Post on 18-Aug-2018
Experiencia práctica. Experiencia práctica. Implantación de SGSI en Implantación de SGSI en una empresa española. una empresa española.
ÍNDICE
• Empresa objeto de implantación Grupo GMV
• Decisión de Implantación de SGSI• Resultados: Certificaciones• Resultados: Controles de Seguridad• Mejora en Seguridad de Personal• Mejora de Seguridad por Tecnología• Mejora de Seguridad por Normativas• Otros impactos en el Negocio• Conclusiones
ÍNDICE
• Empresa objeto de implantación Grupo GMV
• Decisión de Implantación de SGSI• Resultados: Certificaciones• Resultados: Controles de Seguridad• Mejora en Seguridad de Personal• Mejora de Seguridad por Tecnología• Mejora de Seguridad por Normativas• Otros impactos en el Negocio• Conclusiones
Grupo GMV
• Soluciones en TICs para los mercados aeroespacial, defensa, transporte, telecomunicaciones y e-business
• Aproximadamente 800 empleados (90% titulados)
• Actividad internacional superior al 50%• GMV integra 5 filiales que operan en diferentes
sectores:
GMV Soluciones Globales Internet
• GMV Soluciones Globales Internet presta desde 1995 servicios especializados en Telecos y e-Business
• Liderazgo en Seguridad:– SGSI certificado ISO
27001:2005 en Madrid, Barcelona y Sevilla
– Certificación ISO 9001:2000 en Madrid (también ISO 14001:2004), Barcelona, Sevilla y Valladolid
• Equipo de casi 200 profesionales, 90% Ingenieros Telecomunicación
• Instalaciones de aprox. 7000 m2 en el P.T.M. de Madrid
• Laboratorios propios de I+D
Madrid
Sevilla
BarcelonaValladolid
ÍNDICE
• Empresa objeto de implantación Grupo GMV
• Decisión de Implantación de SGSI• Resultados: Certificaciones• Resultados: Controles de Seguridad• Mejora en Seguridad de Personal• Mejora de Seguridad por Tecnología• Mejora de Seguridad por Normativas• Otros impactos en el Negocio• Conclusiones
La Decisión de Implantación (i)
• ¿Por qué un SGSI para GMV-SGI?– UNE 27001 ofrece ciclo continuo de mejora.
• Vs limitaciones de “Seguridad de Santa Bárbara”– Permite afrontar todos frentes de seguridad
• 11 capítulos de ISO 17799– Basado en realidades: Análisis de Riesgos
• Decisiones razonadas. “Conócete a ti mismo”– Es inadmisible tener problemas de seguridad
• Valor de información cedida por nuestros clientes
– Confianza en el Modelo• Por Dirección Seguridad: Responsable implantación• Por Dirección General: Respaldo SGSI
La Decisión de Implantación (ii)
• Realismo de OBJETIVOS• Certificación vs. Mejora continua
– Visión GMV-SGI • Mejora continúa de las medidas de seguridad ya
implantadas.• Certificación como evidencia esa decisión
• Realismo RECURSOS disponibles• Económicos, Humanos, etc.
– Visión GMV-SGI• Decisión sobre alcance inicial: todo Madrid• Dotación de Presupuesto acorde
La Decisión de Implantación (iii)
• Realismo en CONOCIMIENTOS• En Metodología SGSI y Tecnología
– GMV-SGI• 10 años de experiencia en proyectos.• En caso necesario, se hubiera recurrido a expertos
(generales, campos concretos)
• Realismo en MOTIVACIONES• Convencimiento vs. Caprichos y Modas
– GMV-SGI• Implicación Dirección General / Seguridad• SGSI como herramienta de mejora
La Decisión de Implantación (iv)
• Criterios de Decisión adicionales– Diseño SGSI
• Preparación para su extensión al resto de sedes y de Grupo GMV.
