(Modelo de Gobierno y Gestión de las TICs)wiki.redabogacia.org/images/5/51/AENOR.pdf · octubre...
Transcript of (Modelo de Gobierno y Gestión de las TICs)wiki.redabogacia.org/images/5/51/AENOR.pdf · octubre...
AENOR
Seguridad en la Gestión de las TICs con normas ISO (Modelo de Gobierno y Gestión de las TICs)
Dirección de Desarrollo AENOR
Carlos Manuel FERNÁNDEZ
Ing. en Informática. CISA, CISM. MBA
Gerente de TICs (AENOR)
Vocal del Colegio Profesional de Ingenieros en Informática de Madrid (CPIICM)
Profesor Máster (UNIR/UPSAM)
Octubre 2013
AENOR
AGENDA
1. QUIÉN ES AENOR
2. MODELO DE GOBIERNO Y GESTION DE AENOR
3. POR QUÉ Y ASPECTOS CLAVES DE SGSI - ENS
4. PROCESO DE CERTIFICACION SGSI
5. BIBLIOGRAFIA
6. ALGUNOS DATOS
7. CONCLUSIONES
AENOR
Asociación privada de Normalización y Certificación
AENOR es el representante de ISO en España y algunos países de Latinoamérica.
Sin ánimo de lucro Constitución: 1986 Real decreto 2200/95 AENOR Corporación AENOR INTERNACIONAL (12 filiales) AENOR México ( +10 años en México DF y
Delegaciones) Multisectorial Normalización Certificación productos, servicios, sistemas de
gestión y personal Servicios de Formación AENOR es miembro de IQNET
AENOR
AENOR
AENOR
ASOCIACIÓN ESPAÑOLA DE NORMALIZACIÓN Y CERTIFICACIÓN Entidad privada, independiente, sin ánimo de lucro
ACTIVIDADES -Elaborar normas técnicas nacionales (UNE) y participar en la elaboración de normas internacionales -Certificar productos, servicios y empresas (sistemas de gestión)
Entidad designada por el Ministerio de Industria y Energía (R.D. 1614/1985), como entidad
para desarrollar las actividades de N+C. Reconocida como Organismo de Normalización y para
actuar como Entidad de Certificación (R.D. 2200/1995)
AENOR
AENOR Datos relevantes
25.300 Certificados ISO 9000 1.200 Certificados OHSAS 18001 + 400 Certificados IS0 27001 + 120 Certificados ISO 20000-1 41 Certificados SPICE nivel 2 3 Certificados SPICE nivel 3
6.220 Certificados ISO 14000 558 Certificados EMAS
Calidad y Seguridad Medioambiente
Internacional Recursos Humanos
Más de 45 Acuerdos internacionales para certificación de sistemas
Más de 40 Países donde AENOR concedido certificados
500 Auditores/25 auditores TICs
Producto
Más de 89.570 Certificados
Normalización
Más de25.000 Normas (UNE y Ratificadas)
Cambio Climático
Más de 200 proyectos MDL, AC y Voluntarios
AENOR
¿Qué es un CPD?:
Es un Conjunto de:
- Personas (Humanware)
- Sistemas o Tecnologías (Base de Datos, software, aplicaciones, Hardware, Telecomunicaciones y sala de servers e infraestructura).
- Procesos
- Infraestructura
Centro de Proceso de Datos o Tecnologías de Información y Comunicaciones
AENOR
B2C B2B BigData
WEB 1.0 WEB 2.0 WEB 3.0?
“New Business and Tools for Business” To CEOs & CIOs
Portal Corporativo Redes Sociales Wikis BYOD
e-Branding e-Mailing e-Learning
GIS RFID
CRM ERP SCM
MOBILITY Pdas Smartphone Blakberry / Iphone / HTC
BUSINESS PLAN = PLAN DE TICS (Integración y Alineamiento)
FACTORIA DE TICs (Nuevos Servicios y Operaciones de TICs)
CLOUD COMPUTING SaaS (Software As A Service)
IaaS (Infraestructure As A Service)
PaaS (Platform As A Service)
LAS TICs COMO APOYO A LA GESTION E INNOVACION EN LAS EMPRESAS
7
AENOR
• 71% de los ejecutivos están de acuerdo que es una palanca las TI para transformar el negocio
• 62% creen que las TICs deben focalizarse en la innovación de los procesos de negocio
• 66% están de acuerdo que las TICs han implicado una
gestión de riesgos más compleja en las corporaciones.
