo ...?

Especificaciones para los SGSI

1. 2. 3. 4. 5. 6. 7. 8. Alcance Referencias sobre Normativa Trminos y definiciones Sistema de Gestin de la Seguridad de la Informacin Responsabilidad de la Direccin La Auditora Interna Revisin por la Direccin El Proceso de Mejora

28

3 3.3.1

Normas ISO

ISO 27001: PDCA

Sistema de Gestin de la Seguridad de la Informacin

4.1 Requisitos generales
Auditora

4.2

Establecimiento y Gestin del SGSI

4.2.1 4.2.1 4.2.1 4.2.1 Establecer el SGSI Implementar y Operar el SGSI Controlar y Revisar el SGSI Mantener y Mejorar el SGSI P lan D o C heck A ct

4.3

Requisitos de Documentacin

29

3 3.3.2

Normas ISO

Planificacin para establecer un SGSI

30

3 3.3.3

Normas ISO

ISO 27001: A&GR

Establecer el SGSI
a) b) c) d) e) Definir el alcance del SGSI Definir una poltica de seguridad Definir una metodologa de evaluacin del riesgo Identificar los riesgos Analizar y evaluar los riesgos

f)
g) h) g) g)

Identificar y evaluar las opciones de tratamiento de los riesgos

Seleccionar los objetivos de control y los controles para el tratamiento Aprobar por parte de la direccin los riesgos residuales Autorizar por parte de la direccin la implementacin del SGSI Definir una declaracin de aplicabilidad

31

3 3.3.4

Normas ISO

Anlisis y Gestin de Riesgos

Anlisis de Riesgos
Activos de Informacin:

Evaluar el Riesgo

determinar sus amenazas, vulnerabilidades, e impactos

evaluar la probabilidad de ocurrencia de las amenazas

Gestin de Riesgos
Activos Evaluados:

Tratar el Riesgo

Identificar, controlar, y minimizar los riesgos identificados Gestionar el riesgo mediante medidas de coste aceptable

32

3 3.3.5

Normas ISO

Mejora continua

La organizacin deber mejorar de forma permanente

la eficiencia del SGSI

mediante la definicin de objetivos, la aplicacin de polticas, la realizacin de auditoras, el anlisis de lo sucesos observados, la toma de acciones correctivas y preventivas, y la revisin de la Direccin. 1. 2. 3. 4. 5. 6. Identificando no conformidades (observadas o potenciales) Determinando las causas (observadas o posibles) Evaluando la necesidad de acciones (correctivas o preventivas) Implementando acciones (correctivas o preventivas) Registrando los resultados obtenidos Revisando la eficacia de las acciones llevadas a cabo

33

3 3.4

Normas ISO

ISO 27002: Qu ...?

Cdigo de Buenas Prcticas

Tec. 1 Poltica de Seguridad Org. Jur. O Contr. 2

2
3 4 5 6 7 8 9 10

Aspectos Organizativos de la Seguridad de la Informacin

Gestin de Activos Seguridad ligada al Personal Seguridad Fsica y del Entorno Gestin de Comunicaciones y Operaciones Control de Acceso Adquisicin, Desarrollo, y Mantenimiento de Sistemas Gestin de Incidencias de Seguridad de la Informacin Gestin de la Continuidad de Negocio T T T

O
O O J

11
5 9 13 32

O O O O

25 16 5 5

11

Conformidad

10

34

3 3.5

Normas ISO

Estructura del Cdigo de Buenas Prcticas

Claussula Objetivo Control

05 06 11 11 01 11 02 11 05 11 05 01 11 05 02 11 05 04 11 05 06 11 07 15 POLTICA DE SEGURIDAD ORGANIZACION DE LA SEGURIDAD DE LA INFORMACION .......... CONTROL DE ACCESOS Requisitos de negocio para el conrol de accesos Gestion de acceso de usuario .......... Control de acceso al sistema operativo Procedimientos de conexin segura Identificacion y autenticacion de usuario .......... Uso de los servicios del sistema .......... Limitacion del tiempo de conexin .......... Informatica movil y teletrabajo .......... CONFORMIDAD

35

Hacia una Cultura de Seguridad 9.1

Un caso ejemplar (I)

1 2 3

1 El sbado 12 de febrero se declar un incendio en el rascacielos Windsor, obra del estudio Salas y Casariego. 2 El fuego se inici en la planta 21, y sus llamas devastaron las oficinas de la firma de consultora Garrigues. 3 Los restos del siniestro muestran los daos estructurales del edificio, propiedad de la familia Reyzbal.

36

Hacia una Cultura de Seguridad 9.2

Un caso ejemplar (II)

4 5 6

4 El alcalde anunciaba el cierre temporal de los negocios de oficinas y comercios (E C I) de la zona afectada. 5 Numerosos documentos quedaron diseminados desde las 21 plantas de las oficinas de la consultora Deloitte. 6 La visin de la catstrofe se proyecta sobre el cartel de la candidatura a los JJOO 2012 por la ciudad de Madrid

37

Tarjeta www.portalartico.com

ARTICO Consultores
Avda. Gmez Laguna 24 - oficina 5

976 45 85 86

Enrique Oteo Elvira

e.oteo.e@artico-consultores.com
38