– Diseño SGSI como ayuda en el trabajo• Seguridad afecta a todas las áreas. Puede
ser visto como intruso por algunas áreas.• Implicación en aportación de inputs de toda
la compañía para las decisiones anteriores
ÍNDICE
• Empresa objeto de implantación Grupo GMV
• Decisión de Implantación de SGSI• Resultados: Certificaciones• Resultados: Controles de Seguridad• Mejora en Seguridad de Personal• Mejora de Seguridad por Tecnología• Mejora de Seguridad por Normativas• Otros impactos en el Negocio• Conclusiones
Certificación SGSI
ÍNDICE
• Empresa objeto de implantación Grupo GMV
• Decisión de Implantación de SGSI• Resultados: Certificaciones• Resultados: Controles de Seguridad• Mejora en Seguridad de Personal• Mejora de Seguridad por Tecnología• Mejora de Seguridad por Normativas• Otros impactos en el Negocio• Conclusiones
Estado de un Control
Estado Ideal
Ausente Estricto
Insuficiente
Innecesario
Nivel Riesgo Deseado
Ciclo de vida de controles
NoImplantado
NoImplantado
EvaluaciónEvaluación
A.Correctiva
A.Preventiva
Selección PrimeraImplantación
PrimeraImplantación
Control Innecesario
Control Innecesario Control IdealControl Ideal Control
EstrictoControl Estricto
Control Insuficiente
Control Insuficiente
¿ ?Segui-miento
EvaluaciónEvaluación
Implantación Control
GMV en 1a Implantación buscó controles estrictosGMV en 1a Implantación
buscó controles estrictos
Mejora a través de controles
• UNE 27001 no exige la implantación de TODOS los controles.– Error de algunas organizaciones, han invirtiendo en
implantación de controles más del riesgo.– Puede implantarse y certificarse SGSI con parte de
controles de ISO 17799.– Aunque mejora continua habitualmente supone
incrementar este indicador.
ÍNDICE
• Empresa objeto de implantación Grupo GMV
• Decisión de Implantación de SGSI• Resultados: Certificaciones• Resultados: Controles de Seguridad• Mejora en Seguridad de Personal• Mejora de Seguridad por Tecnología• Mejora de Seguridad por Normativas• Otros impactos en el Negocio• Conclusiones
Mejoras en Personal (i)
• Security Awareness– Factor humano es determinante:
• Puede ser el Mayor Riesgo• Debe ser el Mejor Control
• Algunos resultados.– Más de 50% de incidentes de seguridad son
reportados por personal, sobre otras fuentes de detección.
Mejoras en Personal (ii)
• Programa de Formación– Coordinado con security awareness– Combinación de acciones formativas.– Importancia del nuevo empleado
• Algunos Resultados– Promedio: 10 acciones formativas / año– Mejora cumplimiento en controles aplicados por users
90%
82%78%
88%
66% 76%
72%
62%
57%50%
55%
60%
65%
70%
75%
80%
85%
90%
95%
2004 2005 2006 2007
Máximo CumplimientoCumplimiento MedioMïnimo Cumplimiento
ÍNDICE
• Empresa objeto de implantación Grupo GMV
• Decisión de Implantación de SGSI• Resultados: Certificaciones• Resultados: Controles de Seguridad• Mejora en Seguridad de Personal• Mejora de Seguridad por Tecnología• Mejora de Seguridad por Normativas• Otros impactos en el Negocio• Conclusiones
Mejoras en Tecnología (i)
• Menor Capacidad de Mejora de Seguridad en este campo – Campo de actividad pre-SGSI, existen
muchos controles ya implantados.– Pero aún existe margen de mejora
• Algunos resultados– 62% de los controles han sido
mejorados durante aplicación del SGSI.
Mejoras en Tecnología (ii)
• Consistencia de Controles– Ampliación de alcance en 2005 revela algunas
diferencias en las aplicación de controles en distintas ubicaciones
• Algunos resultados– Definición de arquitectura de SS.II. y controles
de seguridad estándar.– Mejoras en cada ubicación por solución best-
of-breed de otra ubicación.