» Fuente: Ernst&Young study” What’ next for the CIO? (Enero 2011).
Una solución al gobierno y la gestión de las TICs es el modelo de AENOR de ISO en las TICs donde se realiza el gobierno y la gestión de las TICs alineadas con los objetivos de negocio.
Cómo perciben los ejecutivos los Sistemas de Información
AENOR
Modelo ISO para las TICs y otros entornos
SGCN ISO 22301
Sistema de Gestión Continuidad del Negocio.
Nivel de Madurez. Ciclo de Vida de SW
SPICE ISO 15504 Modelo de Evaluación, Mejora y Madurez de Software
SGAS - SAM ISO 19770-1
Sistema de Gestión Activos Software (Licencias de Software)
SGSI ISO 27001
Sistema de Gestión Seguridad de la Información
ISO 27002 Guía de Controles
ISO 12207 Ciclo de Vida de Desarrollo de
Software
SGSTI ISO 20000-1
Sistema de Gestión Servicios TI
ISO 20000-2 Guía de Buenas Prácticas
Desarrollo de Software Procesos / Servicios
Adicionalmente:
• BPCE – Buenas Práctica Comercio Electrónico
Copyright AENOR. Diciembre 2006
Objetivo: Gobierno y Gestión de las TICs con estándares ISO.
Gobierno de TI ISO / IEC 38500
IT Governance
ISO 25000 Calidad del Producto Software
Funciones del director de TI
Calidad y seguridad en servicios de TI (el día a día)
Creación de Software
La empresa y su continuidad según procesos críticos
Nota: tiene PDCA / Control interno Tecnologías de Información
Datacenter Green. Sostenibilidad Energética en CPDs- SE CPD-
AENOR
Factores que influyen en la Seguridad de los SI
• Actualmente: Nueva York y en los 80´s :
Mainframe – Ciudad de Ávila. Magerit
• Amplio uso de la Tecnología.
• Interconectividad de los sistemas. Sistemas abiertos y distribuidos.
• Cambios muy rápidos en las TICs.
• Ataques a Organizaciones. Tema atractivo?.
• Factores externos: Legislación .etc...
(Information Security Governance. 2001. IT Governance Institute).
10
AENOR
Informe de Riesgos en las TICs
• Uno de cada 5 empleados deja a su familia y amigos usar sus portátiles corporativos para acceder a Internet. (21%).
• Uno de cada diez confiesa que baja algún tipo de contenido
que no debiera mientras está en el trabajo. • Dos tercios admiten tener conocimientos muy limitados en
materia de seguridad.
• Un 5% dice que tienen acceso a areas de la red corporativa que no deberían tener.
Fuente: McAffee.
11
AENOR
Descripción genérica de un proceso
PROCESO -Tareas / Actividades - Procedimientos -Instrucciones Técnicas - Registros (evidencias)
Entradas Salidas
Indicadores / métricas
Relaciones con otros procesos
Un proceso es un conjunto estructurado de actividades diseñado para cumplir un objetivo concreto. Un proceso tiene entradas y salidas. Las organizaciones que persiguen la eficacia en su funcionamiento tienen que identificar y gestionar numerosos procesos que están relacionados entre sí, ya que es frecuente que la salida de un proceso pase directamente a ser la entrada del siguiente proceso.
Nota: es conveniente la utilización de workflows en el proceso
AENOR
A.5 Política de Seguridad de Información A.6 Estructura organizativa de la SI A.7 Clasificación y control de activos A.8 Seguridad ligada al personal A.9 Seguridad física y del entorno
A.10 Gestión de comunicaciones y operaciones A.11 Control de accesos A.12 Desarrollo y mantenimiento de sistemas A.13 Gestión de Incidentes de Seguridad A.14 Gestión Continuidad de Negocio A15 Conformidad y Cumplimiento legislación
ISO IEC 27002 / Anexo A. ISO IEC 27001
“P”
“D”
Definir política de seguridad Establecer alcance del al SGSI Realizar análisis de riesgos Seleccionar los controles
Implantar plan de gestión de riesgos Implantar el SGSI Implantar los controles
Revisar internamente el SGSI Realizar auditorias internas del SGSI Indicadores y Métricas Revisión por Dirección
Adoptar las acciones correctivas Adoptar las acciones preventivas
SGSI - UNE ISO 27001. MODELO PDCA
“C”
“A”
AENOR
ISO 27001: SG de la Seguridad de la Información
Solución a los Riesgos Empresariales, Decisión estratégica de la organización
• Modelo para la definición, implementación, operación, revisión, mantenimiento y mejora del SG de la SI.
Reordenar la Seguridad de los SI. Sigue pautas de ISO 9001 e ISO 14001.
Para todo tipo de organizaciones.
En el marco de los riesgos empresariales generales.
Fin, seleccionar controles de seguridad, adecuados y proporcionados.
Enfoque por procesos, y para la mejora contínua.
AENOR
La gestión eficaz de la Seguridad de la Información permite a la organización preservarlas.
Cumplimiento normativo-legal en Europa (Esquema Nacional de Seguridad, LOPD, LPI, LSSI, etc.)
DISPONIBILIDAD CONFIDENCIALIDAD
INTEGRIDAD
Asegurar que la información es accesible solo para aquellos autorizados a tener acceso.
Garantizar la exactitud y completitud de la información y los métodos de su proceso
Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.
Propiedades principales asociadas a la Información
AENOR
Seguridad de la Información
Para conducir y operar exitosamente una organización se requiere, que se:
salvaguarden los activos,
mantenga la integridad de los datos e infraestructura,
suministre información relevante y fiable,
trabaje de forma eficiente,
tengan dispuestos controles internos que aporten garantía razonable de que los objetivos de negocio se alcanzan. PDCA - CITI
AENOR
Riesgos en los sistemas de información
Riesgo es una función de:
La probabilidad de que una amenaza explote una vulnerabilidad El impacto es el resultante de dicho evento en la organización
Riesgos y Amenazas:
AENOR
Activos de SI
Sistemas de información (Base de Datos)
Software (Aplicativos)
Hardware
Telecomunicaciones
Personas
Análisis y Gestión de riesgos
R=F(X1,X2,X3,Xn)
Integridad (X1)
Confidencialidad (X2)
Disponibilidad (X3)
Amenazas (X4)
Vulnerabilidades (X5)
Impacto Económico (X6)
XN
Riesgo Residual
Activo1-------R’1
Activo2-------R’2
Aplicando
ISO/IEC 27002
(Selección de
Controles)
Procesos de Negocio / Servicios de TI
Análisis y Gestión de riesgos – Implantación de controles
AENOR
Esquema Nacional de Seguridad. Aspectos clave
1. ISO 27001 – PDCA. Implícito 2. Categorización de los sistemas.
• 3 categorías (Alta, media, baja) en cada una de las dimensiones de seguridad (DAICT- Disponibilidad, Autenticidad, Integridad, Confidencialidad, Trazabilidad).
• En función de la gravedad del impacto que tendría un incidente que afectará a la seguridad de la información o a los servicios
3. Metodología MAGERIT-ENISA. (Análisis de riesgos) 4. CCN-CERT prestará servicios a AAPP (CCN-Centro Criptográfico
Nacional-Computer Emergency Reaction Team)
• Soporte y coordinación para resolver incidentes • Formación en el campo de la seguridad de las TICs • Información sobre vulnerabilidades, alertas y avisos de
nuevas amenazas, etc.