ÍNDICE
• Empresa objeto de implantación Grupo GMV
• Decisión de Implantación de SGSI• Resultados: Certificaciones• Resultados: Controles de Seguridad• Mejora en Seguridad de Personal• Mejora de Seguridad por Tecnología• Mejora de Seguridad por Normativas• Otros impactos en el Negocio• Conclusiones
Mejoras en Normativa (i)
• Completitud de Normativa de Seguridad– Normativa pre-SGSI desarrollada de forma no
sistemática– Consistencia Normativas vs Procedimientos
• Algunas Mejoras– Rediseño de contenidos de Política de
Seguridad, se dispone de 12 Normativas– Desarrollo/mejora cerca de 30 Procedimientos– Difusión de Normativa de Seguridad
desarrollada
Mejoras en Normativa (ii)
• Adaptación de Normativa a Controles Seleccionados– Algunos Controles se pueden implantar
mediante Normativas / Procedimientos de Seguridad específicos.
– Consistencia Normativa vs. Controles.
• Algunas Mejoras– Normativa de Seguridad soporta indicadores
de efectividad de controles integrados en Cuadro de Mandos de Seguridad.
Mejoras en Normativa (iii)
• Auditoría de Seguridad– Enfoque de actividad auditoría– Periodicidad / comparabilidad de actividades
auditoras.
• Algunas mejoras– Ejecución anual de al menos 5 actividades de
auditoría de Seguridad.– 45 acciones de mejora derivadas de actividad
auditora desde implantación SGSI en 2004.
ÍNDICE
• Empresa objeto de implantación Grupo GMV
• Decisión de Implantación de SGSI• Resultados: Certificaciones• Resultados: Controles de Seguridad• Mejora en Seguridad de Personal• Mejora de Seguridad por Tecnología• Mejora de Seguridad por Normativas• Otros impactos en el Negocio• Conclusiones
Impactos en el Negocio
• Mejora en el Nivel de Riesgo– Mejor capacidad de la compañía para cumplir
los requisitos de protección de la información de sus clientes.
Evolución de indicadores de riesgo desde implantación SGSI.
Identificación de Ataques
• Detección y Detención de Amenazas de Espionaje Industrial o por Terceros.
Impacto de Incidentes de Seguridad
• Detección más rápida de incidentes supone incidentes más leves– Efecto positivo de awareness– Efecto positivo de indicadores y herramientas
de detección.• Menor impacto / incidente de seguridad
– Permite recuperación del incidente más rápida y menos consumo de recursos / incidencia
• Balance global:– Más incidencias, pero de menos gravedad.– Mayor nivel de seguridad con igual consumo
de recursos
Uso de I+D+i Propia
• GMV- SGI desarrolla soluciones propias– Desarrollo de soluciones específicas por
GMV-SGI para dar soporte a su SGSI.– SGSI puede hacer uso temprano de algunas
de las aplicaciones desarrolladas, como entorno de prueba final.
• Balance Global– Soluciones GMV-SGI innovadoras en materia
de SGSIs.– Soluciones GMV-SGI más maduras/probadas.
ÍNDICE
• Empresa objeto de implantación Grupo GMV
• Decisión de Implantación de SGSI• Resultados: Certificaciones• Resultados: Controles de Seguridad• Mejora en Seguridad de Personal• Mejora de Seguridad por Tecnología• Mejora de Seguridad por Normativas• Otros impactos en el Negocio• Conclusiones
Conclusiones
• SGSI como herramienta RENTABLE y ÚTIL, que aporta MEJORAS.
• Es crítico ser REALISTAS en los objetivos iniciales, AMPLIANDO su alcance posteriormente.
• SGSI necesita IMPLICACIÓN de la Dirección y APOYO de toda la Organización.
• Implantación requiere conocimiento de Seguridad experto, la AYUDA externa es en ocasiones imprescindible.
Mariano J. Benito GómezDirector de Seguridad / CISO GMV Soluciones Globales Internet S.A.
GRACIAS