AENOR
Esquema Nacional de Seguridad. Aspectos clave
La disposición transitoria del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, publicado en el BOE el 29 de enero de 2010, articula el siguiente mecanismo escalonado para la adecuación a lo previsto en el Esquema Nacional de Seguridad: «los sistemas de las administraciones deberán estar adecuados a este Esquema en el plazo de doce meses, aunque si hubiese circunstancias que impidan la plena aplicación, se dispondrá de un plan de adecuación que marque los plazos de ejecución, en ningún caso superiores a 48 meses desde la entrada en vigor».
Ya se ha cumplido el primer plazo de 12 meses y el segundo plazo de 48 meses se cumplirá el próximo 29 de enero de 2014.
AENOR
SGSI - ISO/IEC 27002: Objetivos y Controles
AENOR
Procedimientos
Registros
Manual de seguridad
Política(s), alcance evaluación de riesgo,
declaración de aplicabilidad
Describe procesos - quién, qué, cuándo, dónde (4.1- 4.10)
Describe las tareas y las actividades específicas y cómo se realizan
Proporciona las pruebas objetivas del cumplimiento con las exigencias del SGSI (cláusula 4.3.2-4.3.3)
Nivel 2
Nivel 3
Nivel 4
Nivel 1
Instrucciones de trabajo, listas de comprobación, formularios, etc.
La documentación del SGSI
AENOR
Para los Sistemas de Información:
Sistematizar las actividades de SI
Ahorro de recursos en las actividades de SI, mejorando la motivación e
implicación de los empleados
Analizar riesgos: identificar amenazas, vulnerabilidades e impactos en la
actividad empresarial
Establecer objetivos y metas que permitan aumentar el nivel de confianza en la seguridad
Planificar, organizar y estructurar los recursos asignados a seguridad de la
información
Identificar y clasificar los activos de información
Ventajas de certificar la Seguridad de la Información
AENOR
Seleccionar controles y dispositivos físicos y lógicos adecuados a la
estructura de la organización
Asegurar el nivel necesario de disponibilidad, integridad, y confidencialidad
de la información
Establecer planes para adecuada gestión de la continuidad del negocio
Establecer procesos y actividades de revisión, mejora continua y auditoría
de la gestión y tratamiento de la información
Ventajas de certificar la Seguridad de la Información
AENOR
• Para el Negocio:
Integrar la gestión de la seguridad de la información con otras modalidades de gestión empresarial
Mejorar la imagen, confianza y competitividad empresarial. Certificación y reconocimiento por terceros.
Comprobar su compromiso con el cumplimiento de la legislación: protección de datos de carácter personal, servicios sociedad de información, comercio electrónico, propiedad intelectual, etc...
Dar satisfacción a accionistas y demostrar el valor añadido de las actividades de
seguridad de la información en la empresa.
APORTA CONFIANZA A LOS SISTEMAS DE INFORMACIÓN
Ventajas de certificar la Seguridad de la Información
AENOR
Proceso de Certificación según ISO 17021
FASE 2: REALIZACIÓN DE
LA AUDITORÍA (presencial)
ELABORACIÓN DEL PLAN DE ACCIONES CORRECTIVAS - PAC
FASE 1: PLANIFICACIÓN DE LA AUDITORÍA Y ESTUDIO DE DOCUMENTACIÓN (presencial)
CUESTIONARIO PRELIMINAR Y SOLICITUD
AUDITORÍAS DE RENOVACIÓN
(AL TERCER AÑO)
REGISTRAR LOS RESULTADOS
CONCESIÓN DEL CERTIFICADO
AUDITORÍAS DE SEGUIMIENTO
(AL PRIMER AÑO)
AUDITORÍAS DE SEGUIMIENTO
(AL SEGUNDO AÑO)
AENOR
Auditoría de Certificación (ISO 17021)
Aud
itoría
s de
man
teni
mie
nto
de la
ce
rtifi
caci
ón
Informe de Evaluación y
Decisión
Informe fase 1
Hoja de datos Alcance : “… de acuerdo
al XXX vigente”
Informe final
AENOR
Evaluación y Decisión
Manteniendo una estructura que permita independencia e imparcialidad, en la toma de decisiones para la concesión o no de una certificación se establecen tres niveles:
Proceso de Certificación en ISO 27001 - SGSI
Auditor Jefe
Gerente TICs - Comité
TRE (Técnico Responsable Expediente) Revisión de Propuesta (Concesión / no concesión)
Decisión (Concesión / no concesión)
Propuesta (Concesión / no concesión)
AENOR
Acreditación de AENOR - SGSI
AENOR
Miembros IQNET
AENOR
AENOR e ISO 27001 en la actualidad
Con más de 400 certificaciones emitidas en SGSI-ISO 27001, destacar: Desde AAPP, Colegios Profesionales, Organizaciones / empresas privadas, bufetes de abogados, etc.
AENOR
ISO 27001 SGSI
AENOR FORMACION Titulaciones Propias – Ver otras slides
Salidas profesionales desde el modelo de AENOR
ISO 20000 SGSTI
ISO 22301 SGCN
SPICE ISO 15504
Madurez en ciclo de vida de software
Responsable
Consultor
Auditor interno
Auditor externo Ídem Ídem Ídem
Otros Sistemas en Desarrollo con su titulación
ISO 38500 Gobierno de TI
SAM – ISO 19770 SGAS
EA 0044:2013 SE CPD
AENOR
• Guía de aplicación de la Norma . UNE –ISO / IEC 27001 para PYMES. AENOR. Ediciones. 2012.
• MAGERIT: Metodología de análisis y gestión de riesgos de los sistemas de información de las
Administraciones Públicas. www.csi.map.es/csi/pg5m20.htm
• Seguridad de las Tecnologías de la Información. AENOR. 2003. Varios Autores: Eduardo Fdez. Medina, Roberto Moya, Mario Piattini, etc..
www.aenor.es
• Seguridad Informática para empresas y particulares. 2004. Mc Graw Hill y Panda. Gonzalo Alvárez Marañón y Pedro Pablo Pérez. Revisión: Pedro Bustamante.
• NIST Special Publication SP 800-12: An Introduction to Computer Security.The NIST Handbook. National Institute of Standards and Technology.
– http://csrc.nist.gov/publications/nistpubs/800-12/
• Information Security Governance: Guidance for Boards of Directors and Executive Management. IT Governance Institute.
• Control Objectives for Information and Related Technology (Cobit) . www.isaca.org/cobit.htm
• Implementation guide ISO 27001/ISO 17799. Van Haren
Bibliografía específica Seguridad de la Información
AENOR
Futura ISO 27001:2013
AENOR
Bibliografía ISO 20000-1 / ISO 27001
AENOR
Bibliografía
AENOR
Aspectos a considerar: • El control interno de Tecnologías de Información no es
una moda. • El Sistema de Gestión en las TICs ayuda a gestionar el
control interno de Tecnologías de la Información alineado e integrado con los objetivos del negocio y el cumplimiento normativo legal y sectorial.
• ISO incorpora PDCA-motor y el conocimiento-control
interno de TICs, cumpliendo objetivos de negocio.
Futuro y conclusiones en Sistemas de Gestión en las TICs.
AENOR
Sistemas de Gestión en las TICs. Una historia reciente
“La simplicidad es la mayor de las sofisticaciones” Leonardo Da Vinci
AENOR
“PDCA –Ciclo de mejora Continua (Deming) Sistema de Gestión Integrado y alineado con los Objetivos del Negocio.
En conclusión: ¿Dormirá tranquilo el/la CIO?
Muchas Gracias por su atención!
Un nuevo reto en las TICs
Carlos Manuel FERNÁNDEZ
Ing. en Informática. CISA, CISM. MBA
Gerente de TICs (AENOR)
Vocal del Colegio Profesional de Ingenieros en Informática de Madrid (CPIICM)
Profesor Máster (UNIR/UPSAM)
Octubre 2013